- Cov malware uas tsis muaj ntaub ntawv nyob hauv lub cim xeeb lossis cov thawv xws li Registry thiab WMI, zam cov executables qub ntawm disk.
- Nws vam khom cov cuab yeej raug cai (PowerShell, WMI, mshta, rundll32) thiab ntawm kev siv tsis raug, macros lossis cov ntaub ntawv pov thawj raug nyiag kom zam dhau antivirus.
- Nws qhov kev tshawb pom yuav tsum tau saib xyuas tus cwj pwm, kev nco thiab IoA, siv EDR/XDR, AMSI, ETW thiab kev yos hav zoov ua ntej.
- Kev tiv thaiv ua ke kev tswj hwm tsab ntawv thiab macro, kev kho, MFA, kev faib tawm, thiab kev cob qhia txuas ntxiv tiv thaiv phishing.
Cov tsos ntawm malware tsis muaj cov ntaub ntawv ruaj khov Qhov no tau ua rau cov pab pawg ruaj ntseg mob taub hau heev. Peb tsis yog tab tom daws cov teeb meem kab mob uas koj "ntes" thaum rho tawm cov ntaub ntawv executable ntawm lub disk, tab sis nrog cov kev hem thawj uas nyob hauv lub cim xeeb, siv cov cuab yeej system tsis raug cai, thiab, feem ntau, tsis tshua muaj qhov cim xeeb forensic siv tau.
Hom kev tawm tsam no tau dhau los ua nrov heev ntawm cov pab pawg neeg siab heev thiab cov neeg ua txhaum cai cyber uas tab tom nrhiav zam kev siv cov software antivirus ib txwm muaj, nyiag cov ntaub ntawv, thiab zais cia kom ntev li ntev tau. Kev nkag siab txog lawv ua haujlwm li cas, lawv siv cov txheej txheem dab tsi, thiab yuav ua li cas nrhiav tau lawv yog qhov tseem ceeb rau txhua lub koom haum uas xav kom muaj kev ruaj ntseg hauv cyber niaj hnub no.
Fileless malware yog dab tsi thiab vim li cas nws thiaj li txhawj xeeb?
Thaum peb tham txog malware tsis muaj ntaub ntawv Peb tsis tau hais tias tsis muaj ib byte twg koom nrog, tab sis cov lej phem Nws tsis khaws cia ua cov ntaub ntawv executable classic ntawm disk los ntawm qhov kawg. Hloov chaw, nws khiav ncaj qha rau hauv lub cim xeeb lossis tuav hauv cov thawv uas tsis pom xws li Registry, WMI, lossis cov haujlwm teem sijhawm.
Hauv ntau qhov xwm txheej, tus neeg tawm tsam vam khom cov cuab yeej uas twb muaj nyob hauv lub kaw lus—PowerShell, WMI, cov ntawv sau, cov Windows binaries uas tau kos npe—kom thauj khoom, decrypt, lossis ua cov payloads ncaj qha rau hauv RAMUa li no, nws zam kom tsis txhob muaj cov ntaub ntawv executable uas tus antivirus kos npe tuaj yeem pom hauv kev luam theej ib txwm.
Ntxiv mus, ib feem ntawm cov saw hlau tawm tsam tuaj yeem "tsis muaj ntaub ntawv" thiab lwm qhov tuaj yeem siv cov ntaub ntawv system, yog li peb tab tom tham txog ntau dua ib qho spectrum ntawm cov txheej txheem tsis muaj ntaub ntawv ntawm ib tsev neeg malware xwb. Yog vim li ntawd tsis muaj ib qho kev txhais kaw, tab sis ntau pawg nyob ntawm seb lawv ua rau lub tshuab muaj kev cuam tshuam ntau npaum li cas.
Cov yam ntxwv tseem ceeb ntawm malware tsis muaj cov ntaub ntawv ruaj khov
Ib qho tseem ceeb ntawm cov kev hem no yog lawv kev ua haujlwm uas tsom mus rau kev ncoCov lej phem raug thauj mus rau hauv RAM thiab ua haujlwm hauv cov txheej txheem raug cai, yam tsis tas yuav muaj lub binary phem ruaj khov ntawm lub hard drive. Qee zaum, nws txawm tias raug txhaj rau hauv cov txheej txheem tseem ceeb ntawm lub kaw lus kom zoo dua.
Lwm qhov tseem ceeb feature yog lub kev ua siab ntev tsis zoo li qubNtau cov phiaj xwm tsis muaj ntaub ntawv tsuas yog hloov pauv thiab ploj mus tom qab rov pib dua, tab sis lwm tus tswj hwm kom rov ua haujlwm siv Registry Autorun keys, WMI subscriptions, teem sijhawm ua haujlwm, lossis BITS, yog li ntawd qhov "pom" artifact yog tsawg heev thiab qhov payload tiag tiag nyob rov qab rau hauv lub cim xeeb txhua lub sijhawm.
Txoj kev no ua rau txo qis qhov ua tau zoo ntawm kev kuaj pom raws li kos npeVim tias tsis muaj ib qho executable ruaj khov los tshuaj xyuas, qhov koj feem ntau pom yog PowerShell.exe, wscript.exe, lossis mshta.exe raug cai, tso tawm nrog cov kev teeb tsa txawv txawv lossis thauj cov ntsiab lus tsis meej.
Thaum kawg, ntau tus neeg ua yeeb yam sib xyaw cov txheej txheem tsis muaj ntaub ntawv nrog lwm yam hom malware xws li Trojans, ransomware, lossis adware, ua rau muaj kev sib xyaw ua ke uas sib xyaw qhov zoo tshaj plaws (thiab qhov phem tshaj plaws) ntawm ob lub ntiaj teb: kev ua siab ntev thiab kev zais cia.
Hom kev hem thawj tsis muaj ntaub ntawv raws li lawv qhov chaw nyob hauv lub system
Ntau lub tuam txhab tsim kev ruaj ntseg Lawv faib cov kev hem thawj "tsis muaj ntaub ntawv" raws li qhov lawv tso rau hauv lub khoos phis tawj. Qhov kev faib tawm no pab peb nkag siab txog yam peb pom thiab yuav tshawb xyuas nws li cas.
Hom I: tsis pom kev ua haujlwm ntawm cov ntaub ntawv
Ntawm qhov kawg zais cia tshaj plaws peb pom cov malware uas Nws tsis sau dab tsi rau hauv cov ntaub ntawv system kiag liPiv txwv li, cov lej tuaj txog los ntawm cov pob ntawv network uas siv qhov tsis muaj zog (xws li EternalBlue), raug txhaj ncaj qha rau hauv lub cim xeeb, thiab raug tswj hwm, piv txwv li, ua lub qhov rooj tom qab hauv lub kernel (DoublePulsar yog ib qho piv txwv tseem ceeb).
Hauv lwm qhov xwm txheej, tus kab mob nyob hauv BIOS firmware, network cards, USB devices, lossis txawm tias subsystems hauv CPUHom kev hem thawj no tuaj yeem muaj sia nyob tom qab rov nruab dua lub operating system, formatting disk, thiab txawm tias qee qhov reboots tiav.
Qhov teeb meem yog tias feem ntau cov kev daws teeb meem kev ruaj ntseg Lawv tsis tshuaj xyuas firmware lossis microcodeThiab txawm tias lawv ua li ntawd los xij, kev kho kom rov zoo yog qhov nyuaj heev. Qhov zoo ces, cov txheej txheem no feem ntau yog rau cov neeg ua yeeb yam uas muaj kev txawj ntse heev thiab tsis yog tus qauv hauv kev tawm tsam loj.
Hom II: Kev siv cov ntaub ntawv tsis ncaj qha
Ib pawg thib ob yog raws li muaj cov lej phem hauv cov qauv khaws cia rau ntawm diskTab sis tsis yog cov ntaub ntawv ib txwm muaj, tab sis nyob rau hauv cov chaw khaws ntaub ntawv uas sib xyaw cov ntaub ntawv raug cai thiab cov ntaub ntawv phem, nyuaj rau ntxuav yam tsis ua rau lub kaw lus puas tsuaj.
Piv txwv li yog cov ntawv sau cia rau hauv WMI chaw khaws ntaub ntawv, cov saw hlau uas tsis meej pem hauv Cov yuam sij rau kev sau npe lossis cov haujlwm teem sijhawm uas tso tawm cov lus txib txaus ntshai yam tsis muaj lub binary phem meej. Malware tuaj yeem nruab cov ntawv nkag no ncaj qha los ntawm kab hais kom ua lossis tsab ntawv sau thiab tom qab ntawd tseem nyob tsis pom.
Txawm hais tias technically muaj cov ntaub ntawv koom nrog (cov ntaub ntawv lub cev uas Windows khaws cia WMI repository lossis Registry hive), rau cov hom phiaj ua tau zoo peb tab tom tham txog kev ua ub no tsis muaj ntaub ntawv vim tsis muaj ib qho kev ua tiav uas pom tseeb uas tuaj yeem raug cais tawm.
Hom III: Yuav tsum muaj cov ntaub ntawv kom ua haujlwm tau
Hom thib peb suav nrog cov kev hem thawj uas Lawv siv cov ntaub ntawv, tab sis nyob rau hauv ib txoj kev uas tsis tshua muaj txiaj ntsig zoo rau kev tshawb nrhiav.Ib qho piv txwv zoo yog Kovter, uas sau npe cov extensions random hauv Registry kom, thaum cov ntaub ntawv nrog qhov extension ntawd qhib, ib tsab ntawv raug ua tiav ntawm mshta.exe lossis ib qho binary zoo sib xws.
Cov ntaub ntawv dag no muaj cov ntaub ntawv tsis tseem ceeb, thiab cov lej phem tiag tiag Nws tau txais los ntawm lwm cov yuam sij Registry lossis cov chaw khaws ntaub ntawv sab hauv. Txawm hais tias muaj "ib yam dab tsi" ntawm disk, nws tsis yooj yim siv nws ua qhov qhia tau tias muaj kev cuam tshuam, tsis yog ua lub tshuab ntxuav ncaj qha.
Cov kab mob nkag thiab cov chaw kis kab mob feem ntau
Dhau li ntawm kev faib tawm ntawm cov cim taw qhia, nws tseem ceeb heev kom nkag siab txog yuav ua li cas Qhov no yog qhov uas malware tsis muaj cov ntaub ntawv ruaj khov tuaj yeem ua si. Hauv lub neej txhua hnub, cov neeg tawm tsam feem ntau muab ntau yam vectors ua ke nyob ntawm seb ib puag ncig thiab lub hom phiaj.
Kev siv tsis raug thiab qhov tsis muaj zog
Ib qho ntawm txoj kev ncaj qha tshaj plaws yog kev siv tsis raug ntawm qhov tsis zoo ntawm kev ua haujlwm ntawm cov lej deb (RCE) Hauv cov browsers, plugins (xws li Flash rov qab rau hnub no), web applications, lossis network services (SMB, RDP, thiab lwm yam). Qhov exploit no txhaj cov shellcode uas ncaj qha download lossis decode cov malicious payload rau hauv lub cim xeeb.
Hauv tus qauv no, cov ntaub ntawv pib tuaj yeem nyob rau hauv lub network (exploits hom WannaCrylossis hauv daim ntawv uas tus neeg siv qhib, tab sis Lub payload yeej tsis tau sau ua ib qho executable rau disk: nws yog decrypted thiab ua tiav ntawm lub yoov los ntawm RAM.
Cov ntaub ntawv phem thiab macros
Lwm txoj kev uas siv ntau heev yog Cov ntaub ntawv hauv chaw ua haujlwm nrog macros lossis DDEnrog rau PDFs tsim los siv cov qhov tsis zoo ntawm tus nyeem ntawv. Cov ntaub ntawv Word lossis Excel uas zoo li tsis muaj teeb meem yuav muaj VBA code uas tso tawm PowerShell, WMI, lossis lwm tus neeg txhais lus los rub tawm code, ua cov lus txib, lossis txhaj shellcode rau hauv cov txheej txheem ntseeg siab.
Nov cov ntaub ntawv ntawm disk tsuas yog "tsuas yog" lub thawv ntaub ntawv, thaum lub vector tiag tiag yog lub cav sau ntawv sab hauv ntawm daim ntawv thovQhov tseeb, ntau qhov kev sib tw spam loj tau siv txoj kev no los xa cov kev tawm tsam tsis muaj ntaub ntawv rau cov tes hauj lwm hauv tuam txhab.
Cov ntawv sau raug cai thiab cov binaries (Nyob tawm ntawm thaj av)
Cov neeg tawm tsam nyiam cov cuab yeej uas Windows twb muab lawm: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Cov cuab yeej tswj hwm Windows, BITS, thiab lwm yam. Cov binaries uas tau kos npe thiab ntseeg siab no tuaj yeem khiav cov ntawv sau, DLLs, lossis cov ntsiab lus nyob deb yam tsis tas yuav muaj "virus.exe" uas txawv txawv.
Los ntawm kev xa cov lej phem raws li cov txheej txheem hais kom uaMuab nws tso rau hauv cov duab, encrypting thiab decoding nws hauv lub cim xeeb, lossis khaws cia rau hauv Registry, ua kom ntseeg tau tias antivirus tsuas pom cov haujlwm los ntawm cov txheej txheem raug cai, ua rau kev tshawb pom raws li cov ntaub ntawv nyuaj dua.
Cov khoom siv kho vajtse thiab firmware puas tsuaj
Nyob rau theem qis dua, cov neeg tawm tsam siab heev tuaj yeem nkag mus rau hauv BIOS firmware, network cards, hard drives, lossis txawm tias CPU management subsystems (xws li Intel ME lossis AMT). Hom malware no khiav hauv qab lub operating system thiab tuaj yeem cuam tshuam lossis hloov kho cov tsheb khiav yam tsis tau OS paub txog.
Txawm hais tias nws yog qhov xwm txheej hnyav heev, nws qhia txog qhov uas kev hem thawj tsis muaj ntaub ntawv tuaj yeem ua tau Tswj kev ua kom ruaj khov yam tsis tas kov lub OS file systemthiab vim li cas cov cuab yeej endpoint classic tsis txaus hauv cov rooj plaub no.
Yuav ua li cas ib qho kev tawm tsam malware yam tsis muaj cov ntaub ntawv ruaj khov ua haujlwm
Ntawm theem ntws, kev tawm tsam tsis muaj ntaub ntawv zoo ib yam li kev tawm tsam raws li cov ntaub ntawv, tab sis nrog qhov sib txawv tseem ceeb nyob rau hauv yuav ua li cas lub payload raug siv thiab yuav ua li cas kev nkag mus tau raug tswj hwm.
1. Kev nkag mus rau hauv lub system thawj zaug
Txhua yam pib thaum tus neeg tawm tsam tau txais thawj qhov chaw: a phishing email nrog qhov txuas lossis cov ntaub ntawv txuas phem, kev siv tsis raug rau ib daim ntawv thov uas tsis muaj zog, cov ntaub ntawv pov thawj raug nyiag rau RDP lossis VPN, lossis txawm tias lub cuab yeej USB uas raug cuam tshuam.
Hauv qhov xwm txheej no, cov hauv qab no yog siv: social engineeringkev xa rov qab phem, kev tshaj tawm tsis zoo, lossis kev tawm tsam Wi-Fi phem kom dag tus neeg siv kom nyem qhov chaw uas lawv yuav tsum tsis txhob lossis siv cov kev pabcuam uas tau nthuav tawm hauv Is Taws Nem.
2. Kev ua tiav ntawm cov lej phem hauv lub cim xeeb
Thaum tau txais thawj qhov nkag ntawd, cov khoom tsis muaj ntaub ntawv raug qhib: ib qho Office macro tso tawm PowerShell, ib qho kev siv tsis raug txhaj tshuaj shellcode, ib qho WMI subscription ua rau ib tsab ntawv sau, thiab lwm yam. Lub hom phiaj yog thauj cov malicious code ncaj qha rau hauv RAMlos ntawm kev rub tawm nws los ntawm hauv Is Taws Nem lossis los ntawm kev tsim kho dua tshiab los ntawm cov ntaub ntawv embedded.
Los ntawm qhov ntawd, malware tuaj yeem nce cov cai tshwj xeeb, txav mus rau sab nraud, nyiag cov ntaub ntawv pov thawj, xa cov webshells, teeb tsa RATs, lossis encrypt cov ntaub ntawvtag nrho cov no yog txhawb nqa los ntawm cov txheej txheem raug cai los txo cov suab nrov.
3. Tsim kom muaj kev ua siab ntev
Ntawm cov txheej txheem ib txwm muaj yog:
- Cov Yuam Sij Autorun hauv Registry uas ua cov lus txib lossis cov ntawv sau thaum nkag mus.
- Teem sijhawm lawm uas tso tawm cov ntawv sau, cov binaries raug cai nrog cov kev teeb tsa, lossis cov lus txib nyob deb.
- Kev Sau Npe WMI uas ua rau muaj cov lej thaum qee qhov xwm txheej ntawm lub kaw lus tshwm sim.
- Kev siv BITS rau kev rub tawm cov payloads tsis tu ncua los ntawm cov servers hais kom ua thiab tswj hwm.
Hauv cov rooj plaub, cov khoom siv tas mus li yog qhov tsawg heev thiab tsuas yog pab rau rov txhaj cov malware rau hauv lub cim xeeb txhua zaus lub kaw lus pib ua haujlwm lossis ua tiav ib qho mob tshwj xeeb.
4. Kev ua rau cov hom phiaj thiab kev rho tawm
Thaum tus neeg tawm tsam ua siab ntev, nws yuav tsum tsom mus rau yam uas nws nyiam tiag tiag: nyiag cov ntaub ntawv, encrypted nws, manipulating lub system, lossis spying rau lub hlisKev rho tawm cov ntaub ntawv tuaj yeem ua tiav los ntawm HTTPS, DNS, cov channel zais cia, lossis cov kev pabcuam raug cai. Hauv cov xwm txheej tiag tiag, kev paub Yuav ua li cas hauv 24 teev thawj zaug tom qab hack tuaj yeem ua qhov txawv.
Hauv kev tawm tsam APT, nws yog ib qho uas cov malware tseem nyob ntsiag to thiab zais cia rau lub sijhawm ntev, tsim cov qhov rooj tom qab ntxiv kom ntseeg tau tias nkag tau txawm tias ib feem ntawm cov khoom siv tau raug pom thiab tshem tawm.
Cov peev xwm thiab hom malware uas tuaj yeem tsis muaj ntaub ntawv
Yuav luag txhua yam kev ua haujlwm phem uas cov malware qub tuaj yeem ua tau tuaj yeem siv los ntawm kev ua raws li txoj hauv kev no tsis muaj ntaub ntawv los yog ib nrab tsis muaj ntaub ntawvQhov kev hloov pauv tsis yog lub hom phiaj, tab sis txoj kev uas cov lej raug xa tawm.
Cov malware tsuas nyob hauv lub cim xeeb xwb
Pawg no suav nrog cov payloads uas Lawv nyob tsuas yog nyob rau hauv lub cim xeeb ntawm cov txheej txheem lossis lub kernel.Cov rootkits niaj hnub, cov backdoors siab heev, lossis spyware tuaj yeem thauj mus rau hauv qhov chaw nco ntawm cov txheej txheem raug cai thiab nyob ntawd kom txog thaum lub kaw lus rov pib dua.
Cov khoom no nyuaj rau pom nrog cov cuab yeej disk-oriented, thiab yuam kom siv cov kev tshuaj xyuas lub cim xeeb nyob, EDR nrog kev tshuaj xyuas tiag tiag lossis kev muaj peev xwm ua haujlwm forensic siab heev.
Windows Registry malware raws li
Lwm txoj kev siv rov qab yog kev khaws cia cov lej zais lossis zais cia hauv Registry keys thiab siv cov binary raug cai (xws li PowerShell, MSHTA, lossis rundll32) los nyeem, txiav txim siab, thiab ua nws hauv lub cim xeeb.
Tus dropper thawj zaug tuaj yeem rhuav tshem nws tus kheej tom qab sau rau Registry, yog li txhua yam uas tseem tshuav yog kev sib xyaw ntawm cov ntaub ntawv zoo li tsis muaj teeb meem uas Lawv qhib qhov kev hem thawj txhua zaus lub kaw lus pib ua haujlwm lossis txhua zaus ib daim ntawv tshwj xeeb qhib.
Ransomware thiab cov Trojans tsis muaj ntaub ntawv
Txoj kev tsis muaj ntaub ntawv tsis sib haum nrog cov txheej txheem thauj khoom hnyav heev xws li ransomwareMuaj cov phiaj xwm uas rub tawm, decrypt, thiab ua tiav tag nrho cov encryption hauv lub cim xeeb siv PowerShell lossis WMI, yam tsis tau tawm hauv ransomware executable ntawm disk.
Ib yam li ntawd, cov kab mob nkag mus rau thaj chaw deb (RATs)Cov keyloggers lossis cov tub sab nyiag ntaub ntawv pov thawj tuaj yeem ua haujlwm tsis muaj ntaub ntawv ib nrab, thauj cov modules raws li qhov xav tau thiab tuav cov logic tseem ceeb hauv cov txheej txheem raug cai.
Cov khoom siv dag ntxias thiab cov ntaub ntawv pov thawj raug nyiag
Cov khoom siv siv internet yog lwm yam ntawm cov teeb meem: lawv ntes tau cov software uas tau teeb tsa lawm, Lawv xaiv qhov kev siv tsis raug thiab txhaj cov payload ncaj qha rau hauv lub cim xeeb., feem ntau yam tsis txuag dab tsi rau hauv disk.
Ntawm qhov tod tes, kev siv ntawm cov ntaub ntawv pov thawj raug nyiag Nws yog ib qho vector uas haum zoo heev nrog cov txheej txheem tsis muaj ntaub ntawv: tus neeg tawm tsam lees paub tias yog tus neeg siv raug cai thiab, los ntawm qhov ntawd, siv cov cuab yeej tswj hwm hauv zos (PowerShell Remoting, WMI, PsExec) los xa cov ntawv sau thiab cov lus txib uas tsis tawm cov cim ntawm malware.
Vim li cas cov malware uas tsis muaj ntaub ntawv thiaj nyuaj nrhiav pom?
Qhov laj thawj tseem ceeb yog tias hom kev hem thawj no yog tsim los rau hla cov txheej txheem tiv thaiv ib txwm muajraws li cov kos npe, cov npe dawb, thiab kev tshuaj xyuas cov ntaub ntawv tsis tu ncua.
Yog tias cov lej phem yeej tsis tau khaws cia ua cov ntaub ntawv executable hauv disk, lossis yog tias nws nkaum hauv cov thawv sib xyaw xws li WMI, Registry, lossis firmware, cov software antivirus ib txwm muaj tsawg heev los tshuaj xyuas. Hloov chaw ntawm "cov ntaub ntawv txawv txawv," yam koj muaj yog cov txheej txheem raug cai uas ua haujlwm tsis zoo.
Ntxiv mus, nws thaiv cov cuab yeej xws li PowerShell, Office macros, lossis WMI. Nws tsis muaj peev xwm ua tau hauv ntau lub koom haumVim tias lawv yog qhov tseem ceeb rau kev tswj hwm, kev ua haujlwm tsis siv neeg, thiab kev ua haujlwm txhua hnub. Qhov no yuam kom cov neeg tawm tswv yim ua tib zoo saib xyuas.
Qee tus neeg muag khoom tau sim them nrog kev kho sai (kev thaiv PowerShell dav dav, kev kaw tag nrho macro, kev tshawb pom huab xwb, thiab lwm yam), tab sis cov kev ntsuas no feem ntau yog tsis txaus los yog cuam tshuam ntau dhau rau kev lag luam.
Cov tswv yim niaj hnub rau kev nrhiav thiab tiv thaiv cov malware tsis muaj ntaub ntawv
Yuav kom kov yeej cov kev hem thawj no, nws yog ib qho tsim nyog yuav tsum mus dhau qhov tsuas yog luam theej duab cov ntaub ntawv thiab siv txoj hauv kev tsom mus rau. tus cwj pwm, kev ntsuas telemetry tiag tiag, thiab kev pom tob ntawm qhov kawg.
Kev soj ntsuam tus cwj pwm thiab kev nco
Ib txoj hauv kev zoo yuav tsum tau soj ntsuam seb cov txheej txheem ua dab tsi tiag tiag: lawv ua cov lus txib dab tsi, lawv nkag mus rau cov peev txheej dab tsi, lawv tsim cov kev sib txuas dab tsilawv sib raug zoo li cas, thiab lwm yam. Txawm hais tias muaj ntau txhiab tus malware sib txawv, cov qauv kev coj cwj pwm phem muaj tsawg dua. Qhov no kuj tseem tuaj yeem ua tiav nrog Kev tshawb nrhiav siab heev nrog YARA.
Cov kev daws teeb meem niaj hnub no muab cov telemetry no nrog rau kev tshuaj xyuas hauv-nco, kev ntsuas siab heev, thiab automatic kawm txhawm rau txheeb xyuas cov saw hlau tawm tsam, txawm tias thaum cov lej raug zais cia ntau heev lossis tsis tau pom dua li.
Siv cov kev sib txuas lus ntawm lub cev xws li AMSI thiab ETW
Windows muaj cov thev naus laus zis xws li Antimalware Scan Interface (AMSI) y Event Tracing rau Windows (ETW) Cov peev txheej no tso cai rau kev tshuaj xyuas cov ntawv sau thiab cov xwm txheej ntawm qib qis heev. Kev koom ua ke cov peev txheej no rau hauv cov kev daws teeb meem kev ruaj ntseg ua rau kev tshawb pom yooj yim dua. malicious code ua ntej lossis thaum nws ua haujlwm.
Ntxiv mus, kev tshuaj xyuas cov cheeb tsam tseem ceeb - cov haujlwm teem sijhawm, WMI subscriptions, boot registry keys, thiab lwm yam - pab txheeb xyuas kev ruaj khov tsis muaj ntaub ntawv zais cia qhov ntawd yuav tsis pom nrog kev luam theej duab yooj yim.
Kev yos hav zoov thiab cov cim qhia txog kev tawm tsam (IoA)
Vim tias cov cim qhia classic (hashes, cov ntaub ntawv paths) tsis txaus, nws yog qhov zoo kom cia siab rau cov cim qhia ntawm kev tawm tsam (IoA), uas piav qhia txog cov cwj pwm txawv txawv thiab cov kev ua uas haum rau cov tswv yim paub.
Cov pab pawg nrhiav kev hem thawj—sab hauv lossis los ntawm cov kev pabcuam tswj hwm—tuaj yeem tshawb nrhiav ua ntej cov qauv txav mus los sab nraud, kev siv cov cuab yeej ib txwm tsis raug, qhov tsis zoo ntawm kev siv PowerShell lossis nkag mus tsis tau tso cai rau cov ntaub ntawv rhiab heev, nrhiav pom cov kev hem thawj tsis muaj ntaub ntawv ua ntej lawv ua rau muaj kev puas tsuaj.
EDR, XDR thiab SOC 24/7
Cov platform niaj hnub ntawm EDR thiab XDR (Kev tshawb pom qhov kawg thiab kev teb ntawm qib txuas ntxiv) muab qhov pom kev thiab kev sib raug zoo uas xav tau los rov tsim dua keeb kwm tag nrho ntawm qhov xwm txheej, txij li thawj email phishing mus rau qhov kawg exfiltration.
Ua ke nrog ib qho 24/7 kev ua haujlwm SOCLawv tso cai tsis yog tsuas yog nrhiav tau, tab sis kuj muaj thiab kho tau yam tsis tas siv neeg kev ua phem: cais cov khoos phis tawj, thaiv cov txheej txheem, rov qab hloov pauv rau Registry, lossis tshem tawm qhov encryption thaum ua tau.
Cov txheej txheem malware tsis muaj ntaub ntawv tau hloov qhov kev ua si: tsuas yog khiav ib qho antivirus scan thiab rho tawm ib qho executable txawv txawv tsis txaus lawm. Niaj hnub no, kev tiv thaiv suav nrog kev nkag siab txog yuav ua li cas cov neeg tawm tsam siv qhov tsis muaj zog los ntawm kev zais cov lej hauv lub cim xeeb, Registry, WMI, lossis firmware, thiab xa tawm kev sib xyaw ua ke ntawm kev saib xyuas tus cwj pwm, kev tshuaj xyuas hauv lub cim xeeb, EDR / XDR, kev tshawb nrhiav kev hem thawj, thiab cov kev coj ua zoo tshaj plaws. Txo qhov cuam tshuam kom tsawg tiag tiag Cov kev tawm tsam uas, los ntawm kev tsim, sim tsis tawm qhov twg qhov kev daws teeb meem ib txwm zoo li yuav tsum tau muaj lub tswv yim tag nrho thiab txuas ntxiv mus. Yog tias muaj kev sib haum xeeb, kev paub Kho Windows tom qab muaj kab mob hnyav yog qhov tseem ceeb.
Tus kws kho tshwj xeeb hauv kev siv thev naus laus zis thiab teeb meem hauv internet nrog ntau tshaj kaum xyoo ntawm kev paub hauv cov xov xwm sib txawv. Kuv tau ua haujlwm ua tus editor thiab tus tsim cov ntsiab lus rau e-lag luam, kev sib txuas lus, kev lag luam online thiab cov tuam txhab tshaj tawm. Kuv kuj tau sau rau ntawm kev lag luam, nyiaj txiag thiab lwm cov vev xaib. Kuv txoj hauj lwm kuj yog kuv lub siab nyiam. Tam sim no, dhau ntawm kuv cov ntawv hauv Tecnobits, Kuv sim tshawb nrhiav txhua yam xov xwm thiab lub cib fim tshiab uas lub ntiaj teb kev siv tshuab muab rau peb txhua hnub los txhim kho peb lub neej.