"ਸਥਿਰ ਫਾਈਲਾਂ ਤੋਂ ਬਿਨਾਂ ਮਾਲਵੇਅਰ" ਕੀ ਹੈ ਅਤੇ ਇਸਨੂੰ ਮੁਫਤ ਟੂਲਸ ਨਾਲ ਕਿਵੇਂ ਖੋਜਿਆ ਜਾਵੇ

ਦੀ ਦਿੱਖ ਸਥਾਈ ਫਾਈਲਾਂ ਤੋਂ ਬਿਨਾਂ ਮਾਲਵੇਅਰ ਇਹ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਲਈ ਇੱਕ ਅਸਲੀ ਸਿਰਦਰਦ ਰਿਹਾ ਹੈ। ਅਸੀਂ ਉਸ ਆਮ ਵਾਇਰਸ ਨਾਲ ਨਹੀਂ ਨਜਿੱਠ ਰਹੇ ਹਾਂ ਜੋ ਤੁਸੀਂ ਡਿਸਕ ਤੋਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਮਿਟਾਉਂਦੇ ਸਮੇਂ "ਫੜਦੇ" ਹੋ, ਸਗੋਂ ਉਹਨਾਂ ਖਤਰਿਆਂ ਨਾਲ ਨਜਿੱਠ ਰਹੇ ਹਾਂ ਜੋ ਮੈਮੋਰੀ ਵਿੱਚ ਰਹਿੰਦੇ ਹਨ, ਜਾਇਜ਼ ਸਿਸਟਮ ਟੂਲਸ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਅਤੇ, ਬਹੁਤ ਸਾਰੇ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਸ਼ਾਇਦ ਹੀ ਕੋਈ ਵਰਤੋਂ ਯੋਗ ਫੋਰੈਂਸਿਕ ਟਰੇਸ ਛੱਡਦੇ ਹਨ।

ਇਸ ਕਿਸਮ ਦਾ ਹਮਲਾ ਖਾਸ ਤੌਰ 'ਤੇ ਉੱਨਤ ਸਮੂਹਾਂ ਅਤੇ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਵਿੱਚ ਪ੍ਰਸਿੱਧ ਹੋ ਗਿਆ ਹੈ ਜੋ ਰਵਾਇਤੀ ਐਂਟੀਵਾਇਰਸ ਸੌਫਟਵੇਅਰ ਤੋਂ ਬਚੋ, ਡੇਟਾ ਚੋਰੀ ਕਰੋ, ਅਤੇ ਲੁਕੇ ਰਹੋ ਜਿੰਨਾ ਚਿਰ ਸੰਭਵ ਹੋ ਸਕੇ। ਇਹ ਸਮਝਣਾ ਕਿ ਉਹ ਕਿਵੇਂ ਕੰਮ ਕਰਦੇ ਹਨ, ਉਹ ਕਿਹੜੀਆਂ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਅਤੇ ਉਹਨਾਂ ਦਾ ਪਤਾ ਕਿਵੇਂ ਲਗਾਉਣਾ ਹੈ, ਕਿਸੇ ਵੀ ਸੰਗਠਨ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ ਜੋ ਅੱਜ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਨੂੰ ਗੰਭੀਰਤਾ ਨਾਲ ਲੈਣਾ ਚਾਹੁੰਦਾ ਹੈ।

ਫਾਈਲ ਰਹਿਤ ਮਾਲਵੇਅਰ ਕੀ ਹੈ ਅਤੇ ਇਹ ਇੰਨੀ ਚਿੰਤਾ ਦਾ ਵਿਸ਼ਾ ਕਿਉਂ ਹੈ?

ਜਦੋਂ ਅਸੀਂ ਇਸ ਬਾਰੇ ਗੱਲ ਕਰਦੇ ਹਾਂ ਫਾਈਲ ਰਹਿਤ ਮਾਲਵੇਅਰ ਅਸੀਂ ਇਹ ਨਹੀਂ ਕਹਿ ਰਹੇ ਕਿ ਇੱਕ ਵੀ ਬਾਈਟ ਸ਼ਾਮਲ ਨਹੀਂ ਹੈ, ਪਰ ਇਹ ਕਿ ਖਤਰਨਾਕ ਕੋਡ ਇਹ ਡਿਸਕ ਤੇ ਇੱਕ ਕਲਾਸਿਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਸਟੋਰ ਨਹੀਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਐਂਡਪੁਆਇੰਟ ਤੋਂ। ਇਸਦੀ ਬਜਾਏ, ਇਹ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਚੱਲਦਾ ਹੈ ਜਾਂ ਘੱਟ ਦਿਖਾਈ ਦੇਣ ਵਾਲੇ ਕੰਟੇਨਰਾਂ ਜਿਵੇਂ ਕਿ ਰਜਿਸਟਰੀ, WMI, ਜਾਂ ਸ਼ਡਿਊਲਡ ਟਾਸਕ ਵਿੱਚ ਹੋਸਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਕਈ ਸਥਿਤੀਆਂ ਵਿੱਚ, ਹਮਲਾਵਰ ਸਿਸਟਮ ਵਿੱਚ ਪਹਿਲਾਂ ਤੋਂ ਮੌਜੂਦ ਟੂਲਸ - ਪਾਵਰਸ਼ੈਲ, ਡਬਲਯੂਐਮਆਈ, ਸਕ੍ਰਿਪਟਾਂ, ਦਸਤਖਤ ਕੀਤੇ ਵਿੰਡੋਜ਼ ਬਾਈਨਰੀ - 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਪੇਲੋਡਾਂ ਨੂੰ ਸਿੱਧਾ RAM ਵਿੱਚ ਲੋਡ, ਡਿਕ੍ਰਿਪਟ, ਜਾਂ ਚਲਾਇਆ ਜਾ ਸਕਦਾ ਹੈਇਸ ਤਰ੍ਹਾਂ, ਇਹ ਸਪੱਸ਼ਟ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਛੱਡਣ ਤੋਂ ਬਚਦਾ ਹੈ ਜੋ ਇੱਕ ਦਸਤਖਤ-ਅਧਾਰਿਤ ਐਂਟੀਵਾਇਰਸ ਇੱਕ ਆਮ ਸਕੈਨ ਵਿੱਚ ਖੋਜ ਸਕਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਮਲੇ ਦੀ ਲੜੀ ਦਾ ਇੱਕ ਹਿੱਸਾ "ਫਾਈਲ ਰਹਿਤ" ਹੋ ਸਕਦਾ ਹੈ ਅਤੇ ਦੂਜਾ ਹਿੱਸਾ ਫਾਈਲ ਸਿਸਟਮ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦਾ ਹੈ, ਇਸ ਲਈ ਅਸੀਂ ਇੱਕ ਤੋਂ ਵੱਧ ਬਾਰੇ ਗੱਲ ਕਰ ਰਹੇ ਹਾਂ ਫਾਈਲ ਰਹਿਤ ਤਕਨੀਕਾਂ ਦਾ ਸਪੈਕਟ੍ਰਮ ਇਹ ਇੱਕ ਸਿੰਗਲ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਦਾ ਹੈ। ਇਸੇ ਲਈ ਇੱਥੇ ਇੱਕ ਸਿੰਗਲ, ਬੰਦ ਪਰਿਭਾਸ਼ਾ ਨਹੀਂ ਹੈ, ਸਗੋਂ ਮਸ਼ੀਨ 'ਤੇ ਉਹਨਾਂ ਦੇ ਪ੍ਰਭਾਵ ਦੀ ਡਿਗਰੀ ਦੇ ਅਧਾਰ ਤੇ ਕਈ ਸ਼੍ਰੇਣੀਆਂ ਹਨ।

ਲਗਾਤਾਰ ਫਾਈਲਾਂ ਤੋਂ ਬਿਨਾਂ ਮਾਲਵੇਅਰ ਦੀਆਂ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ

ਇਹਨਾਂ ਖਤਰਿਆਂ ਦੀ ਇੱਕ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾ ਇਹਨਾਂ ਦੀ ਹੈ ਮੈਮੋਰੀ-ਕੇਂਦ੍ਰਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨਖਤਰਨਾਕ ਕੋਡ ਨੂੰ RAM ਵਿੱਚ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਹਾਰਡ ਡਰਾਈਵ 'ਤੇ ਇੱਕ ਸਥਿਰ ਖਤਰਨਾਕ ਬਾਈਨਰੀ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ, ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੇ ਅੰਦਰ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਇਸਨੂੰ ਬਿਹਤਰ ਛਲਾਵੇ ਲਈ ਮਹੱਤਵਪੂਰਨ ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਵੀ ਇੰਜੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਇਕ ਹੋਰ ਮਹੱਤਵਪੂਰਨ ਵਿਸ਼ੇਸ਼ਤਾ ਹੈ ਅਸਾਧਾਰਨ ਦ੍ਰਿੜਤਾਬਹੁਤ ਸਾਰੀਆਂ ਫਾਈਲ ਰਹਿਤ ਮੁਹਿੰਮਾਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਅਸਥਿਰ ਹੁੰਦੀਆਂ ਹਨ ਅਤੇ ਰੀਬੂਟ ਤੋਂ ਬਾਅਦ ਅਲੋਪ ਹੋ ਜਾਂਦੀਆਂ ਹਨ, ਪਰ ਦੂਸਰੇ ਰਜਿਸਟਰੀ ਆਟੋਰਨ ਕੁੰਜੀਆਂ, WMI ਸਬਸਕ੍ਰਿਪਸ਼ਨ, ਸ਼ਡਿਊਲਡ ਟਾਸਕ, ਜਾਂ BITS ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੁੜ ਸਰਗਰਮ ਕਰਨ ਦਾ ਪ੍ਰਬੰਧ ਕਰਦੇ ਹਨ, ਤਾਂ ਜੋ "ਦਿੱਖਣਯੋਗ" ਆਰਟੀਫੈਕਟ ਘੱਟ ਤੋਂ ਘੱਟ ਹੋਵੇ ਅਤੇ ਅਸਲ ਪੇਲੋਡ ਹਰ ਵਾਰ ਮੈਮੋਰੀ ਵਿੱਚ ਵਾਪਸ ਰਹਿੰਦਾ ਹੈ।

ਇਹ ਪਹੁੰਚ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਬਹੁਤ ਘਟਾਉਂਦੀ ਹੈ ਦਸਤਖਤ-ਅਧਾਰਿਤ ਖੋਜਕਿਉਂਕਿ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਲਈ ਕੋਈ ਸਥਿਰ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨਹੀਂ ਹੈ, ਇਸ ਲਈ ਜੋ ਤੁਸੀਂ ਅਕਸਰ ਦੇਖਦੇ ਹੋ ਉਹ ਇੱਕ ਬਿਲਕੁਲ ਜਾਇਜ਼ PowerShell.exe, wscript.exe, ਜਾਂ mshta.exe ਹੈ, ਜੋ ਸ਼ੱਕੀ ਮਾਪਦੰਡਾਂ ਜਾਂ ਅਸਪਸ਼ਟ ਸਮੱਗਰੀ ਲੋਡ ਕਰਨ ਨਾਲ ਲਾਂਚ ਕੀਤਾ ਗਿਆ ਹੈ।

ਅੰਤ ਵਿੱਚ, ਬਹੁਤ ਸਾਰੇ ਅਦਾਕਾਰ ਫਾਈਲ ਰਹਿਤ ਤਕਨੀਕਾਂ ਨੂੰ ਹੋਰ ਤਕਨੀਕਾਂ ਨਾਲ ਜੋੜਦੇ ਹਨ ਮਾਲਵੇਅਰ ਦੀਆਂ ਕਿਸਮਾਂ ਜਿਵੇਂ ਕਿ ਟ੍ਰੋਜਨ, ਰੈਨਸਮਵੇਅਰ, ਜਾਂ ਐਡਵੇਅਰ, ਜਿਸਦੇ ਨਤੀਜੇ ਵਜੋਂ ਹਾਈਬ੍ਰਿਡ ਮੁਹਿੰਮਾਂ ਹੁੰਦੀਆਂ ਹਨ ਜੋ ਦੋਵਾਂ ਸੰਸਾਰਾਂ ਦੇ ਸਭ ਤੋਂ ਵਧੀਆ (ਅਤੇ ਸਭ ਤੋਂ ਭੈੜੇ) ਨੂੰ ਮਿਲਾਉਂਦੀਆਂ ਹਨ: ਦ੍ਰਿੜਤਾ ਅਤੇ ਚੋਰੀ।

ਸਿਸਟਮ 'ਤੇ ਉਨ੍ਹਾਂ ਦੇ ਪੈਰਾਂ ਦੇ ਨਿਸ਼ਾਨ ਦੇ ਅਨੁਸਾਰ ਫਾਈਲ ਰਹਿਤ ਧਮਕੀਆਂ ਦੀਆਂ ਕਿਸਮਾਂ

ਕਈ ਸੁਰੱਖਿਆ ਨਿਰਮਾਤਾ ਉਹ ਕੰਪਿਊਟਰ 'ਤੇ ਛੱਡੇ ਗਏ ਟਰੇਸ ਦੇ ਅਨੁਸਾਰ "ਫਾਈਲ ਰਹਿਤ" ਖਤਰਿਆਂ ਨੂੰ ਸ਼੍ਰੇਣੀਬੱਧ ਕਰਦੇ ਹਨ। ਇਹ ਵਰਗੀਕਰਨ ਸਾਨੂੰ ਇਹ ਸਮਝਣ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ ਕਿ ਅਸੀਂ ਕੀ ਦੇਖ ਰਹੇ ਹਾਂ ਅਤੇ ਇਸਦੀ ਜਾਂਚ ਕਿਵੇਂ ਕਰਨੀ ਹੈ।

ਕਿਸਮ I: ਕੋਈ ਦਿਖਾਈ ਦੇਣ ਵਾਲੀ ਫਾਈਲ ਗਤੀਵਿਧੀ ਨਹੀਂ

ਸਭ ਤੋਂ ਗੁਪਤ ਤਰੀਕੇ ਨਾਲ ਸਾਨੂੰ ਮਾਲਵੇਅਰ ਮਿਲਦਾ ਹੈ ਜੋ ਇਹ ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ਬਿਲਕੁਲ ਕੁਝ ਨਹੀਂ ਲਿਖਦਾ।ਕੋਡ, ਉਦਾਹਰਨ ਲਈ, ਨੈੱਟਵਰਕ ਪੈਕੇਟਾਂ ਰਾਹੀਂ ਆਉਂਦਾ ਹੈ ਜੋ ਇੱਕ ਕਮਜ਼ੋਰੀ (ਜਿਵੇਂ ਕਿ EternalBlue) ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ, ਸਿੱਧੇ ਮੈਮੋਰੀ ਵਿੱਚ ਟੀਕਾ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਇਸਨੂੰ ਬਣਾਈ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ, ਉਦਾਹਰਨ ਲਈ, ਕਰਨਲ ਵਿੱਚ ਇੱਕ ਬੈਕਡੋਰ ਦੇ ਤੌਰ 'ਤੇ (ਡਬਲਪਲਸਰ ਇੱਕ ਪ੍ਰਤੀਕ ਕੇਸ ਸੀ)।

ਹੋਰ ਸਥਿਤੀਆਂ ਵਿੱਚ, ਲਾਗ ਇਹਨਾਂ ਵਿੱਚ ਰਹਿੰਦੀ ਹੈ BIOS ਫਰਮਵੇਅਰ, ਨੈੱਟਵਰਕ ਕਾਰਡ, USB ਡਿਵਾਈਸਾਂ, ਜਾਂ CPU ਦੇ ਅੰਦਰ ਉਪ-ਸਿਸਟਮ ਵੀਇਸ ਕਿਸਮ ਦਾ ਖ਼ਤਰਾ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਦੀ ਮੁੜ ਸਥਾਪਨਾ, ਡਿਸਕ ਫਾਰਮੈਟਿੰਗ, ਅਤੇ ਕੁਝ ਸੰਪੂਰਨ ਰੀਬੂਟ ਤੋਂ ਵੀ ਬਚ ਸਕਦਾ ਹੈ।

ਸਮੱਸਿਆ ਇਹ ਹੈ ਕਿ ਜ਼ਿਆਦਾਤਰ ਸੁਰੱਖਿਆ ਹੱਲ ਉਹ ਫਰਮਵੇਅਰ ਜਾਂ ਮਾਈਕ੍ਰੋਕੋਡ ਦੀ ਜਾਂਚ ਨਹੀਂ ਕਰਦੇ।ਅਤੇ ਭਾਵੇਂ ਉਹ ਕਰਦੇ ਵੀ ਹਨ, ਉਪਚਾਰ ਗੁੰਝਲਦਾਰ ਹੈ। ਖੁਸ਼ਕਿਸਮਤੀ ਨਾਲ, ਇਹ ਤਕਨੀਕਾਂ ਆਮ ਤੌਰ 'ਤੇ ਬਹੁਤ ਹੀ ਸੂਝਵਾਨ ਅਦਾਕਾਰਾਂ ਲਈ ਰਾਖਵੀਆਂ ਹੁੰਦੀਆਂ ਹਨ ਅਤੇ ਸਮੂਹਿਕ ਹਮਲਿਆਂ ਵਿੱਚ ਆਮ ਨਹੀਂ ਹਨ।

ਕਿਸਮ II: ਫਾਈਲਾਂ ਦੀ ਅਸਿੱਧੀ ਵਰਤੋਂ

ਦੂਜਾ ਸਮੂਹ ਇਸ 'ਤੇ ਅਧਾਰਤ ਹੈ ਡਿਸਕ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਢਾਂਚਿਆਂ ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਰੱਖਦਾ ਹੈਪਰ ਰਵਾਇਤੀ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੇ ਤੌਰ 'ਤੇ ਨਹੀਂ, ਸਗੋਂ ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚ ਜੋ ਜਾਇਜ਼ ਅਤੇ ਖਤਰਨਾਕ ਡੇਟਾ ਨੂੰ ਮਿਲਾਉਂਦੇ ਹਨ, ਸਿਸਟਮ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾਏ ਬਿਨਾਂ ਸਾਫ਼ ਕਰਨਾ ਮੁਸ਼ਕਲ ਹੁੰਦਾ ਹੈ।

ਆਮ ਉਦਾਹਰਣਾਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀਆਂ ਸਕ੍ਰਿਪਟਾਂ ਹਨ WMI ਰਿਪੋਜ਼ਟਰੀ, ਵਿੱਚ ਅਸਪਸ਼ਟ ਚੇਨ ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ ਜਾਂ ਸ਼ਡਿਊਲਡ ਟਾਸਕ ਜੋ ਖਤਰਨਾਕ ਕਮਾਂਡਾਂ ਨੂੰ ਬਿਨਾਂ ਕਿਸੇ ਸਪੱਸ਼ਟ ਖਤਰਨਾਕ ਬਾਈਨਰੀ ਦੇ ਲਾਂਚ ਕਰਦੇ ਹਨ। ਮਾਲਵੇਅਰ ਇਹਨਾਂ ਐਂਟਰੀਆਂ ਨੂੰ ਸਿੱਧੇ ਕਮਾਂਡ ਲਾਈਨ ਜਾਂ ਸਕ੍ਰਿਪਟ ਤੋਂ ਸਥਾਪਿਤ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਫਿਰ ਲਗਭਗ ਅਦਿੱਖ ਰਹਿ ਸਕਦਾ ਹੈ।

ਹਾਲਾਂਕਿ ਤਕਨੀਕੀ ਤੌਰ 'ਤੇ ਇਸ ਵਿੱਚ ਫਾਈਲਾਂ ਸ਼ਾਮਲ ਹਨ (ਭੌਤਿਕ ਫਾਈਲ ਜਿੱਥੇ ਵਿੰਡੋਜ਼ WMI ਰਿਪੋਜ਼ਟਰੀ ਜਾਂ ਰਜਿਸਟਰੀ ਹਾਈਵ ਨੂੰ ਸਟੋਰ ਕਰਦਾ ਹੈ), ਵਿਹਾਰਕ ਉਦੇਸ਼ਾਂ ਲਈ ਅਸੀਂ ਇਸ ਬਾਰੇ ਗੱਲ ਕਰ ਰਹੇ ਹਾਂ ਫਾਈਲ ਰਹਿਤ ਗਤੀਵਿਧੀ ਕਿਉਂਕਿ ਕੋਈ ਸਪੱਸ਼ਟ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨਹੀਂ ਹੈ ਜਿਸਨੂੰ ਸਿਰਫ਼ ਅਲੱਗ ਰੱਖਿਆ ਜਾ ਸਕੇ।

ਕਿਸਮ III: ਕੰਮ ਕਰਨ ਲਈ ਫਾਈਲਾਂ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ

ਤੀਜੀ ਕਿਸਮ ਵਿੱਚ ਉਹ ਧਮਕੀਆਂ ਸ਼ਾਮਲ ਹਨ ਜੋ ਉਹ ਫਾਈਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਪਰ ਇਸ ਤਰੀਕੇ ਨਾਲ ਜੋ ਖੋਜ ਲਈ ਬਹੁਤ ਉਪਯੋਗੀ ਨਹੀਂ ਹੈ।ਇੱਕ ਮਸ਼ਹੂਰ ਉਦਾਹਰਣ ਕੋਵਟਰ ਹੈ, ਜੋ ਰਜਿਸਟਰੀ ਵਿੱਚ ਬੇਤਰਤੀਬ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਰਜਿਸਟਰ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ, ਜਦੋਂ ਉਸ ਐਕਸਟੈਂਸ਼ਨ ਵਾਲੀ ਇੱਕ ਫਾਈਲ ਖੋਲ੍ਹੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇੱਕ ਸਕ੍ਰਿਪਟ mshta.exe ਜਾਂ ਇੱਕ ਸਮਾਨ ਨੇਟਿਵ ਬਾਈਨਰੀ ਰਾਹੀਂ ਚਲਾਈ ਜਾਂਦੀ ਹੈ।

ਇਹਨਾਂ ਡੀਕੋਏ ਫਾਈਲਾਂ ਵਿੱਚ ਅਪ੍ਰਸੰਗਿਕ ਡੇਟਾ, ਅਤੇ ਅਸਲ ਖਤਰਨਾਕ ਕੋਡ ਹੁੰਦਾ ਹੈ ਇਹ ਹੋਰ ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜਾਂ ਅੰਦਰੂਨੀ ਰਿਪੋਜ਼ਟਰੀਆਂ। ਹਾਲਾਂਕਿ ਡਿਸਕ 'ਤੇ "ਕੁਝ" ਹੈ, ਪਰ ਇਸਨੂੰ ਸਮਝੌਤਾ ਦੇ ਭਰੋਸੇਯੋਗ ਸੂਚਕ ਵਜੋਂ ਵਰਤਣਾ ਆਸਾਨ ਨਹੀਂ ਹੈ, ਸਿੱਧੇ ਸਫਾਈ ਵਿਧੀ ਵਜੋਂ ਤਾਂ ਬਹੁਤ ਘੱਟ।

ਸਭ ਤੋਂ ਆਮ ਪ੍ਰਵੇਸ਼ ਵੈਕਟਰ ਅਤੇ ਲਾਗ ਦੇ ਬਿੰਦੂ

ਪੈਰਾਂ ਦੇ ਨਿਸ਼ਾਨ ਵਰਗੀਕਰਨ ਤੋਂ ਪਰੇ, ਇਹ ਸਮਝਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਕਿਵੇਂ ਇਹ ਉਹ ਥਾਂ ਹੈ ਜਿੱਥੇ ਬਿਨਾਂ ਸਥਾਈ ਫਾਈਲਾਂ ਦੇ ਮਾਲਵੇਅਰ ਕੰਮ ਵਿੱਚ ਆਉਂਦਾ ਹੈ। ਰੋਜ਼ਾਨਾ ਜ਼ਿੰਦਗੀ ਵਿੱਚ, ਹਮਲਾਵਰ ਅਕਸਰ ਵਾਤਾਵਰਣ ਅਤੇ ਨਿਸ਼ਾਨੇ ਦੇ ਆਧਾਰ 'ਤੇ ਕਈ ਵੈਕਟਰਾਂ ਨੂੰ ਜੋੜਦੇ ਹਨ।

ਸ਼ੋਸ਼ਣ ਅਤੇ ਕਮਜ਼ੋਰੀਆਂ

ਸਭ ਤੋਂ ਸਿੱਧੇ ਰਸਤੇ ਵਿੱਚੋਂ ਇੱਕ ਹੈ ਦੁਰਵਰਤੋਂ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (RCE) ਕਮਜ਼ੋਰੀਆਂ ਬ੍ਰਾਊਜ਼ਰਾਂ, ਪਲੱਗਇਨਾਂ (ਜਿਵੇਂ ਕਿ ਫਲੈਸ਼ ਬੈਕ ਇਨ ਦ ਡੇ), ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ, ਜਾਂ ਨੈੱਟਵਰਕ ਸੇਵਾਵਾਂ (SMB, RDP, ਆਦਿ) ਵਿੱਚ। ਇਹ ਐਕਸਪਲਾਈਟ ਸ਼ੈੱਲਕੋਡ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ ਜੋ ਖਤਰਨਾਕ ਪੇਲੋਡ ਨੂੰ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਡਾਊਨਲੋਡ ਜਾਂ ਡੀਕੋਡ ਕਰਦਾ ਹੈ।

ਇਸ ਮਾਡਲ ਵਿੱਚ, ਸ਼ੁਰੂਆਤੀ ਫਾਈਲ ਨੈੱਟਵਰਕ 'ਤੇ ਹੋ ਸਕਦੀ ਹੈ (ਸ਼ੋਸ਼ਣ ਕਿਸਮ) WannaCryਜਾਂ ਇੱਕ ਦਸਤਾਵੇਜ਼ ਵਿੱਚ ਜਿਸਨੂੰ ਉਪਭੋਗਤਾ ਖੋਲ੍ਹਦਾ ਹੈ, ਪਰ ਪੇਲੋਡ ਨੂੰ ਕਦੇ ਵੀ ਡਿਸਕ 'ਤੇ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਵਜੋਂ ਨਹੀਂ ਲਿਖਿਆ ਜਾਂਦਾ।: ਇਸਨੂੰ RAM ਤੋਂ ਤੁਰੰਤ ਡੀਕ੍ਰਿਪਟ ਅਤੇ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।

ਖ਼ਰਾਬ ਦਸਤਾਵੇਜ਼ ਅਤੇ ਮੈਕਰੋ

ਇੱਕ ਹੋਰ ਭਾਰੀ ਵਰਤੋਂ ਵਾਲਾ ਰਸਤਾ ਹੈ ਮੈਕਰੋ ਜਾਂ DDE ਵਾਲੇ ਦਫ਼ਤਰੀ ਦਸਤਾਵੇਜ਼ਨਾਲ ਹੀ ਪਾਠਕ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ PDFs। ਇੱਕ ਜਾਪਦੀ ਨੁਕਸਾਨ ਰਹਿਤ ਵਰਡ ਜਾਂ ਐਕਸਲ ਫਾਈਲ ਵਿੱਚ VBA ਕੋਡ ਹੋ ਸਕਦਾ ਹੈ ਜੋ ਕੋਡ ਡਾਊਨਲੋਡ ਕਰਨ, ਕਮਾਂਡਾਂ ਚਲਾਉਣ, ਜਾਂ ਭਰੋਸੇਯੋਗ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਸ਼ੈੱਲਕੋਡ ਇੰਜੈਕਟ ਕਰਨ ਲਈ PowerShell, WMI, ਜਾਂ ਹੋਰ ਦੁਭਾਸ਼ੀਏ ਲਾਂਚ ਕਰਦਾ ਹੈ।

ਇੱਥੇ ਡਿਸਕ ਉੱਤੇ ਫਾਈਲ "ਸਿਰਫ਼" ਇੱਕ ਡੇਟਾ ਕੰਟੇਨਰ ਹੈ, ਜਦੋਂ ਕਿ ਅਸਲ ਵੈਕਟਰ ਹੈ ਐਪਲੀਕੇਸ਼ਨ ਦਾ ਅੰਦਰੂਨੀ ਸਕ੍ਰਿਪਟਿੰਗ ਇੰਜਣਦਰਅਸਲ, ਬਹੁਤ ਸਾਰੇ ਜਨਤਕ ਸਪੈਮ ਮੁਹਿੰਮਾਂ ਨੇ ਕਾਰਪੋਰੇਟ ਨੈੱਟਵਰਕਾਂ 'ਤੇ ਫਾਈਲ ਰਹਿਤ ਹਮਲੇ ਕਰਨ ਲਈ ਇਸ ਰਣਨੀਤੀ ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ ਹੈ।

ਜਾਇਜ਼ ਲਿਪੀਆਂ ਅਤੇ ਬਾਈਨਰੀ (ਜ਼ਮੀਨ ਤੋਂ ਬਾਹਰ ਰਹਿਣਾ)

ਹਮਲਾਵਰਾਂ ਨੂੰ ਉਹ ਟੂਲ ਪਸੰਦ ਹਨ ਜੋ Windows ਪਹਿਲਾਂ ਹੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ: ਪਾਵਰਸ਼ੈਲ, ਡਬਲਯੂਐਸਕ੍ਰਿਪਟ, ਸੀਐਸਕ੍ਰਿਪਟ, ਐਮਐਸਟੀਏ, ਰੰਡਲ 32, ਰੈਗਸਵੀਆਰ 32ਵਿੰਡੋਜ਼ ਮੈਨੇਜਮੈਂਟ ਇੰਸਟਰੂਮੈਂਟੇਸ਼ਨ, BITS, ਆਦਿ। ਇਹ ਦਸਤਖਤ ਕੀਤੇ ਅਤੇ ਭਰੋਸੇਮੰਦ ਬਾਈਨਰੀ ਸ਼ੱਕੀ "virus.exe" ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਸਕ੍ਰਿਪਟਾਂ, DLL, ਜਾਂ ਰਿਮੋਟ ਸਮੱਗਰੀ ਨੂੰ ਚਲਾ ਸਕਦੇ ਹਨ।

ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਇਸ ਤਰ੍ਹਾਂ ਪਾਸ ਕਰਕੇ ਕਮਾਂਡ ਲਾਈਨ ਪੈਰਾਮੀਟਰਇਸਨੂੰ ਤਸਵੀਰਾਂ ਵਿੱਚ ਏਮਬੈਡ ਕਰਨਾ, ਇਸਨੂੰ ਮੈਮੋਰੀ ਵਿੱਚ ਏਨਕ੍ਰਿਪਟ ਕਰਨਾ ਅਤੇ ਡੀਕੋਡ ਕਰਨਾ, ਜਾਂ ਇਸਨੂੰ ਰਜਿਸਟਰੀ ਵਿੱਚ ਸਟੋਰ ਕਰਨਾ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਐਂਟੀਵਾਇਰਸ ਸਿਰਫ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਤੋਂ ਗਤੀਵਿਧੀ ਨੂੰ ਵੇਖਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸਿਰਫ਼ ਫਾਈਲਾਂ ਦੇ ਅਧਾਰ ਤੇ ਖੋਜ ਕਰਨਾ ਬਹੁਤ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ।

ਖਰਾਬ ਹਾਰਡਵੇਅਰ ਅਤੇ ਫਰਮਵੇਅਰ

ਇਸ ਤੋਂ ਵੀ ਹੇਠਲੇ ਪੱਧਰ 'ਤੇ, ਉੱਨਤ ਹਮਲਾਵਰ ਘੁਸਪੈਠ ਕਰ ਸਕਦੇ ਹਨ BIOS ਫਰਮਵੇਅਰ, ਨੈੱਟਵਰਕ ਕਾਰਡ, ਹਾਰਡ ਡਰਾਈਵ, ਜਾਂ ਇੱਥੋਂ ਤੱਕ ਕਿ CPU ਪ੍ਰਬੰਧਨ ਉਪ-ਸਿਸਟਮ (ਜਿਵੇਂ ਕਿ Intel ME ਜਾਂ AMT)। ਇਸ ਕਿਸਮ ਦਾ ਮਾਲਵੇਅਰ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਦੇ ਹੇਠਾਂ ਚੱਲਦਾ ਹੈ ਅਤੇ OS ਨੂੰ ਇਸਦੀ ਜਾਣਕਾਰੀ ਤੋਂ ਬਿਨਾਂ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੋਕ ਸਕਦਾ ਹੈ ਜਾਂ ਸੋਧ ਸਕਦਾ ਹੈ।

ਭਾਵੇਂ ਇਹ ਇੱਕ ਅਤਿਅੰਤ ਦ੍ਰਿਸ਼ ਹੈ, ਪਰ ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਇੱਕ ਫਾਈਲ ਰਹਿਤ ਖ਼ਤਰਾ ਕਿਸ ਹੱਦ ਤੱਕ OS ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ਛੂਹਣ ਤੋਂ ਬਿਨਾਂ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖੋਅਤੇ ਇਹਨਾਂ ਮਾਮਲਿਆਂ ਵਿੱਚ ਕਲਾਸਿਕ ਐਂਡਪੁਆਇੰਟ ਟੂਲ ਕਿਉਂ ਘੱਟ ਜਾਂਦੇ ਹਨ।

ਲਗਾਤਾਰ ਫਾਈਲਾਂ ਤੋਂ ਬਿਨਾਂ ਮਾਲਵੇਅਰ ਹਮਲਾ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

ਪ੍ਰਵਾਹ ਪੱਧਰ 'ਤੇ, ਇੱਕ ਫਾਈਲ ਰਹਿਤ ਹਮਲਾ ਇੱਕ ਫਾਈਲ-ਅਧਾਰਿਤ ਹਮਲੇ ਦੇ ਸਮਾਨ ਹੈ, ਪਰ ਨਾਲ ਸੰਬੰਧਿਤ ਅੰਤਰ ਪੇਲੋਡ ਨੂੰ ਕਿਵੇਂ ਲਾਗੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਪਹੁੰਚ ਕਿਵੇਂ ਬਣਾਈ ਰੱਖੀ ਜਾਂਦੀ ਹੈ।

1. ਸਿਸਟਮ ਤੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ

ਇਹ ਸਭ ਉਦੋਂ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਹਮਲਾਵਰ ਪਹਿਲੀ ਵਾਰ ਪੈਰ ਜਮਾਉਂਦਾ ਹੈ: a ਖਤਰਨਾਕ ਲਿੰਕ ਜਾਂ ਅਟੈਚਮੈਂਟ ਵਾਲੀ ਫਿਸ਼ਿੰਗ ਈਮੇਲ, ਇੱਕ ਕਮਜ਼ੋਰ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਸ਼ੋਸ਼ਣ, RDP ਜਾਂ VPN ਲਈ ਚੋਰੀ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਜਾਂ ਇੱਥੋਂ ਤੱਕ ਕਿ ਇੱਕ ਛੇੜਛਾੜ ਕੀਤੀ USB ਡਿਵਾਈਸ।

ਇਸ ਪੜਾਅ ਵਿੱਚ, ਹੇਠ ਲਿਖਿਆਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ: ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗਖਤਰਨਾਕ ਰੀਡਾਇਰੈਕਟਸ, ਖਰਾਬ ਮੁਹਿੰਮਾਂ, ਜਾਂ ਖਤਰਨਾਕ ਵਾਈ-ਫਾਈ ਹਮਲੇ ਤਾਂ ਜੋ ਉਪਭੋਗਤਾ ਨੂੰ ਉੱਥੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਮਜਬੂਰ ਕੀਤਾ ਜਾ ਸਕੇ ਜਿੱਥੇ ਉਹਨਾਂ ਨੂੰ ਨਹੀਂ ਕਰਨਾ ਚਾਹੀਦਾ ਜਾਂ ਇੰਟਰਨੈੱਟ 'ਤੇ ਦਿਖਾਈਆਂ ਗਈਆਂ ਸੇਵਾਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਸਕੇ।

2. ਮੈਮੋਰੀ ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਦਾ ਐਗਜ਼ੀਕਿਊਸ਼ਨ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਉਹ ਪਹਿਲੀ ਐਂਟਰੀ ਪ੍ਰਾਪਤ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਫਾਈਲ ਰਹਿਤ ਕੰਪੋਨੈਂਟ ਚਾਲੂ ਹੋ ਜਾਂਦਾ ਹੈ: ਇੱਕ ਆਫਿਸ ਮੈਕਰੋ ਪਾਵਰਸ਼ੈਲ ਲਾਂਚ ਕਰਦਾ ਹੈ, ਇੱਕ ਐਕਸਪਲਾਈਟ ਸ਼ੈੱਲਕੋਡ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ, ਇੱਕ WMI ਸਬਸਕ੍ਰਿਪਸ਼ਨ ਇੱਕ ਸਕ੍ਰਿਪਟ ਚਾਲੂ ਕਰਦਾ ਹੈ, ਆਦਿ। ਟੀਚਾ ਹੈ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਸਿੱਧਾ RAM ਵਿੱਚ ਲੋਡ ਕਰੋਜਾਂ ਤਾਂ ਇਸਨੂੰ ਇੰਟਰਨੈੱਟ ਤੋਂ ਡਾਊਨਲੋਡ ਕਰਕੇ ਜਾਂ ਏਮਬੈਡਡ ਡੇਟਾ ਤੋਂ ਇਸਨੂੰ ਦੁਬਾਰਾ ਬਣਾ ਕੇ।

ਉੱਥੋਂ, ਮਾਲਵੇਅਰ ਕਰ ਸਕਦਾ ਹੈ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਓ, ਪਾਸੇ ਵੱਲ ਹਿਲਾਓ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰੋ, ਵੈੱਬਸ਼ੈੱਲ ਤੈਨਾਤ ਕਰੋ, RATs ਸਥਾਪਤ ਕਰੋ, ਜਾਂ ਡੇਟਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰੋਇਹ ਸਭ ਸ਼ੋਰ ਘਟਾਉਣ ਲਈ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੁਆਰਾ ਸਮਰਥਤ ਹੈ।

3. ਦ੍ਰਿੜਤਾ ਸਥਾਪਤ ਕਰਨਾ

ਆਮ ਤਕਨੀਕਾਂ ਵਿੱਚੋਂ ਹਨ:

• ਆਟੋਰਨ ਕੁੰਜੀਆਂ ਰਜਿਸਟਰੀ ਵਿੱਚ ਜੋ ਲੌਗਇਨ ਕਰਨ ਵੇਲੇ ਕਮਾਂਡਾਂ ਜਾਂ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ।
• ਤਹਿ ਕੀਤੇ ਕੰਮ ਜੋ ਸਕ੍ਰਿਪਟਾਂ, ਪੈਰਾਮੀਟਰਾਂ ਵਾਲੀਆਂ ਜਾਇਜ਼ ਬਾਈਨਰੀਆਂ, ਜਾਂ ਰਿਮੋਟ ਕਮਾਂਡਾਂ ਲਾਂਚ ਕਰਦੇ ਹਨ।
• WMI ਗਾਹਕੀਆਂ ਜੋ ਕੁਝ ਸਿਸਟਮ ਘਟਨਾਵਾਂ ਵਾਪਰਨ 'ਤੇ ਕੋਡ ਨੂੰ ਟਰਿੱਗਰ ਕਰਦਾ ਹੈ।
• BITS ਦੀ ਵਰਤੋਂ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ ਸਰਵਰਾਂ ਤੋਂ ਪੇਲੋਡਾਂ ਦੇ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਡਾਊਨਲੋਡ ਲਈ।

ਮਾਮਲਿਆਂ ਵਿੱਚ, ਸਥਾਈ ਭਾਗ ਘੱਟ ਹੁੰਦਾ ਹੈ ਅਤੇ ਸਿਰਫ ਕੰਮ ਕਰਦਾ ਹੈ ਮੈਮਰੀ ਵਿੱਚ ਮਾਲਵੇਅਰ ਨੂੰ ਦੁਬਾਰਾ ਇੰਜੈਕਟ ਕਰੋ ਹਰ ਵਾਰ ਜਦੋਂ ਸਿਸਟਮ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਾਂ ਕੋਈ ਖਾਸ ਸ਼ਰਤ ਪੂਰੀ ਹੁੰਦੀ ਹੈ।

4. ਟੀਚਿਆਂ ਅਤੇ ਨਿਕਾਸ 'ਤੇ ਕਾਰਵਾਈਆਂ

ਦ੍ਰਿੜਤਾ ਦੇ ਭਰੋਸੇ ਨਾਲ, ਹਮਲਾਵਰ ਉਸ ਚੀਜ਼ 'ਤੇ ਧਿਆਨ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ ਜੋ ਅਸਲ ਵਿੱਚ ਉਸਦੀ ਦਿਲਚਸਪੀ ਰੱਖਦੀ ਹੈ: ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨਾ, ਇਸਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨਾ, ਸਿਸਟਮਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕਰਨਾ, ਜਾਂ ਮਹੀਨਿਆਂ ਤੱਕ ਜਾਸੂਸੀ ਕਰਨਾਐਕਸਫਿਲਟਰੇਸ਼ਨ HTTPS, DNS, ਗੁਪਤ ਚੈਨਲਾਂ, ਜਾਂ ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਰਾਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਅਸਲ-ਸੰਸਾਰ ਦੀਆਂ ਘਟਨਾਵਾਂ ਵਿੱਚ, ਜਾਣਨਾ ਹੈਕ ਹੋਣ ਤੋਂ ਬਾਅਦ ਪਹਿਲੇ 24 ਘੰਟਿਆਂ ਵਿੱਚ ਕੀ ਕਰਨਾ ਹੈ ਇਹ ਸਾਰਾ ਫ਼ਰਕ ਪਾ ਸਕਦਾ ਹੈ।

APT ਹਮਲਿਆਂ ਵਿੱਚ, ਮਾਲਵੇਅਰ ਦਾ ਬਣਿਆ ਰਹਿਣਾ ਆਮ ਗੱਲ ਹੈ ਲੰਬੇ ਸਮੇਂ ਲਈ ਚੁੱਪ ਅਤੇ ਗੁਪਤ, ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਕੁਝ ਹਿੱਸੇ ਦਾ ਪਤਾ ਲੱਗਣ ਅਤੇ ਸਾਫ਼ ਹੋਣ 'ਤੇ ਵੀ ਪਹੁੰਚ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਵਾਧੂ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਬਣਾਉਣਾ।

ਮਾਲਵੇਅਰ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਕਿਸਮਾਂ ਜੋ ਫਾਈਲ ਰਹਿਤ ਹੋ ਸਕਦੀਆਂ ਹਨ

ਲਗਭਗ ਕੋਈ ਵੀ ਖਤਰਨਾਕ ਫੰਕਸ਼ਨ ਜੋ ਕਲਾਸਿਕ ਮਾਲਵੇਅਰ ਕਰ ਸਕਦਾ ਹੈ, ਇਸ ਪਹੁੰਚ ਦੀ ਪਾਲਣਾ ਕਰਕੇ ਲਾਗੂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਫਾਈਲ ਰਹਿਤ ਜਾਂ ਅਰਧ-ਫਾਈਲ ਰਹਿਤਜੋ ਬਦਲਾਅ ਆਉਂਦਾ ਹੈ ਉਹ ਉਦੇਸ਼ ਨਹੀਂ ਹੈ, ਸਗੋਂ ਕੋਡ ਨੂੰ ਕਿਵੇਂ ਲਾਗੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਮਾਲਵੇਅਰ ਸਿਰਫ਼ ਮੈਮੋਰੀ ਵਿੱਚ ਰਹਿੰਦਾ ਹੈ

ਇਸ ਸ਼੍ਰੇਣੀ ਵਿੱਚ ਪੇਲੋਡ ਸ਼ਾਮਲ ਹਨ ਜੋ ਉਹ ਸਿਰਫ਼ ਪ੍ਰਕਿਰਿਆ ਜਾਂ ਕਰਨਲ ਦੀ ਯਾਦ ਵਿੱਚ ਰਹਿੰਦੇ ਹਨ।ਆਧੁਨਿਕ ਰੂਟਕਿੱਟ, ਐਡਵਾਂਸਡ ਬੈਕਡੋਰ, ਜਾਂ ਸਪਾਈਵੇਅਰ ਇੱਕ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆ ਦੀ ਮੈਮੋਰੀ ਸਪੇਸ ਵਿੱਚ ਲੋਡ ਹੋ ਸਕਦੇ ਹਨ ਅਤੇ ਸਿਸਟਮ ਦੇ ਮੁੜ ਚਾਲੂ ਹੋਣ ਤੱਕ ਉੱਥੇ ਹੀ ਰਹਿ ਸਕਦੇ ਹਨ।

ਇਹਨਾਂ ਹਿੱਸਿਆਂ ਨੂੰ ਡਿਸਕ-ਅਧਾਰਿਤ ਟੂਲਸ ਨਾਲ ਦੇਖਣਾ ਖਾਸ ਤੌਰ 'ਤੇ ਮੁਸ਼ਕਲ ਹੁੰਦਾ ਹੈ, ਅਤੇ ਇਹਨਾਂ ਦੀ ਵਰਤੋਂ ਲਈ ਮਜਬੂਰ ਕਰਦੇ ਹਨ ਲਾਈਵ ਮੈਮੋਰੀ ਵਿਸ਼ਲੇਸ਼ਣ, ਰੀਅਲ-ਟਾਈਮ ਨਿਰੀਖਣ ਜਾਂ ਉੱਨਤ ਫੋਰੈਂਸਿਕ ਸਮਰੱਥਾਵਾਂ ਦੇ ਨਾਲ EDR।

ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ-ਅਧਾਰਤ ਮਾਲਵੇਅਰ

ਇੱਕ ਹੋਰ ਆਵਰਤੀ ਤਕਨੀਕ ਸਟੋਰ ਕਰਨਾ ਹੈ ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ ਵਿੱਚ ਏਨਕ੍ਰਿਪਟਡ ਜਾਂ ਅਸਪਸ਼ਟ ਕੋਡ ਅਤੇ ਇਸਨੂੰ ਮੈਮੋਰੀ ਵਿੱਚ ਪੜ੍ਹਨ, ਡੀਕੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਇੱਕ ਜਾਇਜ਼ ਬਾਈਨਰੀ (ਜਿਵੇਂ ਕਿ PowerShell, MSHTA, ਜਾਂ rundll32) ਦੀ ਵਰਤੋਂ ਕਰੋ।

ਸ਼ੁਰੂਆਤੀ ਡਰਾਪਰ ਰਜਿਸਟਰੀ ਨੂੰ ਲਿਖਣ ਤੋਂ ਬਾਅਦ ਆਪਣੇ ਆਪ ਨੂੰ ਤਬਾਹ ਕਰ ਸਕਦਾ ਹੈ, ਇਸ ਲਈ ਜੋ ਬਚਦਾ ਹੈ ਉਹ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਨੁਕਸਾਨ ਰਹਿਤ ਡੇਟਾ ਦਾ ਮਿਸ਼ਰਣ ਹੈ ਜੋ ਜਦੋਂ ਵੀ ਸਿਸਟਮ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਉਹ ਧਮਕੀ ਨੂੰ ਸਰਗਰਮ ਕਰਦੇ ਹਨ। ਜਾਂ ਹਰ ਵਾਰ ਜਦੋਂ ਕੋਈ ਖਾਸ ਫਾਈਲ ਖੋਲ੍ਹੀ ਜਾਂਦੀ ਹੈ।

ਰੈਨਸਮਵੇਅਰ ਅਤੇ ਫਾਈਲ ਰਹਿਤ ਟਰੋਜਨ

ਫਾਈਲ ਰਹਿਤ ਪਹੁੰਚ ਬਹੁਤ ਹਮਲਾਵਰ ਲੋਡਿੰਗ ਵਿਧੀਆਂ ਜਿਵੇਂ ਕਿ ransomwareਅਜਿਹੀਆਂ ਮੁਹਿੰਮਾਂ ਹਨ ਜੋ ਪਾਵਰਸ਼ੈਲ ਜਾਂ ਡਬਲਯੂਐਮਆਈ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੈਮੋਰੀ ਵਿੱਚ ਪੂਰੀ ਏਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਡਾਊਨਲੋਡ, ਡੀਕ੍ਰਿਪਟ ਅਤੇ ਐਗਜ਼ੀਕਿਊਟ ਕਰਦੀਆਂ ਹਨ, ਬਿਨਾਂ ਡਿਸਕ 'ਤੇ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਛੱਡੇ।

ਇਸੇ ਤਰ੍ਹਾਂ, ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RATs)ਕੀਲੌਗਰ ਜਾਂ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰ ਅਰਧ-ਫਾਈਲ ਰਹਿਤ ਢੰਗ ਨਾਲ ਕੰਮ ਕਰ ਸਕਦੇ ਹਨ, ਮੰਗ 'ਤੇ ਮੋਡੀਊਲ ਲੋਡ ਕਰਦੇ ਹਨ ਅਤੇ ਜਾਇਜ਼ ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਮੁੱਖ ਤਰਕ ਨੂੰ ਹੋਸਟ ਕਰਦੇ ਹਨ।

ਸ਼ੋਸ਼ਣ ਕਿੱਟਾਂ ਅਤੇ ਚੋਰੀ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰ

ਵੈੱਬ ਐਕਸਪਲਾਈਟ ਕਿੱਟਾਂ ਇਸ ਬੁਝਾਰਤ ਦਾ ਇੱਕ ਹੋਰ ਹਿੱਸਾ ਹਨ: ਉਹ ਸਥਾਪਿਤ ਸੌਫਟਵੇਅਰ ਦਾ ਪਤਾ ਲਗਾਉਂਦੇ ਹਨ, ਉਹ ਢੁਕਵੇਂ ਸ਼ੋਸ਼ਣ ਦੀ ਚੋਣ ਕਰਦੇ ਹਨ ਅਤੇ ਪੇਲੋਡ ਨੂੰ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦੇ ਹਨ।, ਅਕਸਰ ਡਿਸਕ ਤੇ ਕੁਝ ਵੀ ਸੇਵ ਕੀਤੇ ਬਿਨਾਂ।

ਦੂਜੇ ਪਾਸੇ, ਦੀ ਵਰਤੋਂ ਚੋਰੀ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇਹ ਇੱਕ ਵੈਕਟਰ ਹੈ ਜੋ ਫਾਈਲ ਰਹਿਤ ਤਕਨੀਕਾਂ ਨਾਲ ਬਹੁਤ ਵਧੀਆ ਢੰਗ ਨਾਲ ਫਿੱਟ ਬੈਠਦਾ ਹੈ: ਹਮਲਾਵਰ ਇੱਕ ਜਾਇਜ਼ ਉਪਭੋਗਤਾ ਵਜੋਂ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ ਅਤੇ, ਉੱਥੋਂ, ਸਕ੍ਰਿਪਟਾਂ ਅਤੇ ਕਮਾਂਡਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਮੂਲ ਪ੍ਰਸ਼ਾਸਕੀ ਟੂਲਸ (PowerShell Remoting, WMI, PsExec) ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜੋ ਮਾਲਵੇਅਰ ਦੇ ਕੋਈ ਕਲਾਸਿਕ ਨਿਸ਼ਾਨ ਨਹੀਂ ਛੱਡਦੇ।

ਫਾਈਲ ਰਹਿਤ ਮਾਲਵੇਅਰ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਇੰਨਾ ਮੁਸ਼ਕਲ ਕਿਉਂ ਹੈ?

ਮੂਲ ਕਾਰਨ ਇਹ ਹੈ ਕਿ ਇਸ ਕਿਸਮ ਦਾ ਖ਼ਤਰਾ ਖਾਸ ਤੌਰ 'ਤੇ ਇਸ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਰੱਖਿਆ ਦੀਆਂ ਰਵਾਇਤੀ ਪਰਤਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰੋਦਸਤਖਤਾਂ, ਵਾਈਟਲਿਸਟਾਂ, ਅਤੇ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਫਾਈਲ ਸਕੈਨ ਦੇ ਆਧਾਰ 'ਤੇ।

ਜੇਕਰ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਡਿਸਕ 'ਤੇ ਕਦੇ ਵੀ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੇ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਾਂ ਜੇ ਇਹ WMI, ਰਜਿਸਟਰੀ, ਜਾਂ ਫਰਮਵੇਅਰ ਵਰਗੇ ਮਿਸ਼ਰਤ ਕੰਟੇਨਰਾਂ ਵਿੱਚ ਲੁਕ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਰਵਾਇਤੀ ਐਂਟੀਵਾਇਰਸ ਸੌਫਟਵੇਅਰ ਕੋਲ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਲਈ ਬਹੁਤ ਘੱਟ ਹੈ। ਇੱਕ "ਸ਼ੱਕੀ ਫਾਈਲ" ਦੀ ਬਜਾਏ, ਤੁਹਾਡੇ ਕੋਲ ਜੋ ਹੈ ਉਹ ਹੈ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਜੋ ਅਸਧਾਰਨ ਢੰਗ ਨਾਲ ਵਿਵਹਾਰ ਕਰਦੀਆਂ ਹਨ.

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਪਾਵਰਸ਼ੈਲ, ਆਫਿਸ ਮੈਕਰੋ, ਜਾਂ ਡਬਲਯੂਐਮਆਈ ਵਰਗੇ ਟੂਲਸ ਨੂੰ ਮੂਲ ਰੂਪ ਵਿੱਚ ਬਲੌਕ ਕਰਦਾ ਹੈ। ਇਹ ਬਹੁਤ ਸਾਰੀਆਂ ਸੰਸਥਾਵਾਂ ਵਿੱਚ ਵਿਵਹਾਰਕ ਨਹੀਂ ਹੈ।ਕਿਉਂਕਿ ਇਹ ਪ੍ਰਸ਼ਾਸਨ, ਆਟੋਮੇਸ਼ਨ ਅਤੇ ਰੋਜ਼ਾਨਾ ਦੇ ਕੰਮਾਂ ਲਈ ਜ਼ਰੂਰੀ ਹਨ। ਇਹ ਵਕਾਲਤਾਂ ਨੂੰ ਬਹੁਤ ਸਾਵਧਾਨੀ ਨਾਲ ਚੱਲਣ ਲਈ ਮਜਬੂਰ ਕਰਦਾ ਹੈ।

ਕੁਝ ਵਿਕਰੇਤਾਵਾਂ ਨੇ ਤੇਜ਼ ਸੁਧਾਰਾਂ (ਜੈਨਰਿਕ ਪਾਵਰਸ਼ੈਲ ਬਲਾਕਿੰਗ, ਕੁੱਲ ਮੈਕਰੋ ਡਿਸਏਬਲਿੰਗ, ਕਲਾਉਡ-ਓਨਲੀ ਡਿਟੈਕਸ਼ਨ, ਆਦਿ) ਨਾਲ ਮੁਆਵਜ਼ਾ ਦੇਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਹੈ, ਪਰ ਇਹ ਉਪਾਅ ਆਮ ਤੌਰ 'ਤੇ ਨਾਕਾਫ਼ੀ ਜਾਂ ਬਹੁਤ ਜ਼ਿਆਦਾ ਵਿਘਨ ਪਾਉਣ ਵਾਲਾ ਕਾਰੋਬਾਰ ਲਈ।

ਫਾਈਲ ਰਹਿਤ ਮਾਲਵੇਅਰ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਰੋਕਣ ਲਈ ਆਧੁਨਿਕ ਰਣਨੀਤੀਆਂ

ਇਨ੍ਹਾਂ ਖਤਰਿਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨ ਲਈ, ਸਿਰਫ਼ ਫਾਈਲਾਂ ਨੂੰ ਸਕੈਨ ਕਰਨ ਤੋਂ ਪਰੇ ਜਾਣਾ ਅਤੇ ਇੱਕ ਕੇਂਦ੍ਰਿਤ ਪਹੁੰਚ ਅਪਣਾਉਣਾ ਜ਼ਰੂਰੀ ਹੈ। ਵਿਵਹਾਰ, ਰੀਅਲ-ਟਾਈਮ ਟੈਲੀਮੈਟਰੀ, ਅਤੇ ਡੂੰਘੀ ਦ੍ਰਿਸ਼ਟੀ ਅੰਤਮ ਬਿੰਦੂ ਦਾ।

ਵਿਵਹਾਰ ਅਤੇ ਯਾਦਦਾਸ਼ਤ ਦੀ ਨਿਗਰਾਨੀ

ਇੱਕ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਪਹੁੰਚ ਵਿੱਚ ਇਹ ਦੇਖਣਾ ਸ਼ਾਮਲ ਹੈ ਕਿ ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਸਲ ਵਿੱਚ ਕੀ ਕਰਦੀਆਂ ਹਨ: ਉਹ ਕਿਹੜੇ ਹੁਕਮ ਲਾਗੂ ਕਰਦੇ ਹਨ, ਉਹ ਕਿਹੜੇ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਦੇ ਹਨ, ਉਹ ਕਿਹੜੇ ਸੰਪਰਕ ਸਥਾਪਿਤ ਕਰਦੇ ਹਨਉਹ ਇੱਕ ਦੂਜੇ ਨਾਲ ਕਿਵੇਂ ਸੰਬੰਧਿਤ ਹਨ, ਆਦਿ। ਹਾਲਾਂਕਿ ਹਜ਼ਾਰਾਂ ਮਾਲਵੇਅਰ ਰੂਪ ਮੌਜੂਦ ਹਨ, ਪਰ ਖਤਰਨਾਕ ਵਿਵਹਾਰ ਪੈਟਰਨ ਬਹੁਤ ਜ਼ਿਆਦਾ ਸੀਮਤ ਹਨ। ਇਸ ਨੂੰ YARA ਨਾਲ ਉੱਨਤ ਖੋਜ.

ਆਧੁਨਿਕ ਹੱਲ ਇਸ ਟੈਲੀਮੈਟਰੀ ਨੂੰ ਇਨ-ਮੈਮੋਰੀ ਵਿਸ਼ਲੇਸ਼ਣ, ਉੱਨਤ ਹਿਊਰਿਸਟਿਕਸ, ਅਤੇ ਨਾਲ ਜੋੜਦੇ ਹਨ। ਆਟੋਮੈਟਿਕ ਸਿੱਖਣ ਹਮਲੇ ਦੀਆਂ ਚੇਨਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ, ਭਾਵੇਂ ਕੋਡ ਬਹੁਤ ਜ਼ਿਆਦਾ ਅਸਪਸ਼ਟ ਹੋਵੇ ਜਾਂ ਪਹਿਲਾਂ ਕਦੇ ਨਾ ਦੇਖਿਆ ਗਿਆ ਹੋਵੇ।

AMSI ਅਤੇ ETW ਵਰਗੇ ਸਿਸਟਮ ਇੰਟਰਫੇਸਾਂ ਦੀ ਵਰਤੋਂ

ਵਿੰਡੋਜ਼ ਤਕਨਾਲੋਜੀਆਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਐਂਟੀਮਾਲਵੇਅਰ ਸਕੈਨ ਇੰਟਰਫੇਸ (AMSI) y ਵਿੰਡੋਜ਼ (ETW) ਲਈ ਇਵੈਂਟ ਟ੍ਰੇਸਿੰਗ ਇਹ ਸਰੋਤ ਸਿਸਟਮ ਸਕ੍ਰਿਪਟਾਂ ਅਤੇ ਘਟਨਾਵਾਂ ਦੀ ਬਹੁਤ ਘੱਟ ਪੱਧਰ 'ਤੇ ਜਾਂਚ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ। ਇਹਨਾਂ ਸਰੋਤਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਹੱਲਾਂ ਵਿੱਚ ਜੋੜਨ ਨਾਲ ਖੋਜ ਦੀ ਸਹੂਲਤ ਮਿਲਦੀ ਹੈ। ਖਤਰਨਾਕ ਕੋਡ ਇਸਦੇ ਚੱਲਣ ਤੋਂ ਠੀਕ ਪਹਿਲਾਂ ਜਾਂ ਦੌਰਾਨ.

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਨਾਜ਼ੁਕ ਖੇਤਰਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨਾ—ਨਿਰਧਾਰਤ ਕਾਰਜ, WMI ਗਾਹਕੀਆਂ, ਬੂਟ ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ, ਆਦਿ—ਦੀ ਪਛਾਣ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ ਗੁਪਤ ਫਾਈਲ ਰਹਿਤ ਸਥਿਰਤਾ ਜੋ ਕਿ ਇੱਕ ਸਧਾਰਨ ਫਾਈਲ ਸਕੈਨ ਨਾਲ ਅਣਦੇਖਿਆ ਜਾ ਸਕਦਾ ਹੈ।

ਖ਼ਤਰੇ ਦੀ ਭਾਲ ਅਤੇ ਹਮਲੇ ਦੇ ਸੰਕੇਤ (IoA)

ਕਿਉਂਕਿ ਕਲਾਸਿਕ ਸੂਚਕ (ਹੈਸ਼, ਫਾਈਲ ਪਾਥ) ਘੱਟ ਜਾਂਦੇ ਹਨ, ਇਸ ਲਈ ਇਸ 'ਤੇ ਭਰੋਸਾ ਕਰਨਾ ਸਲਾਹਿਆ ਜਾਂਦਾ ਹੈ ਹਮਲੇ ਦੇ ਸੰਕੇਤਕ (IoA), ਜੋ ਸ਼ੱਕੀ ਵਿਵਹਾਰਾਂ ਅਤੇ ਕਾਰਵਾਈਆਂ ਦੇ ਕ੍ਰਮ ਦਾ ਵਰਣਨ ਕਰਦੇ ਹਨ ਜੋ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਰਣਨੀਤੀਆਂ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹਨ।

ਧਮਕੀਆਂ ਦਾ ਸ਼ਿਕਾਰ ਕਰਨ ਵਾਲੀਆਂ ਟੀਮਾਂ - ਅੰਦਰੂਨੀ ਜਾਂ ਪ੍ਰਬੰਧਿਤ ਸੇਵਾਵਾਂ ਰਾਹੀਂ - ਸਰਗਰਮੀ ਨਾਲ ਖੋਜ ਕਰ ਸਕਦੀਆਂ ਹਨ ਪਾਸੇ ਦੀ ਗਤੀ ਦੇ ਪੈਟਰਨ, ਦੇਸੀ ਔਜ਼ਾਰਾਂ ਦੀ ਦੁਰਵਰਤੋਂ, ਪਾਵਰਸ਼ੈਲ ਦੀ ਵਰਤੋਂ ਵਿੱਚ ਵਿਗਾੜ। ਜਾਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ, ਫਾਈਲ ਰਹਿਤ ਖਤਰਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣਾ, ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਕਿ ਉਹ ਕਿਸੇ ਆਫ਼ਤ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ।

EDR, XDR ਅਤੇ SOC 24/7

ਆਧੁਨਿਕ ਪਲੇਟਫਾਰਮ EDR ਅਤੇ XDR (ਐਂਡਪੁਆਇੰਟ ਡਿਟੈਕਸ਼ਨ ਅਤੇ ਰਿਸਪਾਂਸ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਪੱਧਰ 'ਤੇ) ਪਹਿਲੀ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਤੋਂ ਲੈ ਕੇ ਅੰਤਿਮ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਤੱਕ, ਕਿਸੇ ਘਟਨਾ ਦੇ ਪੂਰੇ ਇਤਿਹਾਸ ਨੂੰ ਪੁਨਰਗਠਿਤ ਕਰਨ ਲਈ ਲੋੜੀਂਦੀ ਦ੍ਰਿਸ਼ਟੀ ਅਤੇ ਸਬੰਧ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।

ਨਾਲ ਜੋੜ ਕੇ ਏ 24/7 ਕਾਰਜਸ਼ੀਲ ਐਸਓਸੀਉਹ ਨਾ ਸਿਰਫ਼ ਖੋਜ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ, ਸਗੋਂ ਆਪਣੇ ਆਪ ਹੀ ਰੱਖਦਾ ਹੈ ਅਤੇ ਠੀਕ ਕਰਦਾ ਹੈ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ: ਕੰਪਿਊਟਰਾਂ ਨੂੰ ਅਲੱਗ ਕਰਨਾ, ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਬਲਾਕ ਕਰਨਾ, ਰਜਿਸਟਰੀ ਵਿੱਚ ਬਦਲਾਵਾਂ ਨੂੰ ਵਾਪਸ ਕਰਨਾ, ਜਾਂ ਜਦੋਂ ਸੰਭਵ ਹੋਵੇ ਤਾਂ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਵਾਪਸ ਕਰਨਾ।

ਫਾਈਲ ਰਹਿਤ ਮਾਲਵੇਅਰ ਤਕਨੀਕਾਂ ਨੇ ਖੇਡ ਨੂੰ ਬਦਲ ਦਿੱਤਾ ਹੈ: ਸਿਰਫ਼ ਇੱਕ ਐਂਟੀਵਾਇਰਸ ਸਕੈਨ ਚਲਾਉਣਾ ਅਤੇ ਇੱਕ ਸ਼ੱਕੀ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਮਿਟਾਉਣਾ ਹੁਣ ਕਾਫ਼ੀ ਨਹੀਂ ਹੈ। ਅੱਜ, ਬਚਾਅ ਵਿੱਚ ਇਹ ਸਮਝਣਾ ਸ਼ਾਮਲ ਹੈ ਕਿ ਹਮਲਾਵਰ ਮੈਮੋਰੀ, ਰਜਿਸਟਰੀ, WMI, ਜਾਂ ਫਰਮਵੇਅਰ ਵਿੱਚ ਕੋਡ ਨੂੰ ਲੁਕਾ ਕੇ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਿਵੇਂ ਕਰਦੇ ਹਨ, ਅਤੇ ਵਿਵਹਾਰਕ ਨਿਗਰਾਨੀ, ਇਨ-ਮੈਮੋਰੀ ਵਿਸ਼ਲੇਸ਼ਣ, EDR/XDR, ਧਮਕੀ ਦੀ ਭਾਲ, ਅਤੇ ਵਧੀਆ ਅਭਿਆਸਾਂ ਦੇ ਸੁਮੇਲ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ। ਅਸਲ ਵਿੱਚ ਪ੍ਰਭਾਵ ਨੂੰ ਘਟਾਓ ਹਮਲੇ ਜੋ, ਡਿਜ਼ਾਈਨ ਦੁਆਰਾ, ਕੋਈ ਨਿਸ਼ਾਨ ਨਾ ਛੱਡਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ ਜਿੱਥੇ ਵਧੇਰੇ ਰਵਾਇਤੀ ਹੱਲ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ, ਇੱਕ ਸੰਪੂਰਨ ਅਤੇ ਨਿਰੰਤਰ ਰਣਨੀਤੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਸਮਝੌਤਾ ਹੋਣ ਦੀ ਸਥਿਤੀ ਵਿੱਚ, ਜਾਣਨਾ ਗੰਭੀਰ ਵਾਇਰਸ ਤੋਂ ਬਾਅਦ ਵਿੰਡੋਜ਼ ਦੀ ਮੁਰੰਮਤ ਕਰੋ ਜ਼ਰੂਰੀ ਹੈ।