តើ "មេរោគដោយគ្មានឯកសារអចិន្ត្រៃយ៍" ជាអ្វី និងរបៀបរកឃើញវាជាមួយឧបករណ៍ឥតគិតថ្លៃ

រូបរាងរបស់ មេរោគដែលគ្មានឯកសារអចិន្ត្រៃយ៍ នេះ​ពិតជា​បញ្ហា​ឈឺក្បាល​មួយ​សម្រាប់​ក្រុម​សន្តិសុខ។ យើង​មិន​កំពុង​ដោះស្រាយ​ជាមួយ​មេរោគ​ធម្មតា​ដែល​អ្នក "ចាប់" នៅពេល​លុប​ឯកសារ​ដែល​អាច​ប្រតិបត្តិ​បាន​ចេញពី​ថាស​នោះទេ ប៉ុន្តែ​ជាមួយ​នឹង​ការគំរាមកំហែង​ដែល​រស់នៅក្នុង​អង្គចងចាំ រំលោភបំពាន​ឧបករណ៍​ប្រព័ន្ធ​ស្របច្បាប់ និង​ក្នុងករណី​ជាច្រើន ស្ទើរតែ​មិន​បន្សល់ទុក​ស្លាកស្នាម​កោសល្យវិច្ច័យ​ណាមួយ​ដែល​អាច​ប្រើបាន​ឡើយ។

ការវាយប្រហារប្រភេទនេះបានក្លាយជាការពេញនិយមជាពិសេសក្នុងចំណោមក្រុមកម្រិតខ្ពស់ និងឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលកំពុងស្វែងរក គេចវេះកម្មវិធីកំចាត់មេរោគបែបប្រពៃណី លួចទិន្នន័យ និងលាក់ខ្លួន ឱ្យបានយូរតាមដែលអាចធ្វើទៅបាន។ ការយល់ដឹងពីរបៀបដែលពួកគេធ្វើការ បច្ចេកទេសអ្វីដែលពួកគេប្រើ និងរបៀបរកឃើញពួកវា គឺជាគន្លឹះសម្រាប់អង្គការណាមួយដែលចង់យកចិត្តទុកដាក់យ៉ាងខ្លាំងចំពោះសន្តិសុខតាមអ៊ីនធឺណិតនាពេលបច្ចុប្បន្ន។

តើ​មេរោគ​គ្មាន​ឯកសារ​ជា​អ្វី ហើយ​ហេតុអ្វី​បាន​ជា​វា​ជា​ក្តី​បារម្ភ​បែប​នេះ?

នៅពេលយើងនិយាយអំពី មេរោគ​ដែល​គ្មាន​ឯកសារ យើងមិននិយាយថាគ្មានបៃតែមួយជាប់ពាក់ព័ន្ធនោះទេ ប៉ុន្តែកូដព្យាបាទ វាមិនត្រូវបានរក្សាទុកជាឯកសារដែលអាចប្រតិបត្តិបានបុរាណនៅលើថាសទេ ពីចំណុចបញ្ចប់។ ផ្ទុយទៅវិញ វាដំណើរការដោយផ្ទាល់នៅក្នុងអង្គចងចាំ ឬត្រូវបានបង្ហោះនៅក្នុងកុងតឺន័រដែលមើលមិនឃើញដូចជា Registry, WMI ឬភារកិច្ចដែលបានកំណត់ពេល។

ក្នុងសេណារីយ៉ូជាច្រើន អ្នកវាយប្រហារពឹងផ្អែកលើឧបករណ៍ដែលមានរួចហើយនៅក្នុងប្រព័ន្ធ — PowerShell, WMI, ស្គ្រីប, ឯកសារប្រព័ន្ធប្រតិបត្តិការ Windows ដែលបានចុះហត្ថលេខា — ដើម្បី ផ្ទុក ឌិគ្រីប ឬប្រតិបត្តិ payloads ដោយផ្ទាល់ទៅក្នុង RAMតាមវិធីនេះ វាជៀសវាងការបន្សល់ទុកឯកសារដែលអាចប្រតិបត្តិបានជាក់ស្តែង ដែលកំចាត់មេរោគដែលមានមូលដ្ឋានលើហត្ថលេខាអាចរកឃើញនៅក្នុងការស្កេនធម្មតា។

លើសពីនេះ ផ្នែកមួយនៃខ្សែសង្វាក់វាយប្រហារអាច "គ្មានឯកសារ" ហើយផ្នែកមួយទៀតអាចប្រើប្រព័ន្ធឯកសារ ដូច្នេះយើងកំពុងនិយាយអំពីច្រើនជាងមួយ។ វិសាលគមនៃបច្ចេកទេសគ្មានឯកសារ នៃ​ក្រុម​មេរោគ​តែមួយ។ នោះហើយជាមូលហេតុដែលមិនមាននិយមន័យបិទជិតតែមួយទេ ប៉ុន្តែមានប្រភេទជាច្រើនអាស្រ័យលើកម្រិតនៃផលប៉ះពាល់ដែលពួកវាបន្សល់ទុកលើម៉ាស៊ីន។

លក្ខណៈសំខាន់ៗនៃមេរោគដែលគ្មានឯកសារអចិន្ត្រៃយ៍

លក្ខណៈសំខាន់មួយនៃការគំរាមកំហែងទាំងនេះគឺ ការប្រតិបត្តិដែលផ្តោតលើអង្គចងចាំកូដព្យាបាទត្រូវបានផ្ទុកទៅក្នុង RAM ហើយប្រតិបត្តិក្នុងដំណើរការស្របច្បាប់ ដោយមិនចាំបាច់មានប្រព័ន្ធគោលពីរព្យាបាទដែលមានស្ថេរភាពនៅលើដ្រាយវ៍រឹងនោះទេ។ ក្នុងករណីខ្លះ វាថែមទាំងត្រូវបានចាក់ចូលទៅក្នុងដំណើរការប្រព័ន្ធសំខាន់ៗសម្រាប់ការក្លែងបន្លំកាន់តែប្រសើរ។

មុខងារសំខាន់មួយទៀតគឺ ការអត់ធ្មត់មិនធម្មតាយុទ្ធនាការគ្មានឯកសារជាច្រើនមានភាពប្រែប្រួលសុទ្ធសាធ ហើយបាត់ទៅវិញបន្ទាប់ពីចាប់ផ្ដើមឡើងវិញ ប៉ុន្តែយុទ្ធនាការផ្សេងទៀតអាចធ្វើឱ្យសកម្មឡើងវិញដោយប្រើកូនសោ Registry Autorun, WMI subscriptions, scheduled tasks ឬ BITS ដូច្នេះ artifact "ដែលអាចមើលឃើញ" មានតិចតួចបំផុត ហើយ payload ពិតប្រាកដនឹងស្ថិតនៅក្នុងអង្គចងចាំរាល់ពេល។

វិធីសាស្រ្តនេះកាត់បន្ថយប្រសិទ្ធភាពយ៉ាងខ្លាំងនៃ ការរកឃើញផ្អែកលើហត្ថលេខាដោយសារតែមិនមានឯកសារដែលអាចប្រតិបត្តិបានថេរដើម្បីវិភាគ អ្វីដែលអ្នកតែងតែឃើញគឺជា PowerShell.exe, wscript.exe ឬ mshta.exe ដែលស្របច្បាប់ទាំងស្រុង ដែលត្រូវបានបើកដំណើរការជាមួយប៉ារ៉ាម៉ែត្រគួរឱ្យសង្ស័យ ឬកំពុងផ្ទុកខ្លឹមសារដែលមិនច្បាស់លាស់។

ជាចុងក្រោយ តារាសម្តែងជាច្រើនបានផ្សំបច្ចេកទេសគ្មានឯកសារជាមួយបច្ចេកទេសផ្សេងទៀត ប្រភេទមេរោគដូចជា Trojans, ransomware ឬ adwareដែលបណ្តាលឱ្យមានយុទ្ធនាការចម្រុះដែលលាយបញ្ចូលគ្នានូវអ្វីដែលល្អបំផុត (និងអាក្រក់បំផុត) នៃពិភពលោកទាំងពីរ៖ ការតស៊ូ និងការលួចលាក់។

ប្រភេទនៃការគំរាមកំហែងដែលគ្មានឯកសារតាមដានទីតាំងរបស់វានៅលើប្រព័ន្ធ

ក្រុមហ៊ុនផលិតសុវត្ថិភាពជាច្រើន ពួកវាចាត់ថ្នាក់ការគំរាមកំហែង "គ្មានឯកសារ" ទៅតាមដានដែលពួកវាបន្សល់ទុកនៅលើកុំព្យូទ័រ។ ចំណាត់ថ្នាក់នេះជួយយើងឱ្យយល់ពីអ្វីដែលយើងកំពុងឃើញ និងរបៀបស៊ើបអង្កេតវា។

ប្រភេទទី I៖ គ្មានសកម្មភាពឯកសារដែលអាចមើលឃើញ

នៅ​ចុង​បញ្ចប់​ដ៏​សម្ងាត់​បំផុត យើង​រក​ឃើញ​មេរោគ​ដែល វា​មិន​សរសេរ​អ្វី​ទាំងអស់​ទៅ​ប្រព័ន្ធ​ឯកសារឧទាហរណ៍ កូដមកដល់តាមរយៈកញ្ចប់បណ្តាញដែលទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះ (ដូចជា EternalBlue) ត្រូវបានចាក់ចូលទៅក្នុងអង្គចងចាំដោយផ្ទាល់ ហើយត្រូវបានរក្សាទុក ឧទាហរណ៍ ជាទ្វារក្រោយនៅក្នុងខឺណែល (DoublePulsar គឺជាករណីនិមិត្តរូប)។

ក្នុងករណីផ្សេងទៀត ការឆ្លងមេរោគស្ថិតនៅក្នុង កម្មវិធីបង្កប់ BIOS កាតបណ្តាញ ឧបករណ៍ USB ឬសូម្បីតែប្រព័ន្ធរងនៅក្នុង CPUការគំរាមកំហែងប្រភេទនេះអាចរស់រានមានជីវិតពីការដំឡើងប្រព័ន្ធប្រតិបត្តិការឡើងវិញ ការធ្វើទ្រង់ទ្រាយឌីស និងសូម្បីតែការចាប់ផ្តើមឡើងវិញទាំងស្រុងមួយចំនួន។

បញ្ហាគឺថាដំណោះស្រាយសុវត្ថិភាពភាគច្រើន ពួកគេមិនត្រួតពិនិត្យកម្មវិធីបង្កប់ ឬមីក្រូកូដទេហើយទោះបីជាពួកគេធ្វើក៏ដោយ ការស្តារឡើងវិញគឺស្មុគស្មាញ។ ជាសំណាងល្អ បច្ចេកទេសទាំងនេះជាធម្មតាត្រូវបានបម្រុងទុកសម្រាប់តួអង្គដែលមានភាពស្មុគស្មាញខ្ពស់ ហើយមិនមែនជាបទដ្ឋាននៅក្នុងការវាយប្រហារទ្រង់ទ្រាយធំនោះទេ។

ប្រភេទទី II: ការប្រើប្រាស់ឯកសារដោយប្រយោល

ក្រុមទីពីរគឺផ្អែកលើ មានកូដព្យាបាទនៅក្នុងរចនាសម្ព័ន្ធដែលរក្សាទុកនៅលើថាសប៉ុន្តែមិនមែនជាឯកសារដែលអាចប្រតិបត្តិបានបែបប្រពៃណីទេ ប៉ុន្តែនៅក្នុងឃ្លាំងដែលលាយបញ្ចូលគ្នានូវទិន្នន័យស្របច្បាប់ និងទិន្នន័យព្យាបាទ ដែលពិបាកសម្អាតដោយមិនធ្វើឱ្យខូចប្រព័ន្ធ។

ឧទាហរណ៍ធម្មតាគឺស្គ្រីបដែលរក្សាទុកក្នុង ឃ្លាំង WMI, ខ្សែសង្វាក់មិនច្បាស់លាស់នៅក្នុង សោចុះបញ្ជី ឬភារកិច្ចដែលបានកំណត់ពេលដែលបើកដំណើរការពាក្យបញ្ជាដ៏គ្រោះថ្នាក់ដោយគ្មានប្រព័ន្ធគោលពីរព្យាបាទច្បាស់លាស់។ មេរោគអាចដំឡើងធាតុទាំងនេះដោយផ្ទាល់ពីបន្ទាត់ពាក្យបញ្ជា ឬស្គ្រីប ហើយបន្ទាប់មកនៅតែមើលមិនឃើញ។

ទោះបីជាមានឯកសារពាក់ព័ន្ធក៏ដោយ (ឯកសាររូបវន្តដែល Windows រក្សាទុកឃ្លាំង WMI ឬសំបុក Registry) សម្រាប់គោលបំណងជាក់ស្តែងយើងកំពុងនិយាយអំពី។ សកម្មភាពគ្មានឯកសារ ពីព្រោះមិនមានឯកសារដែលអាចប្រតិបត្តិបានច្បាស់លាស់ដែលអាចត្រូវបានដាក់ឱ្យនៅដាច់ដោយឡែកនោះទេ។

ប្រភេទទី III៖ តម្រូវឱ្យឯកសារដំណើរការ

ប្រភេទទីបីរួមមានការគំរាមកំហែងដែល ពួកគេប្រើឯកសារ ប៉ុន្តែក្នុងលក្ខណៈមួយដែលមិនសូវមានប្រយោជន៍សម្រាប់ការរកឃើញ។ឧទាហរណ៍ដ៏ល្បីមួយគឺ Kovter ដែលចុះឈ្មោះផ្នែកបន្ថែមចៃដន្យនៅក្នុង Registry ដូច្នេះនៅពេលដែលឯកសារដែលមានផ្នែកបន្ថែមនោះត្រូវបានបើក ស្គ្រីបត្រូវបានប្រតិបត្តិតាមរយៈ mshta.exe ឬប្រព័ន្ធគោលពីរដើមស្រដៀងគ្នា។

ឯកសារក្លែងក្លាយទាំងនេះមានទិន្នន័យមិនពាក់ព័ន្ធ និងកូដព្យាបាទពិតប្រាកដ វាត្រូវបានទាញយកពីសោចុះបញ្ជីផ្សេងទៀត ឬឃ្លាំងទិន្នន័យខាងក្នុង។ ទោះបីជាមាន "អ្វីមួយ" នៅលើថាសក៏ដោយ វាមិនងាយស្រួលទេក្នុងការប្រើវាជាសូចនាករដែលអាចទុកចិត្តបាននៃការសម្របសម្រួល ជាពិសេសជាយន្តការសម្អាតដោយផ្ទាល់។

វ៉ិចទ័រចូល និងចំណុចឆ្លងមេរោគទូទៅបំផុត

ក្រៅពីការចាត់ថ្នាក់ស្នាមជើង វាជារឿងសំខាន់ក្នុងការយល់ដឹងពីរបៀប នេះជាកន្លែងដែលមេរោគដែលគ្មានឯកសារអចិន្ត្រៃយ៍ចូលមកលេង។ ក្នុងជីវិតប្រចាំថ្ងៃ អ្នកវាយប្រហារច្រើនតែផ្សំវ៉ិចទ័រជាច្រើនអាស្រ័យលើបរិស្ថាន និងគោលដៅ។

ការកេងប្រវ័ញ្ច និងភាពងាយរងគ្រោះ

ផ្លូវមួយក្នុងចំណោមផ្លូវត្រង់បំផុតគឺការរំលោភបំពាន ចំណុចខ្សោយនៃការប្រតិបត្តិកូដពីចម្ងាយ (RCE) នៅក្នុងកម្មវិធីរុករក កម្មវិធីជំនួយ (ដូចជា Flash កាលពីអតីតកាល) កម្មវិធីគេហទំព័រ ឬសេវាកម្មបណ្តាញ (SMB, RDP ជាដើម)។ ការវាយប្រហារនេះបញ្ចូលលេខកូដសែលដែលទាញយក ឬឌិគ្រីបដោយផ្ទាល់នូវ payload ដែលមានមេរោគទៅក្នុងអង្គចងចាំ។

នៅក្នុងគំរូនេះ ឯកសារដំបូងអាចនៅលើបណ្តាញ (ប្រភេទកេងប្រវ័ញ្ច WannaCryឬនៅក្នុងឯកសារដែលអ្នកប្រើប្រាស់បើក ប៉ុន្តែ បន្ទុកទិន្នន័យមិនត្រូវបានសរសេរជាឯកសារដែលអាចប្រតិបត្តិបានទៅកាន់ថាសទេវាត្រូវបានឌិគ្រីប និងប្រតិបត្តិភ្លាមៗពី RAM។

ឯកសារ និងម៉ាក្រូដែលមានគំនិតអាក្រក់

ផ្លូវមួយទៀតដែលត្រូវបានកេងប្រវ័ញ្ចយ៉ាងខ្លាំងគឺ ឯកសារការិយាល័យជាមួយម៉ាក្រូ ឬ DDEក៏ដូចជាឯកសារ PDF ដែលត្រូវបានរចនាឡើងដើម្បីកេងចំណេញពីភាពងាយរងគ្រោះរបស់អ្នកអាន។ ឯកសារ Word ឬ Excel ដែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់អាចមានលេខកូដ VBA ដែលបើកដំណើរការ PowerShell, WMI ឬអ្នកបកប្រែផ្សេងទៀតដើម្បីទាញយកលេខកូដ ប្រតិបត្តិពាក្យបញ្ជា ឬចាក់លេខកូដសែលទៅក្នុងដំណើរការដែលទុកចិត្ត។

នៅទីនេះ ឯកសារនៅលើថាសគឺ "គ្រាន់តែជា" កុងតឺន័រទិន្នន័យប៉ុណ្ណោះ ខណៈពេលដែលវ៉ិចទ័រពិតប្រាកដគឺជា ម៉ាស៊ីនសរសេរស្គ្រីបខាងក្នុងរបស់កម្មវិធីតាមពិតទៅ យុទ្ធនាការសារឥតបានការទ្រង់ទ្រាយធំជាច្រើនបានរំលោភបំពានយុទ្ធសាស្ត្រនេះដើម្បីដាក់ពង្រាយការវាយប្រហារដោយគ្មានឯកសារលើបណ្តាញសាជីវកម្ម។

ស្គ្រីប និង​ប្រព័ន្ធ​គោល​ពីរ​ស្របច្បាប់ (រស់នៅ​ក្រៅ​ដី)

អ្នកវាយប្រហារចូលចិត្តឧបករណ៍ដែល Windows ផ្តល់ជូនរួចហើយ៖ PowerShell, wscript, cscript, mshta, rundll32, regsvr32ឧបករណ៍គ្រប់គ្រងវីនដូ (Windows Management Instrumentation), BITS ជាដើម។ ឯកសារគោលពីរដែលបានចុះហត្ថលេខា និងទុកចិត្តទាំងនេះអាចប្រតិបត្តិស្គ្រីប, DLL ឬខ្លឹមសារពីចម្ងាយដោយមិនចាំបាច់មាន "virus.exe" ដែលគួរឱ្យសង្ស័យនោះទេ។

តាមរយៈការបញ្ជូនកូដព្យាបាទដូចជា ប៉ារ៉ាម៉ែត្របន្ទាត់ពាក្យបញ្ជាការបង្កប់វានៅក្នុងរូបភាព ការអ៊ិនគ្រីប និងឌិគ្រីបវានៅក្នុងអង្គចងចាំ ឬការរក្សាទុកវានៅក្នុង Registry ធានាថាកំចាត់មេរោគឃើញតែសកម្មភាពពីដំណើរការស្របច្បាប់ប៉ុណ្ណោះ ដែលធ្វើឱ្យការរកឃើញដែលផ្អែកលើឯកសារតែមួយមុខកាន់តែពិបាក។

ផ្នែករឹង និងកម្មវិធីបង្កប់ដែលរងការគំរាមកំហែង

នៅកម្រិតទាបជាងនេះទៅទៀត អ្នកវាយប្រហារកម្រិតខ្ពស់អាចជ្រៀតចូលបាន កម្មវិធីបង្កប់ BIOS កាតបណ្តាញ ដ្រាយវ៍រឹង ឬសូម្បីតែប្រព័ន្ធរងគ្រប់គ្រង CPU (ដូចជា Intel ME ឬ AMT)។ មេរោគប្រភេទនេះដំណើរការនៅខាងក្រោមប្រព័ន្ធប្រតិបត្តិការ ហើយអាចស្ទាក់ចាប់ ឬកែប្រែចរាចរណ៍ដោយប្រព័ន្ធប្រតិបត្តិការមិនដឹងខ្លួន។

ទោះបីជាវាជាសេណារីយ៉ូធ្ងន់ធ្ងរក៏ដោយ វាបង្ហាញពីវិសាលភាពដែលការគំរាមកំហែងដែលគ្មានឯកសារអាច រក្សាភាពស្ថិតស្ថេរដោយមិនចាំបាច់ប៉ះប្រព័ន្ធឯកសារ OSនិងមូលហេតុដែលឧបករណ៍ចំណុចបញ្ចប់បែបបុរាណខ្វះខាតក្នុងករណីទាំងនេះ។

របៀបដែលការវាយប្រហារមេរោគដោយគ្មានឯកសារអចិន្ត្រៃយ៍ដំណើរការ

នៅកម្រិតលំហូរ ការវាយប្រហារដែលគ្មានឯកសារគឺស្រដៀងគ្នាទៅនឹងការវាយប្រហារដែលមានមូលដ្ឋានលើឯកសារ ប៉ុន្តែជាមួយ ភាពខុសគ្នាពាក់ព័ន្ធ នៅក្នុងរបៀបដែល payload ត្រូវបានអនុវត្ត និងរបៀបដែលការចូលប្រើត្រូវបានរក្សា។

1. ការចូលប្រើប្រព័ន្ធដំបូង

វាទាំងអស់ចាប់ផ្តើមនៅពេលដែលអ្នកវាយប្រហារទទួលបានជំហរដំបូង៖ ក អ៊ីមែលបន្លំដែលមានតំណភ្ជាប់ ឬឯកសារភ្ជាប់ព្យាបាទការវាយប្រហារប្រឆាំងនឹងកម្មវិធីដែលងាយរងគ្រោះ លួចព័ត៌មានសម្ងាត់សម្រាប់ RDP ឬ VPN ឬសូម្បីតែឧបករណ៍ USB ដែលត្រូវបានកែប្រែ។

នៅដំណាក់កាលនេះ គេប្រើវិធីដូចខាងក្រោម៖ វិស្វកម្ម​សង្គមការបញ្ជូនបន្តដែលមានគំនិតអាក្រក់ យុទ្ធនាការផ្សព្វផ្សាយពាណិជ្ជកម្មដែលមានមេរោគ ឬការវាយប្រហារ Wi-Fi ដែលមានគំនិតអាក្រក់ ដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យចុចកន្លែងដែលពួកគេមិនគួរចុច ឬដើម្បីកេងចំណេញពីសេវាកម្មដែលបង្ហាញនៅលើអ៊ីនធឺណិត។

2. ការប្រតិបត្តិកូដព្យាបាទនៅក្នុងអង្គចងចាំ

នៅពេលដែលធាតុដំបូងនោះត្រូវបានទទួល សមាសភាគដែលគ្មានឯកសារនឹងត្រូវបានបង្កឡើង៖ ម៉ាក្រូ Office បើកដំណើរការ PowerShell ការវាយប្រហារបញ្ចូលលេខកូដសែល ការជាវ WMI បង្កឡើងស្គ្រីបជាដើម។ គោលដៅគឺ ផ្ទុកកូដព្យាបាទដោយផ្ទាល់ទៅក្នុង RAMទាំងដោយការទាញយកវាពីអ៊ីនធឺណិត ឬដោយការកសាងវាឡើងវិញពីទិន្នន័យដែលបានបង្កប់។

ពីទីនោះ មេរោគអាច បង្កើនសិទ្ធិ ផ្លាស់ទីទៅចំហៀង លួចព័ត៌មានសម្ងាត់ ដាក់ពង្រាយ webshells ដំឡើង RATs ឬអ៊ិនគ្រីបទិន្នន័យទាំងអស់នេះត្រូវបានគាំទ្រដោយដំណើរការស្របច្បាប់ដើម្បីកាត់បន្ថយសំឡេងរំខាន។

៣. ការបង្កើតភាពអត់ធ្មត់

ក្នុងចំណោមបច្ចេកទេសធម្មតា ពួកគេគឺ:

• គ្រាប់ចុចដំណើរការដោយស្វ័យប្រវត្តិ នៅក្នុង Registry ដែលប្រតិបត្តិពាក្យបញ្ជា ឬស្គ្រីបនៅពេលចូល។
• កិច្ចការដែលបានគ្រោងទុក ដែលបើកដំណើរការស្គ្រីប ឯកសារគោលពីរស្របច្បាប់ជាមួយប៉ារ៉ាម៉ែត្រ ឬពាក្យបញ្ជាពីចម្ងាយ។
• ការជាវ WMI ដែល​បង្ក​ឲ្យ​មាន​កូដ​កើតឡើង នៅពេល​ដែល​ព្រឹត្តិការណ៍​ប្រព័ន្ធ​ជាក់លាក់​កើតឡើង។
• ការប្រើប្រាស់ BITS សម្រាប់ការទាញយក payloads តាមកាលកំណត់ពីម៉ាស៊ីនមេបញ្ជា និងម៉ាស៊ីនមេត្រួតពិនិត្យ។

ក្នុងករណីខ្លះ សមាសធាតុអចិន្ត្រៃយ៍មានតិចតួចបំផុត ហើយបម្រើតែចំពោះ ចាក់មេរោគឡើងវិញទៅក្នុងអង្គចងចាំ រាល់ពេលដែលប្រព័ន្ធចាប់ផ្តើម ឬលក្ខខណ្ឌជាក់លាក់ណាមួយត្រូវបានបំពេញ។

៤. សកម្មភាពលើគោលដៅ និងការច្រោះចេញ

ដោយ​មាន​ការ​ធានា​ពី​ការ​តស៊ូ អ្នក​វាយប្រហារ​ផ្ដោត​លើ​អ្វី​ដែល​គាត់​ពិត​ជា​ចាប់​អារម្មណ៍៖ លួចព័ត៌មាន អ៊ិនគ្រីបវា រៀបចំប្រព័ន្ធ ឬចារកម្មរយៈពេលជាច្រើនខែការ​លួច​យក​ទិន្នន័យ​ចេញ​អាច​ធ្វើ​ឡើង​តាម​រយៈ HTTPS, DNS, ឆានែល​សម្ងាត់ ឬ​សេវាកម្ម​ស្របច្បាប់។ ក្នុង​ឧប្បត្តិហេតុ​ក្នុង​ពិភព​ពិត ការ​ដឹង​ថា អ្វីដែលត្រូវធ្វើក្នុងរយៈពេល 24 ម៉ោងដំបូងបន្ទាប់ពីការ hack អាចធ្វើឱ្យមានភាពខុសគ្នា។

នៅក្នុងការវាយប្រហារ APT វាជារឿងធម្មតាទេដែលមេរោគនៅតែ ស្ងាត់ស្ងៀម និងលួចលាក់ក្នុងរយៈពេលយូរការសាងសង់ទ្វារខាងក្រោយបន្ថែម ដើម្បីធានាការចូលប្រើប្រាស់ ទោះបីជាផ្នែកខ្លះនៃហេដ្ឋារចនាសម្ព័ន្ធត្រូវបានរកឃើញ និងសម្អាតក៏ដោយ។

សមត្ថភាព និងប្រភេទមេរោគដែលអាចគ្មានឯកសារ

មុខងារព្យាបាទស្ទើរតែទាំងអស់ដែលមេរោគបុរាណអាចអនុវត្តបានអាចត្រូវបានអនុវត្តដោយធ្វើតាមវិធីសាស្រ្តនេះ។ គ្មានឯកសារ ឬពាក់កណ្តាលគ្មានឯកសារអ្វីដែលផ្លាស់ប្តូរមិនមែនជាគោលបំណងទេ ប៉ុន្តែជារបៀបដែលកូដត្រូវបានដាក់ពង្រាយ។

មេរោគ​ដែល​មាន​តែ​នៅ​ក្នុង​អង្គ​ចងចាំ​ប៉ុណ្ណោះ

ប្រភេទនេះរួមបញ្ចូលទាំងបន្ទុកដែល ពួកវារស់នៅទាំងស្រុងនៅក្នុងការចងចាំនៃដំណើរការ ឬខឺណែល។rootkits ទំនើបៗ ទ្វារក្រោយកម្រិតខ្ពស់ ឬ spyware អាចផ្ទុកចូលទៅក្នុងកន្លែងផ្ទុកអង្គចងចាំនៃដំណើរការស្របច្បាប់ ហើយនៅតែស្ថិតនៅទីនោះរហូតដល់ប្រព័ន្ធត្រូវបានចាប់ផ្តើមឡើងវិញ។

សមាសធាតុទាំងនេះពិបាកមើលឃើញជាពិសេសជាមួយឧបករណ៍ដែលតម្រង់ទិសឌីស ហើយបង្ខំឱ្យប្រើប្រាស់ ការវិភាគអង្គចងចាំផ្ទាល់, EDR ជាមួយនឹងការត្រួតពិនិត្យពេលវេលាជាក់ស្តែង ឬសមត្ថភាពកោសល្យវិច្ច័យកម្រិតខ្ពស់។

មេរោគដែលមានមូលដ្ឋានលើ Windows Registry

បច្ចេកទេសដដែលៗមួយទៀតគឺការរក្សាទុក កូដដែលបានអ៊ិនគ្រីប ឬបិទបាំងនៅក្នុងសោរចុះបញ្ជី ហើយប្រើប្រព័ន្ធគោលពីរស្របច្បាប់ (ដូចជា PowerShell, MSHTA ឬ rundll32) ដើម្បីអាន ឌិកូដ និងប្រតិបត្តិវានៅក្នុងអង្គចងចាំ។

ដំណក់ទឹកដំបូងអាចបំផ្លាញខ្លួនឯងបន្ទាប់ពីសរសេរទៅកាន់ Registry ដូច្នេះអ្វីដែលនៅសល់គឺល្បាយនៃទិន្នន័យដែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់ដែល ពួកគេធ្វើឱ្យការគំរាមកំហែងសកម្មរាល់ពេលដែលប្រព័ន្ធចាប់ផ្តើមដំណើរការ ឬរាល់ពេលដែលឯកសារជាក់លាក់មួយត្រូវបានបើក។

មេរោគ Ransomware និង Trojans ដែលគ្មានឯកសារ

វិធីសាស្រ្តគ្មានឯកសារមិនឆបគ្នាជាមួយវិធីសាស្រ្តផ្ទុកដ៏ខ្លាំងក្លាដូចជា ransomwareមានយុទ្ធនាការដែលទាញយក ឌិគ្រីប និងប្រតិបត្តិការអ៊ិនគ្រីបទាំងមូលនៅក្នុងអង្គចងចាំដោយប្រើ PowerShell ឬ WMI ដោយមិនចាំបាច់ទុកឯកសារ ransomware ដែលអាចប្រតិបត្តិបាននៅលើថាសនោះទេ។

ដូចគ្នានេះដែរ, មេរោគ Trojan ចូលប្រើពីចម្ងាយ (RATs)កម្មវិធី​លួច​លេខ​កូដ​សម្ងាត់ ឬ​ចោរ​លួច​ព័ត៌មាន​សម្ងាត់​អាច​ដំណើរការ​ក្នុង​លក្ខណៈ​ពាក់​កណ្ដាល​គ្មាន​ឯកសារ ដោយ​ផ្ទុក​ម៉ូឌុល​តាម​តម្រូវការ និង​បង្ហោះ​តក្កវិជ្ជា​ចម្បង​នៅ​ក្នុង​ដំណើរការ​ប្រព័ន្ធ​ស្របច្បាប់។

ឧបករណ៍​កេងប្រវ័ញ្ច និង​ព័ត៌មាន​សម្ងាត់​ដែល​ត្រូវ​បាន​លួច

ឧបករណ៍​វាយប្រហារ​តាម​អ៊ីនធឺណិត​គឺជា​ផ្នែក​មួយទៀត​នៃ​ល្បែងផ្គុំរូប៖ ពួកគេ​រកឃើញ​កម្មវិធី​ដែល​បាន​ដំឡើង ពួកគេជ្រើសរើសការកេងប្រវ័ញ្ចដែលសមស្រប ហើយចាក់បញ្ចូល payload ដោយផ្ទាល់ទៅក្នុងអង្គចងចាំ។ជាញឹកញាប់ដោយមិនរក្សាទុកអ្វីទាំងអស់ទៅក្នុងថាស។

ម៉្យាងទៀតការប្រើប្រាស់នៃ លួច​ព័ត៌មាន​សម្ងាត់ វាគឺជាវ៉ិចទ័រដែលសមល្អជាមួយបច្ចេកទេសគ្មានឯកសារ៖ អ្នកវាយប្រហារផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាអ្នកប្រើប្រាស់ស្របច្បាប់ ហើយពីទីនោះ រំលោភលើឧបករណ៍រដ្ឋបាលដើម (PowerShell Remoting, WMI, PsExec) ដើម្បីដាក់ពង្រាយស្គ្រីប និងពាក្យបញ្ជាដែលមិនបន្សល់ទុកនូវដានបុរាណនៃមេរោគ។

ហេតុអ្វីបានជាមេរោគដែលគ្មានឯកសារពិបាករកឃើញម្លេះ?

មូលហេតុចម្បងគឺថា ការគំរាមកំហែងប្រភេទនេះត្រូវបានរចនាឡើងជាពិសេសដើម្បី រំលងស្រទាប់ការពារបែបប្រពៃណីផ្អែកលើហត្ថលេខា បញ្ជីស និងការស្កេនឯកសារតាមកាលកំណត់។

ប្រសិនបើកូដព្យាបាទមិនដែលត្រូវបានរក្សាទុកជាឯកសារដែលអាចប្រតិបត្តិបាននៅលើថាស ឬប្រសិនបើវាលាក់នៅក្នុងធុងចម្រុះដូចជា WMI, Registry ឬ firmware កម្មវិធីកំចាត់មេរោគបែបប្រពៃណីមានតិចតួចណាស់ដែលត្រូវវិភាគ។ ជំនួសឱ្យ "ឯកសារគួរឱ្យសង្ស័យ" អ្វីដែលអ្នកមានគឺ ដំណើរការស្របច្បាប់ដែលមានឥរិយាបថមិនប្រក្រតី.

លើសពីនេះ វារារាំងឧបករណ៍ដូចជា PowerShell, Office macros ឬ WMI យ៉ាងខ្លាំង។ វាមិនដំណើរការនៅក្នុងអង្គការជាច្រើនទេពីព្រោះ​វា​ចាំបាច់​សម្រាប់​ការគ្រប់គ្រង ស្វ័យប្រវត្តិកម្ម និង​ប្រតិបត្តិការ​ប្រចាំថ្ងៃ។ នេះ​បង្ខំ​ឲ្យ​អ្នកតស៊ូមតិ​ចាត់វិធានការ​ដោយប្រុងប្រយ័ត្ន​បំផុត។

អ្នកលក់មួយចំនួនបានព្យាយាមទូទាត់សងជាមួយនឹងការជួសជុលរហ័ស (ការទប់ស្កាត់ PowerShell ទូទៅ ការបិទម៉ាក្រូទាំងស្រុង ការរកឃើញតែលើពពក។ល។) ប៉ុន្តែវិធានការទាំងនេះជាធម្មតា... មិនគ្រប់គ្រាន់ ឬរំខានខ្លាំងពេក សម្រាប់អាជីវកម្ម។

យុទ្ធសាស្ត្រទំនើបៗសម្រាប់ការរកឃើញ និងបញ្ឈប់មេរោគដែលគ្មានឯកសារ

ដើម្បីប្រឈមមុខនឹងការគំរាមកំហែងទាំងនេះ ចាំបាច់ត្រូវធ្វើលើសពីការស្កេនឯកសារ ហើយប្រកាន់យកវិធីសាស្រ្តដែលផ្តោតសំខាន់។ ឥរិយាបថ ទូរមាត្រពេលវេលាជាក់ស្តែង និងភាពមើលឃើញស៊ីជម្រៅ នៃចំណុចចុងក្រោយ។

ការតាមដានឥរិយាបថ និងការចងចាំ

វិធីសាស្រ្តដ៏មានប្រសិទ្ធភាពមួយពាក់ព័ន្ធនឹងការសង្កេតមើលអ្វីដែលដំណើរការពិតជាធ្វើ៖ តើពាក្យបញ្ជាអ្វីខ្លះដែលពួកគេប្រតិបត្តិ ធនធានអ្វីខ្លះដែលពួកគេចូលប្រើ ការតភ្ជាប់អ្វីខ្លះដែលពួកគេបង្កើតរបៀបដែលពួកវាទាក់ទងគ្នាទៅវិញទៅមក។ល។ ទោះបីជាមានមេរោគរាប់ពាន់ប្រភេទក៏ដោយ គំរូអាកប្បកិរិយាព្យាបាទមានកម្រិតជាង។ នេះក៏អាចត្រូវបានបំពេញបន្ថែមជាមួយនឹង ការរកឃើញកម្រិតខ្ពស់ជាមួយ YARA.

ដំណោះស្រាយទំនើបៗ រួមបញ្ចូលគ្នានូវទូរមាត្រនេះជាមួយនឹងការវិភាគក្នុងអង្គចងចាំ ការវិភាគបែបទំនើប និង ការរៀនម៉ាស៊ីន។ ដើម្បីកំណត់អត្តសញ្ញាណខ្សែសង្វាក់វាយប្រហារ សូម្បីតែពេលដែលកូដត្រូវបានបិទបាំងយ៉ាងខ្លាំង ឬមិនធ្លាប់មានពីមុនមកក៏ដោយ។

ការប្រើប្រាស់ចំណុចប្រទាក់ប្រព័ន្ធដូចជា AMSI និង ETW

Windows ផ្តល់ជូននូវបច្ចេកវិទ្យាដូចជា Antimalware Scan Interface (AMSI) y ការតាមដានព្រឹត្តិការណ៍សម្រាប់វីនដូ (ETW) ប្រភពទាំងនេះអនុញ្ញាតឱ្យមានការត្រួតពិនិត្យស្គ្រីបប្រព័ន្ធ និងព្រឹត្តិការណ៍នៅកម្រិតទាបបំផុត។ ការរួមបញ្ចូលប្រភពទាំងនេះទៅក្នុងដំណោះស្រាយសុវត្ថិភាពជួយសម្រួលដល់ការរកឃើញ។ កូដព្យាបាទមុន ឬអំឡុងពេលប្រតិបត្តិរបស់វា.

លើសពីនេះ ការវិភាគផ្នែកសំខាន់ៗ — កិច្ចការដែលបានកំណត់ពេល ការជាវ WMI សោចុះបញ្ជីចាប់ផ្ដើមប្រព័ន្ធ ជាដើម — ជួយកំណត់អត្តសញ្ញាណ ការរក្សាឯកសារសម្ងាត់ដោយគ្មានឯកសារ ដែលអាចមើលមិនឃើញដោយការស្កេនឯកសារសាមញ្ញមួយ។

ការប្រមាញ់ការគំរាមកំហែង និងសូចនាករនៃការវាយប្រហារ (IoA)

ដោយសារសូចនាករបុរាណ (ហាស ផ្លូវឯកសារ) ខ្វះខាត វាត្រូវបានណែនាំឱ្យពឹងផ្អែកលើ សូចនាករនៃការវាយប្រហារ (IoA)ដែលពិពណ៌នាអំពីឥរិយាបថគួរឱ្យសង្ស័យ និងលំដាប់នៃសកម្មភាពដែលសមស្របនឹងយុទ្ធសាស្ត្រដែលគេស្គាល់។

ក្រុមប្រមាញ់ការគំរាមកំហែង — ផ្ទៃក្នុង ឬតាមរយៈសេវាកម្មដែលគ្រប់គ្រង — អាចស្វែងរកដោយសកម្ម គំរូចលនាចំហៀង ការរំលោភបំពានឧបករណ៍ដើម ភាពមិនប្រក្រតីក្នុងការប្រើប្រាស់ PowerShell ឬការចូលប្រើប្រាស់ទិន្នន័យរសើបដោយគ្មានការអនុញ្ញាត ដោយរកឃើញការគំរាមកំហែងដែលគ្មានឯកសារមុនពេលវាបង្កគ្រោះមហន្តរាយ។

EDR, XDR និង SOC 24/7

វេទិកាទំនើបៗរបស់ EDR និង XDR (ការរកឃើញ និងការឆ្លើយតបចំណុចបញ្ចប់នៅកម្រិតបន្ថែម) ផ្តល់នូវភាពមើលឃើញ និងទំនាក់ទំនងដែលត្រូវការដើម្បីកសាងឡើងវិញនូវប្រវត្តិពេញលេញនៃឧប្បត្តិហេតុមួយ ចាប់ពីអ៊ីមែលបន្លំដំបូងរហូតដល់ការលួចចូលចុងក្រោយ។

ផ្សំជាមួយ SOC ដំណើរការ 24/7ពួកគេមិនត្រឹមតែអនុញ្ញាតឱ្យមានការរកឃើញប៉ុណ្ណោះទេ ថែមទាំងអនុញ្ញាតឱ្យមានការ ទប់ស្កាត់ និងដោះស្រាយដោយស្វ័យប្រវត្តិ សកម្មភាពព្យាបាទ៖ ញែកកុំព្យូទ័រចេញ រារាំងដំណើរការ ត្រឡប់ការផ្លាស់ប្តូរទៅក្នុង Registry ឬមិនធ្វើការអ៊ិនគ្រីបវិញនៅពេលដែលអាចធ្វើទៅបាន។

បច្ចេកទេសមេរោគដែលគ្មានឯកសារបានផ្លាស់ប្តូរហ្គេម៖ គ្រាន់តែដំណើរការស្កេនកំចាត់មេរោគ និងការលុបឯកសារដែលអាចប្រតិបត្តិបានគួរឱ្យសង្ស័យគឺលែងគ្រប់គ្រាន់ទៀតហើយ។ សព្វថ្ងៃនេះ ការការពារពាក់ព័ន្ធនឹងការយល់ដឹងពីរបៀបដែលពួកវាយប្រហារកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដោយលាក់កូដនៅក្នុងអង្គចងចាំ បញ្ជីឈ្មោះ WMI ឬកម្មវិធីបង្កប់ និងការដាក់ពង្រាយការរួមបញ្ចូលគ្នានៃការត្រួតពិនិត្យអាកប្បកិរិយា ការវិភាគក្នុងអង្គចងចាំ EDR/XDR ការប្រមាញ់ការគំរាមកំហែង និងការអនុវត្តល្អបំផុត។ កាត់បន្ថយផលប៉ះពាល់ជាក់ស្តែង ការវាយប្រហារដែលតាមការរចនា ព្យាយាមមិនបន្សល់ទុកស្លាកស្នាមណាមួយឡើយ ខណៈពេលដែលដំណោះស្រាយបែបប្រពៃណីមើលទៅហាក់ដូចជាត្រូវការយុទ្ធសាស្ត្ររួម និងបន្ត។ ក្នុងករណីមានការសម្របសម្រួល ការដឹង ជួសជុល Windows បន្ទាប់ពីមេរោគធ្ងន់ធ្ងរ គឺចាំបាច់ណាស់។