Waa maxay "malware-ka aan lahayn faylal joogto ah" iyo sida loo ogaado iyada oo la adeegsanayo qalab bilaash ah

Muuqaalka malware-ka oo aan lahayn faylal joogto ah Tani waxay ahayd madax-xanuun dhab ah oo soo food saaray kooxaha amniga. Kama hadlayno fayraska caadiga ah ee aad "qabsato" marka aad ka tirtirayso qalab la fulin karo oo ka socda diskka, laakiin waxaan la macaamilaynaa khataro ku jira xusuusta, ku xadgudubka qalabka nidaamka sharciga ah, iyo, xaalado badan, oo aan lahayn raad la isticmaali karo oo loogu talagalay baaritaanka.

Noocan weerarka ah ayaa si gaar ah caan uga noqday kooxaha horumarsan iyo kuwa raadinaya dambiyada internetka ka fogow barnaamijyada antivirus-ka ee dhaqameed, xado xogta, oo qarso Inta suurtogalka ah. Fahmidda sida ay u shaqeeyaan, farsamooyinka ay isticmaalaan, iyo sida loo ogaado waa furaha urur kasta oo doonaya inuu maanta si dhab ah u qaato amniga internetka.

Waa maxay malware-ka aan faylka lahayn, maxaase loo arkaa mid walaac leh?

Markaan ka hadleyno malware aan fileyn Ma dhaheyno hal bayt kuma lug laha, laakiin waa in koodka xaasidnimada leh Looma kaydin sidii fayl caadi ah oo la fulin karo oo ku yaal diskka laga bilaabo dhammaadka. Taa beddelkeeda, waxay si toos ah ugu shaqeysaa xusuusta ama waxaa lagu hayaa weelal aan la arki karin sida Diiwaanka, WMI, ama hawlaha la qorsheeyay.

Xaalado badan, weeraryahanku wuxuu ku tiirsan yahay aaladaha horey ugu jiray nidaamka - PowerShell, WMI, qoraallada, Windows binary-yada la saxiixay - si loo Ku shub, furfur, ama si toos ah ugu socodsii culaysyada RAM-kaSidan, waxay ka fogaanaysaa in la daayo waxyaabo la fulin karo oo muuqda oo antivirus-ka ku salaysan saxiixa uu ku ogaan karo sawir-qaadista caadiga ah.

Intaa waxaa dheer, qayb ka mid ah silsiladda weerarka waxay noqon kartaa "aan fayl lahayn" qayb kalena waxay isticmaali kartaa nidaamka faylka, markaa waxaan ka hadlaynaa wax ka badan hal noocyada farsamooyinka aan faylka lahayn taas oo ah hal qoys oo malware ah. Taasi waa sababta aysan u jirin hal qeexitaan oo xiran, laakiin ay u jiraan dhowr qaybood oo ku xiran heerka saameynta ay ku leeyihiin mashiinka.

Astaamaha ugu muhiimsan ee malware-ka aan lahayn faylal joogto ah

Hantida ugu muhiimsan ee hanjabaadahani waa iyaga fulinta xusuusta ku saleysanKoodhka xaasidnimada leh waxaa lagu shubaa RAM waxaana lagu fuliyaa habab sharci ah, iyada oo aan loo baahnayn binary xaasidnimo ah oo deggan oo ku yaal hard drive-ka. Xaaladaha qaarkood, xitaa waxaa lagu duraa hababka nidaamka ee muhiimka ah si loo qariyo si ka wanaagsan.

Muuqaal kale oo muhiim ah ayaa ah adkeysi aan caadi ahaynOlolayaal badan oo aan faylal lahayn ayaa si saafi ah u kacsan oo baaba'a ka dib dib-u-bilaabid, laakiin kuwa kale waxay ku guuleystaan ​​​​inay dib u hawlgeliyaan iyagoo adeegsanaya furayaasha Registry Autorun, rukumada WMI, hawlaha la qorsheeyay, ama BITS, si farshaxanku "muuqaalka" u yaraado oo culayska dhabta ah uu dib ugu soo noqdo xusuusta mar kasta.

Habkani wuxuu si weyn u yareynayaa waxtarka ogaanshaha ku salaysan saxeexaMaadaama aysan jirin wax fulin ah oo go'an oo la falanqayn karo, waxaad inta badan aragtaa PowerShell.exe, wscript.exe, ama mshta.exe oo si sax ah u sharci ah, oo lagu bilaabay cabbirro laga shakiyo ama lagu shubayo waxyaabo qarsoon.

Ugu dambeyntii, jilayaal badan ayaa isku daraya farsamooyin aan fayl lahayn iyo kuwo kale noocyada malware-ka sida Trojans, ransomware, ama adware, taasoo keentay ololeyaal isku dhafan oo isku daraya kuwa ugu fiican (iyo kuwa ugu xun) labada adduun: adkeysi iyo qarsoodi.

Noocyada hanjabaadaha aan faylka lahayn iyadoo loo eegayo raadkooda nidaamka

Dhowr soo saarayaasha amniga ah Waxay u kala saaraan hanjabaadaha "aan faylka lahayn" iyadoo loo eegayo raadadka ay ku reebaan kombiyuutarka. Taxonomy-gan wuxuu naga caawinayaa inaan fahanno waxa aan aragno iyo sida loo baaro.

Nooca I: ma jiro wax fayl ah oo la arki karo

Ugu dambeyntii waxaan helnaa malware-ka ugu qarsoon Waxba kama qorto nidaamka faylka gabi ahaanba.Koodhka wuxuu ku yimaadaa, tusaale ahaan, iyada oo loo marayo xirmooyinka shabakadda ee ka faa'iidaysta nuglaanta (sida EternalBlue), si toos ah ayaa loogu shubaa xusuusta, waxaana loo hayaa, tusaale ahaan, albaab dambe oo ku yaal kernel-ka (DoublePulsar wuxuu ahaa kiis astaan ​​​​ah).

Xaaladaha kale, infekshanku wuxuu ku jiraa guriga. Firmware-ka BIOS, kaararka shabakadda, aaladaha USB, ama xitaa nidaamyada hoose ee CPU-gaNoocan hanjabaad ah wuxuu ka badbaadi karaa dib-u-dejinta nidaamka hawlgalka, qaabaynta diskka, iyo xitaa dib-u-soo-celin dhammaystiran.

Dhibaatadu waxay tahay in inta badan xalalka amniga ay yihiin kuwo aan la isku halleyn karin. Ma baaraan firmware-ka ama microcode-kaXitaa haddii ay sidaas sameeyaan, hagaajinta waa mid adag. Nasiib wanaag, farsamooyinkan badanaa waxaa loogu talagalay jilayaasha aadka u casriga ah mana aha kuwo caadi ah marka la qaadayo weerarrada ballaaran.

Nooca II: Isticmaalka aan tooska ahayn ee faylasha

Koox labaad waxay ku salaysan tahay ku dar koodka xaasidnimada leh ee ku jira qaab-dhismeedka ku kaydsan diskkaLaakiin maaha sidii kuwa dhaqan ahaan loo fulin karo, laakiin waa meelaha lagu kaydiyo xogta sharciga ah iyo tan xaasidnimada leh, oo ay adag tahay in la nadiifiyo iyada oo aan wax u dhimayn nidaamka.

Tusaalooyinka caadiga ah waa qoraallada lagu kaydiyay Kaydka WMI, silsilado qarsoon oo ku jira furayaasha diiwaanka ama hawlo jadwalaysan oo soo saara amarro khatar ah iyada oo aan lahayn binary xaasidnimo cad. Malware-ku wuxuu si toos ah uga rakibi karaa qoraalladan khadka taliska ama qoraalka ka dibna wuxuu ahaan karaa mid aan la arki karin.

In kasta oo farsamo ahaan ay jiraan faylal ku lug leh (faylka jireed ee Windows ku kaydiyo kaydka WMI ama rugta Diiwaanka), ujeeddooyin wax ku ool ah ayaan ka hadlaynaa dhaqdhaqaaq aan fayl lahayn sababtoo ah ma jiro wax fulin ah oo muuqda oo si fudud loo karantiili karo.

Nooca III: Waxay u baahan tahay faylasha inay shaqeeyaan

Nooca saddexaad waxaa ku jira hanjabaado Waxay isticmaalaan faylasha, laakiin si aan faa'iido badan u lahayn ogaanshaha.Tusaale caan ah waa Kovter, kaas oo diiwaangeliya kordhinta aan kala sooca lahayn ee Diiwaanka si, marka faylka leh kordhintaas la furo, qoraal ayaa lagu fulinayaa mshta.exe ama binary asal ah oo la mid ah.

Faylashan been abuurka ah waxay ka kooban yihiin xog aan khusayn, iyo koodka dhabta ah ee xaasidnimada leh Waxaa laga soo qaatay furayaasha kale ee Diiwaanka ama kaydinta gudaha. Inkasta oo ay jiraan "wax" oo ku jira diskka, ma fududa in loo isticmaalo tilmaame lagu kalsoonaan karo oo ah tanaasul, marka laga reebo farsamo nadiifin toos ah.

Cudurrada ugu badan ee soo gala iyo meelaha uu cudurku ku dhaco

Ka dib kala soocidda raadadka, waxaa muhiim ah in la fahmo sida Halkan ayay ka ciyaareysaa malware-ka aan lahayn faylal joogto ah. Nolol maalmeedka, weeraryahannadu waxay inta badan isku daraan dhowr jeer oo kala duwan iyadoo ku xiran deegaanka iyo bartilmaameedka.

Ka faa'iidaysiga iyo nuglaanta

Mid ka mid ah waddooyinka ugu toosan waa xadgudubka Nuglaanta fulinta koodka fog (RCE) Biraawsarka, plugins-ka (sida Flash-kii hore), barnaamijyada shabakadda, ama adeegyada shabakadda (SMB, RDP, iwm.). Isticmaalkani wuxuu ku shubaa koodhka qolofka kaas oo si toos ah u soo dejista ama u kala saara culayska xaasidnimada leh xusuusta.

Qaabkan, faylka bilowga ah wuxuu ku jiri karaa shabakadda (nooca isticmaalka) WannaCryama dukumeenti uu isticmaaluhu furo, laakiin Culayska aan la saarin waligiis looma qorin sidii mid la fulin karo oo loo gelin karo diskka.: waa la furfuraa oo la fuliyaa iyadoo duullimaad laga helayo RAM.

Dukumentiyada xaasidnimada leh iyo macros-ka

Waddo kale oo si weyn looga faa'iidaysto waa Dukumentiyada xafiiska oo leh macros ama DDEiyo sidoo kale PDF-yada loogu talagalay in lagu isticmaalo nuglaanta akhristaha. Faylka Word ama Excel ee u muuqda mid aan waxyeello lahayn wuxuu ku jiri karaa koodhka VBA kaas oo bilaabaya PowerShell, WMI, ama turjumaanno kale si loo soo dejiyo koodhka, loo fuliyo amarrada, ama loogu shubo koodhka shellcode hababka la aamini karo.

Halkan faylka ku jira diskku waa "kaliya" weel xog ah, halka vektor-ka dhabta ahi yahay Mashiinka qoraalka gudaha ee codsigaXaqiiqdii, ololeyaal badan oo spam ah ayaa si xun u isticmaalay xeeladdan si ay weeraro aan faylal lahayn ugu qaadaan shabakadaha shirkadaha.

Qoraallo sharci ah iyo laba-geesood ah (Ku noolaanshaha Dhulka)

Weeraryahannadu waxay jecel yihiin qalabka ay Windows horey u bixiso: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Qalabka Maareynta Windows, BITS, iwm. Labadan nooc ee la saxiixay oo la aamini karo waxay fulin karaan qoraallo, DLLs, ama waxyaabo fog iyada oo aan loo baahnayn "virus.exe" oo laga shakisan yahay.

Iyadoo la gudbinayo kood xaasidnimo ah sida xuduudaha khadka taliskaKu dhejinta sawirrada, qarinta iyo furfurista xusuusta, ama ku kaydinta Diiwaanka, waxay hubineysaa in antivirus-ku uu arko oo keliya dhaqdhaqaaqa ka imanaya hababka sharciga ah, taasoo ka dhigaysa ogaanshaha ku salaysan faylasha oo keliya mid aad u adag.

Qalabka iyo firmware-ka oo waxyeeloobay

Heer hoose xitaa, weeraryahannada horumarsan ayaa soo geli kara Firmware-ka BIOS, kaararka shabakadda, darawallada adag, ama xitaa nidaamyada hoose ee maaraynta CPU (sida Intel ME ama AMT). Noocan malware-ka ah wuxuu ka hooseeyaa nidaamka hawlgalka wuxuuna dhexgeli karaa ama wax ka beddeli karaa taraafikada iyada oo aan OS-gu ka warqabin.

In kasta oo ay tahay xaalad aad u daran, haddana waxay muujinaysaa heerka ay khatar aan fayl lahayn ku dhici karto Joogtee adkeysiga adiga oo aan taaban nidaamka faylka OSiyo sababta aaladaha dhamaadka caadiga ah aysan ugu filnayn kiisaskan.

Sida weerarka malware-ka ee aan lahayn faylal joogto ah u shaqeeyo

Heerka socodka, weerar aan fayl lahayn wuxuu aad ugu eg yahay mid ku salaysan faylka, laakiin leh kala duwanaanshaha khuseeya sida loo hirgeliyo culayska mushaharka iyo sida loo ilaaliyo marin u helidda.

1. Helitaanka bilowga ah ee nidaamka

Dhammaantood waxay bilaabmaan marka weeraryahanku helo booskiisii ​​ugu horreeyay: a emaylka phishing-ka oo leh xiriiriye xun ama lifaaq, ka faa'iidaysi ka dhan ah barnaamij nugul, aqoonsiyo la xaday oo loogu talagalay RDP ama VPN, ama xitaa aalad USB ah oo la farageliyay.

Marxaladdan, kuwa soo socda ayaa la isticmaalaa: injineernimada bulshadadib-u-hagaajin xaasidnimo ah, ololeyaal sir ah u waxyeeleynaya, ama weerarro Wi-Fi xaasidnimo ah si loogu khiyaaneeyo isticmaalaha inuu gujiyo meesha uusan ahayn ama inuu ka faa'iidaysto adeegyada lagu soo bandhigay internetka.

2. Hirgelinta koodka xaasidnimada leh ee xasuusta

Marka la helo qoraalkaas ugu horreeya, qaybta aan faylka lahayn ayaa la kiciyaa: Office macro wuxuu soo saaraa PowerShell, isticmaalka wuxuu ku shubaa shellcode, rukhsadda WMI waxay kicisaa qoraal, iwm. Hadafku waa Ku shub koodka xaasidnimada si toos ah RAM-kaama iyadoo laga soo dejinayo internetka ama dib loo dhisayo xogta ku jirta.

Laga bilaabo halkaas, malware-ku wuu awoodaa kor u qaad mudnaanta, u dhaqaaq dhinaca, xado aqoonsiga, geli shabakadaha internetka, rakib RATs, ama sir xogtawaxaas oo dhan waxaa taageeraya habab sharci ah oo lagu yareynayo buuqa.

3. Sameynta adkeysi

Farsamooyinka caadiga ah waxaa ka mid ah waxay yihiin:

• Furaha Autorun Diiwaanka oo fuliya amarrada ama qoraallada marka la galayo.
• Hawlaha loo qorsheeyay kuwaas oo bilaabaya qoraallo, binary sharci ah oo leh xuduudo, ama amarro fog.
• Rukunnada WMI koodka kiciya marka dhacdooyinka nidaamka qaarkood dhacaan.
• Isticmaalka BITS Soo dejinta xilliyeed ee culaysyada mushaharka ee ka imanaya adeegayaasha taliska iyo xakamaynta.

Xaaladaha, qaybta joogtada ahi waa yar tahay waxayna u adeegtaa oo keliya Ku shub malware-ka xusuusta mar kasta oo nidaamku bilaabmo ama shuruud gaar ah la buuxiyo.

4. Tallaabooyinka ku saabsan bartilmaameedyada iyo sifeynta

Iyadoo la hubo adkeysigiisa, weeraryahanku wuxuu diiradda saarayaa waxa runtii xiiseynaya: Xatooyada macluumaadka, sir ka dhigista, maaraynta nidaamyada, ama basaasidda bilo badanShaandhaynta waxaa lagu samayn karaa HTTPS, DNS, kanaallo qarsoon, ama adeegyo sharci ah. Dhacdooyinka dhabta ah, ogaanshaha Maxaa la sameeyaa 24-ka saacadood ee ugu horreeya ka dib marka la jabsado isbedel keeni kara.

Weerarada APT, waa wax caadi ah in malware-ku sii jiro aamusnaan iyo qarsoodi muddo dheer, dhisidda albaabo dambe oo dheeraad ah si loo hubiyo marin u helidda xitaa haddii qayb ka mid ah kaabayaasha dhaqaalaha la ogaado oo la nadiifiyo.

Awoodaha iyo noocyada malware-ka ee aan fayl lahayn

Ku dhawaad ​​​​shaqo kasta oo xaasidnimo ah oo ay samayn karaan malware-ka caadiga ah waxaa lagu fulin karaa iyadoo la raacayo habkan. aan fayl lahayn ama nus fayl la'aanIsbeddellada aan ujeeddada lahayn, laakiin waa sida loo hirgeliyo xeerka.

Malware-ka oo kaliya ku jira xusuusta

Qaybtani waxay ka kooban tahay culaysyo badan oo Waxay si gaar ah ugu nool yihiin xusuusta geeddi-socodka ama xudunta.Rootkits-ka casriga ah, albaabada dambe ee horumarsan, ama basaasiinta ayaa ku shubi kara booska xusuusta ee habka sharciga ah waxayna ku sii jiri karaan ilaa nidaamka dib loo bilaabo.

Qaybahani si gaar ah ayay u adag tahay in lagu arko qalabka ku saleysan diskka, waxayna ku qasbaan isticmaalka falanqaynta xusuusta tooska ah, EDR oo leh kormeer waqtiga-dhabta ah ama awoodo cilmi-baaris oo horumarsan.

Malware-ka ku salaysan Diiwaanka Windows

Farsamo kale oo soo noqnoqota waa in la keydiyo Koodhka la qariyay ama la qariyay ee ku jira furayaasha Diiwaanka oo isticmaal binary sharci ah (sida PowerShell, MSHTA, ama rundll32) si aad u akhrido, u fasirto, oo aad ugu fuliso xusuusta.

Dhibicda bilowga ah way is-burburin kartaa ka dib marka ay u qorto Diiwaanka, sidaa darteed waxa kaliya ee haray waa isku darka xog aan waxyeello lahayn oo u muuqata mid aan waxyeello lahayn. Waxay kiciyaan khatarta mar kasta oo nidaamku bilaabmo ama mar kasta oo fayl gaar ah la furo.

Ransomware iyo Trojans aan fayl lahayn

Habka aan faylka lahayn lama jaanqaadi karo hababka rarista ee aadka u daran sida ransomwareWaxaa jira ololeyaal soo dejista, furfura, oo fuliya sirta oo dhan ee ku jirta xusuusta iyagoo adeegsanaya PowerShell ama WMI, iyada oo aan looga tegin ransomware-ka la fulin karo ee ku jira diskka.

Sidoo kale, Trojan-yada marin-u-helka fog (RATs)Tuugada furaha sirta ah ama kuwa aqoonsiga haysta waxay ku shaqayn karaan si aan faylal lahayn, iyagoo ku shubaya modules-yada marka loo baahdo isla markaana martigelinaya macquulka ugu weyn ee hababka nidaamka sharciga ah.

Qalabka ka faa'iidaysiga iyo aqoonsiga la xaday

Xirmooyinka isticmaalka shabakadda waa qayb kale oo ka mid ah xujada: waxay ogaadaan barnaamijyada la rakibay, Waxay doortaan ka faa'iidaysiga ku habboon waxayna si toos ah ugu shubaan culayska xusuusta., badanaa iyada oo aan waxba lagu kaydin diskka.

Dhinaca kale, adeegsiga aqoonsiga la xaday Waa vector si fiican ugu habboon farsamooyinka aan faylka lahayn: weeraryahanku wuxuu u xaqiijiyaa isticmaale sharci ah, halkaasna, wuxuu ku xadgudbaa aaladaha maamulka ee asalka ah (PowerShell Remoting, WMI, PsExec) si loo isticmaalo qoraallada iyo amarrada aan ka tagin raadadka caadiga ah ee malware-ka.

Maxaa u adag in la ogaado malware-ka aan faylka lahayn?

Sababta hoose ayaa ah in noocan hanjabaadda ah si gaar ah loogu talagalay in lagu ka gudubka lakabka difaaca dhaqameediyadoo lagu saleynayo saxiixyada, liisaska cad, iyo baaritaannada faylalka ee xilliyeedka.

Haddii koodhka xaasidnimada ah aan waligiis loo kaydin sidii mid la fulin karo oo ku jira diskka, ama haddii uu ku dhex jiro weelal isku dhafan sida WMI, Diiwaanka, ama firmware-ka, software-ka antivirus-ka dhaqameed wax yar ayuu ka taxliilin karaa. Halkii laga isticmaali lahaa "fayl shaki leh," waxaad haysataa waa hababka sharciga ah ee si aan caadi ahayn u dhaqma.

Intaa waxaa dheer, waxay si weyn u xannibtaa aaladaha sida PowerShell, Office macros, ama WMI. Kuma shaqayn karto ururo badanSababtoo ah waxay lagama maarmaan u yihiin maamulka, otomaatiga, iyo hawlaha maalinlaha ah. Tani waxay ku qasbaysaa inay si taxaddar leh u socdaan.

Qaar ka mid ah iibiyeyaasha ayaa isku dayay inay magdhowaan iyagoo adeegsanaya hagaajin degdeg ah (xiritaanka PowerShell ee guud, joojinta guud ee macro, ogaanshaha daruuraha oo keliya, iwm.), laakiin tallaabooyinkani badanaa waa kuwo caadi ahaan la isticmaalo. aan ku filnayn ama si xad dhaaf ah u carqaladeeya ganacsiga.

Istaraatiijiyado casri ah oo lagu ogaanayo laguna joojinayo malware-ka aan faylka lahayn

Si looga hortago khatarahaas, waxaa lagama maarmaan ah in laga gudbo kaliya baarista faylasha oo la qaato hab diiradda la saarayo. dhaqanka, telemetry-ga waqtiga-dhabta ah, iyo aragti qoto dheer ee qodobka ugu dambeeya.

La socodka dhaqanka iyo xusuusta

Hab wax ku ool ah wuxuu ku lug leeyahay in la eego waxa ay habraacyadu dhab ahaantii qabtaan: Amarrada ay fuliyaan, kheyraadka ay galaan, iyo xiriirada ay dhisaansida ay isula xiriiraan, iwm. Inkasta oo kumanaan nooc oo malware ah ay jiraan, qaababka dhaqanka xaasidnimada leh ayaa aad u xaddidan. Tan waxaa sidoo kale lagu dhammaystiri karaa Ogaanshaha horumarsan ee YARA.

Xalalka casriga ah waxay isku daraan telemetry-kan iyo falanqaynta xusuusta, heuristics-ka horumarsan, iyo barashada mashiinka si loo aqoonsado silsiladaha weerarka, xitaa marka koodku si weyn u qarsoomo ama aan hore loo arag.

Isticmaalka is-dhexgalka nidaamka sida AMSI iyo ETW

Windows waxay bixisaa tignoolajiyad sida Interface Iskaanka Antimalware (AMSI) y Dabagalka Dhacdada ee Daaqadaha (ETW) Ilahani waxay u oggolaanayaan kormeerka qoraallada nidaamka iyo dhacdooyinka heer aad u hooseeya. Ku-darka ilahan xalalka amniga waxay sahlaysaa ogaanshaha. koodka xaasidnimada ah kahor ama inta lagu guda jiro fulintiisa.

Intaa waxaa dheer, falanqaynta meelaha muhiimka ah—hawlaha la qorsheeyay, rukumada WMI, furayaasha diiwaanka boot-ka, iwm—waxay kaa caawineysaa inaad aqoonsato adkeysi qarsoodi ah oo aan fayl lahayn taas oo aan la dareemi karin iyadoo la adeegsanayo sawir fayl fudud.

Ugaarsiga hanjabaadaha iyo tilmaamayaasha weerarka (IoA)

Maadaama tilmaamayaasha caadiga ah (hashes, wadooyinka faylka) ay gaabinayaan, waxaa lagugula talinayaa inaad ku tiirsanaato tilmaamayaasha weerarka (IoA), kuwaas oo qeexaya dhaqamada shakiga leh iyo taxanaha ficillada ee ku habboon xeeladaha la yaqaan.

Kooxaha ugaarsiga hanjabaadaha - gudaha ama adeegyada la maamulo - si firfircoon ayay u raadin karaan qaababka dhaqdhaqaaqa dhinaca, ku xadgudubka aaladaha asalka ah, cilladaha isticmaalka PowerShell ama marin u helitaan aan la ogolayn oo xog xasaasi ah, iyadoo la ogaanayo khataraha aan faylka lahayn ka hor inta aysan kicin masiibo.

EDR, XDR iyo SOC 24/7

Madal casri ah oo EDR iyo XDR (Ogaanshaha dhammaadka iyo jawaab celinta heer ballaaran) waxay bixiyaan muuqaalka iyo isku xirnaanta loo baahan yahay si dib loogu dhiso taariikhda dhammaystiran ee dhacdo, laga bilaabo emaylka phishing-ka ee ugu horreeya ilaa sifeynta ugu dambeysa.

Iyada oo lagu daray a SOC oo shaqeynaya 24/7Waxay u oggolaanayaan ogaanshaha oo keliya, laakiin sidoo kale si otomaatig ah u xakameeya oo u hagaajiya dhaqdhaqaaq xaasidnimo ah: go'doomin kombiyuutarrada, xannibo hababka, dib ugu celi isbeddellada Diiwaanka, ama tirtir sirta marka ay suurtogal tahay.

Farsamooyinka malware-ka ee aan faylka lahayn ayaa beddelay ciyaarta: si fudud u socodsiinta iskaanka antivirus-ka iyo tirtiridda executable-ka laga shakisan yahay kuma filna. Maanta, difaacu wuxuu ku lug leeyahay fahamka sida weeraryahannadu uga faa'iidaystaan ​​​​nuglaanta iyagoo ku qarinaya koodka xusuusta, Diiwaanka, WMI, ama firmware-ka, iyo dejinta isku-darka la socodka dhaqanka, falanqaynta xusuusta, EDR/XDR, ugaarsiga khatarta, iyo dhaqamada ugu wanaagsan. Si dhab ah u yaree saameynta Weerarro, qaab ahaan, isku dayaya inaysan raad ka tagin meesha xalal dhaqameed badan u muuqdaan inay u baahan yihiin istaraatiijiyad dhammaystiran oo socota. Haddii ay dhacdo tanaasul, ogaanshaha Dayactir Daaqadaha kadib fayraska halista ah waa lama huraan.