"ನಿರಂತರ ಫೈಲ್‌ಗಳಿಲ್ಲದ ಮಾಲ್‌ವೇರ್" ಎಂದರೇನು ಮತ್ತು ಉಚಿತ ಪರಿಕರಗಳೊಂದಿಗೆ ಅದನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು

ನ ನೋಟ ನಿರಂತರ ಫೈಲ್‌ಗಳಿಲ್ಲದ ಮಾಲ್‌ವೇರ್ ಇದು ಭದ್ರತಾ ತಂಡಗಳಿಗೆ ನಿಜವಾದ ತಲೆನೋವಾಗಿದೆ. ಡಿಸ್ಕ್‌ನಿಂದ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ಅಳಿಸುವಾಗ ನೀವು "ಹಿಡಿಯುವ" ವಿಶಿಷ್ಟ ವೈರಸ್‌ನೊಂದಿಗೆ ನಾವು ವ್ಯವಹರಿಸುತ್ತಿಲ್ಲ, ಬದಲಿಗೆ ಮೆಮೊರಿಯಲ್ಲಿ ವಾಸಿಸುವ, ಕಾನೂನುಬದ್ಧ ಸಿಸ್ಟಮ್ ಪರಿಕರಗಳನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳುವ ಮತ್ತು ಅನೇಕ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಯಾವುದೇ ಬಳಸಬಹುದಾದ ಫೋರೆನ್ಸಿಕ್ ಕುರುಹುಗಳನ್ನು ಬಿಡದ ಬೆದರಿಕೆಗಳೊಂದಿಗೆ ನಾವು ವ್ಯವಹರಿಸುತ್ತಿದ್ದೇವೆ.

ಈ ರೀತಿಯ ದಾಳಿಯು ಮುಂದುವರಿದ ಗುಂಪುಗಳು ಮತ್ತು ಸೈಬರ್ ಅಪರಾಧಿಗಳಲ್ಲಿ ವಿಶೇಷವಾಗಿ ಜನಪ್ರಿಯವಾಗಿದೆ ಸಾಂಪ್ರದಾಯಿಕ ಆಂಟಿವೈರಸ್ ಸಾಫ್ಟ್‌ವೇರ್‌ನಿಂದ ತಪ್ಪಿಸಿಕೊಳ್ಳುವುದು, ಡೇಟಾವನ್ನು ಕದಿಯುವುದು ಮತ್ತು ಮರೆಮಾಡುವುದು ಸಾಧ್ಯವಾದಷ್ಟು ಕಾಲ. ಅವರು ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತಾರೆ, ಅವರು ಯಾವ ತಂತ್ರಗಳನ್ನು ಬಳಸುತ್ತಾರೆ ಮತ್ತು ಅವುಗಳನ್ನು ಹೇಗೆ ಪತ್ತೆಹಚ್ಚುತ್ತಾರೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಇಂದು ಸೈಬರ್ ಭದ್ರತೆಯನ್ನು ಗಂಭೀರವಾಗಿ ಪರಿಗಣಿಸಲು ಬಯಸುವ ಯಾವುದೇ ಸಂಸ್ಥೆಗೆ ಮುಖ್ಯವಾಗಿದೆ.

ಫೈಲ್‌ಲೆಸ್ ಮಾಲ್‌ವೇರ್ ಎಂದರೇನು ಮತ್ತು ಅದು ಏಕೆ ಅಂತಹ ಕಾಳಜಿಯಾಗಿದೆ?

ನಾವು ಬಗ್ಗೆ ಮಾತನಾಡುವಾಗ ಫೈಲ್‌ಲೆಸ್ ಮಾಲ್‌ವೇರ್ ಒಂದೇ ಒಂದು ಬೈಟ್ ಕೂಡ ಒಳಗೊಂಡಿಲ್ಲ ಎಂದು ನಾವು ಹೇಳುತ್ತಿಲ್ಲ, ಆದರೆ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಇದನ್ನು ಡಿಸ್ಕ್‌ನಲ್ಲಿ ಕ್ಲಾಸಿಕ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ ಆಗಿ ಸಂಗ್ರಹಿಸಲಾಗಿಲ್ಲ. ಎಂಡ್‌ಪಾಯಿಂಟ್‌ನಿಂದ. ಬದಲಾಗಿ, ಇದು ನೇರವಾಗಿ ಮೆಮೊರಿಯಲ್ಲಿ ಚಲಿಸುತ್ತದೆ ಅಥವಾ ರಿಜಿಸ್ಟ್ರಿ, WMI ಅಥವಾ ನಿಗದಿತ ಕಾರ್ಯಗಳಂತಹ ಕಡಿಮೆ ಗೋಚರಿಸುವ ಕಂಟೇನರ್‌ಗಳಲ್ಲಿ ಹೋಸ್ಟ್ ಆಗುತ್ತದೆ.

ಅನೇಕ ಸನ್ನಿವೇಶಗಳಲ್ಲಿ, ದಾಳಿಕೋರನು ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಈಗಾಗಲೇ ಇರುವ ಪರಿಕರಗಳನ್ನು ಅವಲಂಬಿಸಿರುತ್ತಾನೆ - ಪವರ್‌ಶೆಲ್, WMI, ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು, ಸಹಿ ಮಾಡಿದ ವಿಂಡೋಸ್ ಬೈನರಿಗಳು - ಪೇಲೋಡ್‌ಗಳನ್ನು ನೇರವಾಗಿ RAM ಗೆ ಲೋಡ್ ಮಾಡಿ, ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿ ಅಥವಾ ಕಾರ್ಯಗತಗೊಳಿಸಿ.ಈ ರೀತಿಯಾಗಿ, ಸಹಿ ಆಧಾರಿತ ಆಂಟಿವೈರಸ್ ಸಾಮಾನ್ಯ ಸ್ಕ್ಯಾನ್‌ನಲ್ಲಿ ಪತ್ತೆಹಚ್ಚಬಹುದಾದ ಸ್ಪಷ್ಟ ಕಾರ್ಯಗತಗೊಳ್ಳುವಿಕೆಯನ್ನು ಬಿಡುವುದನ್ನು ಇದು ತಪ್ಪಿಸುತ್ತದೆ.

ಇದಲ್ಲದೆ, ದಾಳಿ ಸರಪಳಿಯ ಒಂದು ಭಾಗವು "ಫೈಲ್‌ಲೆಸ್" ಆಗಿರಬಹುದು ಮತ್ತು ಇನ್ನೊಂದು ಭಾಗವು ಫೈಲ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ಬಳಸಬಹುದು, ಆದ್ದರಿಂದ ನಾವು ಒಂದಕ್ಕಿಂತ ಹೆಚ್ಚು ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತಿದ್ದೇವೆ ಫೈಲ್‌ಲೆಸ್ ತಂತ್ರಗಳ ವರ್ಣಪಟಲ ಒಂದೇ ಮಾಲ್‌ವೇರ್ ಕುಟುಂಬಕ್ಕೆ ಸೇರಿದ್ದು. ಅದಕ್ಕಾಗಿಯೇ ಒಂದೇ, ಮುಚ್ಚಿದ ವ್ಯಾಖ್ಯಾನವಿಲ್ಲ, ಬದಲಿಗೆ ಯಂತ್ರದ ಮೇಲೆ ಅವು ಬಿಡುವ ಪ್ರಭಾವದ ಮಟ್ಟವನ್ನು ಅವಲಂಬಿಸಿ ಹಲವಾರು ವರ್ಗಗಳಿವೆ.

ನಿರಂತರ ಫೈಲ್‌ಗಳಿಲ್ಲದ ಮಾಲ್‌ವೇರ್‌ನ ಮುಖ್ಯ ಗುಣಲಕ್ಷಣಗಳು

ಈ ಬೆದರಿಕೆಗಳ ಪ್ರಮುಖ ಆಸ್ತಿಯೆಂದರೆ ಅವುಗಳ ಸ್ಮೃತಿ-ಕೇಂದ್ರಿತ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು RAM ಗೆ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಹಾರ್ಡ್ ಡ್ರೈವ್‌ನಲ್ಲಿ ಸ್ಥಿರವಾದ ದುರುದ್ದೇಶಪೂರಿತ ಬೈನರಿ ಅಗತ್ಯವಿಲ್ಲದೆಯೇ ಕಾನೂನುಬದ್ಧ ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ. ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ಉತ್ತಮ ಮರೆಮಾಚುವಿಕೆಗಾಗಿ ಇದನ್ನು ನಿರ್ಣಾಯಕ ಸಿಸ್ಟಮ್ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ಇಂಜೆಕ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ.

ಮತ್ತೊಂದು ಪ್ರಮುಖ ಲಕ್ಷಣವೆಂದರೆ ಅಸಾಂಪ್ರದಾಯಿಕ ನಿರಂತರತೆಅನೇಕ ಫೈಲ್‌ರಹಿತ ಅಭಿಯಾನಗಳು ಸಂಪೂರ್ಣವಾಗಿ ಬಾಷ್ಪಶೀಲವಾಗಿರುತ್ತವೆ ಮತ್ತು ರೀಬೂಟ್ ಮಾಡಿದ ನಂತರ ಕಣ್ಮರೆಯಾಗುತ್ತವೆ, ಆದರೆ ಇತರವು ರಿಜಿಸ್ಟ್ರಿ ಆಟೋರನ್ ಕೀಗಳು, WMI ಚಂದಾದಾರಿಕೆಗಳು, ನಿಗದಿತ ಕಾರ್ಯಗಳು ಅಥವಾ BITS ಬಳಸಿ ಪುನಃ ಸಕ್ರಿಯಗೊಳಿಸಲು ನಿರ್ವಹಿಸುತ್ತವೆ, ಇದರಿಂದಾಗಿ "ಗೋಚರಿಸುವ" ಕಲಾಕೃತಿ ಕಡಿಮೆ ಇರುತ್ತದೆ ಮತ್ತು ನಿಜವಾದ ಪೇಲೋಡ್ ಪ್ರತಿ ಬಾರಿಯೂ ಮೆಮೊರಿಯಲ್ಲಿ ಮತ್ತೆ ಜೀವಿಸುತ್ತದೆ.

ಈ ವಿಧಾನವು ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ಬಹಳವಾಗಿ ಕಡಿಮೆ ಮಾಡುತ್ತದೆ ಸಹಿ ಆಧಾರಿತ ಪತ್ತೆವಿಶ್ಲೇಷಿಸಲು ಯಾವುದೇ ಸ್ಥಿರ ಕಾರ್ಯಗತಗೊಳ್ಳಬಹುದಾದ ಫೈಲ್ ಇಲ್ಲದಿರುವುದರಿಂದ, ನೀವು ಸಾಮಾನ್ಯವಾಗಿ ನೋಡುವುದು ಸಂಪೂರ್ಣವಾಗಿ ಕಾನೂನುಬದ್ಧವಾದ PowerShell.exe, wscript.exe, ಅಥವಾ mshta.exe, ಅನುಮಾನಾಸ್ಪದ ನಿಯತಾಂಕಗಳೊಂದಿಗೆ ಅಥವಾ ಅಸ್ಪಷ್ಟ ವಿಷಯವನ್ನು ಲೋಡ್ ಮಾಡುವುದರೊಂದಿಗೆ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ.

ಕೊನೆಯದಾಗಿ, ಅನೇಕ ನಟರು ಫೈಲ್‌ಲೆಸ್ ತಂತ್ರಗಳನ್ನು ಇತರರೊಂದಿಗೆ ಸಂಯೋಜಿಸುತ್ತಾರೆ ಟ್ರೋಜನ್‌ಗಳು, ರಾನ್ಸಮ್‌ವೇರ್ ಅಥವಾ ಆಡ್‌ವೇರ್‌ನಂತಹ ಮಾಲ್‌ವೇರ್‌ಗಳ ಪ್ರಕಾರಗಳು, ಪರಿಣಾಮವಾಗಿ ಹೈಬ್ರಿಡ್ ಅಭಿಯಾನಗಳು ಎರಡೂ ಪ್ರಪಂಚಗಳ ಅತ್ಯುತ್ತಮ (ಮತ್ತು ಕೆಟ್ಟ) ಮಿಶ್ರಣವಾಗುತ್ತವೆ: ನಿರಂತರತೆ ಮತ್ತು ರಹಸ್ಯ.

ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ ಅವುಗಳ ಹೆಜ್ಜೆಗುರುತಿನ ಪ್ರಕಾರ ಫೈಲ್‌ಲೆಸ್ ಬೆದರಿಕೆಗಳ ಪ್ರಕಾರಗಳು

ಹಲವಾರು ಭದ್ರತಾ ತಯಾರಕರು ಅವರು ಕಂಪ್ಯೂಟರ್‌ನಲ್ಲಿ ಬಿಡುವ ಕುರುಹುಗಳ ಪ್ರಕಾರ "ಫೈಲ್‌ಲೆಸ್" ಬೆದರಿಕೆಗಳನ್ನು ವರ್ಗೀಕರಿಸುತ್ತಾರೆ. ಈ ವರ್ಗೀಕರಣವು ನಾವು ಏನನ್ನು ನೋಡುತ್ತಿದ್ದೇವೆ ಮತ್ತು ಅದನ್ನು ಹೇಗೆ ತನಿಖೆ ಮಾಡುವುದು ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.

ವಿಧ I: ಯಾವುದೇ ಗೋಚರ ಫೈಲ್ ಚಟುವಟಿಕೆ ಇಲ್ಲ

ಅತ್ಯಂತ ರಹಸ್ಯವಾದ ಕೊನೆಯಲ್ಲಿ ನಾವು ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಕಂಡುಕೊಳ್ಳುತ್ತೇವೆ ಅದು ಇದು ಫೈಲ್ ಸಿಸ್ಟಮ್‌ಗೆ ಸಂಪೂರ್ಣವಾಗಿ ಏನನ್ನೂ ಬರೆಯುವುದಿಲ್ಲ.ಉದಾಹರಣೆಗೆ, ಕೋಡ್ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ನೆಟ್‌ವರ್ಕ್ ಪ್ಯಾಕೆಟ್‌ಗಳ ಮೂಲಕ ಬರುತ್ತದೆ (ಉದಾಹರಣೆಗೆ ಎಟರ್ನಲ್‌ಬ್ಲೂ), ನೇರವಾಗಿ ಮೆಮೊರಿಗೆ ಇಂಜೆಕ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಕರ್ನಲ್‌ನಲ್ಲಿ ಬ್ಯಾಕ್‌ಡೋರ್‌ನಂತೆ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ (ಡಬಲ್‌ಪಲ್ಸರ್ ಒಂದು ಸಾಂಕೇತಿಕ ಪ್ರಕರಣವಾಗಿತ್ತು).

ಇತರ ಸನ್ನಿವೇಶಗಳಲ್ಲಿ, ಸೋಂಕು ಇಲ್ಲಿ ನೆಲೆಸಿರುತ್ತದೆ BIOS ಫರ್ಮ್‌ವೇರ್, ನೆಟ್‌ವರ್ಕ್ ಕಾರ್ಡ್‌ಗಳು, USB ಸಾಧನಗಳು, ಅಥವಾ CPU ಒಳಗೆ ಉಪವ್ಯವಸ್ಥೆಗಳುಈ ರೀತಿಯ ಬೆದರಿಕೆಯು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ ಮರುಸ್ಥಾಪನೆಗಳು, ಡಿಸ್ಕ್ ಫಾರ್ಮ್ಯಾಟಿಂಗ್ ಮತ್ತು ಕೆಲವು ಸಂಪೂರ್ಣ ರೀಬೂಟ್‌ಗಳ ನಂತರವೂ ಬದುಕುಳಿಯಬಹುದು.

ಸಮಸ್ಯೆಯೆಂದರೆ ಹೆಚ್ಚಿನ ಭದ್ರತಾ ಪರಿಹಾರಗಳು ಅವರು ಫರ್ಮ್‌ವೇರ್ ಅಥವಾ ಮೈಕ್ರೋಕೋಡ್ ಅನ್ನು ಪರಿಶೀಲಿಸುವುದಿಲ್ಲ.ಮತ್ತು ಅವರು ಹಾಗೆ ಮಾಡಿದರೂ ಸಹ, ಪರಿಹಾರವು ಸಂಕೀರ್ಣವಾಗಿದೆ. ಅದೃಷ್ಟವಶಾತ್, ಈ ತಂತ್ರಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಹೆಚ್ಚು ಅತ್ಯಾಧುನಿಕ ನಟರಿಗೆ ಮೀಸಲಾಗಿರುತ್ತವೆ ಮತ್ತು ಸಾಮೂಹಿಕ ದಾಳಿಗಳಲ್ಲಿ ಅವು ರೂಢಿಯಾಗಿಲ್ಲ.

ವಿಧ II: ಫೈಲ್‌ಗಳ ಪರೋಕ್ಷ ಬಳಕೆ

ಎರಡನೇ ಗುಂಪು ಆಧರಿಸಿದೆ ಡಿಸ್ಕ್‌ನಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ರಚನೆಗಳಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.ಆದರೆ ಸಾಂಪ್ರದಾಯಿಕ ಕಾರ್ಯಗತಗೊಳ್ಳಬಹುದಾದ ಫೈಲ್‌ಗಳಾಗಿ ಅಲ್ಲ, ಆದರೆ ಕಾನೂನುಬದ್ಧ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಡೇಟಾವನ್ನು ಮಿಶ್ರಣ ಮಾಡುವ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ, ಸಿಸ್ಟಮ್‌ಗೆ ಹಾನಿಯಾಗದಂತೆ ಸ್ವಚ್ಛಗೊಳಿಸಲು ಕಷ್ಟ.

ವಿಶಿಷ್ಟ ಉದಾಹರಣೆಗಳೆಂದರೆ WMI ಭಂಡಾರ, ಅಸ್ಪಷ್ಟ ಸರಪಳಿಗಳು ನೋಂದಾವಣೆ ಕೀಲಿಗಳು ಅಥವಾ ಸ್ಪಷ್ಟವಾದ ದುರುದ್ದೇಶಪೂರಿತ ಬೈನರಿ ಇಲ್ಲದೆ ಅಪಾಯಕಾರಿ ಆಜ್ಞೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವ ನಿಗದಿತ ಕಾರ್ಯಗಳು. ಮಾಲ್‌ವೇರ್ ಈ ನಮೂದುಗಳನ್ನು ಕಮಾಂಡ್ ಲೈನ್ ಅಥವಾ ಸ್ಕ್ರಿಪ್ಟ್‌ನಿಂದ ನೇರವಾಗಿ ಸ್ಥಾಪಿಸಬಹುದು ಮತ್ತು ನಂತರ ವಾಸ್ತವಿಕವಾಗಿ ಅದೃಶ್ಯವಾಗಿ ಉಳಿಯಬಹುದು.

ತಾಂತ್ರಿಕವಾಗಿ ಫೈಲ್‌ಗಳು ಒಳಗೊಂಡಿದ್ದರೂ (ವಿಂಡೋಸ್ WMI ರೆಪೊಸಿಟರಿ ಅಥವಾ ರಿಜಿಸ್ಟ್ರಿ ಜೇನುಗೂಡನ್ನು ಸಂಗ್ರಹಿಸುವ ಭೌತಿಕ ಫೈಲ್), ಪ್ರಾಯೋಗಿಕ ಉದ್ದೇಶಗಳಿಗಾಗಿ ನಾವು ಮಾತನಾಡುತ್ತಿದ್ದೇವೆ ಫೈಲ್‌ರಹಿತ ಚಟುವಟಿಕೆ ಏಕೆಂದರೆ ಸರಳವಾಗಿ ಕ್ವಾರಂಟೈನ್ ಮಾಡಬಹುದಾದ ಯಾವುದೇ ಸ್ಪಷ್ಟ ಕಾರ್ಯಗತಗೊಳ್ಳುವ ವ್ಯವಸ್ಥೆ ಇಲ್ಲ.

ವಿಧ III: ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಫೈಲ್‌ಗಳ ಅಗತ್ಯವಿದೆ

ಮೂರನೇ ವಿಧವು ಬೆದರಿಕೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಅದು ಅವರು ಫೈಲ್‌ಗಳನ್ನು ಬಳಸುತ್ತಾರೆ, ಆದರೆ ಪತ್ತೆಹಚ್ಚಲು ಹೆಚ್ಚು ಉಪಯುಕ್ತವಲ್ಲದ ರೀತಿಯಲ್ಲಿ.ಒಂದು ಪ್ರಸಿದ್ಧ ಉದಾಹರಣೆಯೆಂದರೆ ಕೋವ್ಟರ್, ಇದು ರಿಜಿಸ್ಟ್ರಿಯಲ್ಲಿ ಯಾದೃಚ್ಛಿಕ ವಿಸ್ತರಣೆಗಳನ್ನು ನೋಂದಾಯಿಸುತ್ತದೆ, ಇದರಿಂದಾಗಿ ಆ ವಿಸ್ತರಣೆಯೊಂದಿಗೆ ಫೈಲ್ ತೆರೆದಾಗ, ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು mshta.exe ಅಥವಾ ಅಂತಹುದೇ ಸ್ಥಳೀಯ ಬೈನರಿ ಮೂಲಕ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ.

ಈ ಡಿಕಾಯ್ ಫೈಲ್‌ಗಳು ಅಪ್ರಸ್ತುತ ಡೇಟಾ ಮತ್ತು ನಿಜವಾದ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ ಇದನ್ನು ಇತರ ರಿಜಿಸ್ಟ್ರಿ ಕೀಗಳಿಂದ ಪಡೆಯಲಾಗುತ್ತದೆ. ಅಥವಾ ಆಂತರಿಕ ರೆಪೊಸಿಟರಿಗಳು. ಡಿಸ್ಕ್‌ನಲ್ಲಿ "ಏನೋ" ಇದ್ದರೂ, ಅದನ್ನು ರಾಜಿಯ ವಿಶ್ವಾಸಾರ್ಹ ಸೂಚಕವಾಗಿ ಬಳಸುವುದು ಸುಲಭವಲ್ಲ, ನೇರ ಸ್ವಚ್ಛಗೊಳಿಸುವ ಕಾರ್ಯವಿಧಾನವಾಗಿಯೂ ಅಲ್ಲ.

ಸಾಮಾನ್ಯ ಪ್ರವೇಶ ವಾಹಕಗಳು ಮತ್ತು ಸೋಂಕಿನ ಬಿಂದುಗಳು

ಹೆಜ್ಜೆಗುರುತು ವರ್ಗೀಕರಣದ ಹೊರತಾಗಿ, ಹೇಗೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಮುಖ್ಯವಾಗಿದೆ ನಿರಂತರ ಫೈಲ್‌ಗಳಿಲ್ಲದ ಮಾಲ್‌ವೇರ್ ಕಾರ್ಯರೂಪಕ್ಕೆ ಬರುವುದು ಇಲ್ಲಿಯೇ. ದೈನಂದಿನ ಜೀವನದಲ್ಲಿ, ದಾಳಿಕೋರರು ಪರಿಸರ ಮತ್ತು ಗುರಿಯನ್ನು ಅವಲಂಬಿಸಿ ಹಲವಾರು ವಾಹಕಗಳನ್ನು ಸಂಯೋಜಿಸುತ್ತಾರೆ.

ಶೋಷಣೆಗಳು ಮತ್ತು ದುರ್ಬಲತೆಗಳು

ಅತ್ಯಂತ ನೇರವಾದ ಮಾರ್ಗಗಳಲ್ಲಿ ಒಂದು ದುರುಪಯೋಗವಾಗಿದೆ ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ (RCE) ದುರ್ಬಲತೆಗಳು ಬ್ರೌಸರ್‌ಗಳು, ಪ್ಲಗಿನ್‌ಗಳು (ದಿನದಲ್ಲಿ ಫ್ಲಾಶ್ ಬ್ಯಾಕ್ ನಂತಹ), ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಅಥವಾ ನೆಟ್‌ವರ್ಕ್ ಸೇವೆಗಳಲ್ಲಿ (SMB, RDP, ಇತ್ಯಾದಿ). ಈ ಶೋಷಣೆ ಶೆಲ್‌ಕೋಡ್ ಅನ್ನು ಇಂಜೆಕ್ಟ್ ಮಾಡುತ್ತದೆ, ಅದು ದುರುದ್ದೇಶಪೂರಿತ ಪೇಲೋಡ್ ಅನ್ನು ನೇರವಾಗಿ ಮೆಮೊರಿಗೆ ಡೌನ್‌ಲೋಡ್ ಮಾಡುತ್ತದೆ ಅಥವಾ ಡಿಕೋಡ್ ಮಾಡುತ್ತದೆ.

ಈ ಮಾದರಿಯಲ್ಲಿ, ಆರಂಭಿಕ ಫೈಲ್ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿರಬಹುದು (ಶೋಷಣೆಗಳ ಪ್ರಕಾರ WannaCryಅಥವಾ ಬಳಕೆದಾರರು ತೆರೆಯುವ ಡಾಕ್ಯುಮೆಂಟ್‌ನಲ್ಲಿ, ಆದರೆ ಪೇಲೋಡ್ ಅನ್ನು ಡಿಸ್ಕ್‌ಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಆಗಿ ಎಂದಿಗೂ ಬರೆಯಲಾಗುವುದಿಲ್ಲ.: ಇದನ್ನು RAM ನಿಂದ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಹಾರಾಡುತ್ತ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ.

ದುರುದ್ದೇಶಪೂರಿತ ದಾಖಲೆಗಳು ಮತ್ತು ಮ್ಯಾಕ್ರೋಗಳು

ಮತ್ತೊಂದು ಅತೀವವಾಗಿ ಶೋಷಿತವಾದ ಮಾರ್ಗವೆಂದರೆ ಮ್ಯಾಕ್ರೋಗಳು ಅಥವಾ DDE ಹೊಂದಿರುವ ಕಚೇರಿ ದಾಖಲೆಗಳುಹಾಗೆಯೇ ಓದುಗರ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ PDF ಗಳು. ನಿರುಪದ್ರವವೆಂದು ತೋರುವ ವರ್ಡ್ ಅಥವಾ ಎಕ್ಸೆಲ್ ಫೈಲ್, ಪವರ್‌ಶೆಲ್, WMI ಅಥವಾ ಇತರ ಇಂಟರ್ಪ್ರಿಟರ್‌ಗಳನ್ನು ಕೋಡ್ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು, ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅಥವಾ ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ಶೆಲ್‌ಕೋಡ್ ಅನ್ನು ಇಂಜೆಕ್ಟ್ ಮಾಡಲು ಪ್ರಾರಂಭಿಸುವ VBA ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿರಬಹುದು.

ಇಲ್ಲಿ ಡಿಸ್ಕ್‌ನಲ್ಲಿರುವ ಫೈಲ್ "ಕೇವಲ" ಒಂದು ಡೇಟಾ ಕಂಟೇನರ್ ಆಗಿದೆ, ಆದರೆ ನಿಜವಾದ ವೆಕ್ಟರ್ ಅನ್ವಯದ ಆಂತರಿಕ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ ಎಂಜಿನ್ವಾಸ್ತವವಾಗಿ, ಅನೇಕ ಸಾಮೂಹಿಕ ಸ್ಪ್ಯಾಮ್ ಅಭಿಯಾನಗಳು ಕಾರ್ಪೊರೇಟ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳ ಮೇಲೆ ಫೈಲ್‌ಲೆಸ್ ದಾಳಿಗಳನ್ನು ನಿಯೋಜಿಸಲು ಈ ತಂತ್ರವನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಂಡಿವೆ.

ಕಾನೂನುಬದ್ಧ ಲಿಪಿಗಳು ಮತ್ತು ಬೈನರಿಗಳು (ಭೂಮಿಯಿಂದ ಹೊರಗೆ ವಾಸಿಸುವುದು)

ವಿಂಡೋಸ್ ಈಗಾಗಲೇ ಒದಗಿಸುವ ಪರಿಕರಗಳನ್ನು ದಾಳಿಕೋರರು ಇಷ್ಟಪಡುತ್ತಾರೆ: ಪವರ್‌ಶೆಲ್, wscript, cscript, mshta, rundll32, regsvr32ವಿಂಡೋಸ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಇನ್ಸ್ಟ್ರುಮೆಂಟೇಶನ್, ಬಿಟ್ಸ್, ಇತ್ಯಾದಿ. ಈ ಸಹಿ ಮಾಡಿದ ಮತ್ತು ವಿಶ್ವಾಸಾರ್ಹ ಬೈನರಿಗಳು ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು, ಡಿಎಲ್‌ಎಲ್‌ಗಳು ಅಥವಾ ರಿಮೋಟ್ ವಿಷಯವನ್ನು ಅನುಮಾನಾಸ್ಪದ "virus.exe" ಅಗತ್ಯವಿಲ್ಲದೇ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು.

ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ರವಾನಿಸುವ ಮೂಲಕ ಆಜ್ಞಾ ಸಾಲಿನ ನಿಯತಾಂಕಗಳುಅದನ್ನು ಚಿತ್ರಗಳಲ್ಲಿ ಎಂಬೆಡ್ ಮಾಡುವುದು, ಮೆಮೊರಿಯಲ್ಲಿ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡುವುದು ಮತ್ತು ಡಿಕೋಡ್ ಮಾಡುವುದು ಅಥವಾ ರಿಜಿಸ್ಟ್ರಿಯಲ್ಲಿ ಸಂಗ್ರಹಿಸುವುದರಿಂದ, ಆಂಟಿವೈರಸ್ ಕಾನೂನುಬದ್ಧ ಪ್ರಕ್ರಿಯೆಗಳಿಂದ ಮಾತ್ರ ಚಟುವಟಿಕೆಯನ್ನು ನೋಡುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ, ಫೈಲ್‌ಗಳ ಆಧಾರದ ಮೇಲೆ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿಸುತ್ತದೆ.

ರಾಜಿ ಮಾಡಿಕೊಂಡ ಹಾರ್ಡ್‌ವೇರ್ ಮತ್ತು ಫರ್ಮ್‌ವೇರ್

ಇನ್ನೂ ಕಡಿಮೆ ಮಟ್ಟದಲ್ಲಿ, ಮುಂದುವರಿದ ದಾಳಿಕೋರರು ಒಳನುಸುಳಬಹುದು BIOS ಫರ್ಮ್‌ವೇರ್, ನೆಟ್‌ವರ್ಕ್ ಕಾರ್ಡ್‌ಗಳು, ಹಾರ್ಡ್ ಡ್ರೈವ್‌ಗಳು ಅಥವಾ CPU ನಿರ್ವಹಣಾ ಉಪವ್ಯವಸ್ಥೆಗಳು (ಇಂಟೆಲ್ ME ಅಥವಾ AMT ನಂತಹವು). ಈ ರೀತಿಯ ಮಾಲ್‌ವೇರ್ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂನ ಕೆಳಗೆ ಚಲಿಸುತ್ತದೆ ಮತ್ತು OS ಗೆ ತಿಳಿಯದೆಯೇ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪ್ರತಿಬಂಧಿಸಬಹುದು ಅಥವಾ ಮಾರ್ಪಡಿಸಬಹುದು.

ಇದು ವಿಪರೀತ ಸನ್ನಿವೇಶವಾಗಿದ್ದರೂ, ಫೈಲ್‌ರಹಿತ ಬೆದರಿಕೆ ಎಷ್ಟರ ಮಟ್ಟಿಗೆ ಸಾಧ್ಯ ಎಂಬುದನ್ನು ಇದು ವಿವರಿಸುತ್ತದೆ OS ಫೈಲ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ಮುಟ್ಟದೆ ಸ್ಥಿರತೆಯನ್ನು ಕಾಪಾಡಿಕೊಳ್ಳಿಮತ್ತು ಈ ಸಂದರ್ಭಗಳಲ್ಲಿ ಕ್ಲಾಸಿಕ್ ಎಂಡ್‌ಪಾಯಿಂಟ್ ಪರಿಕರಗಳು ಏಕೆ ಕಡಿಮೆಯಾಗುತ್ತವೆ.

ನಿರಂತರ ಫೈಲ್‌ಗಳಿಲ್ಲದೆ ಮಾಲ್‌ವೇರ್ ದಾಳಿ ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ

ಹರಿವಿನ ಮಟ್ಟದಲ್ಲಿ, ಫೈಲ್‌ಲೆಸ್ ದಾಳಿಯು ಫೈಲ್-ಆಧಾರಿತ ದಾಳಿಗೆ ಹೋಲುತ್ತದೆ, ಆದರೆ ಸಂಬಂಧಿತ ವ್ಯತ್ಯಾಸಗಳು ಪೇಲೋಡ್ ಅನ್ನು ಹೇಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಪ್ರವೇಶವನ್ನು ಹೇಗೆ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ ಎಂಬುದರಲ್ಲಿ.

1. ವ್ಯವಸ್ಥೆಗೆ ಆರಂಭಿಕ ಪ್ರವೇಶ

ಆಕ್ರಮಣಕಾರನು ಮೊದಲ ಹೆಜ್ಜೆ ಇಟ್ಟಾಗ ಇದೆಲ್ಲವೂ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ: a ದುರುದ್ದೇಶಪೂರಿತ ಲಿಂಕ್ ಅಥವಾ ಲಗತ್ತನ್ನು ಹೊಂದಿರುವ ಫಿಶಿಂಗ್ ಇಮೇಲ್, ದುರ್ಬಲ ಅಪ್ಲಿಕೇಶನ್ ವಿರುದ್ಧದ ಶೋಷಣೆ, RDP ಅಥವಾ VPN ಗಾಗಿ ಕದ್ದ ರುಜುವಾತುಗಳು ಅಥವಾ ಟ್ಯಾಂಪರ್ ಮಾಡಿದ USB ಸಾಧನ.

ಈ ಹಂತದಲ್ಲಿ, ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ: ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ದುರುದ್ದೇಶಪೂರಿತ ಮರುನಿರ್ದೇಶನಗಳು, ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಚಾರಗಳು ಅಥವಾ ದುರುದ್ದೇಶಪೂರಿತ ವೈ-ಫೈ ದಾಳಿಗಳು ಬಳಕೆದಾರರು ಎಲ್ಲಿ ಕ್ಲಿಕ್ ಮಾಡಬಾರದು ಎಂಬುದನ್ನು ಮೋಸಗೊಳಿಸಲು ಅಥವಾ ಇಂಟರ್ನೆಟ್‌ನಲ್ಲಿ ಬಹಿರಂಗಗೊಂಡ ಸೇವೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲು.

2. ಮೆಮೊರಿಯಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು

ಮೊದಲ ನಮೂದನ್ನು ಪಡೆದ ನಂತರ, ಫೈಲ್‌ಲೆಸ್ ಘಟಕವನ್ನು ಪ್ರಚೋದಿಸಲಾಗುತ್ತದೆ: ಆಫೀಸ್ ಮ್ಯಾಕ್ರೋ ಪವರ್‌ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ, ಒಂದು ಎಕ್ಸ್‌ಪ್ಲೋಯಿಟ್ ಶೆಲ್‌ಕೋಡ್ ಅನ್ನು ಇಂಜೆಕ್ಟ್ ಮಾಡುತ್ತದೆ, WMI ಚಂದಾದಾರಿಕೆಯು ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಪ್ರಚೋದಿಸುತ್ತದೆ, ಇತ್ಯಾದಿ. ಗುರಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ನೇರವಾಗಿ RAM ಗೆ ಲೋಡ್ ಮಾಡಿಇಂಟರ್ನೆಟ್‌ನಿಂದ ಡೌನ್‌ಲೋಡ್ ಮಾಡುವ ಮೂಲಕ ಅಥವಾ ಎಂಬೆಡೆಡ್ ಡೇಟಾದಿಂದ ಪುನರ್ನಿರ್ಮಿಸುವ ಮೂಲಕ.

ಅಲ್ಲಿಂದ, ಮಾಲ್‌ವೇರ್ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸುವುದು, ಪಕ್ಕಕ್ಕೆ ಸರಿಸುವುದು, ರುಜುವಾತುಗಳನ್ನು ಕದಿಯುವುದು, ವೆಬ್‌ಶೆಲ್‌ಗಳನ್ನು ನಿಯೋಜಿಸುವುದು, RAT ಗಳನ್ನು ಸ್ಥಾಪಿಸುವುದು ಅಥವಾ ಡೇಟಾವನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡುವುದುಇದೆಲ್ಲವೂ ಶಬ್ದವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಕಾನೂನುಬದ್ಧ ಪ್ರಕ್ರಿಯೆಗಳಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ.

3. ನಿರಂತರತೆಯನ್ನು ಸ್ಥಾಪಿಸುವುದು

ಸಾಮಾನ್ಯ ತಂತ್ರಗಳಲ್ಲಿ ಇವುಗಳು:

• ಆಟೋರನ್ ಕೀಗಳು ಲಾಗಿನ್ ಆಗುವಾಗ ಆಜ್ಞೆಗಳು ಅಥವಾ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ರಿಜಿಸ್ಟ್ರಿಯಲ್ಲಿ.
• ನಿಗದಿತ ಕಾರ್ಯಗಳು ಅದು ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು, ನಿಯತಾಂಕಗಳನ್ನು ಹೊಂದಿರುವ ಕಾನೂನುಬದ್ಧ ಬೈನರಿಗಳು ಅಥವಾ ರಿಮೋಟ್ ಆಜ್ಞೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
• WMI ಚಂದಾದಾರಿಕೆಗಳು ಕೆಲವು ಸಿಸ್ಟಮ್ ಘಟನೆಗಳು ಸಂಭವಿಸಿದಾಗ ಅದು ಕೋಡ್ ಅನ್ನು ಪ್ರಚೋದಿಸುತ್ತದೆ.
• ಬಿಟ್ಸ್ ಬಳಕೆ ಆದೇಶ ಮತ್ತು ನಿಯಂತ್ರಣ ಸರ್ವರ್‌ಗಳಿಂದ ಪೇಲೋಡ್‌ಗಳ ಆವರ್ತಕ ಡೌನ್‌ಲೋಡ್‌ಗಳಿಗಾಗಿ.

ಸಂದರ್ಭಗಳಲ್ಲಿ, ನಿರಂತರ ಘಟಕವು ಕಡಿಮೆ ಇರುತ್ತದೆ ಮತ್ತು ಕೇವಲ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಮೆಮೊರಿಗೆ ಮರುಇಂಜೆಕ್ಟ್ ಮಾಡಿ ಪ್ರತಿ ಬಾರಿ ವ್ಯವಸ್ಥೆಯು ಪ್ರಾರಂಭವಾದಾಗ ಅಥವಾ ನಿರ್ದಿಷ್ಟ ಸ್ಥಿತಿಯನ್ನು ಪೂರೈಸಿದಾಗ.

4. ಗುರಿಗಳು ಮತ್ತು ಹೊರಹಾಕುವಿಕೆಯ ಮೇಲಿನ ಕ್ರಮಗಳು

ನಿರಂತರತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಂಡು, ಆಕ್ರಮಣಕಾರನು ತನಗೆ ನಿಜವಾಗಿಯೂ ಆಸಕ್ತಿ ಇರುವ ವಿಷಯಗಳ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸುತ್ತಾನೆ: ಮಾಹಿತಿಯನ್ನು ಕದಿಯುವುದು, ಅದನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡುವುದು, ವ್ಯವಸ್ಥೆಗಳನ್ನು ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸುವುದು ಅಥವಾ ತಿಂಗಳುಗಟ್ಟಲೆ ಬೇಹುಗಾರಿಕೆ ಮಾಡುವುದುHTTPS, DNS, ರಹಸ್ಯ ಚಾನಲ್‌ಗಳು ಅಥವಾ ಕಾನೂನುಬದ್ಧ ಸೇವೆಗಳ ಮೂಲಕ ಹೊರಹಾಕುವಿಕೆಯನ್ನು ಮಾಡಬಹುದು. ನೈಜ-ಪ್ರಪಂಚದ ಘಟನೆಗಳಲ್ಲಿ, ತಿಳಿದುಕೊಳ್ಳುವುದು ಹ್ಯಾಕ್ ಆದ ನಂತರ ಮೊದಲ 24 ಗಂಟೆಗಳಲ್ಲಿ ಏನು ಮಾಡಬೇಕು ವ್ಯತ್ಯಾಸವನ್ನು ಮಾಡಬಹುದು.

APT ದಾಳಿಗಳಲ್ಲಿ, ಮಾಲ್‌ವೇರ್ ಉಳಿಯುವುದು ಸಾಮಾನ್ಯವಾಗಿದೆ ದೀರ್ಘಕಾಲದವರೆಗೆ ಮೌನ ಮತ್ತು ರಹಸ್ಯ, ಮೂಲಸೌಕರ್ಯದ ಒಂದು ಭಾಗವನ್ನು ಪತ್ತೆಹಚ್ಚಿ ತೆರವುಗೊಳಿಸಿದರೂ ಸಹ ಪ್ರವೇಶವನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಹೆಚ್ಚುವರಿ ಹಿಂಬಾಗಿಲುಗಳನ್ನು ನಿರ್ಮಿಸುವುದು.

ಫೈಲ್‌ರಹಿತವಾಗಬಹುದಾದ ಮಾಲ್‌ವೇರ್‌ನ ಸಾಮರ್ಥ್ಯಗಳು ಮತ್ತು ಪ್ರಕಾರಗಳು

ಈ ವಿಧಾನವನ್ನು ಅನುಸರಿಸುವ ಮೂಲಕ ಕ್ಲಾಸಿಕ್ ಮಾಲ್‌ವೇರ್ ನಿರ್ವಹಿಸಬಹುದಾದ ಯಾವುದೇ ದುರುದ್ದೇಶಪೂರಿತ ಕಾರ್ಯವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. ಫೈಲ್‌ರಹಿತ ಅಥವಾ ಅರೆ-ಫೈಲ್‌ರಹಿತಬದಲಾಗುವುದು ಉದ್ದೇಶವಲ್ಲ, ಬದಲಾಗಿ ಕೋಡ್ ಅನ್ನು ನಿಯೋಜಿಸುವ ವಿಧಾನ.

ಮಾಲ್‌ವೇರ್ ಮೆಮೊರಿಯಲ್ಲಿ ಮಾತ್ರ ಇರುತ್ತದೆ

ಈ ವರ್ಗವು ಪೇಲೋಡ್‌ಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಅದು ಅವು ಪ್ರಕ್ರಿಯೆಯ ಅಥವಾ ಕರ್ನಲ್‌ನ ಸ್ಮರಣೆಯಲ್ಲಿ ಪ್ರತ್ಯೇಕವಾಗಿ ಬದುಕುತ್ತವೆ.ಆಧುನಿಕ ರೂಟ್‌ಕಿಟ್‌ಗಳು, ಮುಂದುವರಿದ ಬ್ಯಾಕ್‌ಡೋರ್‌ಗಳು ಅಥವಾ ಸ್ಪೈವೇರ್‌ಗಳು ಕಾನೂನುಬದ್ಧ ಪ್ರಕ್ರಿಯೆಯ ಮೆಮೊರಿ ಜಾಗಕ್ಕೆ ಲೋಡ್ ಆಗಬಹುದು ಮತ್ತು ಸಿಸ್ಟಮ್ ಮರುಪ್ರಾರಂಭಿಸುವವರೆಗೆ ಅಲ್ಲಿಯೇ ಉಳಿಯಬಹುದು.

ಈ ಘಟಕಗಳನ್ನು ಡಿಸ್ಕ್-ಆಧಾರಿತ ಪರಿಕರಗಳೊಂದಿಗೆ ನೋಡಲು ಕಷ್ಟವಾಗುತ್ತದೆ ಮತ್ತು ಬಳಕೆಯನ್ನು ಒತ್ತಾಯಿಸುತ್ತದೆ ಲೈವ್ ಮೆಮೊರಿ ವಿಶ್ಲೇಷಣೆ, ನೈಜ-ಸಮಯದ ತಪಾಸಣೆ ಅಥವಾ ಮುಂದುವರಿದ ವಿಧಿವಿಜ್ಞಾನ ಸಾಮರ್ಥ್ಯಗಳೊಂದಿಗೆ EDR.

ವಿಂಡೋಸ್ ರಿಜಿಸ್ಟ್ರಿ-ಆಧಾರಿತ ಮಾಲ್‌ವೇರ್

ಮತ್ತೊಂದು ಪುನರಾವರ್ತಿತ ತಂತ್ರವೆಂದರೆ ಸಂಗ್ರಹಿಸುವುದು ರಿಜಿಸ್ಟ್ರಿ ಕೀಗಳಲ್ಲಿ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಅಥವಾ ಅಸ್ಪಷ್ಟಗೊಳಿಸಿದ ಕೋಡ್ ಮತ್ತು ಅದನ್ನು ಮೆಮೊರಿಯಲ್ಲಿ ಓದಲು, ಡಿಕೋಡ್ ಮಾಡಲು ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕಾನೂನುಬದ್ಧ ಬೈನರಿ (ಪವರ್‌ಶೆಲ್, MSHTA, ಅಥವಾ rundll32 ನಂತಹ) ಬಳಸಿ.

ರಿಜಿಸ್ಟ್ರಿಗೆ ಬರೆದ ನಂತರ ಆರಂಭಿಕ ಡ್ರಾಪರ್ ಸ್ವಯಂ-ನಾಶವಾಗಬಹುದು, ಆದ್ದರಿಂದ ಉಳಿದಿರುವುದು ತೋರಿಕೆಯಲ್ಲಿ ನಿರುಪದ್ರವ ಡೇಟಾದ ಮಿಶ್ರಣವಾಗಿದೆ, ಅದು ವ್ಯವಸ್ಥೆಯು ಪ್ರಾರಂಭವಾದಾಗಲೆಲ್ಲಾ ಅವು ಬೆದರಿಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತವೆ. ಅಥವಾ ಪ್ರತಿ ಬಾರಿ ನಿರ್ದಿಷ್ಟ ಫೈಲ್ ತೆರೆದಾಗ.

ರಾನ್ಸಮ್‌ವೇರ್ ಮತ್ತು ಫೈಲ್‌ಲೆಸ್ ಟ್ರೋಜನ್‌ಗಳು

ಫೈಲ್‌ಲೆಸ್ ವಿಧಾನವು ತುಂಬಾ ಆಕ್ರಮಣಕಾರಿ ಲೋಡಿಂಗ್ ವಿಧಾನಗಳೊಂದಿಗೆ ಹೊಂದಿಕೆಯಾಗುವುದಿಲ್ಲ, ಉದಾಹರಣೆಗೆ ransomwareಡಿಸ್ಕ್‌ನಲ್ಲಿ ರಾನ್ಸಮ್‌ವೇರ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಬಿಡದೆ, ಪವರ್‌ಶೆಲ್ ಅಥವಾ WMI ಬಳಸಿ ಮೆಮೊರಿಯಲ್ಲಿ ಸಂಪೂರ್ಣ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡುವ, ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುವ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಅಭಿಯಾನಗಳಿವೆ.

ಅಂತೆಯೇ, ರಿಮೋಟ್ ಆಕ್ಸೆಸ್ ಟ್ರೋಜನ್‌ಗಳು (RAT ಗಳು)ಕೀಲಾಗರ್‌ಗಳು ಅಥವಾ ರುಜುವಾತು ಕಳ್ಳರು ಅರೆ-ಫೈಲ್‌ಲೆಸ್ ರೀತಿಯಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸಬಹುದು, ಬೇಡಿಕೆಯ ಮೇರೆಗೆ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಲೋಡ್ ಮಾಡಬಹುದು ಮತ್ತು ಕಾನೂನುಬದ್ಧ ಸಿಸ್ಟಮ್ ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ ಮುಖ್ಯ ತರ್ಕವನ್ನು ಹೋಸ್ಟ್ ಮಾಡಬಹುದು.

ಶೋಷಣೆ ಕಿಟ್‌ಗಳು ಮತ್ತು ಕದ್ದ ರುಜುವಾತುಗಳು

ವೆಬ್ ಎಕ್ಸ್‌ಪ್ಲೋಯ್ಟ್ ಕಿಟ್‌ಗಳು ಮತ್ತೊಂದು ಒಗಟಿನ ಭಾಗವಾಗಿದೆ: ಅವು ಸ್ಥಾಪಿಸಲಾದ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತವೆ, ಅವರು ಸೂಕ್ತವಾದ ಶೋಷಣೆಯನ್ನು ಆಯ್ಕೆ ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಪೇಲೋಡ್ ಅನ್ನು ನೇರವಾಗಿ ಮೆಮೊರಿಗೆ ಸೇರಿಸುತ್ತಾರೆ., ಆಗಾಗ್ಗೆ ಡಿಸ್ಕ್‌ನಲ್ಲಿ ಏನನ್ನೂ ಉಳಿಸದೆಯೇ.

ಮತ್ತೊಂದೆಡೆ, ಬಳಕೆ ಕದ್ದ ರುಜುವಾತುಗಳು ಇದು ಫೈಲ್‌ಲೆಸ್ ತಂತ್ರಗಳೊಂದಿಗೆ ಚೆನ್ನಾಗಿ ಹೊಂದಿಕೊಳ್ಳುವ ವೆಕ್ಟರ್ ಆಗಿದೆ: ದಾಳಿಕೋರನು ಕಾನೂನುಬದ್ಧ ಬಳಕೆದಾರನಾಗಿ ದೃಢೀಕರಿಸುತ್ತಾನೆ ಮತ್ತು ಅಲ್ಲಿಂದ, ಮಾಲ್‌ವೇರ್‌ನ ಯಾವುದೇ ಕ್ಲಾಸಿಕ್ ಕುರುಹುಗಳನ್ನು ಬಿಡದ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು ಮತ್ತು ಆಜ್ಞೆಗಳನ್ನು ನಿಯೋಜಿಸಲು ಸ್ಥಳೀಯ ಆಡಳಿತಾತ್ಮಕ ಪರಿಕರಗಳನ್ನು (ಪವರ್‌ಶೆಲ್ ರಿಮೋಟಿಂಗ್, WMI, PsExec) ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳುತ್ತಾನೆ.

ಫೈಲ್‌ರಹಿತ ಮಾಲ್‌ವೇರ್‌ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವುದು ಏಕೆ ತುಂಬಾ ಕಷ್ಟ?

ಇದಕ್ಕೆ ಮೂಲ ಕಾರಣವೆಂದರೆ ಈ ರೀತಿಯ ಬೆದರಿಕೆಯನ್ನು ನಿರ್ದಿಷ್ಟವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ ಸಾಂಪ್ರದಾಯಿಕ ರಕ್ಷಣಾ ಪದರಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಿಸಹಿಗಳು, ಶ್ವೇತಪಟ್ಟಿಗಳು ಮತ್ತು ಆವರ್ತಕ ಫೈಲ್ ಸ್ಕ್ಯಾನ್‌ಗಳನ್ನು ಆಧರಿಸಿದೆ.

ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಡಿಸ್ಕ್‌ನಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಆಗಿ ಎಂದಿಗೂ ಉಳಿಸದಿದ್ದರೆ, ಅಥವಾ ಅದು WMI, ರಿಜಿಸ್ಟ್ರಿ ಅಥವಾ ಫರ್ಮ್‌ವೇರ್‌ನಂತಹ ಮಿಶ್ರ ಕಂಟೇನರ್‌ಗಳಲ್ಲಿ ಮರೆಮಾಡಿದ್ದರೆ, ಸಾಂಪ್ರದಾಯಿಕ ಆಂಟಿವೈರಸ್ ಸಾಫ್ಟ್‌ವೇರ್ ವಿಶ್ಲೇಷಿಸಲು ಬಹಳ ಕಡಿಮೆ ಇರುತ್ತದೆ. "ಅನುಮಾನಾಸ್ಪದ ಫೈಲ್" ಬದಲಿಗೆ, ನಿಮ್ಮ ಬಳಿ ಇರುವುದು ಅಸಹಜವಾಗಿ ವರ್ತಿಸುವ ಕಾನೂನುಬದ್ಧ ಪ್ರಕ್ರಿಯೆಗಳು.

ಇದಲ್ಲದೆ, ಇದು ಪವರ್‌ಶೆಲ್, ಆಫೀಸ್ ಮ್ಯಾಕ್ರೋಗಳು ಅಥವಾ WMI ನಂತಹ ಪರಿಕರಗಳನ್ನು ಆಮೂಲಾಗ್ರವಾಗಿ ನಿರ್ಬಂಧಿಸುತ್ತದೆ. ಇದು ಅನೇಕ ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಕಾರ್ಯಸಾಧ್ಯವಲ್ಲ.ಏಕೆಂದರೆ ಅವು ಆಡಳಿತ, ಯಾಂತ್ರೀಕರಣ ಮತ್ತು ದೈನಂದಿನ ಕಾರ್ಯಾಚರಣೆಗಳಿಗೆ ಅತ್ಯಗತ್ಯ. ಇದು ವಕೀಲರನ್ನು ಬಹಳ ಎಚ್ಚರಿಕೆಯಿಂದ ಹೆಜ್ಜೆ ಹಾಕುವಂತೆ ಒತ್ತಾಯಿಸುತ್ತದೆ.

ಕೆಲವು ಮಾರಾಟಗಾರರು ತ್ವರಿತ ಪರಿಹಾರಗಳೊಂದಿಗೆ (ಜೆನೆರಿಕ್ ಪವರ್‌ಶೆಲ್ ಬ್ಲಾಕಿಂಗ್, ಒಟ್ಟು ಮ್ಯಾಕ್ರೋ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವಿಕೆ, ಕ್ಲೌಡ್-ಓನ್ಲಿ ಡಿಟೆಕ್ಷನ್, ಇತ್ಯಾದಿ) ಸರಿದೂಗಿಸಲು ಪ್ರಯತ್ನಿಸಿದ್ದಾರೆ, ಆದರೆ ಈ ಕ್ರಮಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಸಾಕಷ್ಟಿಲ್ಲದ ಅಥವಾ ಅತಿಯಾದ ಅಡ್ಡಿಪಡಿಸುವ ವ್ಯವಹಾರಕ್ಕಾಗಿ.

ಫೈಲ್‌ಲೆಸ್ ಮಾಲ್‌ವೇರ್‌ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಮತ್ತು ನಿಲ್ಲಿಸಲು ಆಧುನಿಕ ತಂತ್ರಗಳು

ಈ ಬೆದರಿಕೆಗಳನ್ನು ಎದುರಿಸಲು, ಕೇವಲ ಫೈಲ್‌ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವುದನ್ನು ಮೀರಿ ಕೇಂದ್ರೀಕೃತ ವಿಧಾನವನ್ನು ಅಳವಡಿಸಿಕೊಳ್ಳುವುದು ಅವಶ್ಯಕ. ನಡವಳಿಕೆ, ನೈಜ-ಸಮಯದ ಟೆಲಿಮೆಟ್ರಿ ಮತ್ತು ಆಳವಾದ ಗೋಚರತೆ ಅಂತಿಮ ಹಂತದ ಬಗ್ಗೆ.

ನಡವಳಿಕೆ ಮತ್ತು ಸ್ಮರಣೆಯ ಮೇಲ್ವಿಚಾರಣೆ

ಪರಿಣಾಮಕಾರಿ ವಿಧಾನವು ಪ್ರಕ್ರಿಯೆಗಳು ನಿಜವಾಗಿ ಏನು ಮಾಡುತ್ತವೆ ಎಂಬುದನ್ನು ಗಮನಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ: ಅವರು ಯಾವ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತಾರೆ, ಯಾವ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಪ್ರವೇಶಿಸುತ್ತಾರೆ, ಯಾವ ಸಂಪರ್ಕಗಳನ್ನು ಸ್ಥಾಪಿಸುತ್ತಾರೆಅವು ಪರಸ್ಪರ ಹೇಗೆ ಸಂಬಂಧಿಸಿವೆ, ಇತ್ಯಾದಿ. ಸಾವಿರಾರು ಮಾಲ್‌ವೇರ್ ರೂಪಾಂತರಗಳು ಅಸ್ತಿತ್ವದಲ್ಲಿದ್ದರೂ, ದುರುದ್ದೇಶಪೂರಿತ ನಡವಳಿಕೆಯ ಮಾದರಿಗಳು ಹೆಚ್ಚು ಸೀಮಿತವಾಗಿವೆ. ಇದನ್ನು YARA ನೊಂದಿಗೆ ಸುಧಾರಿತ ಪತ್ತೆ.

ಆಧುನಿಕ ಪರಿಹಾರಗಳು ಈ ಟೆಲಿಮೆಟ್ರಿಯನ್ನು ಇನ್-ಮೆಮೊರಿ ವಿಶ್ಲೇಷಣೆ, ಮುಂದುವರಿದ ಹ್ಯೂರಿಸ್ಟಿಕ್ಸ್ ಮತ್ತು ಸ್ವಯಂಚಾಲಿತ ಕಲಿಕೆ ಕೋಡ್ ಹೆಚ್ಚು ಅಸ್ಪಷ್ಟವಾಗಿದ್ದರೂ ಅಥವಾ ಹಿಂದೆಂದೂ ನೋಡಿರದಿದ್ದರೂ ಸಹ, ದಾಳಿ ಸರಪಳಿಗಳನ್ನು ಗುರುತಿಸಲು.

AMSI ಮತ್ತು ETW ನಂತಹ ಸಿಸ್ಟಮ್ ಇಂಟರ್ಫೇಸ್‌ಗಳ ಬಳಕೆ

ವಿಂಡೋಸ್ ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ನೀಡುತ್ತದೆ, ಉದಾಹರಣೆಗೆ ಆಂಟಿಮಾಲ್ವೇರ್ ಸ್ಕ್ಯಾನ್ ಇಂಟರ್ಫೇಸ್ (AMSI) y ವಿಂಡೋಸ್ (ETW) ಗಾಗಿ ಈವೆಂಟ್ ಟ್ರೇಸಿಂಗ್ ಈ ಮೂಲಗಳು ಸಿಸ್ಟಮ್ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳು ಮತ್ತು ಈವೆಂಟ್‌ಗಳನ್ನು ಅತ್ಯಂತ ಕಡಿಮೆ ಮಟ್ಟದಲ್ಲಿ ಪರಿಶೀಲಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಈ ಮೂಲಗಳನ್ನು ಭದ್ರತಾ ಪರಿಹಾರಗಳಲ್ಲಿ ಸಂಯೋಜಿಸುವುದರಿಂದ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ಸುಗಮಗೊಳಿಸುತ್ತದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಮೊದಲು ಅಥವಾ ಸಮಯದಲ್ಲಿ.

ಹೆಚ್ಚುವರಿಯಾಗಿ, ನಿರ್ಣಾಯಕ ಕ್ಷೇತ್ರಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವುದು - ನಿಗದಿತ ಕಾರ್ಯಗಳು, WMI ಚಂದಾದಾರಿಕೆಗಳು, ಬೂಟ್ ರಿಜಿಸ್ಟ್ರಿ ಕೀಗಳು, ಇತ್ಯಾದಿ - ಗುರುತಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ ಗುಪ್ತ ಫೈಲ್‌ಲೆಸ್ ಪರ್ಸಿಸ್ಟೆನ್ಸ್ ಸರಳ ಫೈಲ್ ಸ್ಕ್ಯಾನ್ ಮೂಲಕ ಅದು ಗಮನಕ್ಕೆ ಬಾರದೆ ಹೋಗಬಹುದು.

ಬೆದರಿಕೆ ಬೇಟೆ ಮತ್ತು ದಾಳಿಯ ಸೂಚಕಗಳು (IoA)

ಕ್ಲಾಸಿಕ್ ಸೂಚಕಗಳು (ಹ್ಯಾಶ್‌ಗಳು, ಫೈಲ್ ಪಥಗಳು) ಕಡಿಮೆಯಾಗುವುದರಿಂದ, ಅವಲಂಬಿಸುವುದು ಸೂಕ್ತ ದಾಳಿಯ ಸೂಚಕಗಳು (IoA), ಇದು ತಿಳಿದಿರುವ ತಂತ್ರಗಳಿಗೆ ಹೊಂದಿಕೆಯಾಗುವ ಅನುಮಾನಾಸ್ಪದ ನಡವಳಿಕೆಗಳು ಮತ್ತು ಕ್ರಿಯೆಗಳ ಅನುಕ್ರಮಗಳನ್ನು ವಿವರಿಸುತ್ತದೆ.

ಬೆದರಿಕೆ ಬೇಟೆ ತಂಡಗಳು - ಆಂತರಿಕ ಅಥವಾ ನಿರ್ವಹಿಸಲಾದ ಸೇವೆಗಳ ಮೂಲಕ - ಪೂರ್ವಭಾವಿಯಾಗಿ ಹುಡುಕಬಹುದು ಪಾರ್ಶ್ವ ಚಲನೆಯ ಮಾದರಿಗಳು, ಸ್ಥಳೀಯ ಉಪಕರಣಗಳ ದುರುಪಯೋಗ, ಪವರ್‌ಶೆಲ್ ಬಳಕೆಯಲ್ಲಿನ ವೈಪರೀತ್ಯಗಳು ಅಥವಾ ಸೂಕ್ಷ್ಮ ಡೇಟಾಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶ, ವಿಪತ್ತನ್ನು ಪ್ರಚೋದಿಸುವ ಮೊದಲು ಫೈಲ್‌ರಹಿತ ಬೆದರಿಕೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವುದು.

EDR, XDR ಮತ್ತು SOC 24/7

ಆಧುನಿಕ ವೇದಿಕೆಗಳು EDR ಮತ್ತು XDR (ವಿಸ್ತೃತ ಮಟ್ಟದಲ್ಲಿ ಎಂಡ್‌ಪಾಯಿಂಟ್ ಪತ್ತೆ ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆ) ಮೊದಲ ಫಿಶಿಂಗ್ ಇಮೇಲ್‌ನಿಂದ ಅಂತಿಮ ಹೊರಹರಿವಿನವರೆಗೆ ಘಟನೆಯ ಸಂಪೂರ್ಣ ಇತಿಹಾಸವನ್ನು ಪುನರ್ನಿರ್ಮಿಸಲು ಅಗತ್ಯವಾದ ಗೋಚರತೆ ಮತ್ತು ಪರಸ್ಪರ ಸಂಬಂಧವನ್ನು ಒದಗಿಸುತ್ತದೆ.

ಒಂದು ಜೊತೆ ಸಂಯೋಜಿಸಲಾಗಿದೆ 24/7 ಕಾರ್ಯಾಚರಣೆಯ SOCಅವು ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ಮಾತ್ರವಲ್ಲದೆ, ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಒಳಗೊಂಡಿರುತ್ತದೆ ಮತ್ತು ನಿವಾರಿಸುತ್ತದೆ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆ: ಕಂಪ್ಯೂಟರ್‌ಗಳನ್ನು ಪ್ರತ್ಯೇಕಿಸುವುದು, ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ನಿರ್ಬಂಧಿಸುವುದು, ರಿಜಿಸ್ಟ್ರಿಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಹಿಂತಿರುಗಿಸುವುದು ಅಥವಾ ಸಾಧ್ಯವಾದಾಗ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ರದ್ದುಗೊಳಿಸುವುದು.

ಫೈಲ್‌ಲೆಸ್ ಮಾಲ್‌ವೇರ್ ತಂತ್ರಗಳು ಆಟವನ್ನು ಬದಲಾಯಿಸಿವೆ: ಕೇವಲ ಆಂಟಿವೈರಸ್ ಸ್ಕ್ಯಾನ್ ಅನ್ನು ಚಲಾಯಿಸುವುದು ಮತ್ತು ಅನುಮಾನಾಸ್ಪದ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ಅಳಿಸುವುದು ಇನ್ನು ಮುಂದೆ ಸಾಕಾಗುವುದಿಲ್ಲ. ಇಂದು, ರಕ್ಷಣೆಯು ಮೆಮೊರಿ, ರಿಜಿಸ್ಟ್ರಿ, WMI ಅಥವಾ ಫರ್ಮ್‌ವೇರ್‌ನಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಮರೆಮಾಡುವ ಮೂಲಕ ಮತ್ತು ವರ್ತನೆಯ ಮೇಲ್ವಿಚಾರಣೆ, ಇನ್-ಮೆಮೊರಿ ವಿಶ್ಲೇಷಣೆ, EDR/XDR, ಬೆದರಿಕೆ ಬೇಟೆ ಮತ್ತು ಉತ್ತಮ ಅಭ್ಯಾಸಗಳ ಸಂಯೋಜನೆಯನ್ನು ನಿಯೋಜಿಸುವ ಮೂಲಕ ದಾಳಿಕೋರರು ದುರ್ಬಲತೆಗಳನ್ನು ಹೇಗೆ ಬಳಸಿಕೊಳ್ಳುತ್ತಾರೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ಪರಿಣಾಮವನ್ನು ವಾಸ್ತವಿಕವಾಗಿ ಕಡಿಮೆ ಮಾಡಿ ಸಾಂಪ್ರದಾಯಿಕ ಪರಿಹಾರಗಳು ಕಾಣುವ ಯಾವುದೇ ಕುರುಹುಗಳನ್ನು ಬಿಡಲು ಪ್ರಯತ್ನಿಸದ ದಾಳಿಗಳು, ಅವುಗಳ ವಿನ್ಯಾಸದಿಂದ ಸಮಗ್ರ ಮತ್ತು ನಿರಂತರ ಕಾರ್ಯತಂತ್ರದ ಅಗತ್ಯವಿರುತ್ತದೆ. ರಾಜಿ ಸಂದರ್ಭದಲ್ಲಿ, ತಿಳಿದುಕೊಳ್ಳುವುದು ಗಂಭೀರ ವೈರಸ್ ನಂತರ ವಿಂಡೋಸ್ ಅನ್ನು ದುರಸ್ತಿ ಮಾಡಿ ಅತ್ಯಗತ್ಯ.