Aqoonsiga faylasha aan fileyn: ogaanshaha muhiimka ah iyo difaaca

Malwareer aan fileyn wuxuu ku dhex nool yahay xusuusta wuxuuna ku xad-gudbiyaa aaladaha sharciga ah (PowerShell, WMI, LoLBins), taasoo adkeyneysa in lagu ogaado faylalka.
Furaha ayaa ah in la kormeero dabeecadaha: xiriirka nidaamka, khadadka taliska, Diiwaanka, WMI iyo shabakada, oo leh jawaab degdeg ah meesha ugu dambeysa.
Difaaca lakabka ah wuxuu isku daraa xaddidaadda tarjumaada, maaraynta macro, dhejinta, MFA iyo EDR/XDR oo leh telemetry qani ah iyo 24/7 SOC.

Weerarada ku shaqeeya iyaga oo aan raad ku reebin saxanka ayaa noqday madax-xanuun weyn kooxo badan oo amniga sababtoo ah waxay si buuxda u fuliyaan xasuusta waxayna ka faa'iidaystaan hababka nidaamka sharciga ah. Markaa muhiimadda ay leedahay in la ogaado sida loo aqoonsado galalka aan fileyn oo ay iska difaacaan.

Marka laga soo tago cinwaannada iyo isbeddellada, fahamka sida ay u shaqeeyaan, sababta ay aadka u adag tahay, iyo calaamadaha noo oggolaanaya inaan ogaanno iyaga ayaa ka dhigaya farqiga u dhexeeya koobista dhacdo iyo ka qoomamaynta jebinta. Sadarrada soo socota, waxaan ku falanqeyneynaa dhibaatada oo aan soo jeedineynaa xalalka.

Waa maxay malware-ka aan fileyn iyo maxay muhiim u tahay?

Malwareer la'aanta ma aha qoys gaar ah, laakiin waa hab lagu shaqeeyo: Iska ilaali inaad ku qorto wax-fulinta diskka Waxay isticmaashaa adeegyada iyo binary-yada horeba ugu jiray nidaamka si loo fuliyo kood xaasidnimo ah. Halkii laga tagi lahaa fayl sahlan oo la iskaan karo, weeraryahanku wuxuu ku xad-gudbiyaa adeegyada la aamini karo wuxuuna si toos ah ugu shubaa caqligiisa RAM.

Habkani waxa uu inta badan ka kooban yahay falsafada 'Lool Off the Land': weeraryahanadu waa qalabeeyeen. Aaladaha asalka ah sida PowerShell, WMI, mshta, rundll32 ama matoorada qorista sida VBScript iyo JScript si ay u gaadhaan hadafkooda iyagoo leh buuq yar.

Waxa ka mid ah astaamaheeda matale ee ugu badan waxaanu ka helnay: fulinta xusuusta kacsan, wax yar ama aan ku adkaysan karin diskka, isticmaalka qaybaha nidaamka-saxiixa ah iyo awoodda sare ee ka-baxsanaanta matoorada ku salaysan saxiixa.

In kasta oo culaysyo badan oo la saaray ay baaba'aan ka dib dib-u-bilawga, ha ku khiyaanayn: Cadawgu waxay dhisi karaan adkaysi adoo ka faa'iidaysanaya furayaasha Diiwaanka, isdiiwaangelinta WMI, ama hawlo la qorsheeyay, dhammaan iyada oo aan looga tagin binaries shaki leh saxanka.

Dhibaatooyinka lagu ogaado malware-ka aan fileyn

Waa maxay sababta ay noogu adag tahay in la aqoonsado faylasha aan fileyn?

Caqabadda koowaad waa caddahay: Ma jiraan faylal aan caadi ahayn oo la baadhoBarnaamijyada fayraska dhaqameed ee ku salaysan saxeexyada iyo falanqaynta faylalka ayaa leh meel yar oo lagu maareeyo marka fulintu ay ku jirto habab sax ah oo caqli-galnimada xaasidnimadu ay ku jirto xusuusta.

Midda labaad ayaa aad u khiyaano badan: weeraryahannadu waxay gadaal iska soo duubaan hababka hawlgalka ee sharciga ahHaddii PowerShell ama WMI loo isticmaalo maalin kasta maamulka, sidee ayaad u kala saari kartaa isticmaalka caadiga ah iyo isticmaalka xaasidnimada leh iyada oo aan lahayn macnaha guud iyo telemetry dabeecadda?

Intaa waxaa dheer, in si indho la'aan ah loo xannibo qalabka muhiimka ah ma aha mid macquul ah. Deminta PowerShell ama macro Office-ka guud ahaan guddiga ayaa jebin kara hawlaha iyo Si buuxda ugama hortagto xadgudubyadasababtoo ah waxaa jira wadooyin badan oo kale oo lagu fulinayo iyo farsamooyin si looga gudbo baloogyada fudud.

Si kor loogu qaado dhammaan, ogaanshaha ku salaysan daruuraha ama dhinaca server-ka ayaa aad u daahay si looga hortago dhibaatooyinka. La'aanta muuqaalka gudaha ee wakhtiga dhabta ah ee arrinta... khadadka amarka, habsocodka xidhiidhada, iyo dhacdooyinka logWakiilku ma yarayn karo duulista qulqulka xaasidnimada leh ee aan raad ku reebin saxanka.

Waxyaabaha gaarka ah - Riix Halkan Waa maxay noocyada McAfee Mobile Security ee la heli karo?

Sida weerar aan fileyn u shaqeeyo bilow ilaa dhamaad

Gelitaanka bilawga ah wuxuu caadi ahaan ku yimaadaa faleebo la mid ah sida had iyo jeer: phishing oo wata dukumentiyada xafiiska kuwaas oo waydiisanaya in ay awood u siiyaan macluumaadka firfircoon, isku xidhka goobaha la jabiyay, ka faa'iidaysiga dayacan ee codsiyada la soo bandhigay, ama ku xad-gudubka shahaadooyinka la faafiyay si looga galo RDP ama adeegyo kale.

Marka gudaha la galo, qofka ka soo horjeeda wuxuu doonayaa inuu fuliyo isaga oo aan taaban saxanka. Si tan loo sameeyo, waxay isku xidhaan hawlaha nidaamka: macros ama DDE ee dukumentiyada kuwaas oo bilaabaya amarada, ka faa'iidaysanaya qulqulka RCE, ama u yeedha binaries la aamini karo oo u oggolaanaya soo dejinta iyo fulinta koodka xusuusta.

Haddii hawlgalku u baahan yahay sii socosho, adkaysi waa la hirgelin karaa iyada oo aan la dirin hawl-fulinyaal cusub: gelida bilowga ee DiiwaankaDiiwaangelinta WMI ee ka falcesha dhacdooyinka nidaamka ama hawlaha la qorsheeyay ee kiciya qoraallada hoos yimaada shuruudaha qaarkood.

Iyadoo fulinta la aasaasay, ujeedadu waxay tilmaamaysaa tillaabooyinka soo socda: gees u dhaqaaq, xog-ururinTan waxaa ka mid ah xatooyada aqoonsiga, geynta RAT, macdanta cryptocurrencies, ama kicinta sirta faylka kiiska ransomware. Waxaas oo dhan waxaa la sameeyaa, markii ay suurtagal tahay, iyadoo la adeegsanayo hawlqabadyada jira.

Ka saarida caddaynta waa qayb ka mid ah qorshaha: adigoon qorin binaries shaki leh, weeraryahanku wuxuu si weyn u yareeyaa farshaxanimada la falanqeynayo. isku dhafka waxqabadkooda inta u dhaxaysa dhacdooyinka caadiga ah ee nidaamka iyo tirtirida raadadka ku meel gaadhka ah marka ay suurtogal tahay.

aqoonso faylalka aan fileyn

Farsamooyinka iyo qalabka ay inta badan isticmaalaan

Buug-yarahaagu waa ballaadhan yahay, laakiin had iyo jeer waxay ku wareegsan yihiin adeegyada adeegyada iyo waddooyinka la aamini karo. Kuwani waa qaar ka mid ah kuwa ugu caansan, had iyo jeer leh hadafka kor u qaad fulinta xusuusta oo raad raac:

PowerShellQorista xoogga leh, gelitaanka API-yada Windows, iyo otomaatiga Kala duwanaanshaheeda ayaa ka dhigaya mid loo jecel yahay maamulka iyo xadgudubka weerarka labadaba.
Qalabka Maareynta Windows (WMI)Waxay kuu ogolaanaysaa inaad waydiiso oo aad ka jawaabto dhacdooyinka nidaamka, iyo sidoo kale inay qabato falalka fog iyo kuwa maxalliga ah; waxtar u leh adkaysi iyo abaabul.
VBScript iyo JScript: matoorada jooga meelo badan oo fududeeya fulinta macquulka ah iyada oo loo marayo qaybaha nidaamka.
mshta, rundll32 iyo binary kale oo la aamini karo: LoLBins-ka caanka ah ee, marka si habboon loo xiro, awood u leh fuli koodka adiga oo aan tuurin alaabta artifacts ka muuqda diskka.
Dukumeenti leh nuxur firfircoonMacros ama DDE ee Xafiiska, iyo sidoo kale akhristayaasha PDF oo leh astaamo horumarsan, waxay u adeegi karaan sidii guga si loo bilaabo amarrada xusuusta.
Diiwaanka Windows: furayaasha is-bootka ama kaydinta sir/qarsoon ee culeyska culeyska ah ee ay ka shaqeyaan qeybaha nidaamka.
Suuxdin iyo duritaanka hababkaWax ka beddelka booska xusuusta ee hababka socodsiinta martigeliso macquulka xaasidnimo gudaha si sharci ah oo la fulin karo.
Qalabka hawlgalka: ogaanshaha nuglaanshaha nidaamka dhibbanaha iyo geynta ka faa'iidaysiga ku habboon si loo gaaro fulinta iyada oo aan la taaban saxanka.

Caqabadda shirkadaha (iyo sababta ay si fudud u xannibayaan wax walba kuma filna)

Habka caqli-galku wuxuu soo jeedinayaa cabbir adag: xannibaadda PowerShell, mamnuucidda macros, ka hortagga binaries sida rundll32. Xaqiiqadu way ka sii dhugan tahay: Qaar badan oo ka mid ah qalabkani waa lagama maarmaan. hawlaha IT-ga maalinlaha ah iyo qalabaynta maamulka.

Waxyaabaha gaarka ah - Riix Halkan Soo dejinta Bandzip ma badbaado baa?

Intaa waxaa dheer, weeraryahanadu waxay raadiyaan daldaloolada: ku socodsiinta mishiinka qoraalka siyaabo kale, isticmaal nuqullo kaleWaxaad ku xidhi kartaa macquulka sawirada ama waxaad isticmaali kartaa LoLBins aan la socon. Xannibaadda caarada ah waxay ugu dambeyntii abuurtaa khilaaf iyada oo aan la siin difaac dhammaystiran.

Kaliya dhinaca server-ka ama falanqaynta daruuriga ku salaysan ma xalliso dhibaatada sidoo kale. Iyadoo aan lahayn telemetry-dhamaadka dhibicda hodanka ah iyo la'aanteed ka jawaab celinta wakiilka laftiisaGo'aanku wuu soo daahaa, ka-hortagguna maaha mid macquul ah sababtoo ah waa inaan sugno xukun dibadda ah.

Dhanka kale, warbixinnada suuqyadu waxay muddo dheer tilmaameen koboc aad u weyn oo aaggan ah, oo leh meelaha ugu sarreeya Isku dayga xadgudubka PowerShell ayaa ku dhawaad laba jibaarmay muddo gaaban, taas oo xaqiijinaysa in ay tahay xeelad soo noqnoqonaysa oo faa'iido u leh cadawga.

Ogaanshaha casriga ah: laga bilaabo faylka ilaa habdhaqanka

Furuhu maaha cidda fulinaysa, laakiin sida iyo sababta. La socodka hab-dhaqanka hab-dhaqanka iyo xidhiidhkiisa Waa go'aan qaadasho leh: khadka taliska, habka dhaxalka, wicitaanada xasaasiga ah ee API, xidhiidhada dibadda, wax ka beddelka diiwaangelinta, iyo dhacdooyinka WMI.

Habkani wuxuu si aad ah u yareynayaa dusha sare ee baxsiga: xitaa haddii binaries ku lug leeyihiin isbeddel, waa qaababka weerarka ayaa soo noqnoqda ( qoraalo soo dejinaya oo fulinaya xusuusta, xadgudubka LoLBins, u yeerida tarjumaannada, iwm.). Falanqaynta qoraalkaas, maaha 'aqoonsiga' faylka, waxay hagaajisaa ogaanshaha.

Goobaha EDR/XDR ee waxtarka leh ayaa isku xira calaamadaha si ay dib ugu dhisaan taariikhda dhacdada oo dhammaystiran, iyagoo aqoonsanaya xidid sababta Halkii lagu eedayn lahaa habka 'soo bandhigay', sheekadani waxay isku xidhaysaa lifaaqyada, macros, turjubaano, culaysyo badan, iyo adkaysi si loo yareeyo qulqulka oo dhan, ma aha oo kaliya qayb gooni ah.

Adeegsiga qaababka sida MITER AT&CK Waxay caawisaa khariidadda la arkay tabaha iyo farsamooyinka (TTPs) oo hagta ugaarsiga khatarta ah ee ku wajahan dabeecadaha xiisaha leh: fulinta, adkaysiga, baxsadka difaaca, helitaanka aqoonsiga, daahfurka, dhaqdhaqaaqa lateral iyo faaruqinta.

Ugu dambayntii, abaabulka jawaabta barta dhamaadka waa in ay ahaataa mid degdeg ah: gooni-u-yeelida aaladda, hababka dhamaadka ku lug leh, dib u soo celinta isbeddelada Diiwaanka ama jadwaleeyaha hawsha oo xannibo xidhiidhada baxaysa ee shakiga leh iyada oo aan la sugin xaqiijin dibadeed.

Telemetry faa'iido leh: waxa la eego iyo sida loo kala hormarinayo

Si loo kordhiyo suurtogalnimada ogaanshaha iyada oo aan la buuxin nidaamka, waxaa lagu talinayaa in la kala hormariyo calaamadaha qiimaha sare leh. Qaar ka mid ah ilaha iyo kontaroolada bixiya macnaha guud. muhiim u ah fileless Waxay yihiin:

Log PowerShell oo faahfaahsan iyo turjubaano kale: script block log, taariikhda amarka, cutubyada raran, iyo dhacdooyinka AMSI, marka la heli karo.
Kaydka WMIAlaabada iyo digniinta ku saabsan abuurista ama wax ka beddelka filtarrada dhacdada, macaamiisha, iyo isku xidhka, gaar ahaan meelaha magacyada xasaasiga ah.
Dhacdooyinka amniga iyo Sysmon: isku xidhka habka, hufnaanta sawirka, rarka xusuusta, duritaanka, iyo abuurista hawlo qorshaysan.
RedXidhiidhada dibadda ee aan caadiga ahayn, iftiiminta, qaababka soo dejinta lacag bixinta, iyo isticmaalka kanaalada qarsoon ee sifaynta.

Automation-ku wuxuu caawiyaa kala soocidda sarreenka iyo buunshaha: xeerarka ogaanshaha ku salaysan dabeecadda, liisaska oggolaanshaha maamul xalaal ah iyo tayeynta sirta khatarta ah waxay xaddidaysaa wanaagga beenta ah waxayna dedejisaa jawaabta.

Ka hortagga iyo dhimista dusha sare

Ma jiro hal cabbir oo ku filan, laakiin difaaca lakabka ah ayaa si weyn u yareynaya khatarta. Dhanka ka hortagga, dhowr sadar oo ficil ah ayaa u taagan beeralayda Noloshuna ka dhig mid aad ugu adag cadowga.

Maamulka Macro: dami hab ahaan oo oggolow kaliya marka ay lagama maarmaan noqoto oo la saxeexo; kontaroolada granular iyada oo loo marayo siyaasadaha kooxda.
Xakamaynta turjubaanka iyo LoLBinsCodso AppLocker/WDAC ama u dhigma, gacanta ku haynta qoraalada iyo qaab-fulinta oo leh guntin dhamaystiran.
Duubista iyo dhimistaXiro dayacanka laga faa'iidaysan karo oo hawlgeliya ilaalinta xusuusta ee xaddidaysa RCE iyo duritaanka.
Xaqiijin adagMFA iyo eber aaminaadda mabaadi'da si loo xakameeyo xadgudubka aqoonsiga iyo la yareeyo dhaqdhaqaaqa dambe.
Wacyigelinta iyo jilitaankaTababar wax ku ool ah oo ku saabsan phishing, dukumeenti leh nuxur firfircoon, iyo calaamado dil aan caadi ahayn.

Waxyaabaha gaarka ah - Riix Halkan Sida loo ogaado in WhatsApp-kayga la jabsaday

Tallaabooyinkan waxaa lagu kabay xalal lagu falanqeeyo taraafikada iyo xusuusta si loo aqoonsado dabeecadaha xaasidnimada ah waqtiga dhabta ah, iyo sidoo kale siyaasadaha kala qaybinta iyo mudnaanta ugu yar si loo xakameeyo saamaynta marka wax simbiriirixan.

Adeegyada iyo hababka shaqaynaya

Deegaano leh meelo badan oo dhamaadka ah iyo muhiimad sare, ogaanshaha la maareeyay iyo adeegyada jawaab celinta 24/7 la socodka Waxay caddeeyeen inay dardargeliyaan xakamaynta dhacdada. Isku darka SOC, EMDR/MDR, iyo EDR/XDR waxay siisaa indho khabiiro, telemetry qani ah, iyo awoodo jawaab celineed oo isku xidhan.

Bixiyeyaasha ugu waxtarka badan ayaa gudaha u galiyay isbeddelka habdhaqanka: wakiilada khafiifka ah ee isku xidhka dhaqdhaqaaqa heerka kernel-kaWaxay dib u dhis ku sameeyaan taariikhda weerarka oo dhammaystiran waxayna dabaqaan dhimis toos ah marka ay ogaadaan silsiladaha xaasidnimada leh, oo leh awood dib-u-celin ah oo ay ku baabi'in karaan isbeddellada.

Marka la barbar dhigo, suulasha ilaalinta barta dhamaadka iyo aaladaha XDR waxay isku daraan muuqaalka dhexe iyo maamulka khatarta ee xarumaha shaqada, adeegayaasha, aqoonsiga, iimaylka, iyo daruuraha; hadafku waa in la dumiyo silsiladdii weerarka iyada oo aan loo eegin in galalka ay ku lug leeyihiin iyo in kale.

Tilmaamayaal wax ku ool ah oo loogu talagalay ugaarsiga khatarta ah

Haddii ay tahay inaad mudnaanta siiso mala-awaalka raadinta, diiradda saar isku-darka calaamadaha: nidaam xafiis oo bilaabaya turjubaan leh cabbirro aan caadi ahayn, Abuurista rukunka WMI Furitaanka dukumeenti ka dib, wax ka beddelka furayaasha bilawga oo ay ku xigto xidhiidhada domains ee leh sumcad xumo.

Hab kale oo wax ku ool ah ayaa ah inaad ku tiirsanaato aasaaska deegaankaaga: maxaa caadi ka ah server-yadaada iyo goobaha shaqada? leexasho kasta ( binaries dhawaan saxeexay oo u muuqda waalidiinta turjubaanada, si lama filaan ah waxqabadka (qoraalka qoraalka, xargaha amarka leh ee qarsoon) waxay mudan yihiin baaritaan.

Ugu dambeyntii, ha ilaawin xusuusta: haddii aad haysatid qalab kormeeraya gobollada ordaya ama sawir-qaadista, natiijooyinka ku jira RAM Waxay noqon karaan caddaynta dhabta ah ee dhaqdhaqaaqa aan faylka lahayn, gaar ahaan marka aysan jirin wax farshaxan ah oo ku jira nidaamka faylka.

Isku darka xeeladahan, farsamooyinka, iyo kontaroolada ma baabi'iyaan khatarta, laakiin waxay ku gelinaysaa meel fiican oo aad ku ogaan karto wakhtiga. silsiladda gooy oo la yareeyo saamaynta.

Marka waxaas oo dhan si cadaalad ah loogu dabaqo-dhammaadka telemetry qani ku ah, isku xidhka habdhaqanka, jawaab celinta otomaatiga ah, iyo adkaynta xulashada — xeeladda aan faylka lahayn waxay lumisaa faa'iido badan. Iyo, inkasta oo ay sii wadi doonto inay horumarto, diiradda on dabeecadaha Halkii laga heli lahaa feylasha, waxay ku siinaysaa aasaas adag difaacaaga si uu ula jaan qaado.

Daniel Terrasa

Tafatiraha ku takhasusay tignoolajiyada iyo arrimaha internetka oo leh in ka badan toban sano oo khibrad u leh warbaahinta dhijitaalka ah ee kala duwan. Waxaan u shaqeeyay sidii tifaftire iyo abuuraha nuxurka ganacsiga e-commerce, isgaarsiinta, suuqgeynta internetka iyo shirkadaha xayeysiiska. Waxa kale oo aan wax ka qoray mareegaha dhaqaalaha, maaliyadda iyo qaybaha kale. Shaqadaydu sidoo kale waa dareenkeyga. Hadda, iyada oo loo marayo maqaalladayda gudaha Tecnobits, Waxaan isku dayaa in aan sahamiyo dhammaan wararka iyo fursadaha cusub ee dunida tignoolajiyada ay ina siiso maalin kasta si aan u wanaajino nolosheena.