"निरन्तर फाइलहरू बिना मालवेयर" के हो र नि:शुल्क उपकरणहरू प्रयोग गरेर यसलाई कसरी पत्ता लगाउने

को उपस्थिति निरन्तर फाइलहरू बिना मालवेयर यो सुरक्षा टोलीहरूको लागि वास्तविक टाउको दुखाइ भएको छ। हामी डिस्कबाट कार्यान्वयनयोग्य फाइल मेटाउँदा तपाईंले "समात्ने" सामान्य भाइरससँग व्यवहार गरिरहेका छैनौं, तर मेमोरीमा बस्ने, वैध प्रणाली उपकरणहरूको दुरुपयोग गर्ने, र धेरै अवस्थामा, कुनै पनि प्रयोगयोग्य फोरेन्सिक ट्रेस छोड्ने खतराहरूसँग व्यवहार गरिरहेका छौं।

यस प्रकारको आक्रमण विशेष गरी उन्नत समूहहरू र साइबर अपराधीहरू बीच लोकप्रिय भएको छ जसले परम्परागत एन्टिभाइरस सफ्टवेयरबाट बच्ने, डेटा चोर्ने र लुक्ने सकेसम्म लामो समयसम्म। आज साइबर सुरक्षालाई गम्भीरतापूर्वक लिन चाहने कुनै पनि संस्थाको लागि तिनीहरूले कसरी काम गर्छन्, कुन प्रविधिहरू प्रयोग गर्छन् र तिनीहरूलाई कसरी पत्ता लगाउने भन्ने कुरा बुझ्नु महत्वपूर्ण छ।

फाइललेस मालवेयर के हो र यो किन यति चिन्ताको विषय हो?

जब हामी कुरा गर्छौं फाइलरहित मालवेयर हामी यो भनिरहेका छैनौं कि एउटा पनि बाइट संलग्न छैन, तर दुर्भावनापूर्ण कोड यो डिस्कमा क्लासिक कार्यान्वयनयोग्य फाइलको रूपमा भण्डारण गरिएको छैन। अन्त्य बिन्दुबाट। यसको सट्टा, यो सिधै मेमोरीमा चल्छ वा रजिस्ट्री, WMI, वा निर्धारित कार्यहरू जस्ता कम देखिने कन्टेनरहरूमा होस्ट गरिन्छ।

धेरै परिदृश्यहरूमा, आक्रमणकारीले प्रणालीमा पहिले नै अवस्थित उपकरणहरू - पावरशेल, WMI, स्क्रिप्टहरू, हस्ताक्षरित विन्डोज बाइनरीहरू - मा निर्भर गर्दछ। पेलोडहरू सिधै RAM मा लोड, डिक्रिप्ट, वा कार्यान्वयन गर्नुहोस्यस तरिकाले, यसले सामान्य स्क्यानमा हस्ताक्षर-आधारित एन्टिभाइरसले पत्ता लगाउन सक्ने स्पष्ट कार्यान्वयनयोग्य फाइलहरू छोड्नबाट जोगाउँछ।

यसबाहेक, आक्रमण श्रृंखलाको भाग "फाइललेस" हुन सक्छ र अर्को भागले फाइल प्रणाली प्रयोग गर्न सक्छ, त्यसैले हामी एक भन्दा बढीको बारेमा कुरा गर्दैछौं। फाइलरहित प्रविधिहरूको स्पेक्ट्रम त्यो एउटै मालवेयर परिवारको हो। त्यसैले त्यहाँ एउटा मात्र, बन्द परिभाषा छैन, बरु मेसिनमा तिनीहरूले छोड्ने प्रभावको डिग्रीमा निर्भर गर्दै धेरै वर्गहरू छन्।

निरन्तर फाइलहरू बिना मालवेयरको मुख्य विशेषताहरू

यी खतराहरूको एउटा प्रमुख विशेषता भनेको तिनीहरूको स्मृति-केन्द्रित कार्यान्वयनमालिसियस कोडलाई RAM मा लोड गरिन्छ र हार्ड ड्राइभमा स्थिर मालिसियस बाइनरीको आवश्यकता बिना नै वैध प्रक्रियाहरू भित्र कार्यान्वयन गरिन्छ। केही अवस्थामा, यसलाई राम्रो छलावरणको लागि महत्वपूर्ण प्रणाली प्रक्रियाहरूमा पनि इन्जेक्ट गरिन्छ।

अर्को महत्त्वपूर्ण विशेषता हो अपरम्परागत दृढताधेरै फाइलरहित अभियानहरू पूर्ण रूपमा अस्थिर हुन्छन् र रिबुट पछि गायब हुन्छन्, तर अरूले रजिस्ट्री अटोरन कुञ्जीहरू, WMI सदस्यताहरू, निर्धारित कार्यहरू, वा BITS प्रयोग गरेर पुन: सक्रिय गर्न व्यवस्थापन गर्छन्, ताकि "दृश्यमान" कलाकृति न्यूनतम होस् र वास्तविक पेलोड प्रत्येक पटक मेमोरीमा फिर्ता रहनेछ।

यो दृष्टिकोणले प्रभावकारितालाई धेरै कम गर्छ हस्ताक्षर-आधारित पहिचानविश्लेषण गर्नको लागि कुनै निश्चित कार्यान्वयनयोग्य नभएकोले, तपाईंले प्रायः देख्नुहुने कुरा पूर्ण रूपमा वैध PowerShell.exe, wscript.exe, वा mshta.exe हो, जुन शंकास्पद प्यारामिटरहरू वा अस्पष्ट सामग्री लोड गर्दै सुरु गरिएको हुन्छ।

अन्तमा, धेरै कलाकारहरूले फाइललेस प्रविधिहरूलाई अन्यसँग संयोजन गर्छन् ट्रोजन, र्‍यान्समवेयर, वा एडवेयर जस्ता मालवेयरका प्रकारहरू, जसको परिणामस्वरूप हाइब्रिड अभियानहरू हुन्छन् जसले दुवै संसारको सबैभन्दा राम्रो (र सबैभन्दा खराब) मिश्रण गर्दछ: दृढता र लुकाइ।

प्रणालीमा तिनीहरूको पदचिह्न अनुसार फाइलरहित खतराका प्रकारहरू

धेरै सुरक्षा निर्माताहरू तिनीहरूले कम्प्युटरमा छोड्ने ट्रेसको आधारमा "फाइललेस" खतराहरूलाई वर्गीकृत गर्छन्। यो वर्गीकरणले हामीलाई के देखिरहेका छौं र यसको अनुसन्धान कसरी गर्ने भनेर बुझ्न मद्दत गर्दछ।

प्रकार I: कुनै दृश्यात्मक फाइल गतिविधि छैन

सबैभन्दा गोप्य तरिकाले हामी मालवेयर फेला पार्छौं जुन यसले फाइल प्रणालीमा केही पनि लेख्दैन।कोड, उदाहरणका लागि, नेटवर्क प्याकेटहरू मार्फत आउँछ जसले जोखिमको शोषण गर्दछ (जस्तै EternalBlue), सिधै मेमोरीमा इन्जेक्ट गरिन्छ, र राखिन्छ, उदाहरणका लागि, कर्नेलमा ब्याकडोरको रूपमा (डबलपल्सर एक प्रतीकात्मक केस थियो)।

अन्य परिदृश्यहरूमा, संक्रमण रहन्छ BIOS फर्मवेयर, नेटवर्क कार्ड, USB उपकरणहरू, वा CPU भित्रका उपप्रणालीहरू पनियस प्रकारको खतरा अपरेटिङ सिस्टम पुन: स्थापना, डिस्क ढाँचा, र केही पूर्ण रिबुटहरूमा पनि रहन सक्छ।

समस्या यो हो कि धेरैजसो सुरक्षा समाधानहरू तिनीहरूले फर्मवेयर वा माइक्रोकोड निरीक्षण गर्दैनन्।र यदि तिनीहरूले गर्छन् भने पनि, उपचार जटिल छ। सौभाग्यवश, यी प्रविधिहरू सामान्यतया अत्यधिक परिष्कृत अभिनेताहरूको लागि आरक्षित हुन्छन् र सामूहिक आक्रमणहरूमा यो सामान्य होइन।

प्रकार II: फाइलहरूको अप्रत्यक्ष प्रयोग

दोस्रो समूह निम्नमा आधारित छ: डिस्कमा भण्डारण गरिएका संरचनाहरूमा दुर्भावनापूर्ण कोड समावेश गर्दछतर परम्परागत कार्यान्वयनयोग्य रूपमा होइन, तर वैध र दुर्भावनापूर्ण डेटा मिश्रण गर्ने भण्डारहरूमा, प्रणालीलाई हानि नगरी सफा गर्न गाह्रो।

विशिष्ट उदाहरणहरू मा भण्डारण गरिएका स्क्रिप्टहरू हुन् WMI भण्डार, अस्पष्ट चेनहरू भित्र रजिस्ट्री कुञ्जीहरू वा निर्धारित कार्यहरू जसले स्पष्ट मालिसियस बाइनरी बिना खतरनाक आदेशहरू सुरु गर्दछ। मालवेयरले यी प्रविष्टिहरू सिधै कमाण्ड लाइन वा स्क्रिप्टबाट स्थापना गर्न सक्छ र त्यसपछि लगभग अदृश्य रहन सक्छ।

यद्यपि प्राविधिक रूपमा त्यहाँ फाइलहरू समावेश छन् (भौतिक फाइल जहाँ विन्डोजले WMI रिपोजिटरी वा रजिस्ट्री हाइभ भण्डारण गर्दछ), व्यावहारिक उद्देश्यका लागि हामी कुरा गर्दैछौं फाइलरहित गतिविधि किनभने त्यहाँ कुनै स्पष्ट कार्यान्वयनयोग्य वस्तु छैन जुन केवल क्वारेन्टाइनमा राख्न सकिन्छ।

प्रकार III: काम गर्न फाइलहरू आवश्यक पर्दछ

तेस्रो प्रकारमा धम्कीहरू समावेश छन् जुन तिनीहरूले फाइलहरू प्रयोग गर्छन्, तर पत्ता लगाउनको लागि धेरै उपयोगी नहुने तरिकाले।एउटा प्रसिद्ध उदाहरण कोभ्टर हो, जसले रजिस्ट्रीमा अनियमित एक्सटेन्सनहरू दर्ता गर्दछ ताकि, जब त्यो एक्सटेन्सन भएको फाइल खोलिन्छ, mshta.exe वा समान नेटिभ बाइनरी मार्फत स्क्रिप्ट कार्यान्वयन हुन्छ।

यी डिकोय फाइलहरूमा अप्रासंगिक डेटा र वास्तविक दुर्भावनापूर्ण कोड हुन्छ यो अन्य रजिस्ट्री कुञ्जीहरूबाट प्राप्त गरिन्छ। वा आन्तरिक भण्डारहरू। डिस्कमा "केही" भए पनि, यसलाई सम्झौताको भरपर्दो सूचकको रूपमा प्रयोग गर्न सजिलो छैन, प्रत्यक्ष सफाई संयन्त्रको रूपमा त झनै कम।

सबैभन्दा सामान्य प्रवेश वाहक र संक्रमण बिन्दुहरू

पदचिह्न वर्गीकरणभन्दा बाहिर, यो बुझ्नु महत्त्वपूर्ण छ कि कसरी यो त्यहीँ हो जहाँ निरन्तर फाइलहरू बिनाको मालवेयर खेलमा आउँछ। दैनिक जीवनमा, आक्रमणकारीहरूले प्रायः वातावरण र लक्ष्यको आधारमा धेरै भेक्टरहरू संयोजन गर्छन्।

शोषण र कमजोरीहरू

सबैभन्दा सीधा बाटो मध्ये एक दुरुपयोग हो रिमोट कोड कार्यान्वयन (RCE) कमजोरीहरू ब्राउजरहरूमा, प्लगइनहरूमा (जस्तै फ्ल्यास ब्याक इन द डे), वेब अनुप्रयोगहरू, वा नेटवर्क सेवाहरू (SMB, RDP, आदि)। शोषणले शेलकोड इन्जेक्ट गर्छ जसले दुर्भावनापूर्ण पेलोडलाई मेमोरीमा सिधै डाउनलोड वा डिकोड गर्छ।

यस मोडेलमा, प्रारम्भिक फाइल नेटवर्कमा हुन सक्छ (शोषण प्रकार) WannaCryवा प्रयोगकर्ताले खोल्ने कागजातमा, तर पेलोड कहिल्यै पनि डिस्कमा कार्यान्वयनयोग्य रूपमा लेखिएको हुँदैन।: यो RAM बाट तुरुन्तै डिक्रिप्ट र कार्यान्वयन गरिन्छ।

दुर्भावनापूर्ण कागजातहरू र म्याक्रोहरू

अर्को अत्यधिक शोषण गरिएको बाटो हो म्याक्रो वा DDE भएका कार्यालय कागजातहरूसाथै पाठक कमजोरीहरूको शोषण गर्न डिजाइन गरिएका PDF हरू। हानिरहित देखिने Word वा Excel फाइलमा VBA कोड हुन सक्छ जसले PowerShell, WMI, वा अन्य दोभाषेहरू कोड डाउनलोड गर्न, आदेशहरू कार्यान्वयन गर्न, वा विश्वसनीय प्रक्रियाहरूमा शेलकोड इन्जेक्ट गर्न लन्च गर्दछ।

यहाँ डिस्कमा रहेको फाइल "केवल" डेटा कन्टेनर हो, जबकि वास्तविक भेक्टर हो अनुप्रयोगको आन्तरिक स्क्रिप्टिङ इन्जिनवास्तवमा, धेरै सामूहिक स्पाम अभियानहरूले कर्पोरेट नेटवर्कहरूमा फाइललेस आक्रमणहरू तैनाथ गर्न यो रणनीतिको दुरुपयोग गरेका छन्।

वैध लिपिहरू र बाइनरीहरू (भूमिबाट जीवित)

आक्रमणकारीहरूलाई विन्डोजले पहिले नै प्रदान गर्ने उपकरणहरू मन पर्छ: पावरशेल, wscript, cscript, mshta, rundll32, regsvr32विन्डोज व्यवस्थापन उपकरण, BITS, आदि। यी हस्ताक्षरित र विश्वसनीय बाइनरीहरूले शंकास्पद "virus.exe" को आवश्यकता बिना नै स्क्रिप्ट, DLL, वा रिमोट सामग्री कार्यान्वयन गर्न सक्छन्।

दुर्भावनापूर्ण कोड पास गरेर कमाण्ड लाइन प्यारामिटरहरूयसलाई छविहरूमा इम्बेड गर्नाले, मेमोरीमा इन्क्रिप्ट र डिकोड गर्नाले, वा रजिस्ट्रीमा भण्डारण गर्नाले एन्टिभाइरसले वैध प्रक्रियाहरूबाट मात्र गतिविधि देख्छ भन्ने कुरा सुनिश्चित गर्दछ, जसले गर्दा फाइलहरूमा आधारित पहिचान धेरै गाह्रो हुन्छ।

सम्झौता गरिएको हार्डवेयर र फर्मवेयर

अझ तल्लो स्तरमा, उन्नत आक्रमणकारीहरूले घुसपैठ गर्न सक्छन् BIOS फर्मवेयर, नेटवर्क कार्ड, हार्ड ड्राइभ, वा CPU व्यवस्थापन उपप्रणालीहरू पनि (जस्तै Intel ME वा AMT)। यस प्रकारको मालवेयर अपरेटिङ सिस्टम मुनि चल्छ र OS लाई थाहा नदिई ट्राफिकलाई अवरोध वा परिमार्जन गर्न सक्छ।

यद्यपि यो एक चरम परिदृश्य हो, यसले फाइलरहित खतराले कति हदसम्म OS फाइल प्रणालीलाई नछोइकन दृढता कायम राख्नुहोस्र यी अवस्थाहरूमा क्लासिक एन्डपोइन्ट उपकरणहरू किन कम हुन्छन्।

निरन्तर फाइलहरू बिना मालवेयर आक्रमणले कसरी काम गर्छ

प्रवाह स्तरमा, फाइललेस आक्रमण फाइल-आधारित आक्रमण जस्तै हो, तर सान्दर्भिक भिन्नताहरू पेलोड कसरी कार्यान्वयन गरिन्छ र पहुँच कसरी कायम राखिन्छ भन्ने कुरामा।

१. प्रणालीमा प्रारम्भिक पहुँच

यो सबै तब सुरु हुन्छ जब आक्रमणकारीले पहिलो पाइला टेक्छ: a खराब लिङ्क वा संलग्नक भएको फिसिङ इमेल, कमजोर अनुप्रयोग विरुद्धको शोषण, RDP वा VPN को लागि चोरी भएका प्रमाणहरू, वा छेडछाड गरिएको USB उपकरण पनि।

यस चरणमा, निम्न प्रयोग गरिन्छ: सामाजिक ईन्जिनियरि।प्रयोगकर्तालाई झुक्याउनको लागि जहाँ क्लिक गर्न हुँदैन त्यहाँ क्लिक गर्न वा इन्टरनेटमा देखाइएका सेवाहरूको शोषण गर्न दुर्भावनापूर्ण रिडिरेक्टहरू, मालवर्टाइजिङ अभियानहरू, वा दुर्भावनापूर्ण वाइफाइ आक्रमणहरू।

२. मेमोरीमा मालिसियस कोडको कार्यान्वयन

एकपटक त्यो पहिलो प्रविष्टि प्राप्त भएपछि, फाइललेस कम्पोनेन्ट ट्रिगर हुन्छ: अफिस म्याक्रोले पावरशेल सुरु गर्छ, एक्सप्लोइटले शेलकोड इन्जेक्ट गर्छ, WMI सदस्यताले स्क्रिप्ट ट्रिगर गर्छ, आदि। लक्ष्य भनेको दुर्भावनापूर्ण कोड सिधै RAM मा लोड गर्नुहोस्या त यसलाई इन्टरनेटबाट डाउनलोड गरेर वा एम्बेडेड डाटाबाट पुन: निर्माण गरेर।

त्यहाँबाट, मालवेयरले विशेषाधिकारहरू बढाउने, पार्श्वतिर सार्ने, प्रमाणहरू चोर्ने, वेबशेलहरू तैनाथ गर्ने, RAT हरू स्थापना गर्ने, वा डेटा इन्क्रिप्ट गर्नेयो सबै आवाज कम गर्न वैध प्रक्रियाहरूद्वारा समर्थित छ।

३. दृढता स्थापित गर्ने

सामान्य प्रविधिहरू मध्ये छन्:

• अटोरन कुञ्जीहरू लगइन गर्दा आदेश वा स्क्रिप्टहरू कार्यान्वयन गर्ने रजिस्ट्रीमा।
• तालिकाबद्ध कार्यहरू जसले स्क्रिप्टहरू, प्यारामिटरहरू सहितको वैध बाइनरीहरू, वा रिमोट आदेशहरू सुरु गर्दछ।
• WMI सदस्यताहरू त्यो ट्रिगर कोड जब केहि प्रणाली घटनाहरू हुन्छन्।
• BITS को प्रयोग कमाण्ड र नियन्त्रण सर्भरहरूबाट पेलोडहरूको आवधिक डाउनलोडहरूको लागि।

केसहरूमा, निरन्तर घटक न्यूनतम हुन्छ र केवल सेवा गर्दछ मेमोरीमा मालवेयर पुन: इन्जेक्ट गर्नुहोस् प्रत्येक पटक प्रणाली सुरु हुँदा वा कुनै विशेष अवस्था पूरा हुँदा।

४. लक्ष्य र निष्कासनमा कार्यहरू

दृढताको आश्वासनका साथ, आक्रमणकारीले उसलाई वास्तवमा चासो लाग्ने कुरामा ध्यान केन्द्रित गर्दछ: जानकारी चोर्ने, गुप्तिकरण गर्ने, प्रणालीहरू हेरफेर गर्ने, वा महिनौंसम्म जासुसी गर्नेएक्सफिल्ट्रेसन HTTPS, DNS, गोप्य च्यानलहरू, वा वैध सेवाहरू मार्फत गर्न सकिन्छ। वास्तविक-विश्व घटनाहरूमा, जान्नु ह्याक भएको पहिलो २४ घण्टामा के गर्ने? फरक पार्न सक्छ।

APT आक्रमणहरूमा, मालवेयर रहनु सामान्य कुरा हो लामो समयसम्म मौन र गोप्य, पूर्वाधारको केही भाग पत्ता लागेर खाली गरिए पनि पहुँच सुनिश्चित गर्न थप पछाडिका ढोकाहरू निर्माण गर्ने।

फाइलरहित हुन सक्ने मालवेयरका क्षमताहरू र प्रकारहरू

क्लासिक मालवेयरले गर्न सक्ने लगभग कुनै पनि दुर्भावनापूर्ण प्रकार्य यो दृष्टिकोण अपनाएर कार्यान्वयन गर्न सकिन्छ। फाइलरहित वा अर्ध-फाइलरहितपरिवर्तन भनेको उद्देश्य होइन, तर कोड कसरी प्रयोग गरिन्छ भन्ने हो।

मेमोरीमा मात्र रहने मालवेयर

यस श्रेणीमा पेलोडहरू समावेश छन् जुन तिनीहरू प्रक्रिया वा कर्नेलको स्मृतिमा मात्र बाँच्छन्।आधुनिक रुटकिट्स, उन्नत ब्याकडोर, वा स्पाइवेयरले वैध प्रक्रियाको मेमोरी स्पेसमा लोड हुन सक्छ र प्रणाली पुन: सुरु नभएसम्म त्यहाँ रहन सक्छ।

यी कम्पोनेन्टहरू डिस्क-उन्मुख उपकरणहरूसँग हेर्न विशेष गरी गाह्रो हुन्छन्, र प्रयोग गर्न बाध्य पार्छन् प्रत्यक्ष स्मृति विश्लेषण, वास्तविक-समय निरीक्षण वा उन्नत फोरेन्सिक क्षमताहरू सहितको EDR।

विन्डोज रजिस्ट्रीमा आधारित मालवेयर

अर्को आवर्ती प्रविधि भनेको भण्डारण गर्नु हो रजिस्ट्री कुञ्जीहरूमा इन्क्रिप्ट गरिएको वा अस्पष्ट कोड र मेमोरीमा पढ्न, डिकोड गर्न र कार्यान्वयन गर्न वैध बाइनरी (जस्तै PowerShell, MSHTA, वा rundll32) प्रयोग गर्नुहोस्।

रजिस्ट्रीमा लेखेपछि प्रारम्भिक ड्रपर आफैं नष्ट हुन सक्छ, त्यसैले बाँकी रहेको केवल हानिरहित देखिने डेटाको मिश्रण मात्र हो जुन प्रणाली सुरु हुँदा हरेक पटक तिनीहरूले खतरा सक्रिय गर्छन्। वा प्रत्येक पटक कुनै खास फाइल खोल्दा।

र्‍यान्समवेयर र फाइललेस ट्रोजनहरू

फाइललेस दृष्टिकोण धेरै आक्रामक लोडिङ विधिहरूसँग असंगत छैन जस्तै ransomwareत्यहाँ अभियानहरू छन् जसले पावरशेल वा WMI प्रयोग गरेर मेमोरीमा सम्पूर्ण इन्क्रिप्शन डाउनलोड, डिक्रिप्ट र कार्यान्वयन गर्दछ, डिस्कमा कार्यान्वयनयोग्य ransomware नछोडिकन।

त्यसै गरी, रिमोट एक्सेस ट्रोजन (RATs)किलगरहरू वा क्रेडेन्सियल चोरहरूले अर्ध-फाइललेस तरिकाले सञ्चालन गर्न सक्छन्, माग अनुसार मोड्युलहरू लोड गर्न र वैध प्रणाली प्रक्रियाहरूमा मुख्य तर्क होस्ट गर्न सक्छन्।

शोषण किटहरू र चोरी भएका प्रमाणपत्रहरू

वेब एक्सप्लोइट किटहरू पजलको अर्को अंश हुन्: तिनीहरूले स्थापित सफ्टवेयर पत्ता लगाउँछन्, तिनीहरूले उपयुक्त शोषण चयन गर्छन् र पेलोडलाई सिधै मेमोरीमा इन्जेक्ट गर्छन्।, प्रायः डिस्कमा केहि पनि बचत नगरी।

अर्कोतर्फ, को प्रयोग चोरी भएका प्रमाणपत्रहरू यो एउटा भेक्टर हो जुन फाइललेस प्रविधिहरूसँग धेरै राम्रोसँग मिल्छ: आक्रमणकारीले वैध प्रयोगकर्ताको रूपमा प्रमाणित गर्छ र त्यहाँबाट, मालवेयरको कुनै क्लासिक निशान नछोड्ने स्क्रिप्ट र आदेशहरू तैनाथ गर्न नेटिभ प्रशासनिक उपकरणहरू (PowerShell Remoting, WMI, PsExec) को दुरुपयोग गर्छ।

फाइललेस मालवेयर पत्ता लगाउन किन यति गाह्रो छ?

अन्तर्निहित कारण यो हो कि यस प्रकारको खतरा विशेष रूपमा डिजाइन गरिएको हो परम्परागत रक्षा तहहरूलाई बाइपास गर्नुहोस्हस्ताक्षर, श्वेतसूची, र आवधिक फाइल स्क्यानमा आधारित।

यदि दुर्भावनापूर्ण कोड कहिल्यै डिस्कमा कार्यान्वयनयोग्यको रूपमा बचत गरिएको छैन, वा यदि यो WMI, रजिस्ट्री, वा फर्मवेयर जस्ता मिश्रित कन्टेनरहरूमा लुकेको छ भने, परम्परागत एन्टिभाइरस सफ्टवेयरसँग विश्लेषण गर्न धेरै कम छ। "शंकास्पद फाइल" को सट्टा, तपाईंसँग भएको कुरा हो असामान्य व्यवहार गर्ने वैध प्रक्रियाहरू.

यसबाहेक, यसले PowerShell, Office macros, वा WMI जस्ता उपकरणहरूलाई मौलिक रूपमा रोक्छ। धेरै संस्थाहरूमा यो व्यवहार्य छैन।किनभने तिनीहरू प्रशासन, स्वचालन र दैनिक सञ्चालनका लागि आवश्यक छन्। यसले वकालतकर्ताहरूलाई धेरै सावधानीपूर्वक कदम चाल्न बाध्य पार्छ।

केही विक्रेताहरूले द्रुत समाधानहरू (जेनेरिक पावरशेल ब्लकिङ, कुल म्याक्रो असक्षम पार्ने, क्लाउड-मात्र पत्ता लगाउने, आदि) मार्फत क्षतिपूर्ति गर्ने प्रयास गरेका छन्, तर यी उपायहरू सामान्यतया अपर्याप्त वा अत्यधिक विघटनकारी व्यवसायको लागि।

फाइललेस मालवेयर पत्ता लगाउने र रोक्ने आधुनिक रणनीतिहरू

यी खतराहरूको सामना गर्न, केवल फाइलहरू स्क्यान गर्नुभन्दा बाहिर गएर केन्द्रित दृष्टिकोण अपनाउनु आवश्यक छ। व्यवहार, वास्तविक-समय टेलिमेट्री, र गहिरो दृश्यता अन्तिम बिन्दुको।

व्यवहार र मेमोरी निगरानी

प्रभावकारी दृष्टिकोणमा प्रक्रियाहरूले वास्तवमा के गर्छ भनेर अवलोकन गर्नु समावेश छ: तिनीहरूले कुन आदेशहरू कार्यान्वयन गर्छन्, कुन स्रोतहरू पहुँच गर्छन्, कुन सम्बन्धहरू स्थापना गर्छन्तिनीहरू एकअर्कासँग कसरी सम्बन्धित छन्, आदि। यद्यपि हजारौं मालवेयर भेरियन्टहरू अवस्थित छन्, दुर्भावनापूर्ण व्यवहार ढाँचाहरू धेरै सीमित छन्। यसलाई पनि पूरक बनाउन सकिन्छ YARA मार्फत उन्नत पहिचान.

आधुनिक समाधानहरूले यस टेलिमेट्रीलाई इन-मेमोरी एनालिटिक्स, उन्नत ह्युरिस्टिक्स, र सँग जोड्दछन्। मेशिन शिक्षा कोड धेरै अस्पष्ट भएको वा पहिले कहिल्यै नदेखेको अवस्थामा पनि आक्रमण चेनहरू पहिचान गर्न।

AMSI र ETW जस्ता प्रणाली इन्टरफेसहरूको प्रयोग

विन्डोजले यस्ता प्रविधिहरू प्रदान गर्दछ एन्टिमालवेयर स्क्यान इन्टरफेस (AMSI) y विन्डोजको लागि घटना ट्रेसिङ (ETW) यी स्रोतहरूले प्रणाली स्क्रिप्टहरू र घटनाहरूको निरीक्षणलाई धेरै कम स्तरमा अनुमति दिन्छन्। सुरक्षा समाधानहरूमा यी स्रोतहरूलाई एकीकृत गर्नाले पत्ता लगाउन सजिलो हुन्छ। कार्यान्वयन हुनुभन्दा ठीक अघि वा समयमा दुर्भावनापूर्ण कोड.

थप रूपमा, महत्वपूर्ण क्षेत्रहरू - अनुसूचित कार्यहरू, WMI सदस्यताहरू, बुट रजिस्ट्री कुञ्जीहरू, आदि - को विश्लेषण गर्नाले पहिचान गर्न मद्दत गर्दछ गुप्त फाइलरहित दृढता जुन साधारण फाइल स्क्यानले बेवास्ता गर्न सकिन्छ।

खतरा खोजी र आक्रमणका सूचकहरू (IoA)

क्लासिक सूचकहरू (ह्यास, फाइल मार्गहरू) कम हुने भएकाले, यसमा भर पर्नु उचित हुन्छ आक्रमणका सूचकहरू (IoA), जसले ज्ञात रणनीतिहरूसँग मिल्ने शंकास्पद व्यवहार र कार्यहरूको क्रम वर्णन गर्दछ।

खतरा खोजी टोलीहरू - आन्तरिक वा व्यवस्थित सेवाहरू मार्फत - सक्रिय रूपमा खोजी गर्न सक्छन् पार्श्व चाल ढाँचा, स्वदेशी उपकरणहरूको दुरुपयोग, PowerShell को प्रयोगमा विसंगतिहरू वा संवेदनशील डेटामा अनधिकृत पहुँच, विपत्ति निम्त्याउनु अघि फाइलरहित खतराहरू पत्ता लगाउने।

EDR, XDR र SOC २४/७

आधुनिक प्लेटफर्महरू EDR र XDR (विस्तारित स्तरमा अन्त्यबिन्दु पत्ता लगाउने र प्रतिक्रिया) ले पहिलो फिसिङ इमेलदेखि अन्तिम एक्सफिल्टरेशनसम्मको घटनाको पूर्ण इतिहास पुनर्निर्माण गर्न आवश्यक दृश्यता र सहसम्बन्ध प्रदान गर्दछ।

सँग संयुक्त २४/७ सञ्चालनमा रहेको सामाजिक सुरक्षा कार्यालयतिनीहरूले पत्ता लगाउन मात्र होइन, तर पनि अनुमति दिन्छन् स्वतः समावेश र उपचार गर्नुहोस् दुर्भावनापूर्ण गतिविधि: कम्प्युटरहरूलाई अलग गर्ने, प्रक्रियाहरू ब्लक गर्ने, रजिस्ट्रीमा परिवर्तनहरू उल्टाउने, वा सम्भव भएसम्म इन्क्रिप्शनलाई अनडू गर्ने।

फाइललेस मालवेयर प्रविधिहरूले खेल परिवर्तन गरेको छ: केवल एन्टिभाइरस स्क्यान चलाउनु र शंकास्पद कार्यान्वयनयोग्य मेटाउनु अब पर्याप्त छैन। आज, रक्षामा मेमोरी, रजिस्ट्री, WMI, वा फर्मवेयरमा कोड लुकाएर आक्रमणकारीहरूले कसरी कमजोरीहरूको शोषण गर्छन् भनेर बुझ्नु र व्यवहारिक अनुगमन, इन-मेमोरी विश्लेषण, EDR/XDR, खतरा खोजी, र उत्तम अभ्यासहरूको संयोजन तैनाथ गर्नु समावेश छ। वास्तविक रूपमा प्रभाव कम गर्नुहोस् परम्परागत समाधानहरू देखिने ठाउँमा कुनै पनि निशान नछोड्ने प्रयास गर्ने आक्रमणहरूलाई समग्र र निरन्तर रणनीतिको आवश्यकता पर्दछ। सम्झौताको अवस्थामा, जान्नु गम्भीर भाइरस पछि विन्डोज मर्मत गर्नुहोस् आवश्यक छ।