ဖိုင်မဲ့ဖိုင်များကို ခွဲခြားသတ်မှတ်ခြင်း- မမ်မိုရီအတွင်း မဲလ်ဝဲကို ရှာဖွေခြင်းနှင့် ရပ်တန့်ခြင်းဆိုင်ရာ လမ်းညွှန်ချက်အပြည့်အစုံ

ဒစ်ခ်ပေါ်တွင် သဲလွန်စမကျန်စေဘဲ လုပ်ဆောင်သည့် တိုက်ခိုက်မှုများသည် လုံခြုံရေးအဖွဲ့များစွာအတွက် အဓိက ခေါင်းခဲစရာဖြစ်လာပြီး ၎င်းတို့သည် မန်မိုရီတွင် လုံးလုံးလျားလျားလုပ်ဆောင်ပြီး တရားဝင်စနစ်လုပ်ငန်းစဉ်များကို အသုံးချခြင်းကြောင့် ဖြစ်သည်။ ထို့ကြောင့် သိရန် အရေးကြီးသည်။ ဖိုင်မဲ့ဖိုင်တွေကို ဘယ်လိုခွဲခြားမလဲ။ သူတို့တဘက်၌ ကွယ်ကာ၍၊

ခေါင်းစဉ်များနှင့် ခေတ်ရေစီးကြောင်းများအပြင်၊ ၎င်းတို့လုပ်ဆောင်ပုံ၊ အဘယ်ကြောင့် ဤမျှခက်ခဲသည်ကို နားလည်သဘောပေါက်ပြီး ၎င်းတို့ကို သိရှိနိုင်စေမည့် လက္ခဏာများသည် အဖြစ်အပျက်တစ်ခုနှင့် ဖောက်ဖျက်မှုအတွက် နောင်တရခြင်းအကြား ခြားနားချက်ကို ဖြစ်စေသည်။ အောက်ပါလိုင်းများတွင် ကျွန်ုပ်တို့သည် ပြဿနာကိုခွဲခြမ်းစိတ်ဖြာပြီး အဆိုပြုပါသည်။ ဖြေရှင်းချက်များ။

Fileless Malware က ဘာလဲ၊ ဘာကြောင့် အရေးကြီးတာလဲ။

 

Fileless malware သည် သီးခြားမိသားစုတစ်ခုမဟုတ်သော်လည်း လည်ပတ်သည့်နည်းလမ်းတစ်ခုဖြစ်သည်။ disk သို့ executable များရေးသားခြင်းကိုရှောင်ကြဉ်ပါ။ ၎င်းသည် အန္တရာယ်ရှိသောကုဒ်ကို လုပ်ဆောင်ရန် စနစ်တွင် ပါရှိပြီးသား ဝန်ဆောင်မှုများနှင့် binaries ကို အသုံးပြုသည်။ အလွယ်တကူ စကင်န်ဖတ်နိုင်သော ဖိုင်ကို ချန်ထားမည့်အစား တိုက်ခိုက်သူသည် ယုံကြည်ရသော အသုံးအဆောင်ပစ္စည်းများကို အလွဲသုံးစားလုပ်ပြီး ၎င်း၏ယုတ္တိကို RAM ထဲသို့ တိုက်ရိုက်တင်ပါသည်။

ဤချဉ်းကပ်မှုသည် 'မြေပြင်မှ အသက်ရှင်နေထိုင်ခြင်း' ဒဿနတွင် ပါဝင်လေ့ရှိသည်- တိုက်ခိုက်သူများသည် သရုပ်ဖော်သည်။ PowerShell၊ WMI၊ mshta၊ rundll32 ကဲ့သို့သော မူရင်းကိရိယာများ သို့မဟုတ် ဆူညံမှုအနည်းဆုံးဖြင့် ၎င်းတို့၏ပန်းတိုင်များကိုအောင်မြင်ရန် VBScript နှင့် JScript ကဲ့သို့သော ဇာတ်ညွှန်းရေးအင်ဂျင်များ။

ကျွန်ုပ်တို့တွေ့နိုင်သော ၎င်း၏ ကိုယ်စားလှယ်အများစုတွင်- မတည်ငြိမ်သောမှတ်ဉာဏ်တွင် လုပ်ဆောင်မှုဒစ်ပေါ်တွင် အနည်းငယ် သို့မဟုတ် လုံးဝ မတည်မြဲခြင်း၊ စနစ်မှ ရေးထိုးထားသော အစိတ်အပိုင်းများကို အသုံးပြုခြင်းနှင့် အမှတ်အသားအခြေခံ အင်ဂျင်များကို ရှောင်လွှဲနိုင်သော စွမ်းရည်မြင့်မားခြင်း။

ပြန်လည်စတင်ပြီးနောက် payload အများအပြား ပျောက်ကွယ်သွားသော်လည်း၊ အရူးမခံပါနှင့်။ ရန်ဘက်ပြုသူများသည် မြဲမြံစွာ တည်စေနိုင်သည်။ Registry သော့များ၊ WMI စာရင်းသွင်းမှုများ သို့မဟုတ် စီစဉ်ထားသော လုပ်ဆောင်စရာများကို အသုံးချခြင်းဖြင့်၊ အားလုံးသည် ဒစ်ခ်ပေါ်တွင် သံသယဖြစ်ဖွယ် binaries မထားခဲ့ဘဲ။

ဖိုင်မဲ့ဖိုင်များကို ခွဲခြားသတ်မှတ်ရန် အဘယ်ကြောင့် အလွန်ခက်ခဲနေရသနည်း။

ပထမအတားအဆီးမှာ သိသာထင်ရှားသည်- စစ်ဆေးရန် မှားယွင်းသောဖိုင်များ မရှိပါ။လက်မှတ်များနှင့် ဖိုင်ခွဲခြမ်းစိတ်ဖြာမှုအပေါ် အခြေခံ၍ ရိုးရာ ဗိုင်းရပ်စ်နှိမ်နင်းရေး ပရိုဂရမ်များသည် မှန်ကန်သော လုပ်ငန်းစဉ်များတွင် တည်ရှိပြီး အန္တရာယ်ရှိသော ယုတ္တိဗေဒသည် မမ်မိုရီတွင် တည်ရှိနေသည့်အခါ စီမံဆောင်ရွက်ရန် နေရာအနည်းငယ်သာရှိသည်။

ဒုတိယအချက်မှာ ပိုမိုသိမ်မွေ့သည်- တိုက်ခိုက်သူများသည် ၎င်းတို့၏နောက်တွင် ဖုံးကွယ်ထားကြသည်။ တရားဝင်လည်ပတ်မှုစနစ် လုပ်ငန်းစဉ်များPowerShell သို့မဟုတ် WMI ကို စီမံခန့်ခွဲရန်အတွက် နေ့စဉ်အသုံးပြုပါက၊ အကြောင်းအရာနှင့် အပြုအမူဆိုင်ရာ telemetry မပါဘဲ ပုံမှန်အသုံးပြုမှုနှင့် အန္တရာယ်ရှိသော အသုံးပြုမှုမှ သင်မည်သို့ ခွဲခြားနိုင်မည်နည်း။

ထို့အပြင်၊ အရေးကြီးသောကိရိယာများကို မျက်စိစုံမှိတ်ပိတ်ဆို့ခြင်းသည် မဖြစ်နိုင်ပါ။ PowerShell သို့မဟုတ် Office macro ကို ဘုတ်အဖွဲ့အနှံ့ ပိတ်ထားခြင်းသည် လုပ်ဆောင်ချက်များကို ပျက်ပြားစေနိုင်သည်။ အလွဲသုံးစားမှုများကို လုံးလုံးလျားလျား တားဆီးမထားပေ။အဘယ်ကြောင့်ဆိုသော် ရိုးရှင်းသောလုပ်ကွက်များကို ကျော်လွှားရန် အခြားရွေးချယ်စရာနည်းလမ်းများနှင့် နည်းစနစ်များစွာရှိသောကြောင့်ဖြစ်သည်။

၎င်းကို ထိပ်တိုက်တွေ့ရန်အတွက်၊ cloud-based သို့မဟုတ် server-side detection သည် ပြဿနာများကို ကာကွယ်ရန် အလွန်နောက်ကျပါသည်။ ပြည်တွင်းပြည်ပကို အချိန်နှင့်တစ်ပြေးညီ မြင်နိုင်စွမ်းမရှိပဲ... အမိန့်ပေးလိုင်းများ၊ လုပ်ငန်းစဉ်ဆက်နွယ်မှုများနှင့် မှတ်တမ်းဖြစ်ရပ်များအေးဂျင့်သည် ဒစ်ခ်ပေါ်တွင် ခြေရာရာမချန်ထားသည့် အန္တရာယ်ရှိသော စီးဆင်းမှုကို ပျံသန်းရာတွင် လျော့ပါးသွားအောင် မလုပ်နိုင်ပါ။

fileless attack သည် အစမှ အဆုံးထိ အလုပ်လုပ်ပုံ

ကနဦးဝင်ရောက်ခွင့်သည် အမြဲတမ်းကဲ့သို့ အလားတူ vector များဖြင့် ဖြစ်ပေါ်သည်- ရုံးစာရွက်စာတမ်းများနှင့်အတူ phishing အသက်ဝင်သောအကြောင်းအရာကိုဖွင့်ရန်၊ အပေးအယူခံရသောဆိုက်များသို့ လင့်ခ်များ၊ ထင်ရှားသောအပလီကေးရှင်းများတွင် အားနည်းချက်များကို အသုံးချခြင်း သို့မဟုတ် RDP သို့မဟုတ် အခြားဝန်ဆောင်မှုများမှတစ်ဆင့် ဝင်ရောက်ရန် ပေါက်ကြားနေသောအထောက်အထားများကို အလွဲသုံးစားလုပ်ခိုင်းသည်။

အတွင်းထဲကိုရောက်တာနဲ့ ပြိုင်ဘက်က disc ကိုမထိဘဲ execute လုပ်ဖို့ရှာတယ်။ ဒါကိုလုပ်ဖို့၊ သူတို့ဟာ စနစ်လုပ်ဆောင်ချက်တွေကို ချိတ်ဆက်ပါ- စာရွက်စာတမ်းများတွင် macro သို့မဟုတ် DDE ညွှန်ကြားချက်များကို စတင်ခြင်း၊ RCE အတွက် ပြည့်လျှံမှုများကို အသုံးချခြင်း သို့မဟုတ် မန်မိုရီအတွင်းကုဒ်ကို တင်ခြင်းနှင့် အကောင်အထည်ဖော်ခြင်းတို့ကို ခွင့်ပြုသည့် ယုံကြည်စိတ်ချရသော binaries ကို ခေါ်ဆိုခြင်းဖြစ်သည်။

လုပ်ဆောင်ချက်သည် စဉ်ဆက်မပြတ်လိုအပ်ပါက၊ စီစဥ်ရေးအသစ်များကို အသုံးမပြုဘဲ စွဲမြဲစွာအကောင်အထည်ဖော်နိုင်သည်- Registry တွင် startup entries များစနစ်ဖြစ်ရပ်များကို တုံ့ပြန်သည့် သို့မဟုတ် အချို့သောအခြေအနေများအောက်တွင် script များကို အစပျိုးပေးသည့် လုပ်ဆောင်စရာများကို တုံ့ပြန်သည့် WMI စာရင်းသွင်းမှုများ။

ကွပ်မျက်မှုကို ချမှတ်ပြီး ရည်ရွယ်ချက်သည် အောက်ပါအဆင့်များကို ညွှန်ပြသည်- ဘေးတိုက်ရွှေ့ခြင်း၊ data တွေကို exfiltrate လုပ်ပါ။၎င်းတွင် အထောက်အထားများ ခိုးယူခြင်း၊ RAT ကို အသုံးပြုခြင်း၊ သတ္တုတွင်း cryptocurrencies တူးဖော်ခြင်း သို့မဟုတ် ransomware ကိစ္စတွင် ဖိုင်ကုဒ်ဝှက်ခြင်းကို အသက်ဝင်စေခြင်းတို့ ပါဝင်သည်။ ရှိပြီးသား လုပ်ဆောင်ချက်များကို အသုံးချခြင်းဖြင့် ဖြစ်နိုင်လျှင် ဤအရာအားလုံးကို လုပ်ဆောင်ပါသည်။

အထောက်အထားများကို ဖယ်ရှားခြင်းသည် အစီအစဉ်၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်- သံသယဖြစ်ဖွယ် ဒွိစုံများကို မရေးသားခြင်းဖြင့်၊ တိုက်ခိုက်သူသည် ခွဲခြမ်းစိတ်ဖြာရမည့် အရာများကို သိသိသာသာ လျှော့ချပေးသည်။ ပုံမှန်ဖြစ်ရပ်များကြား ၎င်းတို့၏ လုပ်ဆောင်ချက်ကို ရောနှောပါ။ ဖြစ်နိုင်လျှင် စနစ်၏ ယာယီခြေရာခံများကို ဖျက်ပစ်ပါ။

များသောအားဖြင့် သူတို့သုံးတဲ့ နည်းပညာတွေနဲ့ ကိရိယာတွေ

ကတ်တလောက်သည် ကျယ်ဝန်းသော်လည်း၊ ၎င်းသည် မူရင်းအသုံးအဆောင်များနှင့် ယုံကြည်စိတ်ချရသောလမ်းကြောင်းများပေါ်တွင် အမြဲလိုလို လည်ပတ်နေပါသည်။ ဤအရာများသည် ရည်မှန်းချက်ပန်းတိုင်ဖြင့် အမြဲအသုံးအများဆုံးအရာများဖြစ်သည်။ မန်မိုရီအတွင်း လုပ်ဆောင်ချက်ကို မြှင့်တင်ပါ။ သဲလွန်စကို မှုန်ဝါးစေသည်-

• PowerShellအစွမ်းထက်သော ဇာတ်ညွှန်းရေးသားခြင်း၊ Windows APIs များသို့ ဝင်ရောက်ခြင်းနှင့် အလိုအလျောက်လုပ်ဆောင်ခြင်း။ ၎င်း၏ ဘက်စုံစွမ်းပကားသည် အုပ်ချုပ်ရေးပိုင်းနှင့် ပုတ်ခတ်အလွဲသုံးစားပြုမှု နှစ်ခုစလုံးအတွက် စိတ်ကြိုက်ဖြစ်စေသည်။
• WMI (Windows Management Instrumentation)၎င်းသည် သင့်အား စနစ်ဖြစ်ရပ်များကို မေးမြန်းပြီး တုံ့ပြန်နိုင်သည့်အပြင် အဝေးထိန်းစနစ်နှင့် ဒေသန္တရလုပ်ဆောင်ချက်များကို လုပ်ဆောင်နိုင်စေပါသည်။ အတွက်အသုံးဝင်သည်။ ဇွဲလုံ့လနှင့် စည်းရုံးမှု.
• VBScript နှင့် JScript: စနစ်အစိတ်အပိုင်းများမှတစ်ဆင့် ယုတ္တိဗေဒလုပ်ဆောင်မှုကို လွယ်ကူချောမွေ့စေသည့် ပတ်ဝန်းကျင်များစွာတွင် ရှိနေသည့် အင်ဂျင်များ။
• mshta၊ rundll32 နှင့် အခြားယုံကြည်ရသော binaries: ကောင်းစွာချိတ်ဆက်သည့်အခါတွင် လုပ်နိုင်သည့် နာမည်ကြီး LoLBins များ artifacts မချဘဲ code ကို execute လုပ်ပါ။ disk ပေါ်တွင်ထင်ရှား။
• တက်ကြွသောအကြောင်းအရာပါသောစာရွက်စာတမ်းများOffice ရှိ Macros သို့မဟုတ် DDE အပြင် အဆင့်မြင့်အင်္ဂါရပ်များပါရှိသော PDF readers များသည် memory ထဲတွင် commands များကိုဖွင့်ရန်အတွက် springboard တစ်ခုအနေဖြင့် လုပ်ဆောင်နိုင်ပါသည်။
• Windows Registry: စနစ်အစိတ်အပိုင်းများဖြင့် အသက်သွင်းထားသည့် payloads များကို ကုဒ်ကုဒ်လုပ်ထားသော/ဝှက်ထားသော သိုလှောင်မှု self-boot keys များ။
• ဖမ်းဆီးရမိခြင်းနှင့် ဆေးထိုးခြင်း လုပ်ငန်းစဉ်များ: မွမ်းမံပြင်ဆင်ခြင်း လုပ်ငန်းစဉ်များ လုပ်ဆောင်နေသည့် မှတ်ဉာဏ်နေရာလွတ်များ host malicious logic တရားဝင် အကောင်ထည်ဖော်နိုင်တဲ့အထဲမှာ
• လည်ပတ်ကိရိယာအစုံ: သားကောင်၏စနစ်ရှိ အားနည်းချက်များကို ရှာဖွေတွေ့ရှိခြင်းနှင့် ဒစ်ကိုမထိဘဲ အကောင်အထည်ဖော်မှုအောင်မြင်ရန် အံဝင်ခွင်ကျရှိသော အသုံးချမှုများကို အသုံးချခြင်း။

ကုမ္ပဏီများအတွက် စိန်ခေါ်မှု (နှင့် အရာအားလုံးကို အဘယ်ကြောင့် ပိတ်ဆို့ရုံမျှနှင့် မလုံလောက်ပါ)

နုံအသောချဉ်းကပ်မှုတစ်ခုသည် ပြင်းထန်သောအတိုင်းအတာကို အကြံပြုသည်- PowerShell ကိုပိတ်ဆို့ခြင်း၊ မက်ခရိုများကိုတားမြစ်ခြင်း၊ rundll32 ကဲ့သို့သော binaries များကိုတားဆီးခြင်း။ အဖြစ်မှန်သည် ပို၍ သိမ်မွေ့သည်- ဤကိရိယာများစွာသည် မရှိမဖြစ်လိုအပ်ပါသည်။ နေ့စဉ် IT လုပ်ငန်းများနှင့် စီမံခန့်ခွဲရေး အလိုအလျောက် လုပ်ဆောင်မှုများအတွက်။

ထို့အပြင်၊ တိုက်ခိုက်သူများသည် ကွက်လပ်များကို ရှာဖွေသည်- scripting engine ကို အခြားနည်းလမ်းများဖြင့် လုပ်ဆောင်ခြင်း၊ အစားထိုးမိတ္တူများကို အသုံးပြုပါ။သင်သည် ရုပ်ပုံများတွင် ယုတ္တိဗေဒကို ထုပ်ပိုးနိုင်သည် သို့မဟုတ် စောင့်ကြည့်မှုနည်းသော LoLBins ကို အပန်းဖြေနိုင်သည်။ ရိုင်းစိုင်းသောပိတ်ဆို့ခြင်းသည် နောက်ဆုံးတွင် ပြီးပြည့်စုံသော ကာကွယ်ရေးကို မပေးဘဲ ပွတ်တိုက်မှုကို ဖန်တီးသည်။

server-side သို့မဟုတ် cloud-based ခွဲခြမ်းစိတ်ဖြာမှု သက်သက်သည် ပြဿနာကို ဖြေရှင်းမပေးနိုင်ပါ။ ကြွယ်ဝသော endpoint telemetry မပါဘဲနှင့်မပါဘဲ အေးဂျင့်ကိုယ်တိုင်က တုံ့ပြန်မှုဆုံးဖြတ်ချက်က နောက်ကျပြီး ပြင်ပ စီရင်ချက်ကို စောင့်ဆိုင်းရတာကြောင့် ကြိုတင်ကာကွယ်မှုဟာ မဖြစ်နိုင်ပါဘူး။

တစ်ချိန်တည်းတွင်၊ စျေးကွက်အစီရင်ခံစာများသည် အထွတ်အထိပ်နေရာများနှင့်အတူ ဤဧရိယာတွင် အလွန်သိသာထင်ရှားသော တိုးတက်မှုကို ညွှန်ပြနေပါသည်။ PowerShell ကို အလွဲသုံးစားလုပ်ရန် ကြိုးပမ်းမှု နှစ်ဆနီးပါး တိုးလာသည်။ အချိန်တိုအတွင်း၊ ၎င်းသည် ရန်ဘက်များ အတွက် ထပ်တလဲလဲ နှင့် အကျိုးအမြတ်ရှိသော နည်းပရိယာယ်ဖြစ်ကြောင်း အတည်ပြုသည်။

ခေတ်မီသိရှိနိုင်မှု- ဖိုင်တစ်ခုမှ အပြုအမူတစ်ခုအထိ

အဓိကအချက်မှာ မည်သူက ကွပ်မျက်မည်မဟုတ်ဘဲ၊ စောင့်ကြည့်စစ်ဆေးခြင်း။ အပြုအမူနှင့် ၎င်း၏ဆက်ဆံရေး ၎င်းသည် ပြတ်ပြတ်သားသားဖြစ်သည်- အမိန့်ပေးစာလိုင်း၊ လုပ်ငန်းစဉ်အမွေဆက်ခံမှု၊ ထိလွယ်ရှလွယ် API ခေါ်ဆိုမှုများ၊ ပြင်ပချိတ်ဆက်မှုများ၊ မှတ်ပုံတင်ခြင်းမွမ်းမံမှုများနှင့် WMI ဖြစ်ရပ်များ။

ဤချဉ်းကပ်မှုသည် တိမ်းရှောင်မှုမျက်နှာပြင်ကို သိသိသာသာ လျှော့ချပေးသည်- ဒွိဟိတ်များ ပြောင်းလဲသွားသော်လည်း၊ တိုက်ခိုက်မှုပုံစံများကို ထပ်ခါတလဲလဲ ပြုလုပ်သည်။ (မှတ်ဉာဏ်တွင် ဒေါင်းလုဒ်လုပ်ပြီး လုပ်ဆောင်သည့် script များ၊ LoLBins ကို အလွဲသုံးစားလုပ်ခြင်း၊ စကားပြန်များ တောင်းခံခြင်း စသည်ဖြင့်)။ ဖိုင်၏ 'identity' မဟုတ်ဘဲ အဆိုပါ script ကို ပိုင်းခြားစိတ်ဖြာခြင်းဖြင့် ထောက်လှမ်းမှုကို တိုးတက်စေသည်။

ထိရောက်သော EDR/XDR ပလပ်ဖောင်းများသည် ပြီးပြည့်စုံသော အဖြစ်အပျက်မှတ်တမ်းကို ပြန်လည်တည်ဆောက်ရန်အတွက် အချက်ပြမှုများ ဆက်စပ်နေပါသည်။ အကြောင်းခံ 'ပေါ်လာသည်' ဖြစ်စဉ်ကို အပြစ်တင်မည့်အစား၊ ဤဇာတ်ကြောင်းသည် ပူးတွဲပါဖိုင်များ၊ မက်ခရိုများ၊ စကားပြန်များ၊ ပေးဆောင်မှုများနှင့် အထီးကျန်အစိတ်အပိုင်းတစ်ခုမျှသာမဟုတ်ဘဲ စီးဆင်းမှုတစ်ခုလုံးကို လျော့ပါးစေရန် စွဲမြဲနေစေရန် ချိတ်ဆက်ထားသည်။

အစရှိတဲ့ မူဘောင်တွေကို အသုံးချပါ။ MITER ATT&CK ၎င်းသည် စောင့်ကြည့်လေ့လာထားသော နည်းဗျူဟာများနှင့် နည်းစနစ်များ (TTPs) ကို မြေပုံနှင့် ထောက်ပြပြီး အကျိုးစီးပွားဆိုင်ရာ အပြုအမူများဆီသို့ ခြိမ်းခြောက်အမဲလိုက်ခြင်းကို လမ်းညွှန်ပေးသည်- ကွပ်မျက်မှု၊ စွဲမြဲစွာ၊ ကာကွယ်ရေး တိမ်းရှောင်မှု၊ အထောက်အထားလက်လှမ်းမီမှု၊ ရှာဖွေတွေ့ရှိမှု၊ နှစ်ဘက်ရွေ့လျားမှုနှင့် ထုတ်ယူခြင်းတို့ကို လမ်းညွှန်ပေးသည်။

နောက်ဆုံးတွင်၊ အဆုံးမှတ်တုံ့ပြန်မှု စုစည်းမှုမှာ ချက်ချင်းဖြစ်ရမည်- စက်ပစ္စည်းကို သီးခြားခွဲထုတ်ခြင်း၊ လုပ်ငန်းစဉ်များအဆုံးသတ် ပါဝင်ပါ၊ Registry သို့မဟုတ် task scheduler တွင် အပြောင်းအလဲများကို ပြန်ပြောင်းပြီး ပြင်ပအတည်ပြုချက်များကို မစောင့်ဆိုင်းဘဲ သံသယဖြစ်ဖွယ် အထွက်ချိတ်ဆက်မှုများကို ပိတ်ဆို့ပါ။

အသုံးဝင်သော telemetry- ဘာကိုကြည့်ရမလဲ၊ ဦးစားပေးပုံ

စနစ်မပြည့်ဝဘဲ ထောက်လှမ်းမှုဖြစ်နိုင်ခြေကို တိုးမြှင့်ရန်အတွက်၊ တန်ဖိုးမြင့်အချက်ပြမှုများကို ဦးစားပေးလုပ်ဆောင်ရန် အကြံပြုလိုပါသည်။ အကြောင်းအရာကို ပံ့ပိုးပေးသော အရင်းအမြစ်များနှင့် ထိန်းချုပ်မှုအချို့။ fileless အတွက် အရေးကြီးပါသည်။ သူတို့ဟာနေသောခေါင်းစဉ်:

• အသေးစိတ် PowerShell မှတ်တမ်း နှင့် အခြားဘာသာပြန်များ- ဇာတ်ညွှန်းပိတ်ဆို့ခြင်းမှတ်တမ်း၊ ညွှန်ကြားချက်မှတ်တမ်း၊ တင်ထားသော မော်ဂျူးများနှင့် AMSI ဖြစ်ရပ်များ ရရှိနိုင်သည့်အခါ။
• WMI Repositoryအထူးသဖြင့် ထိလွယ်ရှလွယ်သော namespaces များတွင် ပွဲအစီအစဥ်များ၊ သုံးစွဲသူများနှင့် လင့်ခ်များ ဖန်တီးခြင်း သို့မဟုတ် ပြုပြင်မွမ်းမံခြင်းဆိုင်ရာ သိုလှောင်မှုနှင့် သတိပေးချက်။
• လုံခြုံရေးဖြစ်ရပ်များနှင့် Sysmon: လုပ်ငန်းစဉ်ဆက်စပ်မှု၊ ရုပ်ပုံခိုင်မာမှု၊ မှတ်ဉာဏ်ဖွင့်မှု၊ ဆေးထိုးမှု၊ နှင့် စီစဉ်ထားသည့်လုပ်ဆောင်စရာများ ဖန်တီးခြင်း။
• အနီရောငျ: ပုံမှန်မဟုတ်သော အပြင်ထွက်ချိတ်ဆက်မှုများ၊ မီးရှူးမီးပန်းများ၊ payload ဒေါင်းလုဒ်ပုံစံများနှင့် exfiltration အတွက် လျှို့ဝှက်ချန်နယ်များကို အသုံးပြုခြင်း။

အလိုအလျောက်စနစ်က ဂျုံစပါးကို အဖျင်းနှင့် ခွဲခြားရာတွင် ကူညီပေးသည်- အပြုအမူ-အခြေခံသိရှိမှုစည်းမျဉ်းများ၊ ခွင့်ပြုစာရင်းများ တရားဝင်အုပ်ချုပ်ရေး ခြိမ်းခြောက်မှုဆိုင်ရာ ထောက်လှမ်းရေးနှင့်အတူ ကြွယ်ဝမှုသည် မှားယွင်းသော အပြုသဘောများကို ကန့်သတ်ကာ တုံ့ပြန်မှုကို အရှိန်မြှင့်ပေးသည်။

မျက်နှာပြင်ကိုကာကွယ်ခြင်းနှင့်လျှော့ချ

အတိုင်းအတာတစ်ခုတည်းနှင့် မလုံလောက်သော်လည်း အလွှာလိုက် ကာကွယ်ရေးသည် အန္တရာယ်ကို များစွာလျှော့ချပေးသည်။ ကြိုတင်ကာကွယ်မှုဘက်တွင်၊ လုပ်ဆောင်ချက်များစွာသည် ထင်ရှားသည်။ vector ညှပ်ခြင်း။ ရန်ဘက်ပြု၍ ဘဝကို ပိုခက်ခဲစေ၏။

• Macro စီမံခန့်ခွဲမှု: default အနေဖြင့် disable လုပ်ပြီး လုံးဝလိုအပ်ပြီး လက်မှတ်ထိုးမှသာ ခွင့်ပြုပါ။ အုပ်စုမူဝါဒများမှတစ်ဆင့် အသေးစိတ်ထိန်းချုပ်မှုများ။
• စကားပြန်များနှင့် LoLBins ကန့်သတ်ချက်: AppLocker/WDAC သို့မဟုတ် ညီမျှသော၊ ကျယ်ကျယ်ပြန့်ပြန့် မှတ်တမ်းသွင်းခြင်းဖြင့် scripts များနှင့် execution ပုံစံများကို ထိန်းချုပ်ပါ။
• ဖာထေးခြင်းနှင့် လျော့ပါးစေခြင်း။: အမြတ်ထုတ်နိုင်သော အားနည်းချက်များကို ပိတ်ပြီး RCE နှင့် ထိုးဆေးများကို ကန့်သတ်ထားသည့် မမ်မိုရီအကာအကွယ်များကို အသက်သွင်းပါ။
• ခိုင်မာသော စစ်မှန်ကြောင်းအထောက်အထားအထောက်အထားအလွဲသုံးစားလုပ်ခြင်းကို တားဆီးရန် MFA နှင့် သုညယုံကြည်မှုအခြေခံမူများ ဘေးတိုက်လှုပ်ရှားမှုကိုလျှော့ချ.
• အသိပညာနှင့် သရုပ်ဖော်မှုများဖြားယောင်းခြင်းဆိုင်ရာ လက်တွေ့လေ့ကျင့်မှု၊ တက်ကြွသောအကြောင်းအရာများပါရှိသော စာရွက်စာတမ်းများနှင့် မမှန်မကန်လုပ်ဆောင်မှု၏ လက္ခဏာများ။

ဤအစီအမံများကို အချိန်နှင့်တပြေးညီ သိရှိနိုင်စေရန် အသွားအလာနှင့် မှတ်ဉာဏ်များကို ခွဲခြမ်းစိတ်ဖြာသည့် ဖြေရှင်းချက်များဖြင့် ဖြည့်စွက်ထားပါသည်။ ခွဲထွက်ခြင်းမူဝါဒများ နှင့် တစ်စုံတစ်ခု ဖြတ်သွားသည့်အခါ သက်ရောက်မှုကို ထိန်းထားရန် အနည်းငယ်သာ အခွင့်ထူးများ။

ဝန်ဆောင်မှုများနှင့် ချဉ်းကပ်မှုများ လုပ်ဆောင်နေကြောင်း သိရသည်။

အဆုံးမှတ်များစွာနှင့် ဝေဖန်ပိုင်းခြားမှုမြင့်မားသော ပတ်ဝန်းကျင်တွင်၊ ထောက်လှမ်းမှုနှင့် တုံ့ပြန်မှုဝန်ဆောင်မှုများဖြင့် စီမံခန့်ခွဲသည်။ 24/7 စောင့်ကြည့် ၎င်းတို့သည် အခင်းဖြစ်ပွားမှုကို အရှိန်မြှင့်ရန် သက်သေပြခဲ့သည်။ SOC၊ EMDR/MDR နှင့် EDR/XDR တို့၏ပေါင်းစပ်မှုသည် ကျွမ်းကျင်သူမျက်လုံးများ၊ ကြွယ်ဝသော telemetry နှင့် ပေါင်းစပ်တုံ့ပြန်မှုစွမ်းရည်များကို ပေးဆောင်သည်။

အထိရောက်ဆုံး ဝန်ဆောင်မှုပေးသူများသည် အပြုအမူအပြောင်းအရွှေ့သို့ ပေါ့ပါးသော အေးဂျင့်များကို အတွင်းပိုင်းထည့်သွင်းထားသည်။ kernel အဆင့်တွင် လုပ်ဆောင်မှု ဆက်စပ်မှု၎င်းတို့သည် ပြီးပြည့်စုံသော တိုက်ခိုက်မှုမှတ်တမ်းများကို ပြန်လည်တည်ဆောက်ပြီး အပြောင်းအလဲများကို ပြန်ပြင်ရန် တွန်းလှန်နိုင်စွမ်းရှိသော အန္တရာယ်ရှိသော ကွင်းဆက်များကို တွေ့ရှိသည့်အခါ အလိုအလျောက် လျော့ပါးသက်သာစေမှုများကို ကျင့်သုံးပါသည်။

တဆက်တည်းတွင်၊ endpoint ကာကွယ်မှုအစုံများနှင့် XDR ပလပ်ဖောင်းများသည် အလုပ်ရုံများ၊ ဆာဗာများ၊ အထောက်အထားများ၊ အီးမေးလ်နှင့် cloud တို့တွင် ဗဟိုချုပ်ကိုင်ထားသော မြင်နိုင်စွမ်းနှင့် ခြိမ်းခြောက်မှုစီမံခန့်ခွဲမှုတို့ကို ပေါင်းစပ်ထားသည်။ ရည်ရွယ်ချက်ကတော့ ဖျက်သိမ်းဖို့ပါ။ တိုက်ခိုက်မှုကွင်းဆက် ဖိုင်များပါ၀င်သည်ဖြစ်စေ မပါဝင်သည်ဖြစ်စေ။

ခြိမ်းခြောက်အမဲလိုက်ခြင်းအတွက် လက်တွေ့ကျသော အညွှန်းများ

ရှာဖွေမှုယူဆချက်များကို ဦးစားပေးလုပ်ဆောင်ရန် လိုအပ်ပါက အချက်ပြမှုများ ပေါင်းစပ်ခြင်းကို အာရုံစိုက်ပါ- ပုံမှန်မဟုတ်သော ကန့်သတ်ဘောင်များဖြင့် စကားပြန်ကို စတင်သည့် ရုံးလုပ်ငန်းစဉ်၊ WMI စာရင်းသွင်းမှု ဖန်တီးခြင်း။ စာရွက်စာတမ်းကိုဖွင့်ပြီးနောက်၊ နာမည်ပျက်နေသော ဒိုမိန်းများသို့ ချိတ်ဆက်မှုများနောက်တွင်၊ startup keys များကို ပြုပြင်မွမ်းမံမှုများ ပြုလုပ်သည်။

အခြားထိရောက်သောချဉ်းကပ်နည်းမှာ သင့်ပတ်ဝန်းကျင်မှ အခြေခံအချက်များကို အားကိုးရန်ဖြစ်သည်- သင့်ဆာဗာများနှင့် အလုပ်ရုံများပေါ်တွင် ပုံမှန်အခြေအနေမှာ အဘယ်နည်း။ မည်သည့်သွေဖည်မှုမဆို (စကားပြန်များ၏မိဘများအဖြစ် ရေးထိုးထားသည့် အသစ်သော binaries များ၊ စွမ်းဆောင်ရည်ရုတ်တရက်တိုး (scripts များ၊ ရှုပ်ထွေးနေသော command strings များ) ကို စုံစမ်းစစ်ဆေးရန် ထိုက်တန်ပါသည်။

နောက်ဆုံးအနေနဲ့၊ မန်မိုရီကို မမေ့ပါနဲ့- သင့်မှာ အလုပ်လုပ်နေတဲ့ ဒေသတွေကို စစ်ဆေးတဲ့ ဒါမှမဟုတ် လျှပ်တစ်ပြက်ရိုက်ချက်တွေကို ဖမ်းယူနိုင်တဲ့ ကိရိယာတွေရှိရင်၊ RAM တွင်တွေ့ရှိချက်များ အထူးသဖြင့် ဖိုင်စနစ်တွင် အထောက်အထားများ မရှိသည့်အခါ ၎င်းတို့သည် ဖိုင်မရှိသော လုပ်ဆောင်ချက်၏ တိကျသေချာသော သက်သေဖြစ်နိုင်ပါသည်။

ဤနည်းပရိယာယ်များ၊ နည်းစနစ်များနှင့် ထိန်းချုပ်မှုများ၏ ပေါင်းစပ်မှုသည် ခြိမ်းခြောက်မှုကို ဖယ်ရှားပစ်မည်မဟုတ်သော်လည်း ၎င်းသည် သင့်အား အချိန်မီသိရှိနိုင်စေရန် ပိုမိုကောင်းမွန်သောအနေအထားတွင် ရှိနေစေသည်။ ကွင်းဆက်ဖြတ်ပါ။ အကျိုးသက်ရောက်မှုကို လျှော့ချပါ။

ဤအရာအားလုံးကို တရားမျှတစွာ အသုံးချသောအခါ—အဆုံးမှတ်-ကြွယ်ဝသော တယ်လီမီတာ၊ အပြုအမူဆိုင်ရာ ဆက်နွယ်မှု၊ အလိုအလျောက်တုံ့ပြန်မှုနှင့် ရွေးချယ်မှုခိုင်မာစေခြင်း—ဖိုင်မရှိသောနည်းဗျူဟာသည် ၎င်း၏အားသာချက်များစွာကို ဆုံးရှုံးစေသည်။ ဆက်လက်ပြီး တိုးတက်နေပေမယ့်၊ အပြုအမူတွေကို အာရုံစိုက်ပါ။ ဖိုင်များတွင်မဟုတ်ဘဲ၊ ၎င်းသည် သင်၏ကာကွယ်ရေးအတွက် ခိုင်မာသောအခြေခံအုတ်မြစ်ကို ပေးဆောင်သည်။