د بې فایل فایلونو پیژندل: ​​په حافظه کې د مالویر کشف او بندولو لپاره بشپړ لارښود

هغه بریدونه چې په ډیسک کې د نښې پریښودو پرته فعالیت کوي د ډیری امنیتي ټیمونو لپاره یو لوی سر درد ګرځیدلی ځکه چې دوی په بشپړ ډول په حافظه کې اجرا کوي او د مشروع سیسټم پروسې کاروي. له همدې امله د پوهیدو اهمیت د بې فایل فایلونو پیژندلو څرنګوالی او د هغوی په وړاندې له ځانه دفاع وکړي.

د سرلیکونو او رجحاناتو هاخوا، د دې پوهیدل چې دوی څنګه کار کوي، ولې دومره ناڅرګند دي، او کومې نښې موږ ته اجازه راکوي چې دوی کشف کړو، د پیښې د ساتلو او د سرغړونې افسوس کولو ترمنځ توپیر رامینځته کوي. په لاندې کرښو کې، موږ ستونزه تحلیل کوو او وړاندیز کوو حل لارې.

بې فایل مالویر څه شی دی او ولې مهم دی؟

 

بې فایل مالویر یوه ځانګړې کورنۍ نه ده، بلکې د عملیاتو یوه لاره ده: په ډیسک کې د اجرایوي موادو لیکلو څخه ډډه وکړئ دا د ناوړه کوډ اجرا کولو لپاره په سیسټم کې دمخه موجود خدماتو او بائنریونو څخه کار اخلي. د دې پرځای چې په اسانۍ سره سکین وړ فایل پریږدي، بریدګر د باور وړ اسانتیاو څخه ناوړه ګټه پورته کوي او خپل منطق مستقیم په RAM کې باروي.

دا تګلاره ډیری وخت د 'ځمکې څخه بهر ژوند کول' په فلسفه کې شامله ده: برید کونکي وسیله جوړوي اصلي وسایل لکه پاورشیل، WMI، mshta، rundll32 یا د سکریپټینګ انجنونه لکه VBScript او JScript ترڅو خپل اهداف په لږترلږه شور سره ترلاسه کړي.

د هغې د خورا نمایشي ځانګړتیاوو په منځ کې موږ موندلی شو: په بې ثباته حافظه کې اجرا کول، په ډیسک کې لږ یا هیڅ دوام، د سیسټم لاسلیک شوي اجزاو کارول او د لاسلیک پر بنسټ انجنونو په وړاندې د لوړې تیښتې ظرفیت.

که څه هم ډیری پیلوډونه د ریبوټ وروسته ورک کیږي، مه غول کیږئ: مخالفین کولی شي استقامت رامینځته کړي د راجسټری کیلي، WMI ګډون، یا مهالویش شوي دندې په کارولو سره، ټول پرته له دې چې په ډیسک کې شکمن بائنریونه پریږدي.

ولې موږ د بې فایل فایلونو پیژندل دومره ستونزمن ګڼو؟

لومړی خنډ څرګند دی: د تفتیش لپاره هیڅ غیر معمولي فایلونه نشته.دودیز انټي ویروس پروګرامونه چې د لاسلیکونو او فایل تحلیل پر بنسټ والړ دي د چلولو لپاره لږ ځای لري کله چې اجرا کول په معتبر پروسو کې پاتې کیږي او ناوړه منطق په حافظه کې پاتې کیږي.

دوهم ډیر نازک دی: بریدګر ځانونه د د قانوني عملیاتي سیسټم پروسېکه چیرې پاورشیل یا WMI هره ورځ د ادارې لپاره کارول کیږي، نو تاسو څنګه کولی شئ د شرایطو او چلند ټیلی میټری پرته عادي استعمال له ناوړه استعمال څخه توپیر کړئ؟

سربېره پردې، په ړانده ډول د مهمو وسایلو بندول ممکن نه دي. د پاور شیل یا دفتر میکرو غیر فعال کول کولی شي عملیات مات کړي او دا په بشپړه توګه د ناوړه ګټه اخیستنې مخه نه نیسيځکه چې د ساده بلاکونو د مخنیوي لپاره ډیری بدیل اجرایوي لارې او تخنیکونه شتون لري.

د دې ټولو سربیره، د کلاوډ پر بنسټ یا د سرور اړخ کشف کول د ستونزو مخنیوي لپاره ډیر ناوخته دي. پرته له دې چې په مسله کې ریښتیني وخت سیمه ایز لید شتون ولري ... د قوماندې کرښې، د پروسې اړیکې، او د لاګ پیښېاجنټ نشي کولی په ناڅاپي ډول هغه ناوړه جریان کم کړي چې په ډیسک کې هیڅ نښه نه پریږدي.

د فایل پرته برید څنګه له پیل څخه تر پایه کار کوي

ابتدايي لاسرسی معمولا د تل په څیر ورته ویکتورونو سره پیښیږي: د دفتر اسنادو سره جعل کول چې د فعال مینځپانګې فعالولو غوښتنه کوي، د جوړجاړي شوي سایټونو لینکونه، په افشا شوي غوښتنلیکونو کې د زیان منونکو څخه ګټه پورته کول، یا د RDP یا نورو خدماتو له لارې د لاسرسي لپاره د لیک شوي اسنادو ناوړه ګټه اخیستنه.

کله چې دننه شي، مخالف هڅه کوي چې د ډیسک لمس کولو پرته اعدام وکړي. د دې کولو لپاره، دوی د سیسټم فعالیتونه سره یوځای کوي: په اسنادو کې میکرو یا DDE چې قوماندې پیلوي، د RCE لپاره اوور فلو کاروي، یا باوري بائنریونه راوباسي چې په حافظه کې کوډ بارولو او اجرا کولو ته اجازه ورکوي.

که چیرې عملیات دوام ته اړتیا ولري، نو دوام د نوي اجرایوي توکو له ځای پر ځای کولو پرته پلي کیدی شي: په راجستر کې د پیل ثبتونهد WMI ګډونونه چې د سیسټم پیښو یا مهالویش شوي دندو ته غبرګون ښیې چې د ځانګړو شرایطو لاندې سکریپټونه رامینځته کوي.

د اجرا کولو سره سم، هدف لاندې ګامونه ټاکي: په اړخ کې حرکت وکړئ، معلومات خارج کړئپدې کې د اسنادو غلا کول، د RAT ځای پرځای کول، د کریپټو اسعارو کان کیندنه، یا د رینسم ویئر په قضیه کې د فایل کوډ کولو فعالول شامل دي. دا ټول ترسره کیږي، کله چې امکان ولري، د موجوده فعالیتونو څخه ګټه پورته کولو سره.

د شواهدو لرې کول د پلان یوه برخه ده: د شکمنو بائنریونو نه لیکلو سره، بریدګر هغه اثار چې تحلیل ته اړتیا لري د پام وړ کموي. د دوی فعالیت د عادي پیښو ترمنځ ګډول د سیسټم او د امکان په صورت کې د لنډمهاله نښو له منځه وړل.

هغه تخنیکونه او وسایل چې دوی معمولا کاروي

کتلاګ پراخ دی، مګر دا تقریبا تل د اصلي اسانتیاوو او باوري لارو شاوخوا ګرځي. دا ځینې خورا عام دي، تل د هدف سره په حافظه کې اجرا اعظمي کړئ او نښه روښانه کړئ:

• پاور سیسټمځواکمن سکرپټینګ، د وینډوز APIs ته لاسرسی، او اتوماتیک کول. د دې څو اړخیزتوب دا د ادارې او برید کونکي ناوړه ګټه اخیستنې دواړو لپاره غوره کوي.
• WMI (د وینډوز مدیریت وسایل)دا تاسو ته اجازه درکوي چې د سیسټم پیښو پوښتنه وکړئ او عکس العمل وښایئ، او همدارنګه لرې او محلي کړنې ترسره کړئ؛ د دې لپاره ګټور استقامت او تنظیم.
• VBScript او JScript: انجنونه په ډیری چاپیریالونو کې شتون لري چې د سیسټم اجزاو له لارې د منطق اجرا کول اسانه کوي.
• mshta، rundll32 او نور باوري بائنري: مشهور LoLBins چې کله په سمه توګه وصل شي، کولی شي د هنري اثارو له غورځولو پرته کوډ اجرا کړئ په ډیسک کې څرګند دی.
• د فعالو منځپانګو سره اسنادپه دفتر کې میکرو یا DDE، او همدارنګه د پرمختللي ځانګړتیاو سره د PDF لوستونکي، کولی شي په حافظه کې د قوماندې پیل کولو لپاره د پسرلي په توګه کار وکړي.
• د وینډوز ثبتول: د ځان بوټ کیلي یا د پیلوډونو کوډ شوي/پټ ذخیره چې د سیسټم اجزاو لخوا فعال شوي.
• په پروسو کې ضبط او انجیکشن: د چلولو پروسو د حافظې ځای تعدیل د کوربه ناوړه منطق د یو قانوني اجرا وړ وړ ځای دننه.
• د عملیاتو کټونه: د قرباني په سیسټم کې د زیان منونکو کشف او د ډیسک لمس کولو پرته د اجرا کولو لپاره د مناسبو استحصالونو ځای پرځای کول.

د شرکتونو لپاره ننګونه (او ولې په ساده ډول د هرڅه بندول کافي ندي)

یوه ساده تګلاره د یوې سختې اندازې وړاندیز کوي: د پاورشیل بندول، د میکرو منع کول، د rundll32 په څیر د بائنریونو مخنیوی. حقیقت ډیر نازک دی: ډیری دا وسایل اړین دي. د ورځني معلوماتي ټکنالوژۍ عملیاتو او اداري اتومات کولو لپاره.

برسېره پردې، برید کوونکي د نیمګړتیاوو په لټه کې دي: د سکریپټینګ انجن په نورو لارو چلول، د بدیلو کاپيونو کارولتاسو کولی شئ په انځورونو کې منطق بسته کړئ یا لږ څارل شوي LoLBins ته مراجعه وکړئ. د وحشي بلاک کول په نهایت کې د بشپړ دفاع چمتو کولو پرته رګونه رامینځته کوي.

په خالص ډول د سرور اړخ یا کلاوډ پر بنسټ تحلیل هم ستونزه نه حل کوي. د بډایه پای ټکي ټیلی میټري پرته او پرته له په خپله په استازي کې غبرګونپریکړه ناوخته راځي او مخنیوی یې ممکن نه دی ځکه چې موږ باید د بهرني پریکړې انتظار وکړو.

په عین حال کې، د بازار راپورونو له اوږدې مودې راهیسې پدې سیمه کې خورا د پام وړ ودې ته اشاره کړې، چې لوړوالی یې چیرې چې د پاورشیل د ناوړه ګټې اخیستنې هڅې نږدې دوه چنده شوې په لنډ وخت کې، کوم چې دا تاییدوي چې دا د مخالفینو لپاره یو تکراري او ګټور تاکتیک دی.

عصري کشف: له فایل څخه تر چلند پورې

مهمه دا نه ده چې څوک اعداموي، بلکې مهمه دا ده چې څنګه او ولې. څارنه د پروسې چلند او د هغې اړیکې دا پریکړه کونکی دی: د قوماندې کرښه، د پروسې میراث، حساس API زنګونه، بهر ته تلونکي اړیکې، د راجسټری تعدیلات، او د WMI پیښې.

دا طریقه د تیښتې سطحه په ډراماتیک ډول کموي: حتی که چیرې بائنریونه پکې شامل وي، د بریدونو نمونې تکرار شوې دي (هغه سکرېپټونه چې په حافظه کې ډاونلوډ او اجرا کیږي، د LoLBins ناوړه ګټه اخیستنه، د ژباړونکو غوښتنه، او داسې نور). د دې سکرېپټ تحلیل کول، نه د فایل 'پیژندنه'، کشف ښه کوي.

اغیزمن EDR/XDR پلیټ فارمونه د پیښې بشپړ تاریخ بیا رغولو لپاره سیګنالونه سره اړیکه نیسي، د پیښې پیژندل عمده لامل د دې پر ځای چې هغه پروسه ملامت کړي چې 'ښکاره شوې'، دا کیسه ضمیمې، میکرو، ترجمانان، پیلوډونه، او استقامت سره نښلوي ترڅو ټول جریان کم کړي، نه یوازې یوه جلا ټوټه.

د چوکاټونو پلي کول لکه MITER AT&CK دا د مشاهده شویو تاکتیکونو او تخنیکونو (TTPs) نقشه کولو کې مرسته کوي او د ګټو چلندونو په لور د ګواښ ښکار لارښوونه کوي: اجرا کول، دوام، دفاعي تیښته، د اعتبار لاسرسی، کشف، اړخي حرکت او اخراج.

په پای کې، د پای ټکی غبرګون تنظیم باید سمدستي وي: وسیله جلا کړئ، د پای پروسې په کې شامل دي، په راجسټری یا د کار مهالویش کې بدلونونه بیرته راګرځوي او د بهرني تاییداتو انتظار پرته شکمن بهرني اړیکې بندوي.

ګټور ټیلی میټری: څه باید وګورو او څنګه لومړیتوب ورکړو

د سیسټم د مشبوع کولو پرته د کشف احتمال زیاتولو لپاره، دا مشوره ورکول کیږي چې د لوړ ارزښت سیګنالونو ته لومړیتوب ورکړئ. ځینې سرچینې او کنټرولونه چې شرایط چمتو کوي. د بې فایل لپاره مهم دی دوی دا دي:

• د پاورشیل تفصيلي لاګ او نور ژباړونکي: د سکریپټ بلاک لاګ، د قوماندې تاریخ، بار شوي ماډلونه، او د AMSI پیښې، کله چې شتون ولري.
• د WMI ذخیرهد پیښو فلټرونو، مصرف کونکو، او لینکونو د جوړولو یا تعدیل په اړه انوینټري او خبرتیا، په ځانګړې توګه په حساسو نوم ځایونو کې.
• امنیتي پیښې او سسمون: د پروسې اړیکه، د انځور بشپړتیا، د حافظې بارول، انجیکشن، او د مهالویش شویو دندو رامینځته کول.
• سور: غیر معمولي بهرنۍ اړیکې، بیکنینګ، د پایلوډ ډاونلوډ نمونې، او د اخراج لپاره د پټو چینلونو کارول.

اتومات کول د غنمو د بوس څخه جلا کولو کې مرسته کوي: د چلند پر بنسټ د کشف قواعد، د اجازې لیستونه قانوني اداره او د ګواښ استخباراتو سره بډای کول غلط مثبت محدودوي او غبرګون ګړندی کوي.

د سطحې مخنیوی او کمښت

هیڅ یو واحد اقدام کافي نه دی، مګر یو پرتې دفاع خطر خورا کموي. د مخنیوي په اړخ کې، د عمل څو کرښې د دې لپاره څرګندې دي د ویکتور کلپینګ او د مخالف لپاره ژوند نور هم ستونزمن کړي:

• د میکرو مدیریت: په ډیفالټ ډول غیر فعال کړئ او یوازې هغه وخت اجازه ورکړئ کله چې په بشپړ ډول اړین او لاسلیک شوي وي؛ د ګروپ پالیسیو له لارې ګران کنټرولونه.
• د ترجمانانو او LoLBins محدودیت: د جامع لاګنګ سره د AppLocker/WDAC یا معادل، د سکریپټونو کنټرول او د اجرا کولو ټیمپلیټونه پلي کړئ.
• اصلاح او تخفیفونه: د استثمار وړ زیانمننې وتړي او د حافظې محافظتونه فعال کړي چې RCE او انجیکشنونه محدودوي.
• قوي تصدیقد بهرنیو چارو وزارت او د اعتبار د ناوړه ګټې اخیستنې د مخنیوي لپاره د صفر باور اصول او د اړخ حرکت کم کړئ.
• پوهاوی او سمولیشنونهد فشینګ په اړه عملي روزنه، د فعالو منځپانګو سره اسناد، او د غیر معمولي اجرا کولو نښې.

دا اقدامات د هغو حل لارو سره بشپړ شوي چې ترافیک او حافظه تحلیلوي ترڅو په ریښتیني وخت کې ناوړه چلند وپیژني، او همدارنګه د وېش پالیسۍ او لږترلږه امتیازات ترڅو د یو څه له تیریدو وروسته د اغیزو مخه ونیسي.

هغه خدمتونه او طریقې چې کار کوي

په هغو چاپیریالونو کې چې ډیری پای ټکي او لوړ انتقاد لري، د کشف او غبرګون خدمات اداره شوي ۲۴/۷ څارنه دوی ثابته کړې چې د پیښو کنټرول ګړندی کوي. د SOC، EMDR/MDR، او EDR/XDR ترکیب د متخصص سترګو، بډایه ټیلی میټري، او همغږي غبرګون وړتیاوې چمتو کوي.

تر ټولو اغېزمن چمتو کونکو د چلند بدلون داخلي کړی دی: سپک وزن لرونکي اجنټان چې د کرنل په کچه فعالیت سره اړیکه ونیسئدوی د بریدونو بشپړ تاریخونه بیا رغوي او کله چې دوی ناوړه زنځیرونه کشف کړي نو اتوماتیک تخفیفونه پلي کوي، د بدلونونو د بیرته راګرځولو وړتیا سره.

په موازي ډول، د پای ټکي محافظت سویټونه او XDR پلیټ فارمونه د کار سټیشنونو، سرورونو، پیژندنو، بریښنالیک، او کلاوډ په اوږدو کې مرکزي لید او د ګواښ مدیریت مدغم کوي؛ هدف دا دی چې له منځه یوړل شي د برید سلسله پرته له دې چې فایلونه پکې شامل وي یا نه.

د ګواښ ښکار لپاره عملي شاخصونه

که تاسو د لټون فرضیو ته لومړیتوب ورکړئ، نو د سیګنالونو په یوځای کولو تمرکز وکړئ: د دفتر یوه پروسه چې یو ژباړونکی د غیر معمولي پیرامیټرو سره پیل کوي، د WMI ګډون جوړول د سند له پرانیستلو وروسته، د سټارټ اپ کیلي کې بدلونونه راځي او بیا د هغو ډومینونو سره اړیکې راځي چې کمزوري شهرت لري.

بله مؤثره لاره دا ده چې د خپل چاپیریال څخه په اساساتو تکیه وکړئ: ستاسو په سرورونو او ورک سټیشنونو کې څه نورمال دي؟ کوم انحراف (نوي لاسلیک شوي بائنریونه د ژباړونکو د والدینو په توګه څرګندیږي، په فعالیت کې ناڅاپي زیاتوالی (د سکریپټونو، د کمانډ سټرینګونو سره چې پټ دي) د څیړنې مستحق دي.

په پای کې، حافظه مه هېروئ: که تاسو داسې وسایل لرئ چې د چلولو سیمې معاینه کوي یا سنیپ شاټونه نیسي، په RAM کې موندنې دوی کولی شي د فایل پرته فعالیت حتمي ثبوت وي، په ځانګړي توګه کله چې په فایل سیسټم کې هیڅ هنري اثار شتون ونلري.

د دې تاکتیکونو، تخنیکونو او کنټرولونو ترکیب ګواښ له منځه نه وړي، مګر دا تاسو ته په ښه حالت کې درکوي چې په وخت سره یې کشف کړئ. زنځیر پرې کړه او اغیز کم کړئ.

کله چې دا ټول په قضاوت سره پلي شي — د پای ټکي بډایه ټیلی میټري، د چلند اړیکه، اتوماتیک غبرګون، او انتخابي سختوالی — بې فایل تاکتیک خپله ډیره ګټه له لاسه ورکوي. او، که څه هم دا به پراختیا ته دوام ورکړي، په چلندونو تمرکز د فایلونو پر ځای، دا ستاسو د دفاع لپاره یو قوي بنسټ وړاندې کوي ترڅو ورسره وده وکړي.