ਫਾਈਲ ਰਹਿਤ ਫਾਈਲਾਂ ਦੀ ਪਛਾਣ ਕਰਨਾ: ਮੈਮੋਰੀ ਵਿੱਚ ਮਾਲਵੇਅਰ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਰੋਕਣ ਲਈ ਇੱਕ ਪੂਰੀ ਗਾਈਡ

ਡਿਸਕ 'ਤੇ ਕੋਈ ਨਿਸ਼ਾਨ ਛੱਡੇ ਬਿਨਾਂ ਕੰਮ ਕਰਨ ਵਾਲੇ ਹਮਲੇ ਬਹੁਤ ਸਾਰੀਆਂ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਲਈ ਇੱਕ ਵੱਡਾ ਸਿਰਦਰਦ ਬਣ ਗਏ ਹਨ ਕਿਉਂਕਿ ਉਹ ਪੂਰੀ ਤਰ੍ਹਾਂ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਉਂਦੇ ਹਨ ਅਤੇ ਜਾਇਜ਼ ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ। ਇਸ ਲਈ ਜਾਣਨ ਦੀ ਮਹੱਤਤਾ ਫਾਈਲ ਰਹਿਤ ਫਾਈਲਾਂ ਦੀ ਪਛਾਣ ਕਿਵੇਂ ਕਰੀਏ ਅਤੇ ਉਨ੍ਹਾਂ ਦੇ ਵਿਰੁੱਧ ਆਪਣਾ ਬਚਾਅ ਕਰੋ।

ਸੁਰਖੀਆਂ ਅਤੇ ਰੁਝਾਨਾਂ ਤੋਂ ਪਰੇ, ਇਹ ਸਮਝਣਾ ਕਿ ਉਹ ਕਿਵੇਂ ਕੰਮ ਕਰਦੇ ਹਨ, ਉਹ ਇੰਨੇ ਅਣਜਾਣ ਕਿਉਂ ਹਨ, ਅਤੇ ਕਿਹੜੇ ਸੰਕੇਤ ਸਾਨੂੰ ਉਹਨਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ, ਇੱਕ ਘਟਨਾ ਨੂੰ ਰੋਕਣ ਅਤੇ ਉਲੰਘਣਾ ਦਾ ਪਛਤਾਵਾ ਕਰਨ ਵਿੱਚ ਅੰਤਰ ਬਣਾਉਂਦੇ ਹਨ। ਹੇਠ ਲਿਖੀਆਂ ਲਾਈਨਾਂ ਵਿੱਚ, ਅਸੀਂ ਸਮੱਸਿਆ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਦੇ ਹਾਂ ਅਤੇ ਪ੍ਰਸਤਾਵ ਦਿੰਦੇ ਹਾਂ ਹੱਲ।

ਫਾਈਲ ਰਹਿਤ ਮਾਲਵੇਅਰ ਕੀ ਹੈ ਅਤੇ ਇਹ ਕਿਉਂ ਮਾਇਨੇ ਰੱਖਦਾ ਹੈ?

 

ਫਾਈਲ ਰਹਿਤ ਮਾਲਵੇਅਰ ਕੋਈ ਖਾਸ ਪਰਿਵਾਰ ਨਹੀਂ ਹੈ, ਸਗੋਂ ਕੰਮ ਕਰਨ ਦਾ ਇੱਕ ਤਰੀਕਾ ਹੈ: ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਡਿਸਕ ਤੇ ਲਿਖਣ ਤੋਂ ਬਚੋ ਇਹ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਲਈ ਸਿਸਟਮ ਵਿੱਚ ਪਹਿਲਾਂ ਤੋਂ ਮੌਜੂਦ ਸੇਵਾਵਾਂ ਅਤੇ ਬਾਈਨਰੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਆਸਾਨੀ ਨਾਲ ਸਕੈਨ ਕਰਨ ਯੋਗ ਫਾਈਲ ਛੱਡਣ ਦੀ ਬਜਾਏ, ਹਮਲਾਵਰ ਭਰੋਸੇਯੋਗ ਉਪਯੋਗਤਾਵਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਦੇ ਤਰਕ ਨੂੰ ਸਿੱਧਾ RAM ਵਿੱਚ ਲੋਡ ਕਰਦਾ ਹੈ।

ਇਹ ਪਹੁੰਚ ਅਕਸਰ 'ਜ਼ਮੀਨ ਤੋਂ ਦੂਰ ਰਹਿਣਾ' ਦੇ ਫ਼ਲਸਫ਼ੇ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ: ਹਮਲਾਵਰ ਸਾਧਨ ਬਣਾਉਂਦੇ ਹਨ ਨੇਟਿਵ ਟੂਲ ਜਿਵੇਂ ਕਿ ਪਾਵਰਸ਼ੈਲ, ਡਬਲਯੂਐਮਆਈ, ਐਮਐਸਟੀਏ, ਰੰਡਲ32 ਜਾਂ VBScript ਅਤੇ JScript ਵਰਗੇ ਸਕ੍ਰਿਪਟਿੰਗ ਇੰਜਣਾਂ ਨੂੰ ਘੱਟੋ-ਘੱਟ ਸ਼ੋਰ ਨਾਲ ਆਪਣੇ ਟੀਚਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ।

ਇਸਦੀਆਂ ਸਭ ਤੋਂ ਵੱਧ ਪ੍ਰਤੀਨਿਧ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚੋਂ ਸਾਨੂੰ ਮਿਲਦਾ ਹੈ: ਅਸਥਿਰ ਮੈਮੋਰੀ ਵਿੱਚ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਡਿਸਕ 'ਤੇ ਬਹੁਤ ਘੱਟ ਜਾਂ ਕੋਈ ਸਥਿਰਤਾ ਨਹੀਂ, ਸਿਸਟਮ-ਦਸਤਖਤ ਕੀਤੇ ਹਿੱਸਿਆਂ ਦੀ ਵਰਤੋਂ ਅਤੇ ਦਸਤਖਤ-ਅਧਾਰਿਤ ਇੰਜਣਾਂ ਦੇ ਵਿਰੁੱਧ ਉੱਚ ਚੋਰੀ ਸਮਰੱਥਾ।

ਹਾਲਾਂਕਿ ਰੀਬੂਟ ਤੋਂ ਬਾਅਦ ਬਹੁਤ ਸਾਰੇ ਪੇਲੋਡ ਅਲੋਪ ਹੋ ਜਾਂਦੇ ਹਨ, ਮੂਰਖ ਨਾ ਬਣੋ: ਵਿਰੋਧੀ ਦ੍ਰਿੜਤਾ ਸਥਾਪਤ ਕਰ ਸਕਦੇ ਹਨ ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ, WMI ਗਾਹਕੀਆਂ, ਜਾਂ ਅਨੁਸੂਚਿਤ ਕਾਰਜਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਇਹ ਸਭ ਡਿਸਕ 'ਤੇ ਸ਼ੱਕੀ ਬਾਈਨਰੀ ਛੱਡੇ ਬਿਨਾਂ।

ਸਾਨੂੰ ਫਾਈਲ ਰਹਿਤ ਫਾਈਲਾਂ ਦੀ ਪਛਾਣ ਕਰਨਾ ਇੰਨਾ ਮੁਸ਼ਕਲ ਕਿਉਂ ਲੱਗਦਾ ਹੈ?

ਪਹਿਲੀ ਰੁਕਾਵਟ ਸਪੱਸ਼ਟ ਹੈ: ਜਾਂਚ ਕਰਨ ਲਈ ਕੋਈ ਅਸੰਗਤ ਫਾਈਲਾਂ ਨਹੀਂ ਹਨ।ਦਸਤਖਤਾਂ ਅਤੇ ਫਾਈਲ ਵਿਸ਼ਲੇਸ਼ਣ 'ਤੇ ਅਧਾਰਤ ਰਵਾਇਤੀ ਐਂਟੀਵਾਇਰਸ ਪ੍ਰੋਗਰਾਮਾਂ ਵਿੱਚ ਚਾਲ-ਚਲਣ ਲਈ ਬਹੁਤ ਘੱਟ ਜਗ੍ਹਾ ਹੁੰਦੀ ਹੈ ਜਦੋਂ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵੈਧ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਰਹਿੰਦਾ ਹੈ ਅਤੇ ਖਤਰਨਾਕ ਤਰਕ ਮੈਮੋਰੀ ਵਿੱਚ ਰਹਿੰਦਾ ਹੈ।

ਦੂਜਾ ਹੋਰ ਵੀ ਸੂਖਮ ਹੈ: ਹਮਲਾਵਰ ਆਪਣੇ ਆਪ ਨੂੰ ਪਿੱਛੇ ਛੁਪਾਉਂਦੇ ਹਨ ਜਾਇਜ਼ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆਵਾਂਜੇਕਰ PowerShell ਜਾਂ WMI ਨੂੰ ਰੋਜ਼ਾਨਾ ਪ੍ਰਸ਼ਾਸਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਸੰਦਰਭ ਅਤੇ ਵਿਵਹਾਰਕ ਟੈਲੀਮੈਟਰੀ ਤੋਂ ਬਿਨਾਂ ਆਮ ਵਰਤੋਂ ਨੂੰ ਖਤਰਨਾਕ ਵਰਤੋਂ ਤੋਂ ਕਿਵੇਂ ਵੱਖਰਾ ਕਰ ਸਕਦੇ ਹੋ?

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਅੰਨ੍ਹੇਵਾਹ ਮਹੱਤਵਪੂਰਨ ਔਜ਼ਾਰਾਂ ਨੂੰ ਬਲੌਕ ਕਰਨਾ ਸੰਭਵ ਨਹੀਂ ਹੈ। ਪਾਵਰਸ਼ੈਲ ਜਾਂ ਆਫਿਸ ਮੈਕਰੋ ਨੂੰ ਬੋਰਡ ਭਰ ਵਿੱਚ ਅਯੋਗ ਕਰਨ ਨਾਲ ਕਾਰਜਾਂ ਵਿੱਚ ਵਿਘਨ ਪੈ ਸਕਦਾ ਹੈ ਅਤੇ ਇਹ ਦੁਰਵਿਵਹਾਰ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਨਹੀਂ ਰੋਕਦਾ।ਕਿਉਂਕਿ ਸਧਾਰਨ ਬਲਾਕਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਕਈ ਵਿਕਲਪਿਕ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਮਾਰਗ ਅਤੇ ਤਕਨੀਕਾਂ ਹਨ।

ਇਸ ਸਭ ਤੋਂ ਉੱਪਰ, ਕਲਾਉਡ-ਅਧਾਰਿਤ ਜਾਂ ਸਰਵਰ-ਸਾਈਡ ਖੋਜ ਸਮੱਸਿਆਵਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਬਹੁਤ ਦੇਰ ਨਾਲ ਹੈ। ਮੁੱਦੇ ਵਿੱਚ ਅਸਲ-ਸਮੇਂ ਦੀ ਸਥਾਨਕ ਦਿੱਖ ਤੋਂ ਬਿਨਾਂ... ਕਮਾਂਡ ਲਾਈਨਾਂ, ਪ੍ਰਕਿਰਿਆ ਸਬੰਧ, ਅਤੇ ਲਾਗ ਇਵੈਂਟਸਏਜੰਟ ਅਚਾਨਕ ਇੱਕ ਖਤਰਨਾਕ ਪ੍ਰਵਾਹ ਨੂੰ ਘੱਟ ਨਹੀਂ ਕਰ ਸਕਦਾ ਜੋ ਡਿਸਕ 'ਤੇ ਕੋਈ ਨਿਸ਼ਾਨ ਨਹੀਂ ਛੱਡਦਾ।

ਇੱਕ ਫਾਈਲ ਰਹਿਤ ਹਮਲਾ ਸ਼ੁਰੂ ਤੋਂ ਅੰਤ ਤੱਕ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਆਮ ਤੌਰ 'ਤੇ ਹਮੇਸ਼ਾ ਵਾਂਗ ਉਹੀ ਵੈਕਟਰਾਂ ਨਾਲ ਹੁੰਦੀ ਹੈ: ਦਫ਼ਤਰੀ ਦਸਤਾਵੇਜ਼ਾਂ ਨਾਲ ਧੋਖਾਧੜੀ ਜੋ ਸਰਗਰਮ ਸਮੱਗਰੀ, ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਸਾਈਟਾਂ ਦੇ ਲਿੰਕ, ਸਾਹਮਣੇ ਆਈਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ, ਜਾਂ RDP ਜਾਂ ਹੋਰ ਸੇਵਾਵਾਂ ਰਾਹੀਂ ਐਕਸੈਸ ਕਰਨ ਲਈ ਲੀਕ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਕਹਿੰਦੇ ਹਨ।

ਇੱਕ ਵਾਰ ਅੰਦਰ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਵਿਰੋਧੀ ਡਿਸਕ ਨੂੰ ਛੂਹਣ ਤੋਂ ਬਿਨਾਂ ਹੀ ਚਲਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਉਹ ਸਿਸਟਮ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਨੂੰ ਇੱਕ ਦੂਜੇ ਨਾਲ ਜੋੜਦੇ ਹਨ: ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਮੈਕਰੋ ਜਾਂ DDE ਜੋ ਕਮਾਂਡਾਂ ਲਾਂਚ ਕਰਦੇ ਹਨ, RCE ਲਈ ਓਵਰਫਲੋ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ, ਜਾਂ ਭਰੋਸੇਯੋਗ ਬਾਈਨਰੀਆਂ ਨੂੰ ਇਨਵੋਕ ਕਰਦੇ ਹਨ ਜੋ ਮੈਮੋਰੀ ਵਿੱਚ ਕੋਡ ਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ।

ਜੇਕਰ ਓਪਰੇਸ਼ਨ ਨੂੰ ਨਿਰੰਤਰਤਾ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਤਾਂ ਨਵੇਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲਾਂ ਨੂੰ ਤੈਨਾਤ ਕੀਤੇ ਬਿਨਾਂ ਸਥਿਰਤਾ ਨੂੰ ਲਾਗੂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ: ਰਜਿਸਟਰੀ ਵਿੱਚ ਸ਼ੁਰੂਆਤੀ ਐਂਟਰੀਆਂWMI ਗਾਹਕੀਆਂ ਜੋ ਸਿਸਟਮ ਇਵੈਂਟਾਂ ਜਾਂ ਅਨੁਸੂਚਿਤ ਕਾਰਜਾਂ 'ਤੇ ਪ੍ਰਤੀਕਿਰਿਆ ਕਰਦੀਆਂ ਹਨ ਜੋ ਕੁਝ ਸ਼ਰਤਾਂ ਅਧੀਨ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਟਰਿੱਗਰ ਕਰਦੀਆਂ ਹਨ।

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸਥਾਪਿਤ ਹੋਣ ਦੇ ਨਾਲ, ਉਦੇਸ਼ ਹੇਠ ਲਿਖੇ ਕਦਮਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ: ਪਾਸੇ ਵੱਲ ਵਧੋ, ਐਕਸਫਿਲਟ੍ਰੇਟ ਡੇਟਾਇਸ ਵਿੱਚ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰਨਾ, RAT ਤੈਨਾਤ ਕਰਨਾ, ਕ੍ਰਿਪਟੋਕਰੰਸੀਆਂ ਦੀ ਮਾਈਨਿੰਗ ਕਰਨਾ, ਜਾਂ ਰੈਨਸਮਵੇਅਰ ਦੇ ਮਾਮਲੇ ਵਿੱਚ ਫਾਈਲ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਸਰਗਰਮ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਸਭ ਕੁਝ, ਜਦੋਂ ਵੀ ਸੰਭਵ ਹੋਵੇ, ਮੌਜੂਦਾ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦਾ ਲਾਭ ਉਠਾ ਕੇ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਸਬੂਤਾਂ ਨੂੰ ਹਟਾਉਣਾ ਯੋਜਨਾ ਦਾ ਹਿੱਸਾ ਹੈ: ਸ਼ੱਕੀ ਬਾਈਨਰੀ ਨਾ ਲਿਖ ਕੇ, ਹਮਲਾਵਰ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਵਾਲੀਆਂ ਕਲਾਕ੍ਰਿਤੀਆਂ ਨੂੰ ਕਾਫ਼ੀ ਹੱਦ ਤੱਕ ਘਟਾ ਦਿੰਦਾ ਹੈ। ਆਮ ਘਟਨਾਵਾਂ ਵਿਚਕਾਰ ਆਪਣੀ ਗਤੀਵਿਧੀ ਨੂੰ ਮਿਲਾਉਣਾ ਸਿਸਟਮ ਦੇ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਹਟਾਉਣਾ ਅਤੇ ਜਦੋਂ ਵੀ ਸੰਭਵ ਹੋਵੇ ਅਸਥਾਈ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਮਿਟਾਉਣਾ।

ਤਕਨੀਕਾਂ ਅਤੇ ਔਜ਼ਾਰ ਜੋ ਉਹ ਆਮ ਤੌਰ 'ਤੇ ਵਰਤਦੇ ਹਨ

ਇਹ ਕੈਟਾਲਾਗ ਬਹੁਤ ਵਿਆਪਕ ਹੈ, ਪਰ ਇਹ ਲਗਭਗ ਹਮੇਸ਼ਾ ਮੂਲ ਉਪਯੋਗਤਾਵਾਂ ਅਤੇ ਭਰੋਸੇਯੋਗ ਰੂਟਾਂ ਦੇ ਦੁਆਲੇ ਘੁੰਮਦਾ ਹੈ। ਇਹ ਕੁਝ ਸਭ ਤੋਂ ਆਮ ਰੂਟ ਹਨ, ਹਮੇਸ਼ਾ ਇਸ ਟੀਚੇ ਨਾਲ ਮੈਮੋਰੀ ਵਿੱਚ ਚੱਲਣ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰੋ ਅਤੇ ਟਰੇਸ ਨੂੰ ਧੁੰਦਲਾ ਕਰੋ:

• ਪਾਵਰਸ਼ੇਲਸ਼ਕਤੀਸ਼ਾਲੀ ਸਕ੍ਰਿਪਟਿੰਗ, ਵਿੰਡੋਜ਼ API ਤੱਕ ਪਹੁੰਚ, ਅਤੇ ਆਟੋਮੇਸ਼ਨ। ਇਸਦੀ ਬਹੁਪੱਖੀਤਾ ਇਸਨੂੰ ਪ੍ਰਸ਼ਾਸਨ ਅਤੇ ਅਪਮਾਨਜਨਕ ਦੁਰਵਰਤੋਂ ਦੋਵਾਂ ਲਈ ਇੱਕ ਪਸੰਦੀਦਾ ਬਣਾਉਂਦੀ ਹੈ।
• WMI (ਵਿੰਡੋਜ਼ ਮੈਨੇਜਮੈਂਟ ਇੰਸਟਰੂਮੈਂਟੇਸ਼ਨ)ਇਹ ਤੁਹਾਨੂੰ ਸਿਸਟਮ ਘਟਨਾਵਾਂ ਦੀ ਪੁੱਛਗਿੱਛ ਕਰਨ ਅਤੇ ਪ੍ਰਤੀਕਿਰਿਆ ਕਰਨ ਦੇ ਨਾਲ-ਨਾਲ ਰਿਮੋਟ ਅਤੇ ਸਥਾਨਕ ਕਾਰਵਾਈਆਂ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ; ਲਈ ਲਾਭਦਾਇਕ ਦ੍ਰਿੜਤਾ ਅਤੇ ਸੰਚਾਲਨ.
• VBScript ਅਤੇ JScript: ਇੰਜਣ ਬਹੁਤ ਸਾਰੇ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਮੌਜੂਦ ਹਨ ਜੋ ਸਿਸਟਮ ਭਾਗਾਂ ਰਾਹੀਂ ਤਰਕ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਸਹੂਲਤ ਦਿੰਦੇ ਹਨ।
• mshta, rundll32 ਅਤੇ ਹੋਰ ਭਰੋਸੇਯੋਗ ਬਾਈਨਰੀ: ਜਾਣੇ-ਪਛਾਣੇ LoLBins, ਜੋ ਕਿ ਸਹੀ ਢੰਗ ਨਾਲ ਜੁੜੇ ਹੋਣ 'ਤੇ, ਕਲਾਕ੍ਰਿਤੀਆਂ ਨੂੰ ਛੱਡੇ ਬਿਨਾਂ ਕੋਡ ਚਲਾਓ ਡਿਸਕ 'ਤੇ ਸਪੱਸ਼ਟ।
• ਸਰਗਰਮ ਸਮੱਗਰੀ ਵਾਲੇ ਦਸਤਾਵੇਜ਼ਆਫਿਸ ਵਿੱਚ ਮੈਕਰੋ ਜਾਂ ਡੀਡੀਈ, ਅਤੇ ਨਾਲ ਹੀ ਉੱਨਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਾਲੇ ਪੀਡੀਐਫ ਰੀਡਰ, ਮੈਮੋਰੀ ਵਿੱਚ ਕਮਾਂਡਾਂ ਲਾਂਚ ਕਰਨ ਲਈ ਇੱਕ ਸਪਰਿੰਗਬੋਰਡ ਵਜੋਂ ਕੰਮ ਕਰ ਸਕਦੇ ਹਨ।
• ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ: ਸਿਸਟਮ ਕੰਪੋਨੈਂਟਸ ਦੁਆਰਾ ਕਿਰਿਆਸ਼ੀਲ ਕੀਤੇ ਗਏ ਪੇਲੋਡਾਂ ਦੀ ਸਵੈ-ਬੂਟ ਕੁੰਜੀਆਂ ਜਾਂ ਇਨਕ੍ਰਿਪਟਡ/ਲੁਕਵੀਂ ਸਟੋਰੇਜ।
• ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਦੌਰਾ ਅਤੇ ਟੀਕਾ: ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਮੈਮੋਰੀ ਸਪੇਸ ਵਿੱਚ ਸੋਧ ਹੋਸਟ ਖਤਰਨਾਕ ਤਰਕ ਇੱਕ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੇ ਅੰਦਰ।
• ਓਪਰੇਟਿੰਗ ਕਿੱਟਾਂ: ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਅਤੇ ਡਿਸਕ ਨੂੰ ਛੂਹਣ ਤੋਂ ਬਿਨਾਂ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਅਨੁਕੂਲਿਤ ਸ਼ੋਸ਼ਣਾਂ ਦੀ ਤੈਨਾਤੀ।

ਕੰਪਨੀਆਂ ਲਈ ਚੁਣੌਤੀ (ਅਤੇ ਸਿਰਫ਼ ਹਰ ਚੀਜ਼ ਨੂੰ ਬਲਾਕ ਕਰਨਾ ਹੀ ਕਾਫ਼ੀ ਕਿਉਂ ਨਹੀਂ ਹੈ)

ਇੱਕ ਭੋਲਾਪਣ ਵਾਲਾ ਤਰੀਕਾ ਇੱਕ ਸਖ਼ਤ ਉਪਾਅ ਸੁਝਾਉਂਦਾ ਹੈ: PowerShell ਨੂੰ ਰੋਕਣਾ, ਮੈਕਰੋ ਨੂੰ ਰੋਕਣਾ, rundll32 ਵਰਗੇ ਬਾਈਨਰੀਆਂ ਨੂੰ ਰੋਕਣਾ। ਅਸਲੀਅਤ ਹੋਰ ਵੀ ਸੂਖਮ ਹੈ: ਇਹਨਾਂ ਵਿੱਚੋਂ ਬਹੁਤ ਸਾਰੇ ਔਜ਼ਾਰ ਜ਼ਰੂਰੀ ਹਨ। ਰੋਜ਼ਾਨਾ ਆਈ.ਟੀ. ਕਾਰਜਾਂ ਅਤੇ ਪ੍ਰਬੰਧਕੀ ਆਟੋਮੇਸ਼ਨ ਲਈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਮਲਾਵਰ ਕਮੀਆਂ ਲੱਭਦੇ ਹਨ: ਸਕ੍ਰਿਪਟਿੰਗ ਇੰਜਣ ਨੂੰ ਹੋਰ ਤਰੀਕਿਆਂ ਨਾਲ ਚਲਾਉਣਾ, ਵਿਕਲਪਿਕ ਕਾਪੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰੋਤੁਸੀਂ ਤਸਵੀਰਾਂ ਵਿੱਚ ਤਰਕ ਪੈਕ ਕਰ ਸਕਦੇ ਹੋ ਜਾਂ ਘੱਟ ਨਿਗਰਾਨੀ ਵਾਲੇ LoLBins ਦਾ ਸਹਾਰਾ ਲੈ ਸਕਦੇ ਹੋ। ਬਰੂਟ ਬਲਾਕਿੰਗ ਅੰਤ ਵਿੱਚ ਪੂਰੀ ਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕੀਤੇ ਬਿਨਾਂ ਰਗੜ ਪੈਦਾ ਕਰਦੀ ਹੈ।

ਸਿਰਫ਼ ਸਰਵਰ-ਸਾਈਡ ਜਾਂ ਕਲਾਉਡ-ਅਧਾਰਿਤ ਵਿਸ਼ਲੇਸ਼ਣ ਵੀ ਸਮੱਸਿਆ ਦਾ ਹੱਲ ਨਹੀਂ ਕਰਦਾ। ਅਮੀਰ ਐਂਡਪੁਆਇੰਟ ਟੈਲੀਮੈਟਰੀ ਤੋਂ ਬਿਨਾਂ ਅਤੇ ਬਿਨਾਂ ਏਜੰਟ ਵਿੱਚ ਹੀ ਜਵਾਬਦੇਹੀਫੈਸਲਾ ਦੇਰ ਨਾਲ ਆਉਂਦਾ ਹੈ ਅਤੇ ਰੋਕਥਾਮ ਸੰਭਵ ਨਹੀਂ ਹੈ ਕਿਉਂਕਿ ਸਾਨੂੰ ਬਾਹਰੀ ਫੈਸਲੇ ਦੀ ਉਡੀਕ ਕਰਨੀ ਪੈਂਦੀ ਹੈ।

ਇਸ ਦੌਰਾਨ, ਮਾਰਕੀਟ ਰਿਪੋਰਟਾਂ ਨੇ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਇਸ ਖੇਤਰ ਵਿੱਚ ਇੱਕ ਬਹੁਤ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਵੱਲ ਇਸ਼ਾਰਾ ਕੀਤਾ ਹੈ, ਜਿੱਥੇ ਸਿਖਰਾਂ ਹਨ ਪਾਵਰਸ਼ੈਲ ਦੀ ਦੁਰਵਰਤੋਂ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਲਗਭਗ ਦੁੱਗਣੀਆਂ ਹੋ ਗਈਆਂ ਥੋੜ੍ਹੇ ਸਮੇਂ ਵਿੱਚ, ਜੋ ਇਸ ਗੱਲ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ ਕਿ ਇਹ ਵਿਰੋਧੀਆਂ ਲਈ ਇੱਕ ਆਵਰਤੀ ਅਤੇ ਲਾਭਦਾਇਕ ਰਣਨੀਤੀ ਹੈ।

ਆਧੁਨਿਕ ਖੋਜ: ਫਾਈਲ ਤੋਂ ਵਿਵਹਾਰ ਤੱਕ

ਮੁੱਖ ਗੱਲ ਇਹ ਨਹੀਂ ਹੈ ਕਿ ਕੌਣ ਫਾਂਸੀ ਦਿੰਦਾ ਹੈ, ਸਗੋਂ ਇਹ ਹੈ ਕਿ ਕਿਵੇਂ ਅਤੇ ਕਿਉਂ। ਨਿਗਰਾਨੀ ਪ੍ਰਕਿਰਿਆ ਵਿਵਹਾਰ ਅਤੇ ਇਸਦੇ ਸਬੰਧ ਇਹ ਨਿਰਣਾਇਕ ਹੈ: ਕਮਾਂਡ ਲਾਈਨ, ਪ੍ਰਕਿਰਿਆ ਵਿਰਾਸਤ, ਸੰਵੇਦਨਸ਼ੀਲ API ਕਾਲਾਂ, ਆਊਟਬਾਉਂਡ ਕਨੈਕਸ਼ਨ, ਰਜਿਸਟਰੀ ਸੋਧਾਂ, ਅਤੇ WMI ਇਵੈਂਟਸ।

ਇਹ ਪਹੁੰਚ ਚੋਰੀ ਦੀ ਸਤ੍ਹਾ ਨੂੰ ਬਹੁਤ ਘਟਾਉਂਦੀ ਹੈ: ਭਾਵੇਂ ਬਾਈਨਰੀ ਬਦਲ ਜਾਣ, ਹਮਲੇ ਦੇ ਪੈਟਰਨ ਦੁਹਰਾਏ ਜਾਂਦੇ ਹਨ (ਉਹ ਸਕ੍ਰਿਪਟਾਂ ਜੋ ਮੈਮੋਰੀ ਵਿੱਚ ਡਾਊਨਲੋਡ ਅਤੇ ਐਗਜ਼ੀਕਿਊਟ ਕਰਦੀਆਂ ਹਨ, LoLBins ਦੀ ਦੁਰਵਰਤੋਂ, ਦੁਭਾਸ਼ੀਏ ਦੀ ਮੰਗ, ਆਦਿ)। ਉਸ ਸਕ੍ਰਿਪਟ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਨਾਲ, ਫਾਈਲ ਦੀ 'ਪਛਾਣ' ਦਾ ਨਹੀਂ, ਖੋਜ ਵਿੱਚ ਸੁਧਾਰ ਹੁੰਦਾ ਹੈ।

ਪ੍ਰਭਾਵਸ਼ਾਲੀ EDR/XDR ਪਲੇਟਫਾਰਮ ਪੂਰੇ ਘਟਨਾ ਇਤਿਹਾਸ ਨੂੰ ਪੁਨਰਗਠਿਤ ਕਰਨ ਲਈ ਸਿਗਨਲਾਂ ਨੂੰ ਆਪਸ ਵਿੱਚ ਜੋੜਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਮੁਖ ਕਾਰਣ 'ਦਿਖਾਈ' ਗਈ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਦੋਸ਼ ਦੇਣ ਦੀ ਬਜਾਏ, ਇਹ ਬਿਰਤਾਂਤ ਸਿਰਫ਼ ਇੱਕ ਅਲੱਗ-ਥਲੱਗ ਟੁਕੜੇ ਨੂੰ ਨਹੀਂ, ਸਗੋਂ ਪੂਰੇ ਪ੍ਰਵਾਹ ਨੂੰ ਘਟਾਉਣ ਲਈ ਅਟੈਚਮੈਂਟਾਂ, ਮੈਕਰੋ, ਦੁਭਾਸ਼ੀਏ, ਪੇਲੋਡ ਅਤੇ ਦ੍ਰਿੜਤਾ ਨੂੰ ਜੋੜਦਾ ਹੈ।

ਫਰੇਮਵਰਕ ਦੀ ਵਰਤੋਂ ਜਿਵੇਂ ਕਿ ਮਾਈਟਰ ਏਟੀਟੀ ਐਂਡ ਸੀਕੇ ਇਹ ਨਿਰੀਖਣ ਕੀਤੀਆਂ ਰਣਨੀਤੀਆਂ ਅਤੇ ਤਕਨੀਕਾਂ (TTPs) ਦਾ ਨਕਸ਼ਾ ਬਣਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ ਅਤੇ ਦਿਲਚਸਪੀ ਵਾਲੇ ਵਿਵਹਾਰਾਂ ਵੱਲ ਖ਼ਤਰੇ ਦੀ ਭਾਲ ਵਿੱਚ ਮਾਰਗਦਰਸ਼ਨ ਕਰਦਾ ਹੈ: ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਦ੍ਰਿੜਤਾ, ਬਚਾਅ ਚੋਰੀ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਪਹੁੰਚ, ਖੋਜ, ਪਾਸੇ ਦੀ ਗਤੀ ਅਤੇ ਨਿਕਾਸ।

ਅੰਤ ਵਿੱਚ, ਅੰਤਮ ਬਿੰਦੂ ਪ੍ਰਤੀਕਿਰਿਆ ਆਰਕੈਸਟ੍ਰੇਸ਼ਨ ਤੁਰੰਤ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ: ਡਿਵਾਈਸ ਨੂੰ ਅਲੱਗ ਕਰੋ, ਅੰਤ ਪ੍ਰਕਿਰਿਆਵਾਂ ਸ਼ਾਮਲ, ਰਜਿਸਟਰੀ ਜਾਂ ਟਾਸਕ ਸ਼ਡਿਊਲਰ ਵਿੱਚ ਤਬਦੀਲੀਆਂ ਨੂੰ ਵਾਪਸ ਲਿਆਓ ਅਤੇ ਬਾਹਰੀ ਪੁਸ਼ਟੀਕਰਨ ਦੀ ਉਡੀਕ ਕੀਤੇ ਬਿਨਾਂ ਸ਼ੱਕੀ ਆਊਟਗੋਇੰਗ ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਬਲੌਕ ਕਰੋ।

ਉਪਯੋਗੀ ਟੈਲੀਮੈਟਰੀ: ਕੀ ਦੇਖਣਾ ਹੈ ਅਤੇ ਕਿਵੇਂ ਤਰਜੀਹ ਦੇਣੀ ਹੈ

ਸਿਸਟਮ ਨੂੰ ਸੰਤ੍ਰਿਪਤ ਕੀਤੇ ਬਿਨਾਂ ਖੋਜ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਵਧਾਉਣ ਲਈ, ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਸਿਗਨਲਾਂ ਨੂੰ ਤਰਜੀਹ ਦੇਣ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ। ਕੁਝ ਸਰੋਤ ਅਤੇ ਨਿਯੰਤਰਣ ਜੋ ਸੰਦਰਭ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਫਾਈਲ ਰਹਿਤ ਲਈ ਮਹੱਤਵਪੂਰਨ ਉਹ ਹਨ:

• ਵਿਸਤ੍ਰਿਤ ਪਾਵਰਸ਼ੈਲ ਲੌਗ ਅਤੇ ਹੋਰ ਦੁਭਾਸ਼ੀਏ: ਸਕ੍ਰਿਪਟ ਬਲਾਕ ਲੌਗ, ਕਮਾਂਡ ਇਤਿਹਾਸ, ਲੋਡ ਕੀਤੇ ਮੋਡੀਊਲ, ਅਤੇ AMSI ਇਵੈਂਟ, ਜਦੋਂ ਉਪਲਬਧ ਹੋਣ।
• WMI ਰਿਪੋਜ਼ਟਰੀਇਵੈਂਟ ਫਿਲਟਰਾਂ, ਖਪਤਕਾਰਾਂ ਅਤੇ ਲਿੰਕਾਂ ਦੀ ਸਿਰਜਣਾ ਜਾਂ ਸੋਧ ਸੰਬੰਧੀ ਵਸਤੂ ਸੂਚੀ ਅਤੇ ਚੇਤਾਵਨੀ, ਖਾਸ ਕਰਕੇ ਸੰਵੇਦਨਸ਼ੀਲ ਨੇਮਸਪੇਸਾਂ ਵਿੱਚ।
• ਸੁਰੱਖਿਆ ਘਟਨਾਵਾਂ ਅਤੇ ਸਿਸਮਨ: ਪ੍ਰਕਿਰਿਆ ਸਹਿ-ਸੰਬੰਧ, ਚਿੱਤਰ ਇਕਸਾਰਤਾ, ਮੈਮੋਰੀ ਲੋਡਿੰਗ, ਇੰਜੈਕਸ਼ਨ, ਅਤੇ ਅਨੁਸੂਚਿਤ ਕਾਰਜਾਂ ਦੀ ਸਿਰਜਣਾ।
• Red: ਅਸਧਾਰਨ ਆਊਟਬਾਉਂਡ ਕਨੈਕਸ਼ਨ, ਬੀਕਨਿੰਗ, ਪੇਲੋਡ ਡਾਊਨਲੋਡ ਪੈਟਰਨ, ਅਤੇ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਗੁਪਤ ਚੈਨਲਾਂ ਦੀ ਵਰਤੋਂ।

ਆਟੋਮੇਸ਼ਨ ਕਣਕ ਨੂੰ ਤੂੜੀ ਤੋਂ ਵੱਖ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ: ਵਿਵਹਾਰ-ਅਧਾਰਤ ਖੋਜ ਨਿਯਮ, ਲਈ ਆਗਿਆ ਸੂਚੀਆਂ ਜਾਇਜ਼ ਪ੍ਰਸ਼ਾਸਨ ਅਤੇ ਖ਼ਤਰੇ ਦੀ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਨਾਲ ਭਰਪੂਰਤਾ ਗਲਤ ਸਕਾਰਾਤਮਕਤਾਵਾਂ ਨੂੰ ਸੀਮਤ ਕਰਦੀ ਹੈ ਅਤੇ ਪ੍ਰਤੀਕਿਰਿਆ ਨੂੰ ਤੇਜ਼ ਕਰਦੀ ਹੈ।

ਸਤ੍ਹਾ ਦੀ ਰੋਕਥਾਮ ਅਤੇ ਕਮੀ

ਕੋਈ ਇੱਕਲਾ ਉਪਾਅ ਕਾਫ਼ੀ ਨਹੀਂ ਹੈ, ਪਰ ਇੱਕ ਪੱਧਰੀ ਰੱਖਿਆ ਜੋਖਮ ਨੂੰ ਬਹੁਤ ਘਟਾਉਂਦੀ ਹੈ। ਰੋਕਥਾਮ ਵਾਲੇ ਪਾਸੇ, ਕਾਰਵਾਈ ਦੀਆਂ ਕਈ ਲਾਈਨਾਂ ਸਾਹਮਣੇ ਆਉਂਦੀਆਂ ਹਨ ਵੈਕਟਰ ਕਲਿੱਪਿੰਗ ਅਤੇ ਵਿਰੋਧੀ ਲਈ ਜੀਵਨ ਨੂੰ ਹੋਰ ਮੁਸ਼ਕਲ ਬਣਾਓ:

• ਮੈਕਰੋ ਪ੍ਰਬੰਧਨ: ਡਿਫਾਲਟ ਤੌਰ 'ਤੇ ਅਯੋਗ ਕਰੋ ਅਤੇ ਸਿਰਫ਼ ਉਦੋਂ ਹੀ ਆਗਿਆ ਦਿਓ ਜਦੋਂ ਬਿਲਕੁਲ ਜ਼ਰੂਰੀ ਹੋਵੇ ਅਤੇ ਦਸਤਖਤ ਕੀਤੇ ਹੋਣ; ਸਮੂਹ ਨੀਤੀਆਂ ਰਾਹੀਂ ਬਰੀਕ ਨਿਯੰਤਰਣ।
• ਦੁਭਾਸ਼ੀਏ ਅਤੇ LoLBins ਦੀ ਪਾਬੰਦੀ: ਵਿਆਪਕ ਲੌਗਿੰਗ ਦੇ ਨਾਲ ਐਪਲੌਕਰ/ਡਬਲਯੂਡੀਏਸੀ ਜਾਂ ਇਸਦੇ ਬਰਾਬਰ, ਸਕ੍ਰਿਪਟਾਂ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਟੈਂਪਲੇਟਾਂ ਦਾ ਨਿਯੰਤਰਣ ਲਾਗੂ ਕਰੋ।
• ਪੈਚਿੰਗ ਅਤੇ ਮਿਟੀਗੇਸ਼ਨ: ਸ਼ੋਸ਼ਣਯੋਗ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਬੰਦ ਕਰੋ ਅਤੇ ਮੈਮੋਰੀ ਸੁਰੱਖਿਆ ਨੂੰ ਸਰਗਰਮ ਕਰੋ ਜੋ RCE ਅਤੇ ਟੀਕਿਆਂ ਨੂੰ ਸੀਮਤ ਕਰਦੇ ਹਨ।
• ਮਜ਼ਬੂਤ ​​ਪ੍ਰਮਾਣੀਕਰਨਪ੍ਰਮਾਣ ਪੱਤਰ ਦੀ ਦੁਰਵਰਤੋਂ ਨੂੰ ਰੋਕਣ ਲਈ MFA ਅਤੇ ਜ਼ੀਰੋ ਟਰੱਸਟ ਸਿਧਾਂਤ ਅਤੇ ਪਾਸੇ ਦੀ ਗਤੀ ਨੂੰ ਘਟਾਓ.
• ਜਾਗਰੂਕਤਾ ਅਤੇ ਸਿਮੂਲੇਸ਼ਨਫਿਸ਼ਿੰਗ, ਸਰਗਰਮ ਸਮੱਗਰੀ ਵਾਲੇ ਦਸਤਾਵੇਜ਼ਾਂ, ਅਤੇ ਅਸਧਾਰਨ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੇ ਸੰਕੇਤਾਂ ਬਾਰੇ ਵਿਹਾਰਕ ਸਿਖਲਾਈ।

ਇਹ ਉਪਾਅ ਉਹਨਾਂ ਹੱਲਾਂ ਦੁਆਰਾ ਪੂਰਕ ਹਨ ਜੋ ਅਸਲ ਸਮੇਂ ਵਿੱਚ ਖਤਰਨਾਕ ਵਿਵਹਾਰ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਟ੍ਰੈਫਿਕ ਅਤੇ ਮੈਮੋਰੀ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਦੇ ਹਨ, ਅਤੇ ਨਾਲ ਹੀ ਵਿਭਾਜਨ ਨੀਤੀਆਂ ਅਤੇ ਜਦੋਂ ਕੁਝ ਖਿਸਕ ਜਾਂਦਾ ਹੈ ਤਾਂ ਪ੍ਰਭਾਵ ਨੂੰ ਰੋਕਣ ਲਈ ਘੱਟੋ-ਘੱਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ।

ਸੇਵਾਵਾਂ ਅਤੇ ਤਰੀਕੇ ਜੋ ਕੰਮ ਕਰ ਰਹੇ ਹਨ

ਬਹੁਤ ਸਾਰੇ ਅੰਤਮ ਬਿੰਦੂਆਂ ਅਤੇ ਉੱਚ ਆਲੋਚਨਾਤਮਕਤਾ ਵਾਲੇ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ, ਪ੍ਰਬੰਧਿਤ ਖੋਜ ਅਤੇ ਜਵਾਬ ਸੇਵਾਵਾਂ ਦੇ ਨਾਲ 24/7 ਨਿਗਰਾਨੀ ਇਹ ਘਟਨਾਵਾਂ ਨੂੰ ਰੋਕਣ ਵਿੱਚ ਤੇਜ਼ੀ ਲਿਆਉਣ ਲਈ ਸਾਬਤ ਹੋਏ ਹਨ। SOC, EMDR/MDR, ਅਤੇ EDR/XDR ਦਾ ਸੁਮੇਲ ਮਾਹਰ ਅੱਖਾਂ, ਅਮੀਰ ਟੈਲੀਮੈਟਰੀ, ਅਤੇ ਤਾਲਮੇਲ ਵਾਲੀ ਪ੍ਰਤੀਕਿਰਿਆ ਸਮਰੱਥਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਸਭ ਤੋਂ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਪ੍ਰਦਾਤਾਵਾਂ ਨੇ ਵਿਵਹਾਰ ਵਿੱਚ ਤਬਦੀਲੀ ਨੂੰ ਅੰਦਰੂਨੀ ਬਣਾਇਆ ਹੈ: ਹਲਕੇ ਭਾਰ ਵਾਲੇ ਏਜੰਟ ਜੋ ਕਰਨਲ ਪੱਧਰ 'ਤੇ ਗਤੀਵਿਧੀ ਨੂੰ ਸਹਿਭਾਗਿਤ ਕਰੋਉਹ ਪੂਰੇ ਹਮਲੇ ਦੇ ਇਤਿਹਾਸ ਦਾ ਪੁਨਰਗਠਨ ਕਰਦੇ ਹਨ ਅਤੇ ਜਦੋਂ ਉਹ ਖਤਰਨਾਕ ਚੇਨਾਂ ਦਾ ਪਤਾ ਲਗਾਉਂਦੇ ਹਨ ਤਾਂ ਆਟੋਮੈਟਿਕ ਮਿਟੀਗੇਸ਼ਨ ਲਾਗੂ ਕਰਦੇ ਹਨ, ਬਦਲਾਵਾਂ ਨੂੰ ਅਨਡੂ ਕਰਨ ਦੀ ਰੋਲਬੈਕ ਸਮਰੱਥਾ ਦੇ ਨਾਲ।

ਸਮਾਨਾਂਤਰ, ਐਂਡਪੁਆਇੰਟ ਪ੍ਰੋਟੈਕਸ਼ਨ ਸੂਟ ਅਤੇ XDR ਪਲੇਟਫਾਰਮ ਵਰਕਸਟੇਸ਼ਨਾਂ, ਸਰਵਰਾਂ, ਪਛਾਣਾਂ, ਈਮੇਲ ਅਤੇ ਕਲਾਉਡ ਵਿੱਚ ਕੇਂਦਰੀਕ੍ਰਿਤ ਦ੍ਰਿਸ਼ਟੀ ਅਤੇ ਧਮਕੀ ਪ੍ਰਬੰਧਨ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦੇ ਹਨ; ਟੀਚਾ ਖਤਮ ਕਰਨਾ ਹੈ ਹਮਲੇ ਦੀ ਲੜੀ ਭਾਵੇਂ ਫਾਈਲਾਂ ਸ਼ਾਮਲ ਹੋਣ ਜਾਂ ਨਾ ਹੋਣ।

ਖ਼ਤਰੇ ਦੇ ਸ਼ਿਕਾਰ ਲਈ ਵਿਹਾਰਕ ਸੰਕੇਤਕ

ਜੇਕਰ ਤੁਹਾਨੂੰ ਖੋਜ ਪਰਿਕਲਪਨਾ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਪਵੇ, ਤਾਂ ਸਿਗਨਲਾਂ ਨੂੰ ਜੋੜਨ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਤ ਕਰੋ: ਇੱਕ ਦਫਤਰੀ ਪ੍ਰਕਿਰਿਆ ਜੋ ਅਸਾਧਾਰਨ ਮਾਪਦੰਡਾਂ ਦੇ ਨਾਲ ਇੱਕ ਦੁਭਾਸ਼ੀਏ ਨੂੰ ਲਾਂਚ ਕਰਦੀ ਹੈ, WMI ਗਾਹਕੀ ਬਣਾਉਣਾ ਇੱਕ ਦਸਤਾਵੇਜ਼ ਖੋਲ੍ਹਣ ਤੋਂ ਬਾਅਦ, ਸਟਾਰਟਅੱਪ ਕੁੰਜੀਆਂ ਵਿੱਚ ਸੋਧਾਂ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ ਅਤੇ ਉਸ ਤੋਂ ਬਾਅਦ ਮਾੜੀ ਸਾਖ ਵਾਲੇ ਡੋਮੇਨਾਂ ਨਾਲ ਕਨੈਕਸ਼ਨ ਬਣਾਏ ਜਾਂਦੇ ਹਨ।

ਇੱਕ ਹੋਰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਤਰੀਕਾ ਹੈ ਆਪਣੇ ਵਾਤਾਵਰਣ ਤੋਂ ਬੇਸਲਾਈਨ 'ਤੇ ਭਰੋਸਾ ਕਰਨਾ: ਤੁਹਾਡੇ ਸਰਵਰਾਂ ਅਤੇ ਵਰਕਸਟੇਸ਼ਨਾਂ 'ਤੇ ਕੀ ਆਮ ਹੈ? ਕੋਈ ਭਟਕਣਾ (ਨਵੇਂ ਦਸਤਖਤ ਕੀਤੇ ਬਾਈਨਰੀ ਦੁਭਾਸ਼ੀਏ ਦੇ ਮਾਪਿਆਂ ਵਜੋਂ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ, ਪ੍ਰਦਰਸ਼ਨ ਵਿੱਚ ਅਚਾਨਕ ਵਾਧਾ (ਸਕ੍ਰਿਪਟਾਂ, ਅਸਪਸ਼ਟ ਕਮਾਂਡ ਸਟ੍ਰਿੰਗਾਂ ਦੇ) ਜਾਂਚ ਦੇ ਹੱਕਦਾਰ ਹਨ।

ਅੰਤ ਵਿੱਚ, ਯਾਦਦਾਸ਼ਤ ਨੂੰ ਨਾ ਭੁੱਲੋ: ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਅਜਿਹੇ ਟੂਲ ਹਨ ਜੋ ਚੱਲ ਰਹੇ ਖੇਤਰਾਂ ਦਾ ਨਿਰੀਖਣ ਕਰਦੇ ਹਨ ਜਾਂ ਸਨੈਪਸ਼ਾਟ ਕੈਪਚਰ ਕਰਦੇ ਹਨ, RAM ਵਿੱਚ ਲੱਭਤਾਂ ਇਹ ਫਾਈਲ ਰਹਿਤ ਗਤੀਵਿਧੀ ਦਾ ਪੱਕਾ ਸਬੂਤ ਹੋ ਸਕਦੇ ਹਨ, ਖਾਸ ਕਰਕੇ ਜਦੋਂ ਫਾਈਲ ਸਿਸਟਮ ਵਿੱਚ ਕੋਈ ਕਲਾਤਮਕ ਚੀਜ਼ਾਂ ਨਾ ਹੋਣ।

ਇਹਨਾਂ ਜੁਗਤਾਂ, ਤਕਨੀਕਾਂ ਅਤੇ ਨਿਯੰਤਰਣਾਂ ਦਾ ਸੁਮੇਲ ਖ਼ਤਰੇ ਨੂੰ ਖਤਮ ਨਹੀਂ ਕਰਦਾ, ਪਰ ਇਹ ਤੁਹਾਨੂੰ ਸਮੇਂ ਸਿਰ ਇਸਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਇੱਕ ਬਿਹਤਰ ਸਥਿਤੀ ਵਿੱਚ ਰੱਖਦਾ ਹੈ। ਚੇਨ ਕੱਟੋ ਅਤੇ ਪ੍ਰਭਾਵ ਨੂੰ ਘਟਾਓ।

ਜਦੋਂ ਇਹ ਸਭ ਸਮਝਦਾਰੀ ਨਾਲ ਲਾਗੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ—ਐਂਡਪੁਆਇੰਟ-ਅਮੀਰ ਟੈਲੀਮੈਟਰੀ, ਵਿਵਹਾਰ ਸੰਬੰਧੀ ਸਬੰਧ, ਸਵੈਚਾਲਿਤ ਪ੍ਰਤੀਕਿਰਿਆ, ਅਤੇ ਚੋਣਵੇਂ ਸਖ਼ਤੀਕਰਨ—ਫਾਈਲ ਰਹਿਤ ਰਣਨੀਤੀ ਆਪਣਾ ਬਹੁਤ ਸਾਰਾ ਫਾਇਦਾ ਗੁਆ ਦਿੰਦੀ ਹੈ। ਅਤੇ, ਹਾਲਾਂਕਿ ਇਹ ਵਿਕਸਤ ਹੁੰਦਾ ਰਹੇਗਾ, ਵਿਵਹਾਰਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਤ ਕਰਨਾ ਫਾਈਲਾਂ ਦੀ ਬਜਾਏ, ਇਹ ਤੁਹਾਡੇ ਬਚਾਅ ਲਈ ਇਸਦੇ ਨਾਲ ਵਿਕਸਤ ਹੋਣ ਲਈ ਇੱਕ ਠੋਸ ਨੀਂਹ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।