Ịmata faịlụ enweghị faịlụ: ntuziaka zuru oke maka ịchọpụta na ịkwụsị malware na ebe nchekwa

Mwakpo ndị na-arụ ọrụ na-ahapụghị akara na diski abụrụla isi ọwụwa maka ọtụtụ ndị otu nchekwa n'ihi na ha na-eme ihe kpamkpam na ebe nchekwa ma na-erigbu usoro usoro ziri ezi. N'ihi ya mkpa ọ dị ịmara otu esi amata faịlụ na-enweghị faịlụ ma chebe onwe ha megide ha.

E wezụga akụkọ akụkọ na usoro, ịghọta ka ha si arụ ọrụ, ihe kpatara na ha anaghị adị mfe, na ihe ịrịba ama ndị na-enye anyị ohere ịchọpụta ha na-eme ka ọdịiche dị n'etiti inwe ihe merenụ na ịkwa ụta maka mmebi. N'ahịrị ndị a, anyị na-enyocha nsogbu ahụ ma tụọ aro ngwọta.

Kedu ihe bụ malware na-enweghị faịlụ na gịnị kpatara o ji dị mkpa?

 

malware enweghị faịlụ abụghị ezinụlọ akọwapụtara, kama ọ bụ ụzọ isi arụ ọrụ: Zenarị ide executables na diski Ọ na-eji ọrụ yana ọnụọgụ abụọ dịlarị na sistemụ iji mebie koodu ọjọọ. Kama ịhapụ faịlụ dị mfe nyocha, onye ahụ na-awakpo ahụ na-emebi akụrụngwa ntụkwasị obi ma na-ebunye echiche ya ozugbo na RAM.

Usoro a na-emetụtakarị na nkà ihe ọmụma 'Living Off the Land': ndị na-awakpo ngwá ọrụ. Ngwa ala dị ka PowerShell, WMI, mshta, rundll32 ma ọ bụ scripting engines dị ka VBScript na JScript iji nweta ihe mgbaru ọsọ ha na obere mkpọtụ.

N'ime njirimara ya kacha nso anyị na-ahụ: ogbugbu na ebe nchekwa na-adịghị agbanwe agbanwe, ntakịrị ma ọ bụ enweghị nnọgidesi ike na diski, iji ihe ndị bịanyere aka na sistemụ na ikike mgbapụ dị elu megide engines dabere na mbinye aka.

Ọ bụ ezie na ọtụtụ ụgwọ akwụ ụgwọ na-apụ n'anya ma malitegharịa, ekwela ka eduhie gị: ndị mmegide nwere ike ime ka a nọgidesie ike site n'iji igodo ndekọ aha, ndenye aha WMI, ma ọ bụ ọrụ ahaziri, ha niile na-ahapụghị ọnụọgụ abụọ enyo na diski.

Gịnị mere o ji esiri anyị ike ịchọpụta faịlụ ndị na-enweghị faịlụ?

Ihe mgbochi mbụ pụtara ìhè: Enweghị faịlụ na-adịghị mma inyochaMmemme antivirus ọdịnala dabere na mbinye aka na nyocha faịlụ nwere obere ohere maka ịmegharị mgbe ogbugbu na-ebi na usoro ziri ezi yana echiche ọjọọ na-ebi na ebe nchekwa.

Nke abụọ dị aghụghọ karị: ndị na-awakpo ahụ na-ekpuchi onwe ha n'azụ usoro sistemụ arụmọrụ ziri eziỌ bụrụ na a na-eji PowerShell ma ọ bụ WMI kwa ụbọchị maka nchịkwa, kedu ka ị ga-esi amata ojiji nkịtị na iji obi ọjọọ na-enweghị ọnọdụ yana telemetry omume?

Ọzọkwa, kpuru ìsì igbochi ngwá ọrụ dị oke mkpa agaghị ekwe omume. Ịkwụsị PowerShell ma ọ bụ Office macros n'ofe bọọdụ nwere ike imebi ọrụ yana Ọ naghị egbochi kpamkpam mmegbun'ihi na e nwere ọtụtụ ụzọ ogbugbu ọzọ na usoro iji gafere mfe blocks.

Iji bulie ya niile, nchọpụta dabere na ígwé ojii ma ọ bụ n'akụkụ ihe nkesa agafeela iji gbochie nsogbu. Na-enweghị ezigbo visibiliti mpaghara n'ime okwu ahụ... ahịrị iwu, usoro mmekọrịta, yana mmemme ndekọOnye nnọchi anya ahụ enweghị ike ibelata na ijiji na-efe efe nke na-ahapụ enweghị akara na diski.

Kedu ka mwakpo enweghị faịlụ si arụ ọrụ site na mmalite ruo n'isi

Nnweta mbido na-ejikarị otu vectors dị ka oge niile: phishing na akwụkwọ ụlọ ọrụ nke na-arịọ iji mee ka ọdịnaya arụ ọrụ, njikọ na saịtị ndị mebiri emebi, nrigbu nke adịghị ike na ngwa ekpughere, ma ọ bụ mmegbu nke nzere leaked iji nweta site na RDP ma ọ bụ ọrụ ndị ọzọ.

Ozugbo n'ime, onye mmegide na-achọ ime ihe na-emetụghị diski ahụ. Iji mee nke a, ha na-ejikọta ọrụ nke sistemu: macro ma ọ bụ DDE na akwụkwọ nke na-ebupụta iwu, na-erigbu oke nbibi maka RCE, ma ọ bụ na-akpọ ọnụọgụ abụọ tụkwasịrị obi nke na-enye ohere itinye na ịme koodu na ebe nchekwa.

Ọ bụrụ na ọrụ ahụ chọrọ ịga n'ihu, enwere ike itinye nkwụsi ike n'ebughị ụzọ rụọ ọrụ ọhụrụ: ndenye mmalite na ndekọNdebanye aha WMI na-emeghachi omume na mmemme sistemụ ma ọ bụ ọrụ ahaziri nke na-ebute edemede n'okpuru ọnọdụ ụfọdụ.

Site n'ịkwalite ogbugbu ahụ, ebumnobi a na-ekpebi usoro ndị a: gaa n'akụkụ, exfiltrate dataNke a na-agụnye nzere izu ohi, ibuga RAT, itinye ego cryptocurrencies, ma ọ bụ ịgbalite izo ya ezo faịlụ n'ihe banyere ransomware. A na-eme ihe ndị a niile, mgbe enwere ike, site n'ịkwalite ọrụ ndị dị ugbu a.

Iwepụ ihe akaebe bụ akụkụ nke atụmatụ: site n'ịdeghị ọnụọgụ abụọ na-enyo enyo, onye na-awakpo ahụ na-ebelata nke ọma ihe ndị a ga-enyocha. na-agwakọta ọrụ ha n'etiti ihe omume nkịtị nke sistemu na ihichapụ akara nwa oge mgbe enwere ike.

Usoro na ngwa ọrụ ha na-ejikarị eme ihe

Katalọgụ ahụ buru ibu, mana ọ fọrọ nke nta ka ọ bụrụ mgbe niile na-agbagharị na ụlọ ọrụ obodo yana ụzọ ntụkwasị obi. Ndị a bụ ụfọdụ n'ime ihe ndị a na-ahụkarị, mgbe niile na ebumnuche nke bukwuo ibu na-ncheta ogbugbu ma mebie akara ahụ:

• PowerShellEdemede siri ike, ịnweta Windows API, yana akpaaka. Ntugharị ya na-eme ka ọ bụrụ ọkacha mmasị maka ma nchịkwa na mkparị iwe.
• WMI (Ngwaọrụ njikwa Windows)Ọ na-enye gị ohere ịjụ ajụjụ ma meghachi omume na ihe omume sistemụ, yana ịme ihe ndị dịpụrụ adịpụ na mpaghara; bara uru maka nnọgidesi ike na orchestration.
• VBScript na JScript: engines dị n'ọtụtụ gburugburu na-eme ka mmezu nke mgbagha site na ngwa sistemụ.
• mshta, rundll32 na ọnụọgụ abụọ ndị ọzọ tụkwasịrị obi: LoLBins a ma ama nke, mgbe ejikọtara ya nke ọma, nwere ike Mepụta koodu na-edoghị arịa pụtara ìhè na diski.
• Akwụkwọ nwere ọdịnaya na-arụ ọrụMacros ma ọ bụ DDE na Office, yana ndị na-agụ PDF nwere atụmatụ dị elu, nwere ike ịrụ ọrụ dị ka mmiri mmiri iji malite iwu na ebe nchekwa.
• Akwụkwọ ndekọ Windows: igodo buut nke onwe ma ọ bụ ezoro ezo / nchekwa ezoro ezo nke ụgwọ akwụ ụgwọ nke ngwa sistemu na-arụ ọrụ.
• Njide na injection n'ime usoro: mgbanwe nke ebe nchekwa ohere nke na-agba ọsọ usoro maka nnabata obi mgbagha n'ime a ziri ezi executable.
• Ngwa eji arụ ọrụ: nchọpụta nke adịghị ike na sistemu nke onye ahụ na-ebuga na ntinye nke ihe eji eme ihe iji nweta igbu egbu na-emetụghị diski ahụ.

Ihe ịma aka maka ụlọ ọrụ (na ihe kpatara igbochi ihe niile ezughị)

Ụzọ nzuzu na-egosi oke dị egwu: igbochi PowerShell, machibido macros, igbochi ọnụọgụ abụọ dị ka rundll32. Nke bụ eziokwu bụ ihe nuanced ọzọ: Ọtụtụ n'ime ngwaọrụ ndị a dị mkpa. maka ọrụ IT kwa ụbọchị yana maka akpaaka nhazi.

Na mgbakwunye, ndị na-awakpo na-achọ loopholes: na-agba ọsọ engine scripting n'ụzọ ndị ọzọ, jiri mbipụta ọzọỊ nwere ike ịkwado mgbagha na onyonyo ma ọ bụ malite na LoLBins anaghị enyocha ya. Mgbochi ahịhịa na-emecha mepụta esemokwu na-enyeghị nchekwa zuru oke.

Naanị akụkụ nkesa ma ọ bụ nyocha igwe ojii anaghị edozi nsogbu ahụ. Enweghị telemetry njedebe bara ụba na enweghị anabata n'ụlọnga n'onwe yaMkpebi ahụ na-abịa n'oge na mgbochi agaghị ekwe omume n'ihi na anyị ga-echere mkpebi ikpe nke mpụga.

Ka ọ dịgodị, ahịa akụkọ ogologo rụtụrụ aka na a nnọọ ịrịba uto na mpaghara a, na ọnụ ọgụgụ kasị elu ebe Mgbalị imejọ PowerShell fọrọ nke nta ka ọ bụrụ okpukpu abụọ n'ime oge dị mkpirikpi, nke na-egosi na ọ bụ usoro na-eme ugboro ugboro na uru maka ndị mmegide.

Nchọpụta ọgbara ọhụrụ: site na faịlụ gaa na omume

Isi ihe abụghị onye na-eme ihe, mana otu esi eme ya na ihe kpatara ya. Nleba anya na usoro omume na njikọ ya Ọ bụ mkpebi siri ike: ahịrị iwu, ihe nketa usoro, oku API nwere mmetụta, njikọ ọpụpụ, mgbanwe ndekọ, na mmemme WMI.

Usoro a na-ebelata nke ukwuu n'elu mgbapụ: ọ bụrụgodị na ọnụọgụ abụọ gụnyere mgbanwe, nke a na-emeghachi usoro ọgụ (ederede na-ebudata ma na-eme na ebe nchekwa, mmetọ LoLBins, oku nke ndị ntụgharị okwu, wdg). Nyochaa edemede ahụ, ọ bụghị ' njirimara' nke faịlụ ahụ, na-eme ka nchọpụta dị mma.

Igwe ikpo okwu EDR/XDR dị irè na-ejikọta akara iji wughachi akụkọ ihe mere eme zuru oke, na-achọpụta mgbọrọgwụ Kama ịkatọ usoro nke 'gosipụtara', akụkọ a na-ejikọta mgbakwunye, macros, ndị ntụgharị okwu, ụgwọ ọrụ, na nnọgidesi ike iji belata ọsọ ahụ dum, ọ bụghị naanị ihe dịpụrụ adịpụ.

Ngwa nke frameworks dị ka Ọnụ ego nke MITER AT&CK Ọ na-enyere aka ịhụ ụzọ aghụghọ na usoro (TTPs) ma na-eduzi ịchụ nta iyi egwu megide omume nke mmasị: ogbugbu, nnọgidesi ike, mgbanarị nchebe, ịnweta nzere, nchọpụta, mmegharị n'akụkụ na exfiltration.

N'ikpeazụ, nhazi nzaghachi njedebe ga-abụrịrị ozugbo: kewapụ ngwaọrụ ahụ, ọgwụgwụ usoro na-etinye aka, tụgharịa mgbanwe na ndekọ aha ma ọ bụ onye nhazi ọrụ ma gbochie njikọ ọpụpụ na-enyo enyo na-echeghị nkwenye mpụga.

Telemetry bara uru: ihe ị ga-ele na otu esi ebute ụzọ

Iji mee ka ohere nke ịchọta na-enweghị saturating usoro, ọ bụ ihe amamihe na-ebute ụzọ akara ngosi dị elu. Ụfọdụ isi mmalite na njikwa na-enye ọnọdụ. dị oke egwu maka enweghị faịlụ bụ:

• Ndekọ PowerShell zuru ezu na ndị ntụgharị okwu ndị ọzọ: ndekọ ngọngọ script, akụkọ iwu, modul ebugoro, na mmemme AMSI, mgbe ọ dị.
• WMI ebe nchekwaNgwaahịa na njikere gbasara imepụta ma ọ bụ mgbanwe nke ihe nzacha mmemme, ndị na-azụ ahịa, na njikọ, ọkachasị na oghere aha nwere mmetụta.
• Mmemme nchekwa na Symmon: nhazi usoro, iguzosi ike n'ezi ihe oyiyi, ntinye ebe nchekwa, ntụtụ, na ịmepụta ọrụ akwadoro.
• Red: njikọ na-apụ apụ na-adịghị mma, mgbama ọkụ, usoro nbudata ụgwọ ọrụ, na iji ọwa zoro ezo maka mmịpụ.

Automation na-enyere aka ikewapụ ọka wit na igbogbo ọka: iwu nchọpụta dabere na omume, ndepụta ohere maka nchịkwa ziri ezi na ịba ụba na ọgụgụ isi iyi egwu na-egbochi ihe ndị na-ezighị ezi ma na-eme ka nzaghachi ahụ dịkwuo elu.

Mgbochi na mbelata elu

Ọ dịghị otu ihe ọ̀tụ̀tụ̀ zuru ezu, mana ihe nchebe kpuchie na-ebelata ihe ize ndụ nke ukwuu. N'akụkụ mgbochi, ọtụtụ ahịrị ime ihe pụtara ihe ubi vectors meekwa ka ndụ siere onye iro ike:

• Njikwa nnukwu: gbanyụọ na ndabara ma kwe ka naanị mgbe ọ dị oke mkpa na bịanyere aka na ya; njikwa granular site na atumatu otu.
• Mmachi nke ndị ntụgharị okwu na LoLBins: Tinye AppLocker/WDAC ma ọ bụ ihe dakọtara, njikwa nke scripts na ndebiri ogbugbu nwere ndekọ zuru oke.
• Patching na mbelata: nso adịghị ike na-erigbu ma rụọ ọrụ nchekwa nchekwa na-egbochi RCE na injections.
• Nyocha siri ikeỤkpụrụ ntụkwasị obi MFA na efu iji kwụsị mmetọ nzere na belata mmegharị n'akụkụ.
• Mmata na ịme anwansịỌzụzụ bara uru gbasara phishing, dọkụmentị nwere ọdịnaya na-arụ ọrụ, yana ihe ịrịba ama nke ogbugbu na-adịghị mma.

A na-akwado usoro ndị a site na ngwọta nke na-enyocha okporo ụzọ na ebe nchekwa iji chọpụta àgwà ọjọọ n'ime oge, yana atumatu nkewa na obere ohere ịnwe mmetụta mgbe ihe na-agafe.

Ọrụ na ụzọ na-arụ ọrụ

N'ebe ndị nwere ọtụtụ njedebe na oke egwu dị elu, ọrụ nchọpụta na nzaghachi ejiri 24/7 nlekota Ha egosila na ha na-eme ka njide ihe mere ngwa ngwa. Ngwakọta nke SOC, EMDR/MDR, na EDR/XDR na-enye anya ndị ọkachamara, telemetry bara ụba na ikike nzaghachi ahaziri ahazi.

Ndị na-enye ọrụ kachasị dị irè abanyela ngbanwe na omume: ndị ọrụ dị arọ nke ahụ mekọrịta ọrụ na ọkwa kernelHa na-ewughachi akụkọ mbuso agha zuru oke ma na-etinye mbelata akpaka mgbe ha chọpụtara ụdọ ọjọọ, na-enwe ike ịlaghachi azụ iji mezie mgbanwe.

N'otu aka ahụ, suites nchebe njedebe na nyiwe XDR na-ejikọta visibiliti etiti na njikwa egwu n'ofe ọrụ, sava, njirimara, email, na igwe ojii; ihe mgbaru ọsọ bụ ịkwatu yinye agha n'agbanyeghị ma faịlụ etinyere ma ọ bụ na ọ bụghị.

Ihe ngosi bara uru maka ịchụ nta egwu

Ọ bụrụ na ị ga-ebu ụzọ chepụta echiche ọchụchọ, gbado anya na ijikọta akara: usoro ụlọ ọrụ na-ebupụta onye ntụgharị okwu nwere oke pụrụ iche, Ịmepụta ndenye aha WMI Mgbe imepechara akwụkwọ, mgbanwe na igodo mmalite na-esochi njikọ na ngalaba nwere aha ọjọọ.

Ụzọ ọzọ dị irè bụ ịdabere na ntọala sitere na gburugburu ebe obibi gị: gịnị bụ ihe na-emekarị na sava gị na ebe ọrụ gị? Ngbanwe ọ bụla ( ọnụọgụ abụọ bịanyere aka na ya ọhụrụ pụtara dị ka nne na nna nke ndị ntụgharị okwu, na mberede spikes na arụmọrụ (nke scripts, iwu eriri na obfuscation) kwesịrị nyocha.

N'ikpeazụ, echefula ebe nchekwa: ọ bụrụ na ị nwere ngwá ọrụ na-enyocha mpaghara na-agba ọsọ ma ọ bụ weghara snapshots, ihe nchoputa na RAM Ha nwere ike ịbụ ihe akaebe doro anya nke ọrụ enweghị faịlụ, ọkachasị mgbe enweghị akụrụngwa na sistemụ faịlụ.

Nchikota nke usoro ndị a, usoro na njikwa anaghị ewepụ ihe iyi egwu, ma ọ na-etinye gị n'ọnọdụ ka mma ịchọta ya n'oge. bee agbụ ma belata mmetụta.

Mgbe etinyere ihe ndị a niile n'ụzọ ziri ezi - telemetry bara ụba nke njedebe, mmekọrịta omume, nzaghachi akpaaka, na nhọrọ siri ike - ụzọ enweghị faịlụ na-efunahụ ọtụtụ uru ya. Na, n'agbanyeghị na ọ ga-aga n'ihu na-etolite, na-elekwasị anya na omume Kama na faịlụ, ọ na-enye ntọala siri ike maka nchekwa gị iji malite na ya.