फ़ाइल रहित फ़ाइलों की पहचान: मेमोरी में मैलवेयर का पता लगाने और उसे रोकने के लिए एक संपूर्ण मार्गदर्शिका

डिस्क पर कोई निशान छोड़े बिना चलने वाले हमले कई सुरक्षा टीमों के लिए एक बड़ी समस्या बन गए हैं क्योंकि ये पूरी तरह से मेमोरी में चलते हैं और वैध सिस्टम प्रक्रियाओं का फायदा उठाते हैं। इसलिए, इन हमलों के बारे में जानना ज़रूरी है। फ़ाइल रहित फ़ाइलों की पहचान कैसे करें और उनसे अपना बचाव करें।

सुर्खियों और रुझानों से परे, यह समझना कि वे कैसे काम करते हैं, वे इतने मायावी क्यों हैं, और कौन से संकेत हमें उनका पता लगाने में मदद करते हैं, किसी घटना को रोकने और उल्लंघन पर पछताने के बीच का अंतर तय करता है। आगे की पंक्तियों में, हम समस्या का विश्लेषण करते हैं और सुझाव देते हैं समाधान।

फ़ाइल रहित मैलवेयर क्या है और यह क्यों महत्वपूर्ण है?

 

फ़ाइल रहित मैलवेयर कोई विशिष्ट परिवार नहीं है, बल्कि यह कार्य करने का एक तरीका है: निष्पादनयोग्य फ़ाइलों को डिस्क पर लिखने से बचें यह दुर्भावनापूर्ण कोड को निष्पादित करने के लिए सिस्टम में पहले से मौजूद सेवाओं और बाइनरी फ़ाइलों का उपयोग करता है। आसानी से स्कैन की जा सकने वाली फ़ाइल छोड़ने के बजाय, हमलावर विश्वसनीय उपयोगिताओं का दुरुपयोग करता है और अपने तर्क को सीधे RAM में लोड कर देता है।

यह दृष्टिकोण अक्सर 'भूमि से दूर रहने' के दर्शन में शामिल होता है: हमलावर मूल उपकरण जैसे PowerShell, WMI, mshta, rundll32 या VBScript और JScript जैसे स्क्रिप्टिंग इंजन का उपयोग करके न्यूनतम शोर के साथ अपने लक्ष्य को प्राप्त कर सकते हैं।

इसकी सबसे प्रतिनिधि विशेषताओं में हम पाते हैं: अस्थिर मेमोरी में निष्पादन, डिस्क पर बहुत कम या कोई स्थायित्व नहीं, सिस्टम-हस्ताक्षरित घटकों का उपयोग और हस्ताक्षर-आधारित इंजनों के विरुद्ध उच्च चोरी क्षमता।

यद्यपि रीबूट के बाद कई पेलोड गायब हो जाते हैं, लेकिन मूर्ख मत बनिए: विरोधी दृढ़ता स्थापित कर सकते हैं रजिस्ट्री कुंजियों, WMI सदस्यताओं, या निर्धारित कार्यों का लाभ उठाकर, डिस्क पर संदिग्ध बाइनरी छोड़े बिना।

हमें फ़ाइल रहित फ़ाइलों की पहचान करना इतना कठिन क्यों लगता है?

पहली बाधा स्पष्ट है: निरीक्षण हेतु कोई असामान्य फ़ाइल नहीं हैहस्ताक्षर और फ़ाइल विश्लेषण पर आधारित पारंपरिक एंटीवायरस प्रोग्रामों में तब बहुत कम गुंजाइश होती है, जब निष्पादन वैध प्रक्रियाओं में होता है और दुर्भावनापूर्ण तर्क मेमोरी में होता है।

दूसरा तरीका अधिक सूक्ष्म है: हमलावर अपने पीछे छिपकर हमला करते हैं। वैध ऑपरेटिंग सिस्टम प्रक्रियाएँयदि प्रशासन के लिए प्रतिदिन PowerShell या WMI का उपयोग किया जाता है, तो आप संदर्भ और व्यवहारिक टेलीमेट्री के बिना सामान्य उपयोग और दुर्भावनापूर्ण उपयोग के बीच अंतर कैसे कर सकते हैं?

इसके अलावा, महत्वपूर्ण टूल्स को बिना सोचे-समझे ब्लॉक करना संभव नहीं है। PowerShell या Office मैक्रोज़ को पूरी तरह से अक्षम करने से ऑपरेशन बाधित हो सकते हैं और यह दुर्व्यवहार को पूरी तरह से नहीं रोकताक्योंकि सरल ब्लॉकों को दरकिनार करने के लिए कई वैकल्पिक निष्पादन पथ और तकनीकें हैं।

सबसे बड़ी बात यह है कि क्लाउड-आधारित या सर्वर-साइड डिटेक्शन समस्याओं को रोकने के लिए बहुत देर से किया जाता है। समस्या की वास्तविक समय में स्थानीय दृश्यता के बिना... कमांड लाइन, प्रक्रिया संबंध और लॉग ईवेंटएजेंट किसी दुर्भावनापूर्ण प्रवाह को तुरन्त कम नहीं कर सकता, जो डिस्क पर कोई निशान नहीं छोड़ता।

एक फ़ाइल रहित हमला शुरू से अंत तक कैसे काम करता है

प्रारंभिक पहुंच आमतौर पर हमेशा की तरह समान वैक्टर के साथ होती है: कार्यालय दस्तावेज़ों के साथ फ़िशिंग जो सक्रिय सामग्री को सक्षम करने, समझौता किए गए साइटों के लिंक, उजागर अनुप्रयोगों में कमजोरियों का दोहन, या आरडीपी या अन्य सेवाओं के माध्यम से पहुंच के लिए लीक क्रेडेंशियल्स का दुरुपयोग करने के लिए कहते हैं।

एक बार अंदर जाने के बाद, प्रतिद्वंद्वी डिस्क को छुए बिना ही उसे अंजाम देने की कोशिश करता है। ऐसा करने के लिए, वे सिस्टम की कार्यक्षमताओं को एक साथ जोड़ते हैं: दस्तावेज़ों में मैक्रोज़ या DDE जो कमांड लॉन्च करते हैं, RCE के लिए ओवरफ्लो का फायदा उठाते हैं, या विश्वसनीय बाइनरीज़ को लागू करते हैं जो मेमोरी में कोड लोड करने और निष्पादित करने की अनुमति देते हैं।

यदि ऑपरेशन में निरंतरता की आवश्यकता है, तो नए निष्पादनयोग्यों को तैनात किए बिना दृढ़ता को लागू किया जा सकता है: रजिस्ट्री में स्टार्टअप प्रविष्टियाँWMI सदस्यताएँ जो सिस्टम घटनाओं या निर्धारित कार्यों पर प्रतिक्रिया करती हैं जो कुछ स्थितियों के तहत स्क्रिप्ट को ट्रिगर करती हैं।

निष्पादन स्थापित होने के साथ, उद्देश्य निम्नलिखित चरणों को निर्धारित करता है: पार्श्व रूप से आगे बढ़ें, डेटा निकालनाइसमें क्रेडेंशियल्स चुराना, RAT तैनात करना, क्रिप्टोकरेंसी माइनिंग करना, या रैंसमवेयर के मामले में फ़ाइल एन्क्रिप्शन सक्रिय करना शामिल है। यह सब, जहाँ तक संभव हो, मौजूदा कार्यक्षमताओं का लाभ उठाकर किया जाता है।

साक्ष्य को हटाना योजना का हिस्सा है: संदिग्ध बाइनरी न लिखकर, हमलावर विश्लेषण किए जाने वाले आर्टिफैक्ट्स को काफी हद तक कम कर देता है। सामान्य घटनाओं के बीच अपनी गतिविधि को मिलाना सिस्टम की सुरक्षा और जब भी संभव हो अस्थायी निशानों को हटाना।

वे तकनीकें और उपकरण जिनका वे आमतौर पर उपयोग करते हैं

यह सूची काफी विस्तृत है, लेकिन यह लगभग हमेशा मूल उपयोगिताओं और विश्वसनीय रूट्स के इर्द-गिर्द घूमती है। ये कुछ सबसे आम हैं, जिनका उद्देश्य हमेशा यही होता है इन-मेमोरी निष्पादन को अधिकतम करें और निशान को धुंधला करें:

• PowerShell काशक्तिशाली स्क्रिप्टिंग, विंडोज़ एपीआई तक पहुँच और स्वचालन। इसकी बहुमुखी प्रतिभा इसे प्रशासन और आपत्तिजनक दुरुपयोग, दोनों के लिए पसंदीदा बनाती है।
• WMI (विंडोज मैनेजमेंट इंस्ट्रुमेंटेशन)यह आपको सिस्टम ईवेंट्स पर क्वेरी करने और प्रतिक्रिया करने के साथ-साथ दूरस्थ और स्थानीय क्रियाएं करने की अनुमति देता है; इसके लिए उपयोगी दृढ़ता और आयोजन.
• VBScript और JScript: कई वातावरणों में मौजूद इंजन जो सिस्टम घटकों के माध्यम से तर्क के निष्पादन को सुविधाजनक बनाते हैं।
• mshta, rundll32 और अन्य विश्वसनीय बाइनरीज़: सुप्रसिद्ध LoLBins, जो उचित रूप से लिंक किए जाने पर, कलाकृतियों को छोड़े बिना कोड निष्पादित करें डिस्क पर स्पष्ट है।
• सक्रिय सामग्री वाले दस्तावेज़ऑफिस में मैक्रोज़ या डीडीई, साथ ही उन्नत सुविधाओं वाले पीडीएफ रीडर, मेमोरी में कमांड लॉन्च करने के लिए एक स्प्रिंगबोर्ड के रूप में काम कर सकते हैं।
• विंडोज रजिस्ट्री: स्व-बूट कुंजियाँ या सिस्टम घटकों द्वारा सक्रिय किए गए पेलोड का एन्क्रिप्टेड/छिपा हुआ भंडारण।
• प्रक्रियाओं में जब्ती और इंजेक्शन: चल रही प्रक्रियाओं के मेमोरी स्थान का संशोधन होस्ट दुर्भावनापूर्ण तर्क एक वैध निष्पादन योग्य के भीतर।
• ऑपरेटिंग किट: पीड़ित के सिस्टम में कमजोरियों का पता लगाना और डिस्क को छुए बिना निष्पादन प्राप्त करने के लिए अनुरूप शोषण की तैनाती।

कम्पनियों के लिए चुनौती (और क्यों केवल सब कुछ अवरुद्ध करना पर्याप्त नहीं है)

एक सरल दृष्टिकोण एक कठोर उपाय सुझाता है: PowerShell को ब्लॉक करना, मैक्रोज़ को प्रतिबंधित करना, rundll32 जैसी बाइनरी को रोकना। वास्तविकता ज़्यादा सूक्ष्म है: इनमें से कई उपकरण आवश्यक हैं। दैनिक आईटी परिचालन और प्रशासनिक स्वचालन के लिए।

इसके अलावा, हमलावर खामियों की तलाश करते हैं: स्क्रिप्टिंग इंजन को अन्य तरीकों से चलाना, वैकल्पिक प्रतियों का उपयोग करेंआप तर्क को छवियों में पैकेज कर सकते हैं या कम निगरानी वाले LoLBins का सहारा ले सकते हैं। ब्रूट ब्लॉकिंग अंततः पूर्ण सुरक्षा प्रदान किए बिना घर्षण पैदा करती है।

विशुद्ध रूप से सर्वर-साइड या क्लाउड-आधारित विश्लेषण भी समस्या का समाधान नहीं करता। रिच एंडपॉइंट टेलीमेट्री के बिना और एजेंट में स्वयं प्रतिक्रियाशीलतानिर्णय देर से आता है और रोकथाम संभव नहीं है, क्योंकि हमें बाहरी फैसले का इंतजार करना पड़ता है।

इस बीच, बाजार रिपोर्टें लंबे समय से इस क्षेत्र में बहुत महत्वपूर्ण वृद्धि की ओर इशारा करती रही हैं, जिसमें चरम बिंदु ऐसे हैं जहां पावरशेल के दुरुपयोग के प्रयास लगभग दोगुने हो गए अल्प अवधि में, जो इस बात की पुष्टि करता है कि यह विरोधियों के लिए एक आवर्ती और लाभदायक रणनीति है।

आधुनिक पहचान: फ़ाइल से व्यवहार तक

महत्वपूर्ण बात यह नहीं है कि इसे कौन लागू करता है, बल्कि यह है कि इसे कैसे और क्यों लागू करता है। प्रक्रिया व्यवहार और उसके संबंध यह निर्णायक है: कमांड लाइन, प्रक्रिया विरासत, संवेदनशील API कॉल, आउटबाउंड कनेक्शन, रजिस्ट्री संशोधन और WMI घटनाएँ।

यह दृष्टिकोण चोरी की सतह को काफी कम कर देता है: भले ही इसमें शामिल बाइनरी बदल जाए, हमले के पैटर्न दोहराए जाते हैं (स्क्रिप्‍ट जो मेमोरी में डाउनलोड और एक्जीक्यूट होती हैं, LoLBins का दुरुपयोग, इंटरप्रिटर्स का आह्वान, आदि)। फ़ाइल की 'पहचान' का नहीं, बल्कि उस स्क्रिप्ट का विश्लेषण करने से पहचान में सुधार होता है।

प्रभावी ईडीआर/एक्सडीआर प्लेटफॉर्म संपूर्ण घटना इतिहास को पुनः निर्मित करने के लिए संकेतों को सहसंबंधित करते हैं, तथा घटना के कारणों की पहचान करते हैं। मूल कारण 'प्रकट' हुई प्रक्रिया को दोष देने के स्थान पर, यह वर्णन अनुलग्नकों, मैक्रोज़, इंटरप्रेटर, पेलोड्स और दृढ़ता को जोड़ता है, ताकि केवल एक पृथक भाग को ही नहीं, बल्कि सम्पूर्ण प्रवाह को कम किया जा सके।

इस तरह के ढांचे का अनुप्रयोग MITER ATT और CK यह देखी गई युक्तियों और तकनीकों (टीटीपी) का मानचित्रण करने में मदद करता है और खतरे की खोज को रुचि के व्यवहारों की ओर निर्देशित करता है: निष्पादन, दृढ़ता, रक्षा से बचना, क्रेडेंशियल तक पहुंच, खोज, पार्श्व आंदोलन और निष्कासन।

अंत में, एंडपॉइंट प्रतिक्रिया ऑर्केस्ट्रेशन तत्काल होना चाहिए: डिवाइस को अलग करें, प्रक्रियाओं को समाप्त करें रजिस्ट्री या कार्य शेड्यूलर में परिवर्तनों को पूर्ववत करें और बाहरी पुष्टिकरण की प्रतीक्षा किए बिना संदिग्ध आउटगोइंग कनेक्शन को ब्लॉक करें।

उपयोगी टेलीमेट्री: क्या देखें और कैसे प्राथमिकता दें

सिस्टम को संतृप्त किए बिना पता लगाने की संभावना बढ़ाने के लिए, उच्च-मूल्य वाले संकेतों को प्राथमिकता देना उचित है। कुछ स्रोत और नियंत्रण जो संदर्भ प्रदान करते हैं। फ़ाइल रहित के लिए महत्वपूर्ण ध्वनि:

• विस्तृत PowerShell लॉग और अन्य इंटरप्रिटर्स: स्क्रिप्ट ब्लॉक लॉग, कमांड इतिहास, लोड किए गए मॉड्यूल और AMSI इवेंट, जब उपलब्ध हों।
• WMI रिपॉजिटरीविशेष रूप से संवेदनशील नामस्थानों में ईवेंट फिल्टर, उपभोक्ताओं और लिंक के निर्माण या संशोधन के संबंध में सूची और चेतावनी।
• सुरक्षा घटनाएँ और Sysmon: प्रक्रिया सहसंबंध, छवि अखंडता, मेमोरी लोडिंग, इंजेक्शन, और अनुसूचित कार्यों का निर्माण।
• लाल: असामान्य आउटबाउंड कनेक्शन, बीकनिंग, पेलोड डाउनलोड पैटर्न, और एक्सफ़िलट्रेशन के लिए गुप्त चैनलों का उपयोग।

स्वचालन गेहूं को भूसे से अलग करने में मदद करता है: व्यवहार-आधारित पहचान नियम, अनुमति सूची वैध प्रशासन और खतरे की खुफिया जानकारी के संवर्धन से झूठी सकारात्मकता सीमित हो जाती है और प्रतिक्रिया में तेजी आती है।

सतह की रोकथाम और कमी

कोई भी एक उपाय पर्याप्त नहीं है, लेकिन एक स्तरित बचाव जोखिम को काफी कम कर देता है। निवारक पक्ष पर, कई कार्य-पद्धतियाँ उभर कर सामने आती हैं। फसल वेक्टर और विरोधी के लिए जीवन को और अधिक कठिन बना दें:

• मैक्रो प्रबंधन: डिफ़ॉल्ट रूप से अक्षम करें और केवल तभी अनुमति दें जब अत्यंत आवश्यक हो और हस्ताक्षरित हो; समूह नीतियों के माध्यम से बारीक नियंत्रण।
• दुभाषियों और LoLBins पर प्रतिबंध: ऐप लॉकर/WDAC या समकक्ष लागू करें, व्यापक लॉगिंग के साथ स्क्रिप्ट और निष्पादन टेम्पलेट्स का नियंत्रण।
• पैचिंग और शमन: शोषण योग्य कमजोरियों को बंद करें और मेमोरी सुरक्षा को सक्रिय करें जो RCE और इंजेक्शन को सीमित करते हैं।
• मजबूत प्रमाणीकरणक्रेडेंशियल दुरुपयोग को रोकने के लिए एमएफए और शून्य विश्वास सिद्धांत पार्श्व गति को कम करना.
• जागरूकता और सिमुलेशन: फ़िशिंग, सक्रिय सामग्री वाले दस्तावेज़ और असामान्य निष्पादन के संकेतों पर व्यावहारिक प्रशिक्षण।

इन उपायों के पूरक के रूप में ऐसे समाधान भी हैं जो वास्तविक समय में दुर्भावनापूर्ण व्यवहार की पहचान करने के लिए ट्रैफ़िक और मेमोरी का विश्लेषण करते हैं, साथ ही विभाजन नीतियां और जब कुछ छूट जाए तो उसके प्रभाव को नियंत्रित करने के लिए न्यूनतम विशेषाधिकार।

सेवाएँ और दृष्टिकोण जो काम कर रहे हैं

कई समापन बिंदुओं और उच्च गंभीरता वाले वातावरण में, प्रबंधित पता लगाने और प्रतिक्रिया सेवाओं के साथ 24/7 निगरानी ये घटनाएँ नियंत्रण में तेज़ी लाने में कारगर साबित हुए हैं। SOC, EMDR/MDR, और EDR/XDR का संयोजन विशेषज्ञ दृष्टि, समृद्ध टेलीमेट्री और समन्वित प्रतिक्रिया क्षमताएँ प्रदान करता है।

सबसे प्रभावी प्रदाताओं ने व्यवहार में बदलाव को आत्मसात कर लिया है: हल्के एजेंट जो कर्नेल स्तर पर गतिविधि को सहसंबंधित करेंवे सम्पूर्ण आक्रमण इतिहास का पुनर्निर्माण करते हैं तथा दुर्भावनापूर्ण श्रृंखलाओं का पता लगने पर स्वचालित शमन लागू करते हैं, तथा परिवर्तनों को पूर्ववत करने के लिए रोलबैक क्षमता भी रखते हैं।

समानांतर रूप से, एंडपॉइंट सुरक्षा सूट और XDR प्लेटफ़ॉर्म कार्यस्थानों, सर्वरों, पहचानों, ईमेल और क्लाउड में केंद्रीकृत दृश्यता और खतरा प्रबंधन को एकीकृत करते हैं; लक्ष्य है हमले की श्रृंखला चाहे इसमें फ़ाइलें शामिल हों या नहीं।

खतरे की पहचान के लिए व्यावहारिक संकेतक

यदि आपको खोज परिकल्पनाओं को प्राथमिकता देनी है, तो संकेतों को संयोजित करने पर ध्यान केंद्रित करें: एक कार्यालय प्रक्रिया जो असामान्य मापदंडों के साथ एक दुभाषिया लॉन्च करती है, WMI सदस्यता निर्माण दस्तावेज़ खोलने के बाद, स्टार्टअप कुंजियों में संशोधन के बाद खराब प्रतिष्ठा वाले डोमेन से कनेक्शन।

एक और प्रभावी तरीका है अपने परिवेश से प्राप्त आधार रेखाओं पर भरोसा करना: आपके सर्वर और वर्कस्टेशन पर क्या सामान्य है? कोई भी विचलन (नए हस्ताक्षरित बाइनरीज़ जो इंटरप्रेटर पैरेंट के रूप में दिखाई दे रहे हैं, प्रदर्शन में अचानक उछाल (स्क्रिप्ट, अस्पष्टता के साथ कमांड स्ट्रिंग) जांच के लायक है।

अंत में, मेमोरी को न भूलें: यदि आपके पास ऐसे उपकरण हैं जो चल रहे क्षेत्रों का निरीक्षण करते हैं या स्नैपशॉट कैप्चर करते हैं, RAM में निष्कर्ष वे फ़ाइल रहित गतिविधि का निर्णायक प्रमाण हो सकते हैं, विशेष रूप से तब जब फ़ाइल सिस्टम में कोई आर्टिफैक्ट न हो।

इन युक्तियों, तकनीकों और नियंत्रणों का संयोजन खतरे को समाप्त नहीं करता, लेकिन यह आपको समय पर उसका पता लगाने के लिए बेहतर स्थिति में रखता है। जंजीर काट दो और प्रभाव को कम करें.

जब इन सभी को विवेकपूर्ण तरीके से लागू किया जाता है—एंडपॉइंट-रिच टेलीमेट्री, व्यवहारिक सहसंबंध, स्वचालित प्रतिक्रिया और चयनात्मक कठोरता—तो फ़ाइल रहित रणनीति अपना अधिकांश लाभ खो देती है। और, हालाँकि यह विकसित होती रहेगी, व्यवहार पर ध्यान केंद्रित फाइलों के बजाय, यह आपके बचाव के लिए एक ठोस आधार प्रदान करता है।