ഫയലില്ലാത്ത ഫയലുകൾ തിരിച്ചറിയൽ: മെമ്മറിയിലെ മാൽവെയർ കണ്ടെത്തുന്നതിനും നിർത്തുന്നതിനുമുള്ള ഒരു സമ്പൂർണ്ണ ഗൈഡ്.

ഡിസ്കിൽ ഒരു സൂചന പോലും അവശേഷിപ്പിക്കാതെ പ്രവർത്തിക്കുന്ന ആക്രമണങ്ങൾ പല സുരക്ഷാ ടീമുകൾക്കും വലിയ തലവേദനയായി മാറിയിരിക്കുന്നു, കാരണം അവ പൂർണ്ണമായും മെമ്മറിയിൽ നടപ്പിലാക്കുകയും നിയമാനുസൃതമായ സിസ്റ്റം പ്രക്രിയകളെ ചൂഷണം ചെയ്യുകയും ചെയ്യുന്നു. അതിനാൽ അറിയേണ്ടതിന്റെ പ്രാധാന്യം ഫയലില്ലാത്ത ഫയലുകൾ എങ്ങനെ തിരിച്ചറിയാം അവർക്കെതിരെ സ്വയം പ്രതിരോധിക്കുക.

തലക്കെട്ടുകൾക്കും ട്രെൻഡുകൾക്കും അപ്പുറം, അവ എങ്ങനെ പ്രവർത്തിക്കുന്നു, എന്തുകൊണ്ട് അവ ഇത്രയധികം അവ്യക്തമാണ്, ഏതൊക്കെ അടയാളങ്ങൾ നമുക്ക് അവ കണ്ടെത്താൻ അനുവദിക്കുന്നു എന്നതിനെക്കുറിച്ചുള്ള ധാരണയാണ് ഒരു സംഭവം ഉൾക്കൊള്ളുന്നതും ഒരു ലംഘനത്തിൽ ഖേദിക്കുന്നതും തമ്മിലുള്ള വ്യത്യാസം നിർണ്ണയിക്കുന്നത്. തുടർന്നുള്ള വരികളിൽ, ഞങ്ങൾ പ്രശ്നം വിശകലനം ചെയ്യുകയും നിർദ്ദേശിക്കുകയും ചെയ്യുന്നു പരിഹാരങ്ങൾ.

ഫയലില്ലാത്ത മാൽവെയർ എന്താണ്, അത് എന്തുകൊണ്ട് പ്രാധാന്യമർഹിക്കുന്നു?

 

ഫയലില്ലാത്ത മാൽവെയർ ഒരു പ്രത്യേക കുടുംബമല്ല, മറിച്ച് പ്രവർത്തിക്കാനുള്ള ഒരു മാർഗമാണ്: എക്സിക്യൂട്ടബിളുകൾ ഡിസ്കിലേക്ക് എഴുതുന്നത് ഒഴിവാക്കുക. സിസ്റ്റത്തിൽ ഇതിനകം തന്നെ നിലവിലുള്ള സേവനങ്ങളും ബൈനറികളും ഉപയോഗിച്ചാണ് ഇത് മാലിഷ്യസ് കോഡ് എക്സിക്യൂട്ട് ചെയ്യുന്നത്. എളുപ്പത്തിൽ സ്കാൻ ചെയ്യാൻ കഴിയുന്ന ഒരു ഫയൽ ഉപേക്ഷിക്കുന്നതിനുപകരം, ആക്രമണകാരി വിശ്വസനീയമായ യൂട്ടിലിറ്റികളെ ദുരുപയോഗം ചെയ്യുകയും അതിന്റെ ലോജിക് നേരിട്ട് റാമിലേക്ക് ലോഡ് ചെയ്യുകയും ചെയ്യുന്നു.

ഈ സമീപനം പലപ്പോഴും 'ഭൂമിയിൽ നിന്ന് മാറി ജീവിക്കുക' എന്ന തത്ത്വചിന്തയിൽ ഉൾപ്പെടുന്നു: ആക്രമണകാരികൾ ഉപകരണമാക്കുന്നു പവർഷെൽ, ഡബ്ല്യുഎംഐ, എംഷ്ത, റൺഡിഎൽ32 പോലുള്ള നേറ്റീവ് ടൂളുകൾ അല്ലെങ്കിൽ കുറഞ്ഞ ശബ്ദത്തോടെ ലക്ഷ്യങ്ങൾ നേടുന്നതിന് VBScript, JScript പോലുള്ള സ്ക്രിപ്റ്റിംഗ് എഞ്ചിനുകൾ.

അതിന്റെ ഏറ്റവും പ്രതിനിധാന സവിശേഷതകളിൽ നമുക്ക് ഇവ കണ്ടെത്താനാകും: വോളറ്റൈൽ മെമ്മറിയിൽ എക്സിക്യൂഷൻ, ഡിസ്കിൽ സ്ഥിരത കുറവോ ഇല്ലയോ, സിസ്റ്റം-സൈൻ ചെയ്ത ഘടകങ്ങളുടെ ഉപയോഗവും സിഗ്നേച്ചർ അധിഷ്ഠിത എഞ്ചിനുകൾക്കെതിരെ ഉയർന്ന ഒഴിവാക്കൽ ശേഷിയും.

റീബൂട്ടിന് ശേഷം നിരവധി പേലോഡുകൾ അപ്രത്യക്ഷമാകുമെങ്കിലും, വഞ്ചിതരാകരുത്: എതിരാളികൾക്ക് സ്ഥിരത സ്ഥാപിക്കാൻ കഴിയും സംശയാസ്പദമായ ബൈനറികൾ ഡിസ്കിൽ അവശേഷിപ്പിക്കാതെ, രജിസ്ട്രി കീകൾ, WMI സബ്സ്ക്രിപ്ഷനുകൾ അല്ലെങ്കിൽ ഷെഡ്യൂൾ ചെയ്ത ടാസ്ക്കുകൾ എന്നിവ ഉപയോഗിച്ച്.

ഫയലുകളില്ലാത്ത ഫയലുകൾ തിരിച്ചറിയാൻ നമുക്ക് ഇത്ര ബുദ്ധിമുട്ട് തോന്നുന്നത് എന്തുകൊണ്ട്?

ആദ്യത്തെ തടസ്സം വ്യക്തമാണ്: പരിശോധിക്കാൻ അസാധാരണമായ ഫയലുകളൊന്നുമില്ല.സാധുവായ പ്രക്രിയകളിലാണ് എക്സിക്യൂഷൻ നിലനിൽക്കുകയും മെമ്മറിയിൽ ക്ഷുദ്ര യുക്തി നിലനിൽക്കുകയും ചെയ്യുമ്പോൾ, ഒപ്പുകളും ഫയൽ വിശകലനവും അടിസ്ഥാനമാക്കിയുള്ള പരമ്പരാഗത ആന്റിവൈറസ് പ്രോഗ്രാമുകൾക്ക് തന്ത്രങ്ങൾക്ക് ഇടമില്ല.

രണ്ടാമത്തേത് കൂടുതൽ സൂക്ഷ്മമാണ്: ആക്രമണകാരികൾ പിന്നിൽ നിന്ന് സ്വയം മറയ്ക്കുന്നു നിയമാനുസൃത ഓപ്പറേറ്റിംഗ് സിസ്റ്റം പ്രക്രിയകൾപവർഷെൽ അല്ലെങ്കിൽ ഡബ്ല്യുഎംഐ അഡ്മിനിസ്ട്രേഷനായി ദിവസവും ഉപയോഗിക്കുകയാണെങ്കിൽ, സന്ദർഭവും പെരുമാറ്റ ടെലിമെട്രിയും ഇല്ലാതെ സാധാരണ ഉപയോഗത്തെയും ക്ഷുദ്ര ഉപയോഗത്തെയും എങ്ങനെ വേർതിരിച്ചറിയാൻ കഴിയും?

കൂടാതെ, നിർണായക ഉപകരണങ്ങളെ അന്ധമായി തടയുന്നത് സാധ്യമല്ല. ബോർഡിലുടനീളം പവർഷെൽ അല്ലെങ്കിൽ ഓഫീസ് മാക്രോകൾ പ്രവർത്തനരഹിതമാക്കുന്നത് പ്രവർത്തനങ്ങളെ തടസ്സപ്പെടുത്തുകയും ഇത് ദുരുപയോഗങ്ങളെ പൂർണ്ണമായും തടയുന്നില്ല.കാരണം ലളിതമായ ബ്ലോക്കുകളെ മറികടക്കാൻ ഒന്നിലധികം ബദൽ നിർവ്വഹണ പാതകളും സാങ്കേതിക വിദ്യകളും ഉണ്ട്.

ഇതിനെല്ലാം പുറമേ, ക്ലൗഡ് അധിഷ്ഠിത അല്ലെങ്കിൽ സെർവർ-സൈഡ് കണ്ടെത്തൽ പ്രശ്നങ്ങൾ തടയാൻ വളരെ വൈകിയിരിക്കുന്നു. പ്രശ്നത്തിൽ തത്സമയ പ്രാദേശിക ദൃശ്യപരത ഇല്ലാതെ... കമാൻഡ് ലൈനുകൾ, പ്രോസസ്സ് ബന്ധങ്ങൾ, ലോഗ് ഇവന്റുകൾഡിസ്കിൽ ഒരു സൂചനയും അവശേഷിപ്പിക്കാത്ത ഒരു ദോഷകരമായ ഒഴുക്ക് ഏജന്റിന് പെട്ടെന്ന് ലഘൂകരിക്കാൻ കഴിയില്ല.

ഫയലില്ലാത്ത ഒരു ആക്രമണം തുടക്കം മുതൽ അവസാനം വരെ എങ്ങനെ പ്രവർത്തിക്കുന്നു

പ്രാരംഭ ആക്സസ് സാധാരണയായി എല്ലായ്പ്പോഴും ഉള്ള അതേ വെക്റ്ററുകളിൽ സംഭവിക്കുന്നു: ഓഫീസ് രേഖകൾ ഉപയോഗിച്ച് ഫിഷിംഗ് സജീവ ഉള്ളടക്കം, അപഹരിക്കപ്പെട്ട സൈറ്റുകളിലേക്കുള്ള ലിങ്കുകൾ, തുറന്നുകാണിക്കപ്പെട്ട ആപ്ലിക്കേഷനുകളിലെ ദുർബലതകൾ ഉപയോഗപ്പെടുത്തൽ, അല്ലെങ്കിൽ RDP അല്ലെങ്കിൽ മറ്റ് സേവനങ്ങൾ വഴി ആക്‌സസ് ചെയ്യുന്നതിന് ചോർന്ന ക്രെഡൻഷ്യലുകളുടെ ദുരുപയോഗം എന്നിവ പ്രവർത്തനക്ഷമമാക്കാൻ ആവശ്യപ്പെടുന്നവ.

അകത്തു കടന്നാൽ, എതിരാളി ഡിസ്കിൽ തൊടാതെ തന്നെ പ്രവർത്തിപ്പിക്കാൻ ശ്രമിക്കുന്നു. ഇതിനായി, അവർ സിസ്റ്റം പ്രവർത്തനങ്ങളെ പരസ്പരം ബന്ധിപ്പിക്കുന്നു: ഡോക്യുമെന്റുകളിലെ മാക്രോകൾ അല്ലെങ്കിൽ ഡിഡിഇ കമാൻഡുകൾ സമാരംഭിക്കുക, RCE-യ്‌ക്കായി ഓവർഫ്ലോകൾ ഉപയോഗപ്പെടുത്തുക, അല്ലെങ്കിൽ മെമ്മറിയിൽ കോഡ് ലോഡുചെയ്യാനും നടപ്പിലാക്കാനും അനുവദിക്കുന്ന വിശ്വസനീയമായ ബൈനറികളെ വിളിക്കുക.

പ്രവർത്തനത്തിന് തുടർച്ച ആവശ്യമാണെങ്കിൽ, പുതിയ എക്സിക്യൂട്ടബിളുകൾ വിന്യസിക്കാതെ തന്നെ പെർസിസ്റ്റൻസ് നടപ്പിലാക്കാൻ കഴിയും: രജിസ്ട്രിയിലെ സ്റ്റാർട്ടപ്പ് എൻട്രികൾചില വ്യവസ്ഥകളിൽ സ്ക്രിപ്റ്റുകൾ ട്രിഗർ ചെയ്യുന്ന സിസ്റ്റം ഇവന്റുകളോടോ ഷെഡ്യൂൾ ചെയ്ത ടാസ്‌ക്കുകളോടോ പ്രതികരിക്കുന്ന WMI സബ്‌സ്‌ക്രിപ്‌ഷനുകൾ.

ലക്ഷ്യം നടപ്പിലാക്കൽ സ്ഥാപിച്ചുകഴിഞ്ഞാൽ, ലക്ഷ്യം ഇനിപ്പറയുന്ന ഘട്ടങ്ങൾ നിർദ്ദേശിക്കുന്നു: വശങ്ങളിലേക്ക് നീങ്ങുക, ഡാറ്റ എക്‌സ്‌ഫിൽട്രേറ്റ് ചെയ്യുകക്രെഡൻഷ്യലുകൾ മോഷ്ടിക്കുക, ഒരു RAT വിന്യസിക്കുക, ക്രിപ്‌റ്റോകറൻസികൾ ഖനനം ചെയ്യുക, അല്ലെങ്കിൽ റാൻസംവെയറിന്റെ കാര്യത്തിൽ ഫയൽ എൻക്രിപ്ഷൻ സജീവമാക്കുക എന്നിവ ഇതിൽ ഉൾപ്പെടുന്നു. സാധ്യമാകുമ്പോഴെല്ലാം നിലവിലുള്ള പ്രവർത്തനങ്ങളെ ഉപയോഗപ്പെടുത്തിയാണ് ഇതെല്ലാം ചെയ്യുന്നത്.

തെളിവുകൾ നീക്കം ചെയ്യുന്നത് പദ്ധതിയുടെ ഭാഗമാണ്: സംശയാസ്പദമായ ബൈനറികൾ എഴുതാതിരിക്കുന്നതിലൂടെ, ആക്രമണകാരി വിശകലനം ചെയ്യേണ്ട പുരാവസ്തുക്കൾ ഗണ്യമായി കുറയ്ക്കുന്നു. സാധാരണ സംഭവങ്ങൾക്കിടയിൽ അവയുടെ പ്രവർത്തനം കൂട്ടിക്കലർത്തുന്നു സിസ്റ്റത്തിന്റെ പ്രവർത്തനം മെച്ചപ്പെടുത്തുകയും സാധ്യമാകുമ്പോഴെല്ലാം താൽക്കാലിക ട്രെയ്‌സുകൾ ഇല്ലാതാക്കുകയും ചെയ്യുക.

അവർ സാധാരണയായി ഉപയോഗിക്കുന്ന സാങ്കേതിക വിദ്യകളും ഉപകരണങ്ങളും

കാറ്റലോഗ് വിപുലമാണ്, പക്ഷേ ഇത് മിക്കവാറും എല്ലായ്‌പ്പോഴും നേറ്റീവ് യൂട്ടിലിറ്റികളെയും വിശ്വസനീയമായ റൂട്ടുകളെയും ചുറ്റിപ്പറ്റിയാണ്. ഇവ ഏറ്റവും സാധാരണമായ ചിലതാണ്, എല്ലായ്പ്പോഴും ലക്ഷ്യത്തോടെ മെമ്മറിയിലെ എക്സിക്യൂഷൻ പരമാവധിയാക്കുക ട്രെയ്സ് മങ്ങിക്കുക:

• പവർഷെൽശക്തമായ സ്ക്രിപ്റ്റിംഗ്, വിൻഡോസ് API-കളിലേക്കുള്ള ആക്‌സസ്, ഓട്ടോമേഷൻ. ഇതിന്റെ വൈവിധ്യം അഡ്മിനിസ്ട്രേഷനും കുറ്റകരമായ ദുരുപയോഗത്തിനും ഒരുപോലെ പ്രിയപ്പെട്ടതാക്കുന്നു.
• WMI (Windows Management Instrumentation)സിസ്റ്റം ഇവന്റുകളെക്കുറിച്ച് അന്വേഷിക്കാനും അവയോട് പ്രതികരിക്കാനും, റിമോട്ട്, ലോക്കൽ പ്രവർത്തനങ്ങൾ നടത്താനും ഇത് നിങ്ങളെ അനുവദിക്കുന്നു; ഉപയോഗപ്രദമാണ് സ്ഥിരോത്സാഹവും സംഘാടനവും.
• വിബിസ്ക്രിപ്റ്റും ജെസ്ക്രിപ്റ്റും: സിസ്റ്റം ഘടകങ്ങളിലൂടെ ലോജിക്കിന്റെ നിർവ്വഹണം സുഗമമാക്കുന്ന നിരവധി പരിതസ്ഥിതികളിൽ നിലവിലുള്ള എഞ്ചിനുകൾ.
• mshta, rundll32, മറ്റ് വിശ്വസനീയ ബൈനറികൾ എന്നിവ: ശരിയായി ബന്ധിപ്പിച്ചാൽ, അറിയപ്പെടുന്ന LoLBins-കൾക്ക് കഴിയും ആർട്ടിഫാക്റ്റുകൾ ഉപേക്ഷിക്കാതെ കോഡ് എക്സിക്യൂട്ട് ചെയ്യുക. ഡിസ്കിൽ വ്യക്തമാണ്.
• സജീവ ഉള്ളടക്കമുള്ള പ്രമാണങ്ങൾഓഫീസിലെ മാക്രോകൾ അല്ലെങ്കിൽ ഡിഡിഇ, അതുപോലെ തന്നെ വിപുലമായ സവിശേഷതകളുള്ള PDF റീഡറുകൾ എന്നിവ മെമ്മറിയിൽ കമാൻഡുകൾ സമാരംഭിക്കുന്നതിനുള്ള ഒരു സ്പ്രിംഗ്ബോർഡായി വർത്തിക്കും.
• വിൻഡോസ് രജിസ്ട്രി: സിസ്റ്റം ഘടകങ്ങൾ സജീവമാക്കുന്ന പേലോഡുകളുടെ സെൽഫ്-ബൂട്ട് കീകൾ അല്ലെങ്കിൽ എൻക്രിപ്റ്റ് ചെയ്ത/മറഞ്ഞിരിക്കുന്ന സംഭരണം.
• പിടിച്ചെടുക്കലും പ്രക്രിയകളിലേക്കുള്ള കുത്തിവയ്പ്പും: പ്രവർത്തിക്കുന്ന പ്രക്രിയകളുടെ മെമ്മറി സ്ഥലത്തിന്റെ മാറ്റം ഹോസ്റ്റ് ക്ഷുദ്രകരമായ ലോജിക് നിയമാനുസൃതമായ ഒരു എക്സിക്യൂട്ടബിളിനുള്ളിൽ.
• പ്രവർത്തന കിറ്റുകൾ: ഇരയുടെ സിസ്റ്റത്തിലെ ദുർബലതകൾ കണ്ടെത്തലും ഡിസ്കിൽ തൊടാതെ തന്നെ നിർവ്വഹണം നേടുന്നതിനായി പ്രത്യേകം തയ്യാറാക്കിയ എക്സ്പ്ലോയിറ്റുകളുടെ വിന്യസിക്കലും.

കമ്പനികൾക്കുള്ള വെല്ലുവിളി (എല്ലാം തടയുന്നത് എന്തുകൊണ്ട് മതിയാകുന്നില്ല)

ഒരു നിഷ്കളങ്കമായ സമീപനം ഒരു കടുത്ത നടപടി നിർദ്ദേശിക്കുന്നു: പവർഷെൽ തടയുക, മാക്രോകൾ നിരോധിക്കുക, rundll32 പോലുള്ള ബൈനറികളെ തടയുക. യാഥാർത്ഥ്യം കൂടുതൽ സൂക്ഷ്മമാണ്: ഈ ഉപകരണങ്ങളിൽ പലതും അത്യാവശ്യമാണ്. ദൈനംദിന ഐടി പ്രവർത്തനങ്ങൾക്കും അഡ്മിനിസ്ട്രേറ്റീവ് ഓട്ടോമേഷനും.

കൂടാതെ, ആക്രമണകാരികൾ പഴുതുകൾ തേടുന്നു: സ്ക്രിപ്റ്റിംഗ് എഞ്ചിൻ മറ്റ് വഴികളിൽ പ്രവർത്തിപ്പിക്കുന്നത്, ഇതര പകർപ്പുകൾ ഉപയോഗിക്കുകനിങ്ങൾക്ക് ചിത്രങ്ങളിൽ ലോജിക് പാക്കേജ് ചെയ്യാം അല്ലെങ്കിൽ കുറച്ചുകൂടി നിരീക്ഷിക്കപ്പെട്ട LoLBins അവലംബിക്കാം. ബ്രൂട്ട് ബ്ലോക്കിംഗ് ആത്യന്തികമായി പൂർണ്ണമായ പ്രതിരോധം നൽകാതെ തന്നെ ഘർഷണം സൃഷ്ടിക്കുന്നു.

സെർവർ-സൈഡ് അല്ലെങ്കിൽ ക്ലൗഡ് അധിഷ്ഠിത വിശകലനം പോലും പ്രശ്നം പരിഹരിക്കുന്നില്ല. റിച്ച് എൻഡ്‌പോയിന്റ് ടെലിമെട്രി ഇല്ലാതെയും ഏജന്റിൽ തന്നെ പ്രതികരണശേഷിതീരുമാനം വൈകിയാണ് വരുന്നത്, പ്രതിരോധം സാധ്യമല്ല, കാരണം ഒരു ബാഹ്യ വിധിക്കായി കാത്തിരിക്കേണ്ടതുണ്ട്.

അതേസമയം, ഈ മേഖലയിൽ വളരെ പ്രധാനപ്പെട്ട വളർച്ചയുണ്ടെന്ന് മാർക്കറ്റ് റിപ്പോർട്ടുകൾ വളരെക്കാലമായി ചൂണ്ടിക്കാണിക്കുന്നു, അവിടെ ഏറ്റവും ഉയർന്ന നിരക്കുകൾ പവർഷെൽ ദുരുപയോഗം ചെയ്യാനുള്ള ശ്രമങ്ങൾ ഇരട്ടിയായി. കുറഞ്ഞ സമയത്തിനുള്ളിൽ, എതിരാളികൾക്ക് ആവർത്തിച്ചുവരുന്നതും ലാഭകരവുമായ ഒരു തന്ത്രമാണിതെന്ന് ഇത് സ്ഥിരീകരിക്കുന്നു.

ആധുനിക കണ്ടെത്തൽ: ഫയലിൽ നിന്ന് പെരുമാറ്റത്തിലേക്ക്

ആര് നടപ്പിലാക്കുന്നു എന്നതല്ല, എങ്ങനെ, എന്തുകൊണ്ട് എന്നതാണ് പ്രധാനം. പ്രക്രിയ പെരുമാറ്റവും അതിന്റെ ബന്ധങ്ങളും കമാൻഡ് ലൈൻ, പ്രോസസ് ഇൻഹെറിറ്റൻസ്, സെൻസിറ്റീവ് API കോളുകൾ, ഔട്ട്ബൗണ്ട് കണക്ഷനുകൾ, രജിസ്ട്രി മോഡിഫിക്കേഷനുകൾ, WMI ഇവന്റുകൾ എന്നിവ നിർണായകമാണ്.

ഈ സമീപനം ഒഴിവാക്കൽ പ്രതലത്തെ ഗണ്യമായി കുറയ്ക്കുന്നു: ഉൾപ്പെട്ടിരിക്കുന്ന ബൈനറികൾ മാറിയാലും, ആക്രമണ രീതികൾ ആവർത്തിക്കുന്നു (മെമ്മറിയിൽ ഡൗൺലോഡ് ചെയ്ത് എക്സിക്യൂട്ട് ചെയ്യുന്ന സ്ക്രിപ്റ്റുകൾ, LoLBins ദുരുപയോഗം, ഇന്റർപ്രെറ്റർമാരെ വിളിക്കൽ മുതലായവ). ഫയലിന്റെ 'ഐഡന്റിറ്റി' അല്ല, ആ സ്ക്രിപ്റ്റ് വിശകലനം ചെയ്യുന്നത് കണ്ടെത്തൽ മെച്ചപ്പെടുത്തുന്നു.

ഫലപ്രദമായ EDR/XDR പ്ലാറ്റ്‌ഫോമുകൾ സിഗ്നലുകളെ പരസ്പരബന്ധിതമാക്കി, പൂർണ്ണമായ സംഭവ ചരിത്രം പുനർനിർമ്മിക്കുന്നു, തിരിച്ചറിയുന്നു മൂലകാരണം 'കാണിക്കപ്പെട്ട' പ്രക്രിയയെ കുറ്റപ്പെടുത്തുന്നതിനുപകരം, ഈ വിവരണം അറ്റാച്ചുമെന്റുകൾ, മാക്രോകൾ, ഇന്റർപ്രെറ്ററുകൾ, പേലോഡുകൾ, പെർസിസ്റ്റൻസ് എന്നിവയെ ബന്ധിപ്പിക്കുന്നു, ഒറ്റപ്പെട്ട ഒരു ഭാഗം മാത്രമല്ല, മുഴുവൻ ഒഴുക്കിനെയും ലഘൂകരിക്കാൻ.

പോലുള്ള ചട്ടക്കൂടുകളുടെ പ്രയോഗം MITER ATT&CK ഇത് നിരീക്ഷിച്ച തന്ത്രങ്ങളും സാങ്കേതിക വിദ്യകളും (TTP-കൾ) മാപ്പ് ചെയ്യാൻ സഹായിക്കുന്നു, കൂടാതെ താൽപ്പര്യമുള്ള പെരുമാറ്റങ്ങളിലേക്ക് ഭീഷണി വേട്ടയെ നയിക്കുകയും ചെയ്യുന്നു: നിർവ്വഹണം, സ്ഥിരത, പ്രതിരോധ ഒഴിവാക്കൽ, ക്രെഡൻഷ്യൽ ആക്‌സസ്, കണ്ടെത്തൽ, ലാറ്ററൽ മൂവ്‌മെന്റ്, എക്‌സ്‌ഫിൽട്രേഷൻ.

അവസാനമായി, എൻഡ്‌പോയിന്റ് പ്രതികരണ ഓർക്കസ്ട്രേഷൻ ഉടനടി ആയിരിക്കണം: ഉപകരണം ഒറ്റപ്പെടുത്തുക, പ്രക്രിയകൾ അവസാനിപ്പിക്കുക ബാഹ്യ സ്ഥിരീകരണങ്ങൾക്കായി കാത്തിരിക്കാതെ, രജിസ്ട്രിയിലോ ടാസ്‌ക് ഷെഡ്യൂളറിലോ ഉള്ള മാറ്റങ്ങൾ പഴയപടിയാക്കുകയും സംശയാസ്‌പദമായ ഔട്ട്‌ഗോയിംഗ് കണക്ഷനുകൾ തടയുകയും ചെയ്യുക.

ഉപയോഗപ്രദമായ ടെലിമെട്രി: എന്ത് നോക്കണം, എങ്ങനെ മുൻഗണന നൽകണം

സിസ്റ്റം പൂരിതമാക്കാതെ കണ്ടെത്തലിന്റെ സാധ്യത വർദ്ധിപ്പിക്കുന്നതിന്, ഉയർന്ന മൂല്യമുള്ള സിഗ്നലുകൾക്ക് മുൻഗണന നൽകുന്നത് ഉചിതമാണ്. സന്ദർഭം നൽകുന്ന ചില ഉറവിടങ്ങളും നിയന്ത്രണങ്ങളും. ഫയലില്ലാത്തതിന് നിർണായകം അവ:

• വിശദമായ പവർഷെൽ ലോഗ് മറ്റ് ഇന്റർപ്രെറ്ററുകൾ: സ്ക്രിപ്റ്റ് ബ്ലോക്ക് ലോഗ്, കമാൻഡ് ഹിസ്റ്ററി, ലോഡ് ചെയ്ത മൊഡ്യൂളുകൾ, ലഭ്യമാകുമ്പോൾ AMSI ഇവന്റുകൾ.
• WMI റിപ്പോസിറ്ററിഇവന്റ് ഫിൽട്ടറുകൾ, ഉപഭോക്താക്കൾ, ലിങ്കുകൾ എന്നിവയുടെ സൃഷ്ടിയോ പരിഷ്കരണമോ സംബന്ധിച്ച ഇൻവെന്ററിയും മുന്നറിയിപ്പും, പ്രത്യേകിച്ച് സെൻസിറ്റീവ് നെയിംസ്‌പെയ്‌സുകളിൽ.
• സുരക്ഷാ ഇവന്റുകളും സിസ്‌മോണും: പ്രോസസ് കോറിലേഷൻ, ഇമേജ് ഇന്റഗ്രിറ്റി, മെമ്മറി ലോഡിംഗ്, ഇഞ്ചക്ഷൻ, ഷെഡ്യൂൾ ചെയ്ത ടാസ്‌ക്കുകളുടെ സൃഷ്ടി.
• റെഡ്: അസാധാരണമായ ഔട്ട്ബൗണ്ട് കണക്ഷനുകൾ, ബീക്കണിംഗ്, പേലോഡ് ഡൗൺലോഡ് പാറ്റേണുകൾ, എക്‌സ്‌ഫിൽട്രേഷനായി രഹസ്യ ചാനലുകളുടെ ഉപയോഗം.

ഗോതമ്പിനെ പതിരിൽ നിന്ന് വേർതിരിക്കാൻ ഓട്ടോമേഷൻ സഹായിക്കുന്നു: പെരുമാറ്റത്തെ അടിസ്ഥാനമാക്കിയുള്ള കണ്ടെത്തൽ നിയമങ്ങൾ, അനുമതിപത്രങ്ങൾ നിയമാനുസൃത ഭരണം ഭീഷണി ഇന്റലിജൻസ് ഉപയോഗിച്ച് സമ്പുഷ്ടമാക്കുന്നത് തെറ്റായ പോസിറ്റീവുകളെ പരിമിതപ്പെടുത്തുകയും പ്രതികരണം ത്വരിതപ്പെടുത്തുകയും ചെയ്യുന്നു.

ഉപരിതലം തടയലും കുറയ്ക്കലും

ഒരൊറ്റ നടപടി പോലും പര്യാപ്തമല്ല, പക്ഷേ ഒരു പാളികളുള്ള പ്രതിരോധം അപകടസാധ്യത വളരെയധികം കുറയ്ക്കുന്നു. പ്രതിരോധ വശത്ത്, നിരവധി നടപടികൾ വേറിട്ടുനിൽക്കുന്നു. വിള വെക്റ്ററുകൾ എതിരാളിയുടെ ജീവിതം കൂടുതൽ ദുഷ്കരമാക്കുകയും ചെയ്യുന്നു:

• മാക്രോ മാനേജ്മെന്റ്: സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനരഹിതമാക്കുക, അത്യാവശ്യമായിരിക്കുമ്പോൾ മാത്രം അനുവദിക്കുക, ഒപ്പിടുക; ഗ്രൂപ്പ് നയങ്ങൾ വഴിയുള്ള ഗ്രാനുലാർ നിയന്ത്രണങ്ങൾ.
• വ്യാഖ്യാതാക്കളുടെയും LoLBins-ന്റെയും നിയന്ത്രണം: സമഗ്രമായ ലോഗിംഗിനൊപ്പം AppLocker/WDAC അല്ലെങ്കിൽ തത്തുല്യമായത് പ്രയോഗിക്കുക, സ്ക്രിപ്റ്റുകളുടെയും എക്സിക്യൂഷൻ ടെംപ്ലേറ്റുകളുടെയും നിയന്ത്രണം.
• പാച്ചിംഗും ലഘൂകരണങ്ങളും: ചൂഷണം ചെയ്യാവുന്ന ദുർബലതകൾ അടയ്ക്കുകയും RCE, കുത്തിവയ്പ്പുകൾ എന്നിവ പരിമിതപ്പെടുത്തുന്ന മെമ്മറി സംരക്ഷണങ്ങൾ സജീവമാക്കുകയും ചെയ്യുക.
• ശക്തമായ ആധികാരികതക്രെഡൻഷ്യൽ ദുരുപയോഗം തടയുന്നതിനുള്ള എംഎഫ്എ, സീറോ ട്രസ്റ്റ് തത്വങ്ങൾ, ലാറ്ററൽ ചലനം കുറയ്ക്കുക.
• അവബോധവും സിമുലേഷനുകളുംഫിഷിംഗ്, സജീവ ഉള്ളടക്കമുള്ള ഡോക്യുമെന്റുകൾ, അസാധാരണമായ നിർവ്വഹണത്തിന്റെ ലക്ഷണങ്ങൾ എന്നിവയെക്കുറിച്ചുള്ള പ്രായോഗിക പരിശീലനം.

ട്രാഫിക്കും മെമ്മറിയും വിശകലനം ചെയ്ത് ക്ഷുദ്രകരമായ പെരുമാറ്റം തത്സമയം തിരിച്ചറിയുന്ന പരിഹാരങ്ങൾ ഈ നടപടികളെ പരിപൂർണ്ണമാക്കുന്നു, അതുപോലെ സെഗ്മെന്റേഷൻ നയങ്ങൾ എന്തെങ്കിലും വഴുതി വീഴുമ്പോൾ ഉണ്ടാകുന്ന ആഘാതം നിയന്ത്രിക്കാൻ വേണ്ട കുറഞ്ഞ ആനുകൂല്യങ്ങളും.

ഫലപ്രദമായ സേവനങ്ങളും സമീപനങ്ങളും

നിരവധി എൻഡ്‌പോയിന്റുകളും ഉയർന്ന ക്രിട്ടിക്കാലിറ്റിയുമുള്ള പരിതസ്ഥിതികളിൽ, നിയന്ത്രിത കണ്ടെത്തൽ, പ്രതികരണ സേവനങ്ങൾ എന്നിവ ഉപയോഗിച്ച് 24/7 നിരീക്ഷണം അപകട നിയന്ത്രണത്തെ ത്വരിതപ്പെടുത്തുമെന്ന് അവ തെളിയിച്ചിട്ടുണ്ട്. SOC, EMDR/MDR, EDR/XDR എന്നിവയുടെ സംയോജനം വിദഗ്ദ്ധ കണ്ണുകൾ, സമ്പന്നമായ ടെലിമെട്രി, ഏകോപിത പ്രതികരണ ശേഷികൾ എന്നിവ നൽകുന്നു.

ഏറ്റവും ഫലപ്രദമായ ദാതാക്കൾ പെരുമാറ്റത്തിലേക്കുള്ള മാറ്റത്തെ ആന്തരികവൽക്കരിച്ചു: ഭാരം കുറഞ്ഞ ഏജന്റുമാർ കേർണൽ തലത്തിലുള്ള പ്രവർത്തനങ്ങൾ പരസ്പരം ബന്ധിപ്പിക്കുകഅവർ പൂർണ്ണമായ ആക്രമണ ചരിത്രങ്ങൾ പുനർനിർമ്മിക്കുകയും ക്ഷുദ്ര ശൃംഖലകൾ കണ്ടെത്തുമ്പോൾ യാന്ത്രിക ലഘൂകരണങ്ങൾ പ്രയോഗിക്കുകയും ചെയ്യുന്നു, മാറ്റങ്ങൾ പഴയപടിയാക്കാനുള്ള റോൾബാക്ക് ശേഷിയുമുണ്ട്.

സമാന്തരമായി, എൻഡ്‌പോയിന്റ് പ്രൊട്ടക്ഷൻ സ്യൂട്ടുകളും XDR പ്ലാറ്റ്‌ഫോമുകളും വർക്ക്‌സ്റ്റേഷനുകൾ, സെർവറുകൾ, ഐഡന്റിറ്റികൾ, ഇമെയിൽ, ക്ലൗഡ് എന്നിവയിലുടനീളം കേന്ദ്രീകൃത ദൃശ്യപരതയും ഭീഷണി മാനേജ്‌മെന്റും സംയോജിപ്പിക്കുന്നു; ലക്ഷ്യം പൊളിക്കുക എന്നതാണ് ആക്രമണ ശൃംഖല ഫയലുകൾ ഉൾപ്പെട്ടിട്ടുണ്ടോ ഇല്ലയോ എന്നത് പരിഗണിക്കാതെ തന്നെ.

ഭീഷണി വേട്ടയ്ക്കുള്ള പ്രായോഗിക സൂചകങ്ങൾ

തിരയൽ സിദ്ധാന്തങ്ങൾക്ക് മുൻഗണന നൽകണമെങ്കിൽ, സിഗ്നലുകൾ സംയോജിപ്പിക്കുന്നതിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുക: അസാധാരണമായ പാരാമീറ്ററുകളുള്ള ഒരു ഇന്റർപ്രെറ്റർ സമാരംഭിക്കുന്ന ഒരു ഓഫീസ് പ്രക്രിയ, WMI സബ്‌സ്‌ക്രിപ്‌ഷൻ സൃഷ്ടിക്കൽ ഒരു ഡോക്യുമെന്റ് തുറന്നതിനുശേഷം, സ്റ്റാർട്ടപ്പ് കീകളിൽ മാറ്റങ്ങൾ വരുത്തുകയും തുടർന്ന് മോശം പ്രശസ്തിയുള്ള ഡൊമെയ്‌നുകളിലേക്കുള്ള കണക്ഷനുകൾ നടത്തുകയും ചെയ്യും.

നിങ്ങളുടെ പരിതസ്ഥിതിയിൽ നിന്നുള്ള അടിസ്ഥാനങ്ങളെ ആശ്രയിക്കുക എന്നതാണ് മറ്റൊരു ഫലപ്രദമായ സമീപനം: നിങ്ങളുടെ സെർവറുകളിലും വർക്ക്സ്റ്റേഷനുകളിലും സാധാരണ എന്താണ്? ഏതെങ്കിലും വ്യതിയാനം (വ്യാഖ്യാതാക്കളുടെ മാതാപിതാക്കളായി പ്രത്യക്ഷപ്പെടുന്ന പുതുതായി ഒപ്പിട്ട ബൈനറികൾ, പ്രകടനത്തിലെ പെട്ടെന്നുള്ള കുതിച്ചുചാട്ടം (സ്ക്രിപ്റ്റുകളുടെ, അവ്യക്തതയുള്ള കമാൻഡ് സ്ട്രിംഗുകളുടെ) അന്വേഷണം അർഹിക്കുന്നു.

അവസാനമായി, മെമ്മറി മറക്കരുത്: റണ്ണിംഗ് റീജിയണുകൾ പരിശോധിക്കുന്നതോ സ്നാപ്പ്ഷോട്ടുകൾ പകർത്തുന്നതോ ആയ ഉപകരണങ്ങൾ നിങ്ങളുടെ കൈവശമുണ്ടെങ്കിൽ, RAM-ലെ കണ്ടെത്തലുകൾ ഫയൽ സിസ്റ്റത്തിൽ ആർട്ടിഫാക്റ്റുകൾ ഇല്ലാത്തപ്പോൾ, ഫയലില്ലാത്ത പ്രവർത്തനത്തിന്റെ കൃത്യമായ തെളിവായി അവയ്ക്ക് കഴിയും.

ഈ തന്ത്രങ്ങളുടെയും സാങ്കേതികതകളുടെയും നിയന്ത്രണങ്ങളുടെയും സംയോജനം ഭീഷണിയെ ഇല്ലാതാക്കുന്നില്ല, പക്ഷേ അത് യഥാസമയം കണ്ടെത്തുന്നതിന് നിങ്ങളെ മികച്ച സ്ഥാനത്ത് എത്തിക്കുന്നു. ചങ്ങല മുറിക്കുക ആഘാതം കുറയ്ക്കുകയും ചെയ്യുക.

ഇതെല്ലാം വിവേകപൂർവ്വം പ്രയോഗിക്കുമ്പോൾ - എൻഡ്‌പോയിന്റ്-റിച്ച് ടെലിമെട്രി, ബിഹേവിയറൽ കോറിലേഷൻ, ഓട്ടോമേറ്റഡ് പ്രതികരണം, സെലക്ടീവ് ഹാർഡനിംഗ് - ഫയലില്ലാത്ത തന്ത്രത്തിന് അതിന്റെ ഗുണങ്ങൾ നഷ്ടപ്പെടുന്നു. അത് വികസിച്ചുകൊണ്ടിരിക്കുമെങ്കിലും, പെരുമാറ്റങ്ങളിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു ഫയലുകളിലല്ല, മറിച്ച്, നിങ്ങളുടെ പ്രതിരോധം അതിനൊപ്പം വികസിക്കുന്നതിന് അത് ഒരു ശക്തമായ അടിത്തറ പ്രദാനം ചെയ്യുന്നു.