“အမြဲတမ်းဖိုင်များမပါဘဲ malware” ဆိုတာဘာလဲ၊ အခမဲ့ကိရိယာများဖြင့် ၎င်းကို မည်သို့ရှာဖွေရမည်နည်း

၏အသွင်အပြင် ဖိုင်များမပါဝင်သော malware ဒါဟာ လုံခြုံရေးအဖွဲ့တွေအတွက် တကယ့်ကို ခေါင်းကိုက်စရာပါ။ ကျွန်တော်တို့ဟာ disk ထဲက executable ဖိုင်တစ်ခုကို ဖျက်လိုက်တဲ့အခါ "ဖမ်းမိ" တတ်တဲ့ ပုံမှန်ဗိုင်းရပ်စ်တွေကို ကိုင်တွယ်ဖြေရှင်းနေတာ မဟုတ်ပါဘူး၊ memory ထဲမှာ ရှင်သန်နေတဲ့၊ တရားဝင် system tool တွေကို အလွဲသုံးစားလုပ်တဲ့၊ အများစုမှာ အသုံးပြုလို့ရတဲ့ forensic trace တွေကို ရှားရှားပါးပါးပဲ ချန်ထားခဲ့တဲ့ ခြိမ်းခြောက်မှုတွေနဲ့ ကိုင်တွယ်ဖြေရှင်းနေတာပါ။

ဤတိုက်ခိုက်မှုအမျိုးအစားသည် အဆင့်မြင့်အဖွဲ့များနှင့် ဆိုက်ဘာရာဇဝတ်ကောင်များကြားတွင် အထူးရေပန်းစားလာပါသည် ရိုးရာ antivirus ဆော့ဖ်ဝဲကို ရှောင်ရှားခြင်း၊ ဒေတာများကို ခိုးယူခြင်းနှင့် ဝှက်ထားခြင်း ၎င်းတို့ မည်သို့အလုပ်လုပ်သည်၊ မည်သည့်နည်းစနစ်များကို အသုံးပြုသည်နှင့် ၎င်းတို့ကို မည်သို့ရှာဖွေရမည်ကို နားလည်ခြင်းသည် ယနေ့ခေတ်တွင် ဆိုက်ဘာလုံခြုံရေးကို အလေးအနက်ထားလိုသော မည်သည့်အဖွဲ့အစည်းအတွက်မဆို အဓိကသော့ချက်ဖြစ်သည်။

fileless malware ဆိုတာဘာလဲ၊ ဘာကြောင့် ဒီလောက်စိုးရိမ်စရာဖြစ်တာလဲ။

ကျနော်တို့အကြောင်းပြောဆိုသည့်အခါ ဖိုင်မဲ့ malware တစ်ဘိုက်တောင် မပါဝင်ဘူးလို့ ကျွန်တော်တို့ ပြောနေတာ မဟုတ်ပါဘူး၊ ဒါပေမယ့် အန္တရာယ်ရှိတဲ့ ကုဒ်က ၎င်းကို ဒစ်ခ်ပေါ်တွင် ဂန္ထဝင် executable ဖိုင်အဖြစ် သိမ်းဆည်းမထားပါ။ endpoint မှ။ ယင်းအစား၊ ၎င်းသည် မှတ်ဉာဏ်တွင် တိုက်ရိုက်လည်ပတ်သည် သို့မဟုတ် Registry၊ WMI သို့မဟုတ် အချိန်ဇယားဆွဲထားသော task များကဲ့သို့ မမြင်သာသော container များတွင် host လုပ်ထားသည်။

အခြေအနေများစွာတွင်၊ တိုက်ခိုက်သူသည် စနစ်တွင်ရှိပြီးသားကိရိယာများဖြစ်သော PowerShell၊ WMI၊ script များ၊ လက်မှတ်ရေးထိုးထားသော Windows binaries များကို အားကိုးအားထားပြုသည်။ payload များကို RAM ထဲသို့ တိုက်ရိုက် load လုပ်ခြင်း၊ decrypt လုပ်ခြင်း သို့မဟုတ် execute လုပ်ခြင်းဤနည်းအားဖြင့် signature-based antivirus တစ်ခုက ပုံမှန် scan ဖတ်ရာတွင် သိရှိနိုင်သည့် ထင်ရှားသော executable ဖိုင်များ မကျန်ခဲ့စေရန် ရှောင်ရှားနိုင်ပါသည်။

ထို့အပြင်၊ တိုက်ခိုက်မှုကွင်းဆက်၏ တစ်စိတ်တစ်ပိုင်းသည် "ဖိုင်မဲ့" ဖြစ်နိုင်ပြီး အခြားတစ်စိတ်တစ်ပိုင်းသည် ဖိုင်စနစ်ကို အသုံးပြုနိုင်သည်၊ ထို့ကြောင့် ကျွန်ုပ်တို့သည် တစ်ခုထက်ပိုသော တိုက်ခိုက်မှုကွင်းဆက်အကြောင်း ပြောနေခြင်းဖြစ်သည် ဖိုင်မဲ့နည်းပညာများ၏ရောင်စဉ် တစ်ခုတည်းသော malware မိသားစုတစ်စု၏ အဓိပ္ပာယ်ဖွင့်ဆိုချက်ဖြစ်သည်။ ထို့ကြောင့် တစ်ခုတည်းသော ပိတ်ထားသော အဓိပ္ပာယ်ဖွင့်ဆိုချက်မရှိဘဲ စက်ပေါ်တွင် ၎င်းတို့ချန်ထားခဲ့သော သက်ရောက်မှုအတိုင်းအတာပေါ် မူတည်၍ အမျိုးအစားများစွာရှိသည်။

ဖိုင်များ မပါဝင်သည့် malware ၏ အဓိက ဝိသေသလက္ခဏာများ

ဤခြိမ်းခြောက်မှုများ၏ အဓိကဂုဏ်သတ္တိတစ်ခုမှာ ၎င်းတို့၏ မှတ်ဉာဏ်ဗဟိုပြု အကောင်အထည်ဖော်မှုအန္တရာယ်ရှိသောကုဒ်ကို RAM ထဲသို့ထည့်သွင်းပြီး hard drive တွင်တည်ငြိမ်သော အန္တရာယ်ရှိသော binary မလိုအပ်ဘဲ တရားဝင်လုပ်ငန်းစဉ်များအတွင်း လုပ်ဆောင်သည်။ အချို့ကိစ္စများတွင် ပိုမိုကောင်းမွန်သောဖုံးကွယ်မှုအတွက် အရေးကြီးသောစနစ်လုပ်ငန်းစဉ်များထဲသို့ပင် ထိုးသွင်းသည်။

နောက်ထပ်အရေးကြီးသောအင်္ဂါရပ်မှာ ပုံမှန်မဟုတ်သော တည်မြဲမှုfileless campaign အများစုဟာ reactive ဖြစ်ပြီး reboot လုပ်ပြီးနောက် ပျောက်ကွယ်သွားပေမယ့် တချို့ကတော့ Registry Autorun keys၊ WMI subscriptions၊ scheduled tasks ဒါမှမဟုတ် BITS တွေကို အသုံးပြုပြီး ပြန်လည် activate လုပ်နိုင်ပါတယ်၊ ဒါကြောင့် "မြင်သာတဲ့" artifact ဟာ အနည်းဆုံးဖြစ်ပြီး တကယ့် payload ဟာ memory ထဲမှာ အချိန်တိုင်း ပြန်လည်ရှင်သန်နေမှာပါ။

ဒီနည်းလမ်းက ထိရောက်မှုကို သိသိသာသာ လျော့ကျစေပါတယ် လက်မှတ်အခြေပြု ထောက်လှမ်းခြင်းခွဲခြမ်းစိတ်ဖြာရန် ပုံသေ executable မရှိသောကြောင့် သင်မကြာခဏတွေ့ရသည်မှာ သံသယဖြစ်ဖွယ် parameter များဖြင့် စတင်ခြင်း သို့မဟုတ် ရှုပ်ထွေးနေသော အကြောင်းအရာများကို တင်ခြင်းဖြစ်ပြီး လုံးဝတရားဝင်သော PowerShell.exe၊ wscript.exe သို့မဟုတ် mshta.exe တစ်ခုဖြစ်သည်။

နောက်ဆုံးအနေနဲ့ သရုပ်ဆောင်အများစုဟာ ဖိုင်မဲ့နည်းပညာတွေကို တခြားနည်းပညာတွေနဲ့ ပေါင်းစပ်အသုံးပြုကြပါတယ် Trojans၊ ransomware သို့မဟုတ် adware ကဲ့သို့သော malware အမျိုးအစားများရလဒ်အနေဖြင့် အကောင်းဆုံး (နှင့် အဆိုးဆုံး) နှစ်မျိုးလုံးဖြစ်သော ဇွဲလုံ့လနှင့် ခိုးကြောင်ခိုးဝှက်လုပ်ဆောင်မှုတို့ကို ရောနှောထားသော ရောနှောကမ်ပိန်းများကို ဖြစ်ပေါ်စေခဲ့သည်။

စနစ်ပေါ်ရှိ ၎င်းတို့၏ ခြေရာအလိုက် ဖိုင်မဲ့ခြိမ်းခြောက်မှုအမျိုးအစားများ

လုံခြုံရေးထုတ်လုပ်သူအများအပြား ၎င်းတို့သည် ကွန်ပျူတာပေါ်တွင် ချန်ထားခဲ့သော သဲလွန်စအလိုက် "ဖိုင်မဲ့" ခြိမ်းခြောက်မှုများကို အမျိုးအစားခွဲခြားသည်။ ဤအမျိုးအစားခွဲခြားမှုသည် ကျွန်ုပ်တို့မြင်တွေ့နေရသည့်အရာနှင့် ၎င်းကို မည်သို့စုံစမ်းစစ်ဆေးရမည်ကို နားလည်ရန် ကူညီပေးသည်။

အမျိုးအစား I: ဖိုင်လုပ်ဆောင်ချက်ကို မမြင်ရပါ

အလျှို့ဝှက်ဆုံးအပိုင်းမှာ malware တွေကို ကျွန်တော်တို့တွေ့ရပါတယ် ဖိုင်စနစ်ထဲကို ဘာမှ မရေးပါဘူးဥပမာအားဖြင့် ကုဒ်သည် EternalBlue ကဲ့သို့သော အားနည်းချက်တစ်ခုကို အသုံးချသည့် ကွန်ရက်ပက်ကက်များမှတစ်ဆင့် ရောက်ရှိလာပြီး မှတ်ဉာဏ်ထဲသို့ တိုက်ရိုက်ထိုးသွင်းကာ kernel တွင် backdoor အဖြစ် ထိန်းသိမ်းထားသည် (DoublePulsar သည် ထင်ရှားသောဖြစ်ရပ်တစ်ခုဖြစ်သည်)။

အခြားအခြေအနေများတွင်၊ ရောဂါပိုးသည် BIOS firmware၊ network card များ၊ USB device များ သို့မဟုတ် CPU အတွင်းရှိ subsystem များပင်ဒီလိုခြိမ်းခြောက်မှုမျိုးဟာ operating system ကို ပြန်လည်ထည့်သွင်းခြင်း၊ disk format လုပ်ခြင်းနဲ့ တစ်ချို့သော reboot တွေကိုတောင် ခံနိုင်ရည်ရှိပါတယ်။

ပြဿနာက လုံခြုံရေး ဖြေရှင်းချက် အများစုဟာ သူတို့က firmware ဒါမှမဟုတ် microcode ကို မစစ်ဆေးပါဘူးပြီးတော့ သူတို့လုပ်ရင်တောင်မှ ပြန်လည်ပြုပြင်ဖို့က ရှုပ်ထွေးပါတယ်။ ကံကောင်းထောက်မစွာပဲ၊ ဒီနည်းစနစ်တွေဟာ များသောအားဖြင့် အလွန်ရှုပ်ထွေးတဲ့ သရုပ်ဆောင်တွေအတွက်သာ သီးသန့်ထားပြီး အစုလိုက်အပြုံလိုက်တိုက်ခိုက်မှုတွေမှာ ပုံမှန်မဟုတ်ပါဘူး။

အမျိုးအစား II: ဖိုင်များကို သွယ်ဝိုက်အသုံးပြုခြင်း

ဒုတိယအုပ်စုက အခြေခံထားတာကတော့ disk မှာ သိမ်းဆည်းထားတဲ့ structure တွေမှာ malicious code တွေ ပါဝင်ပါတယ်။ဒါပေမယ့် ရိုးရာ executable တွေလို မဟုတ်ဘဲ တရားဝင်ဒေတာနဲ့ အန္တရာယ်ရှိတဲ့ဒေတာတွေ ရောနှောနေတဲ့ repositories တွေမှာ စနစ်ကို မထိခိုက်စေဘဲ သန့်ရှင်းဖို့ ခက်ခဲပါတယ်။

ပုံမှန် ဥပမာများမှာ အောက်ပါအတိုင်းဖြစ်ပြီး၊ script များကို အောက်ပါအတိုင်း သိမ်းဆည်းထားသည်- WMI သိုလှောင်ရုံရှုပ်ထွေးနေသော ကွင်းဆက်များ မှတ်ပုံတင်ကီးများ သို့မဟုတ် ရှင်းလင်းသော အန္တရာယ်ရှိသော binary မပါဘဲ အန္တရာယ်ရှိသော command များကို စတင်သည့် အချိန်ဇယားဆွဲထားသော task များ။ Malware များသည် ဤ entry များကို command line သို့မဟုတ် script မှ တိုက်ရိုက် install လုပ်ပြီးနောက် မမြင်နိုင်သလောက် ဖြစ်နေနိုင်သည်။

နည်းပညာပိုင်းအရ ဖိုင်တွေပါဝင်ပေမယ့် (Windows က WMI repository ဒါမှမဟုတ် Registry hive ကို သိမ်းဆည်းထားတဲ့ ရုပ်ပိုင်းဆိုင်ရာဖိုင်)၊ လက်တွေ့ကျတဲ့ ရည်ရွယ်ချက်တွေအတွက် ကျွန်တော်တို့ ပြောနေတာပါ။ ဖိုင်မဲ့လုပ်ဆောင်ချက် အဘယ်ကြောင့်ဆိုသော် ရိုးရိုးရှင်းရှင်း ကွာရန်တင်းလုပ်နိုင်သော ထင်ရှားသော executable မရှိသောကြောင့်ဖြစ်သည်။

အမျိုးအစား III: ဖိုင်များ အလုပ်လုပ်ရန် လိုအပ်သည်

တတိယအမျိုးအစားတွင် ခြိမ်းခြောက်မှုများ ပါဝင်သည်။ သူတို့က ဖိုင်တွေကို သုံးပေမယ့် ထောက်လှမ်းဖို့အတွက် သိပ်အသုံးမဝင်တဲ့ နည်းလမ်းနဲ့ပါ။လူသိများသော ဥပမာတစ်ခုမှာ Kovter ဖြစ်ပြီး Registry တွင် ကျပန်း extension များကို မှတ်ပုံတင်ပေးသောကြောင့် ထို extension ပါရှိသော ဖိုင်တစ်ခုကို ဖွင့်လိုက်သောအခါ mshta.exe သို့မဟုတ် အလားတူ native binary မှတစ်ဆင့် script တစ်ခုကို လုပ်ဆောင်သည်။

ဤလှည့်စားဖိုင်များတွင် မသက်ဆိုင်သောဒေတာများနှင့် တကယ့်အန္တရာယ်ရှိသောကုဒ်များပါရှိသည် ၎င်းကို အခြား Registry key များမှ ရယူသည်။ သို့မဟုတ် အတွင်းပိုင်း repositories။ disk တွင် "တစ်ခုခု" ရှိနေသော်လည်း၊ တိုက်ရိုက်သန့်ရှင်းရေးယန္တရားအဖြစ်အသုံးပြုရန်ထက်၊ ယုံကြည်စိတ်ချရသော ညှိနှိုင်းမှုညွှန်ပြချက်အဖြစ်အသုံးပြုရန် မလွယ်ကူပါ။

အဖြစ်အများဆုံး ဝင်ရောက်နိုင်သော ဗိုင်းရပ်စ်ပိုးများနှင့် ရောဂါပိုးဝင်ရောက်ရာနေရာများ

ခြေရာခွဲခြားခြင်းအပြင်၊ မည်သို့နားလည်ရန် အရေးကြီးပါသည် ဤနေရာတွင် ကြာရှည်ခံဖိုင်များမပါဝင်သော malware များ ပေါ်လာပါသည်။ နေ့စဉ်ဘဝတွင် တိုက်ခိုက်သူများသည် ပတ်ဝန်းကျင်နှင့် ပစ်မှတ်ပေါ် မူတည်၍ ဗက်တာအများအပြားကို ပေါင်းစပ်လေ့ရှိသည်။

အသုံးချမှုများနှင့် အားနည်းချက်များ

အတိုက်ရိုက်ဆုံးလမ်းကြောင်းတစ်ခုကတော့ အလွဲသုံးစားလုပ်ခြင်းပါပဲ အဝေးထိန်းကုဒ်လုပ်ဆောင်ခြင်း (RCE) အားနည်းချက်များ browser များ၊ plugin များ (ယခင်က Flash ကဲ့သို့)၊ web application များ သို့မဟုတ် network service များ (SMB၊ RDP စသည်) တွင်။ ဤ exploit သည် malicious payload ကို memory ထဲသို့ တိုက်ရိုက် download လုပ်ခြင်း သို့မဟုတ် decode လုပ်ခြင်းပြုလုပ်သည့် shellcode ကို inject လုပ်သည်။

ဒီမော်ဒယ်မှာ၊ ကနဦးဖိုင်ဟာ ကွန်ရက်ပေါ်မှာ ရှိနိုင်ပါတယ် (exploits အမျိုးအစား WannaCryသို့မဟုတ် အသုံးပြုသူဖွင့်သည့် စာရွက်စာတမ်းတွင်၊ သို့သော် payload ကို disk ထဲသို့ executable အဖြစ် ဘယ်တော့မှ မရေးသားပါ။: ၎င်းကို RAM မှ decrypt လုပ်ပြီး on the fly တွင် execute လုပ်သည်။

အန္တရာယ်ရှိသော စာရွက်စာတမ်းများနှင့် မက်ခရိုများ

နောက်ထပ် အလွန်အကျွံ အသုံးချခံရတဲ့ လမ်းကြောင်းတစ်ခုကတော့ မက်ခရိုများ သို့မဟုတ် DDE ပါရှိသော ရုံးစာရွက်စာတမ်းများစာဖတ်သူ၏ အားနည်းချက်များကို အခွင့်ကောင်းယူရန် ဒီဇိုင်းထုတ်ထားသော PDF များအပြင်။ အန္တရာယ်မရှိဟုထင်ရသော Word သို့မဟုတ် Excel ဖိုင်တွင် PowerShell၊ WMI သို့မဟုတ် အခြား interpreter များကို ကုဒ်ဒေါင်းလုဒ်လုပ်ရန်၊ command များကို execute လုပ်ရန် သို့မဟုတ် ယုံကြည်စိတ်ချရသော လုပ်ငန်းစဉ်များထဲသို့ shellcode ကို ထိုးသွင်းရန် စတင်သည့် VBA ကုဒ် ပါဝင်နိုင်သည်။

ဤနေရာတွင် disk ပေါ်ရှိဖိုင်သည် data container တစ်ခု "သာ" ဖြစ်ပြီး၊ တကယ့် vector မှာ အပလီကေးရှင်း၏ အတွင်းပိုင်း scripting အင်ဂျင်တကယ်တော့၊ အစုလိုက်အပြုံလိုက် spam campaign အများအပြားဟာ ဒီနည်းဗျူဟာကို အလွဲသုံးစားလုပ်ပြီး corporate network တွေမှာ fileless attack တွေ လုပ်ဆောင်ခဲ့ကြပါတယ်။

တရားဝင် script များနှင့် binary များ (မြေပေါ်တွင် နေထိုင်ခြင်း)

တိုက်ခိုက်သူများသည် Windows မှ ပံ့ပိုးပေးထားပြီးဖြစ်သော tools များကို နှစ်သက်ကြသည်- PowerShell၊ wscript၊ cscript၊ mshta၊ rundll32၊ regsvr32Windows Management Instrumentation၊ BITS စသည်တို့။ ဤလက်မှတ်ရေးထိုးထားပြီး ယုံကြည်စိတ်ချရသော binaries များသည် သံသယဖြစ်ဖွယ် "virus.exe" မလိုအပ်ဘဲ script များ၊ DLL များ သို့မဟုတ် remote content များကို execute လုပ်နိုင်သည်။

အန္တရာယ်ရှိတဲ့ ကုဒ်တွေကို ပေးပို့ခြင်းအားဖြင့် command line parameter များ၎င်းကို ရုပ်ပုံများတွင် ထည့်သွင်းခြင်း၊ မှတ်ဉာဏ်တွင် ကုဒ်ဝှက်ခြင်းနှင့် ကုဒ်ဖြည်ခြင်း သို့မဟုတ် Registry တွင် သိမ်းဆည်းခြင်းတို့ဖြင့် antivirus သည် တရားဝင်လုပ်ငန်းစဉ်များမှ လုပ်ဆောင်ချက်များကိုသာ မြင်တွေ့နိုင်စေပြီး ဖိုင်များကိုသာ အခြေခံ၍ ရှာဖွေရန် ပိုမိုခက်ခဲစေသည်။

ဟာ့ဒ်ဝဲနှင့် ဖာမ်းဝဲ ချို့ယွင်းချက်များ

ပို၍နိမ့်သောအဆင့်တွင်၊ အဆင့်မြင့်တိုက်ခိုက်သူများသည် ထိုးဖောက်ဝင်ရောက်နိုင်သည် BIOS firmware၊ network card များ၊ hard drive များ သို့မဟုတ် CPU management subsystem များပင် (Intel ME သို့မဟုတ် AMT ကဲ့သို့)။ ဤ malware အမျိုးအစားသည် operating system အောက်တွင် လည်ပတ်ပြီး OS မသိရှိဘဲ traffic ကို ကြားဖြတ်ခြင်း သို့မဟုတ် ပြုပြင်ခြင်း ပြုလုပ်နိုင်သည်။

အစွန်းရောက်အခြေအနေတစ်ခုဖြစ်ပေမယ့် ဖိုင်မဲ့ခြိမ်းခြောက်မှုတစ်ခုဟာ ဘယ်လောက်အတိုင်းအတာအထိ လုပ်ဆောင်နိုင်တယ်ဆိုတာကို ပြသနေပါတယ်။ OS ဖိုင်စနစ်ကို မထိဘဲ တည်တံ့ခိုင်မြဲမှုကို ထိန်းသိမ်းပါပြီးတော့ ဘာကြောင့် ဂန္ထဝင် endpoint tools တွေဟာ ဒီလိုကိစ္စတွေမှာ လိုအပ်ချက်တွေ ရှိနေတာလဲ။

ဖိုင်တွေမပါတဲ့ malware တိုက်ခိုက်မှုတစ်ခု ဘယ်လိုအလုပ်လုပ်လဲ

flow level မှာ fileless attack ဟာ file-based attack နဲ့ အတော်လေးဆင်တူပေမယ့် သက်ဆိုင်ရာ ကွဲပြားချက်များ payload ကို ဘယ်လိုအကောင်အထည်ဖော်သလဲ နဲ့ access ကို ဘယ်လိုထိန်းသိမ်းသလဲ။

၁။ စနစ်ကို ကနဦးဝင်ရောက်ခွင့်

တိုက်ခိုက်သူက ပထမဆုံးခြေကုပ်ယူနိုင်တဲ့အခါ အားလုံးစတင်ပါတယ်- a အန္တရာယ်ရှိသောလင့်ခ် သို့မဟုတ် ပူးတွဲပါဖိုင်ပါရှိသော phishing အီးမေးလ်၊ အားနည်းချက်ရှိသော application တစ်ခုကို တိုက်ခိုက်သည့် exploit တစ်ခု၊ RDP သို့မဟုတ် VPN အတွက် ခိုးယူထားသော အထောက်အထားများ သို့မဟုတ် ခိုးယူထားသော USB device တစ်ခုပင်။

ဒီအဆင့်မှာ အောက်ပါအတိုင်း အသုံးပြုပါတယ်။ လူမှုအင်ဂျင်နီယာအသုံးပြုသူအား မနှိပ်သင့်သည့်နေရာကို နှိပ်စေရန် သို့မဟုတ် အင်တာနက်ပေါ်တွင် ဖော်ထုတ်ထားသော ဝန်ဆောင်မှုများကို အမြတ်ထုတ်ရန် လှည့်စားသည့် အန္တရာယ်ရှိသော ပြန်ညွှန်းမှုများ၊ malvertising campaign များ သို့မဟုတ် အန္တရာယ်ရှိသော Wi-Fi တိုက်ခိုက်မှုများ။

၂။ မှတ်ဉာဏ်တွင် အန္တရာယ်ရှိသော ကုဒ်ကို လုပ်ဆောင်ခြင်း

ပထမဆုံး entry ကိုရရှိပြီးသည်နှင့် fileless component ကို trigger လုပ်သည်- Office macro သည် PowerShell ကိုစတင်သည်၊ exploit သည် shellcode ကိုထိုးသွင်းသည်၊ WMI subscription သည် script တစ်ခုကို trigger လုပ်သည် စသည်ဖြင့်။ ရည်ရွယ်ချက်မှာ အန္တရာယ်ရှိတဲ့ ကုဒ်ကို RAM ထဲကို တိုက်ရိုက်ထည့်သွင်းပါအင်တာနက်မှ ဒေါင်းလုဒ်လုပ်ခြင်းဖြင့် သို့မဟုတ် embedded data မှ ပြန်လည်တည်ဆောက်ခြင်းဖြင့်။

အဲဒီကနေ malware တွေက အခွင့်ထူးများကို မြှင့်တင်ခြင်း၊ ဘေးတိုက်ရွှေ့ခြင်း၊ အထောက်အထားများကို ခိုးယူခြင်း၊ ဝဘ်အယ်လ်များကို ဖြန့်ကျက်ခြင်း၊ RATs များကို ထည့်သွင်းခြင်း သို့မဟုတ် ဒေတာများကို ကုဒ်ဝှက်ခြင်းဤအရာအားလုံးကို ဆူညံသံကို လျှော့ချရန် တရားဝင်လုပ်ငန်းစဉ်များက ပံ့ပိုးပေးထားသည်။

၃။ ဇွဲလုံ့လကို ထူထောင်ခြင်း

သာမန်နည်းပညာတွေထဲမှာ သူတို့ဟာနေသောခေါင်းစဉ်:

• အလိုအလျောက်လည်ပတ်သည့် ခလုတ်များ Registry မှာ login ဝင်တဲ့အခါ command တွေ ဒါမှမဟုတ် script တွေကို execute လုပ်ပါတယ်။
• စီစဉ်ထားသော အလုပ်များ script များ၊ parameter များပါရှိသော တရားဝင် binaries များ သို့မဟုတ် remote command များကို စတင်သည်။
• WMI စာရင်းသွင်းမှုများ စနစ်ဖြစ်ရပ်အချို့ ဖြစ်ပေါ်သည့်အခါ ၎င်းကို လှုံ့ဆော်ပေးသည့် ကုဒ်။
• BITS အသုံးပြုမှု command နှင့် control server များမှ payload များကို အခါအားလျော်စွာ download လုပ်ရန်အတွက်။

ကိစ္စများတွင်၊ တည်မြဲသော အစိတ်အပိုင်းသည် အနည်းဆုံးဖြစ်ပြီး ၎င်းအတွက်သာ ဆောင်ရွက်ပေးသည် malware ကို မှတ်ဉာဏ်ထဲသို့ ပြန်လည်ထည့်သွင်းပါ စနစ်စတင်တိုင်း သို့မဟုတ် သတ်မှတ်ထားသောအခြေအနေတစ်ခုနှင့် ကိုက်ညီတိုင်း။

၄။ ပစ်မှတ်များနှင့် သန့်စင်ထုတ်ယူမှုများအပေါ် လုပ်ဆောင်ချက်များ

ဇွဲလုံ့လရှိရှိဖြင့် တိုက်ခိုက်သူသည် သူတကယ်စိတ်ဝင်စားသည့်အရာကို အာရုံစိုက်သည်- အချက်အလက်များကို ခိုးယူခြင်း၊ ကုဒ်ဝှက်ခြင်း၊ စနစ်များကို ခြယ်လှယ်ခြင်း သို့မဟုတ် လပေါင်းများစွာ သူလျှိုလုပ်ခြင်းခိုးယူခြင်းကို HTTPS၊ DNS၊ လျှို့ဝှက်ချန်နယ်များ သို့မဟုတ် တရားဝင်ဝန်ဆောင်မှုများမှတစ်ဆင့် ပြုလုပ်နိုင်ပါသည်။ လက်တွေ့ကမ္ဘာဖြစ်ရပ်များတွင်၊ သိရှိခြင်း၊ hack လုပ်ခံရပြီး ပထမ ၂၄ နာရီအတွင်း ဘာလုပ်ရမလဲ ခြားနားချက်တစ်ခုကို ဖန်တီးနိုင်သည်။

APT တိုက်ခိုက်မှုများတွင် malware များသည် ဆက်လက်တည်ရှိနေလေ့ရှိသည် တိတ်ဆိတ်ပြီး ကြာရှည်စွာ ခိုးဝှက်စွာအခြေခံအဆောက်အအုံ၏ အစိတ်အပိုင်းတစ်ခုကို တွေ့ရှိပြီး ရှင်းလင်းထားသည့်တိုင် ဝင်ရောက်နိုင်စေရန်အတွက် နောက်ထပ်နောက်ဖေးတံခါးများ တည်ဆောက်ခြင်း။

ဖိုင်မဲ့အသုံးပြုနိုင်သော malware များ၏ စွမ်းရည်များနှင့် အမျိုးအစားများ

ဤနည်းလမ်းကို လိုက်နာခြင်းဖြင့် ဂန္ထဝင် malware များ လုပ်ဆောင်နိုင်သော မည်သည့်အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကိုမဆို အကောင်အထည်ဖော်နိုင်သည်။ ဖိုင်မဲ့ သို့မဟုတ် တစ်ဝက်ဖိုင်မဲ့ဘာတွေပြောင်းလဲသွားလဲဆိုတော့ ရည်ရွယ်ချက်မဟုတ်ဘဲ ကုဒ်ကို အသုံးချပုံပါ။

မှတ်ဉာဏ်ထဲမှာပဲ ရှိနေတဲ့ malware တွေ

ဤကဏ္ဍတွင် payloads များပါဝင်သည်- ၎င်းတို့သည် လုပ်ငန်းစဉ် သို့မဟုတ် kernel ၏ မှတ်ဉာဏ်တွင်သာ သီးသန့်နေထိုင်ကြသည်။ခေတ်မီ rootkit များ၊ အဆင့်မြင့် backdoor များ သို့မဟုတ် spyware များသည် တရားဝင်လုပ်ငန်းစဉ်တစ်ခု၏ memory space ထဲသို့ ဝင်ရောက်နိုင်ပြီး system ကို restart မလုပ်မချင်း ထိုနေရာတွင် ရှိနေနိုင်သည်။

ဤအစိတ်အပိုင်းများကို disk-oriented tools များဖြင့် မြင်ရန် အထူးခက်ခဲပြီး အသုံးပြုမှုကို ဖိအားပေးပါသည်။ တိုက်ရိုက်မှတ်ဉာဏ်ခွဲခြမ်းစိတ်ဖြာခြင်း၊ အချိန်နှင့်တပြေးညီ စစ်ဆေးခြင်း သို့မဟုတ် အဆင့်မြင့် ရာဇဝတ်မှုဆိုင်ရာ စွမ်းရည်များပါရှိသော EDR။

Windows Registry-based malware

နောက်ထပ် ထပ်ခါတလဲလဲ အသုံးပြုတဲ့ နည်းပညာတစ်ခုကတော့ သိုလှောင်ခြင်းပါပဲ Registry key များတွင် ကုဒ်ဝှက်ထားသော သို့မဟုတ် ဖုံးကွယ်ထားသော ကုဒ်များ ပြီးတော့ မှတ်ဉာဏ်ထဲမှာ ဖတ်ဖို့၊ ကုဒ်ဖြည်ဖို့နဲ့ လုပ်ဆောင်ဖို့ တရားဝင် binary တစ်ခု (PowerShell၊ MSHTA ဒါမှမဟုတ် rundll32 လိုမျိုး) ကို အသုံးပြုပါ။

ကနဦး dropper သည် Registry သို့ရေးသားပြီးနောက် အလိုအလျောက်ပျက်စီးသွားနိုင်သောကြောင့် ကျန်ရှိနေသည်မှာ အန္တရာယ်မရှိဟုထင်ရသော ဒေတာများ ရောနှောနေခြင်းဖြစ်သည်။ စနစ်စတင်တိုင်း ၎င်းတို့သည် ခြိမ်းခြောက်မှုကို အသက်သွင်းသည် သို့မဟုတ် သတ်မှတ်ထားသောဖိုင်တစ်ခုကို ဖွင့်တိုင်း။

Ransomware နှင့် ဖိုင်မဲ့ Trojan များ

ဖိုင်မဲ့နည်းလမ်းသည် အလွန်ပြင်းထန်သော loading နည်းလမ်းများနှင့် သဟဇာတမဖြစ်ဟု မဆိုလိုပါ။ ransomwareransomware executable ကို disk ပေါ်တွင်မထားဘဲ PowerShell သို့မဟုတ် WMI ကို အသုံးပြု၍ memory တွင် encryption တစ်ခုလုံးကို download လုပ်ခြင်း၊ decrypt လုပ်ခြင်းနှင့် execute လုပ်ခြင်းတို့ကို ပြုလုပ်သည့် campaign များရှိပါသည်။

အလားတူပင် အဝေးမှဝင်ရောက်ခွင့် ထရိုဂျန်များ (RATs)ကီးလော့ဂါများ သို့မဟုတ် အထောက်အထားခိုးသူများသည် မော်ဂျူးများကို လိုအပ်သလို တင်နိုင်ပြီး တရားဝင်စနစ်လုပ်ငန်းစဉ်များတွင် အဓိကယုတ္တိဗေဒကို လက်ခံထားရှိကာ တစ်ဝက်ဖိုင်မဲ့ပုံစံဖြင့် လုပ်ဆောင်နိုင်သည်။

အသုံးချမှုကိရိယာများနှင့် ခိုးယူခံရသော အထောက်အထားများ

ဝဘ် exploit kit များသည် ပဟေဠိ၏ နောက်ထပ် အစိတ်အပိုင်းတစ်ခုဖြစ်သည်- ၎င်းတို့သည် ထည့်သွင်းထားသော ဆော့ဖ်ဝဲကို ထောက်လှမ်းသည်၊ ၎င်းတို့သည် သင့်လျော်သော exploit ကို ရွေးချယ်ပြီး payload ကို memory ထဲသို့ တိုက်ရိုက်ထိုးသွင်းပါသည်။၊ မကြာခဏဆိုသလို ဒစ်ခ်ထဲသို့ ဘာမှ မသိမ်းဆည်းဘဲ။

တစ်ဖက်သားကို အသုံးချတယ်။ ခိုးယူခံရသော အထောက်အထားများ ၎င်းသည် fileless နည်းပညာများနှင့် အလွန်ကိုက်ညီသော vector တစ်ခုဖြစ်သည်- attacker သည် တရားဝင်အသုံးပြုသူအဖြစ် အထောက်အထားပြပြီး ထိုမှစ၍ native administrative tools (PowerShell Remoting၊ WMI၊ PsExec) ကို အလွဲသုံးစားပြုကာ malware ၏ ဂန္ထဝင်အရိပ်အယောင်များ မကျန်စေသည့် scripts များနှင့် command များကို ဖြန့်ကျက်သည်။

ဖိုင်မဲ့ malware ကို ဘာကြောင့် ရှာဖွေတွေ့ရှိဖို့ ဒီလောက်ခက်ခဲတာလဲ။

အခြေခံအကြောင်းရင်းကတော့ ဒီလိုခြိမ်းခြောက်မှုမျိုးကို အထူးရည်ရွယ်ပြီး ဖန်တီးထားလို့ပါ။ ရိုးရာကာကွယ်ရေးအလွှာများကို ကျော်လွှားခြင်းလက်မှတ်များ၊ whitelist များနှင့် ပုံမှန်ဖိုင်စကင်ဖတ်ခြင်းများကို အခြေခံသည်။

အကယ်၍ အန္တရာယ်ရှိသော ကုဒ်ကို disk ပေါ်တွင် executable အဖြစ် ဘယ်သောအခါမှ မသိမ်းဆည်းထားပါက၊ သို့မဟုတ် WMI၊ Registry သို့မဟုတ် firmware ကဲ့သို့သော ရောနှောထားသော containers များတွင် ဝှက်ထားပါက၊ ရိုးရာ antivirus software သည် ခွဲခြမ်းစိတ်ဖြာရန် အလွန်နည်းပါးပါသည်။ "သံသယဖြစ်ဖွယ်ဖိုင်" အစား၊ သင်ရရှိထားသည်မှာ... ပုံမှန်မဟုတ်သော ပြုမူသည့် တရားဝင်လုပ်ငန်းစဉ်များ.

ထို့အပြင်၊ ၎င်းသည် PowerShell၊ Office macros သို့မဟုတ် WMI ကဲ့သို့သော tools များကို လုံးဝပိတ်ဆို့ထားသည်။ ၎င်းသည် အဖွဲ့အစည်းများစွာတွင် အသုံးမဝင်ပါအဘယ်ကြောင့်ဆိုသော် ၎င်းတို့သည် အုပ်ချုပ်ရေး၊ အလိုအလျောက်စနစ်နှင့် နေ့စဉ်လုပ်ငန်းဆောင်တာများအတွက် မရှိမဖြစ်လိုအပ်သောကြောင့်ဖြစ်သည်။ ဤအချက်က ထောက်ခံသူများအား အလွန်သတိထားရန် တွန်းအားပေးသည်။

အချို့သော ရောင်းချသူများသည် အမြန်ပြင်ဆင်မှုများ (generic PowerShell ပိတ်ဆို့ခြင်း၊ macro လုံးဝပိတ်ခြင်း၊ cloud-only detection စသည်) ဖြင့် ပြန်လည်ချေပရန် ကြိုးစားခဲ့ကြသော်လည်း ဤအစီအမံများသည် များသောအားဖြင့် မလုံလောက်သော သို့မဟုတ် အလွန်အကျွံ နှောင့်ယှက်သော စီးပွားရေးအတွက်။

ဖိုင်မဲ့ malware ကို ရှာဖွေတွေ့ရှိပြီး ရပ်တန့်ရန် ခေတ်မီဗျူဟာများ

ဤခြိမ်းခြောက်မှုများကို ရင်ဆိုင်ရန်အတွက် ဖိုင်များကို စကင်ဖတ်စစ်ဆေးရုံထက် ကျော်လွန်ပြီး အာရုံစိုက်ထားသော ချဉ်းကပ်မှုကို လက်ခံကျင့်သုံးရန် လိုအပ်ပါသည်။ အပြုအမူ၊ အချိန်နှင့်တပြေးညီ တယ်လီမက်ထရီနှင့် နက်ရှိုင်းသော မြင်နိုင်စွမ်း နောက်ဆုံးအချက်၏ ။

အပြုအမူနှင့် မှတ်ဉာဏ်စောင့်ကြည့်ခြင်း

ထိရောက်သောချဉ်းကပ်မှုတွင် လုပ်ငန်းစဉ်များ အမှန်တကယ်လုပ်ဆောင်သည့်အရာကို လေ့လာခြင်းပါဝင်သည်- သူတို့ ဘာ command တွေကို လုပ်ဆောင်သလဲ၊ ဘယ် resource တွေကို ဝင်ရောက်သလဲ၊ ဘယ်လို connection တွေကို တည်ဆောက်သလဲ၎င်းတို့ တစ်ခုနှင့်တစ်ခု မည်သို့ဆက်စပ်နေသည် စသည်ဖြင့်။ malware မျိုးကွဲထောင်ပေါင်းများစွာ ရှိသော်လည်း၊ အန္တရာယ်ရှိသော အပြုအမူပုံစံများမှာမူ များစွာပို၍ ကန့်သတ်ထားသည်။ ၎င်းကိုလည်း ဖြည့်စွက်နိုင်သည် YARA ဖြင့် အဆင့်မြင့် ထောက်လှမ်းခြင်း.

ခေတ်မီဖြေရှင်းချက်များသည် ဤ telemetry ကို in-memory analytics၊ အဆင့်မြင့် heuristics များနှင့် ပေါင်းစပ်ထားသည်။ စက်သင်ယူမှု ကုဒ်သည် အလွန်အမင်း ရှုပ်ထွေးနေသည့်အခါ သို့မဟုတ် ယခင်က မမြင်ဖူးသည့်တိုင် တိုက်ခိုက်မှုကွင်းဆက်များကို ဖော်ထုတ်ရန်။

AMSI နှင့် ETW ကဲ့သို့သော စနစ်မျက်နှာပြင်များ အသုံးပြုခြင်း

Windows သည် အောက်ပါနည်းပညာများကို ပေးဆောင်သည် Antimalware Scan Interface (AMSI) y Windows အတွက် ဖြစ်ရပ်ခြေရာခံခြင်း (ETW) ဤအရင်းအမြစ်များသည် စနစ် script များနှင့် အဖြစ်အပျက်များကို အလွန်နိမ့်သောအဆင့်တွင် စစ်ဆေးနိုင်စေပါသည်။ ဤအရင်းအမြစ်များကို လုံခြုံရေးဖြေရှင်းချက်များထဲသို့ ပေါင်းစပ်ခြင်းဖြင့် ထောက်လှမ်းမှုကို ပိုမိုလွယ်ကူစေသည်။ ပရိုဂရမ်ကို လုပ်ဆောင်ခြင်း မပြုမီ သို့မဟုတ် လုပ်ဆောင်နေစဉ်အတွင်း အန္တရာယ်ရှိသော ကုဒ်.

ထို့အပြင်၊ အရေးကြီးသောနေရာများ — အချိန်ဇယားဆွဲထားသော အလုပ်များ၊ WMI စာရင်းသွင်းမှုများ၊ boot registry key များ စသည်တို့ — ကို ခွဲခြမ်းစိတ်ဖြာခြင်းသည် ခွဲခြားသတ်မှတ်ရန် ကူညီပေးသည် လျှို့ဝှက်ဖိုင်မဲ့ တည်တံ့မှု ရိုးရှင်းတဲ့ ဖိုင်စကင်ဖတ်ရုံနဲ့ အဲဒါကို သတိမထားမိဘဲ မနေနိုင်ပါဘူး။

ခြိမ်းခြောက်မှုရှာဖွေခြင်းနှင့် တိုက်ခိုက်မှုညွှန်းကိန်းများ (IoA)

ဂန္ထဝင်အညွှန်းကိန်းများ (hashes၊ file paths) သည် လိုအပ်ချက်မပြည့်မီသောကြောင့်၊ ၎င်းကို အားကိုးရန် အကြံပြုလိုပါသည် တိုက်ခိုက်မှုညွှန်းကိန်းများ (IoA)၊ ၎င်းတို့သည် သံသယဖြစ်ဖွယ် အပြုအမူများနှင့် သိရှိထားသော နည်းဗျူဟာများနှင့် ကိုက်ညီသော လုပ်ဆောင်ချက်များ၏ အစီအစဉ်ကို ဖော်ပြပါသည်။

ခြိမ်းခြောက်မှုရှာဖွေရေးအဖွဲ့များ—အတွင်းပိုင်း သို့မဟုတ် စီမံခန့်ခွဲထားသောဝန်ဆောင်မှုများမှတစ်ဆင့်—သည် ကြိုတင်ရှာဖွေနိုင်သည် ဘေးတိုက်ရွေ့လျားမှုပုံစံများ၊ မူရင်းကိရိယာများကို အလွဲသုံးစားပြုခြင်း၊ PowerShell အသုံးပြုမှုတွင် ပုံမှန်မဟုတ်မှုများ သို့မဟုတ် အရေးကြီးဒေတာများကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ကြည့်ရှုခြင်း၊ ဘေးအန္တရာယ်တစ်ခု မဖြစ်ပွားမီ ဖိုင်မဲ့ခြိမ်းခြောက်မှုများကို ထောက်လှမ်းခြင်း။

EDR၊ XDR နှင့် SOC ၂၄/၇

ခေတ်မီပလက်ဖောင်းများ EDR နှင့် XDR (တိုးချဲ့ထားသောအဆင့်တွင် အဆုံးမှတ်ထောက်လှမ်းခြင်းနှင့် တုံ့ပြန်မှု) သည် ပထမဆုံး phishing အီးမေးလ်မှ နောက်ဆုံး exfiltration အထိ ဖြစ်ရပ်တစ်ခု၏ အပြည့်အစုံသမိုင်းကြောင်းကို ပြန်လည်တည်ဆောက်ရန် လိုအပ်သော မြင်သာမှုနှင့် ဆက်စပ်မှုကို ပေးပါသည်။

တစ်ခုနှင့် ပေါင်းစပ်ထားသည် ၂၄/၇ လည်ပတ်မှု SOC၎င်းတို့သည် ထောက်လှမ်းမှုကို ခွင့်ပြုရုံသာမက၊ အလိုအလျောက် ထိန်းချုပ်ပြီး ပြုပြင်ပေးသည် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်- ကွန်ပျူတာများကို ခွဲထုတ်ခြင်း၊ လုပ်ငန်းစဉ်များကို ပိတ်ဆို့ခြင်း၊ Registry တွင် ပြောင်းလဲမှုများကို ပြန်လည်သတ်မှတ်ခြင်း သို့မဟုတ် ဖြစ်နိုင်သည့်အခါတွင် encryption ကို ပြန်လည်ပယ်ဖျက်ခြင်း။

ဖိုင်မဲ့ malware နည်းပညာများသည် ဂိမ်းကို ပြောင်းလဲစေခဲ့သည်- antivirus scan ကို လုပ်ဆောင်ပြီး သံသယဖြစ်ဖွယ် executable တစ်ခုကို ဖျက်လိုက်ရုံဖြင့် မလုံလောက်တော့ပါ။ ယနေ့ခေတ်တွင် ကာကွယ်ရေးတွင် တိုက်ခိုက်သူများသည် မန်မိုရီ၊ Registry၊ WMI သို့မဟုတ် firmware တွင် ကုဒ်ကို ဝှက်ထားခြင်းဖြင့် အားနည်းချက်များကို မည်သို့အသုံးချသည်ကို နားလည်ခြင်းနှင့် အပြုအမူစောင့်ကြည့်ခြင်း၊ မန်မိုရီအတွင်း ခွဲခြမ်းစိတ်ဖြာခြင်း၊ EDR/XDR၊ ခြိမ်းခြောက်မှုရှာဖွေခြင်းနှင့် အကောင်းဆုံးလုပ်ဆောင်မှုများကို ပေါင်းစပ်အသုံးပြုခြင်းတို့ ပါဝင်သည်။ သက်ရောက်မှုကို လက်တွေ့လျှော့ချပါ ရိုးရာဖြေရှင်းချက်များကဲ့သို့ မည်သည့်အရိပ်အယောင်မျှ မကျန်စေရန် ရည်ရွယ်၍ ကြိုးပမ်းသည့် တိုက်ခိုက်မှုများသည် ပြီးပြည့်စုံပြီး ဆက်လက်လုပ်ဆောင်နေသော မဟာဗျူဟာတစ်ခု လိုအပ်ပါသည်။ ညှိနှိုင်းမှုတစ်စုံတစ်ရာရှိပါက သိရှိခြင်း ပြင်းထန်သောဗိုင်းရပ်စ်ပိုးပြီးနောက် Windows ကိုပြုပြင်ပါ။ မရှိမဖြစ်လိုအပ်သည်