"தொடர்ச்சியான கோப்புகள் இல்லாத தீம்பொருள்" என்றால் என்ன, இலவச கருவிகள் மூலம் அதை எவ்வாறு கண்டறிவது

தோற்றம் நிலையான கோப்புகள் இல்லாத தீம்பொருள் இது பாதுகாப்பு குழுக்களுக்கு ஒரு உண்மையான தலைவலியாக இருந்து வருகிறது. வட்டில் இருந்து ஒரு இயங்கக்கூடிய கோப்பை நீக்கும்போது நீங்கள் "பிடிக்கும்" வழக்கமான வைரஸை நாங்கள் கையாளவில்லை, ஆனால் நினைவகத்தில் வாழும், முறையான கணினி கருவிகளை துஷ்பிரயோகம் செய்யும் மற்றும் பல சந்தர்ப்பங்களில், பயன்படுத்தக்கூடிய தடயவியல் தடயங்களை அரிதாகவே விட்டுச்செல்லும் அச்சுறுத்தல்களைக் கையாள்கிறோம்.

இந்த வகையான தாக்குதல், முன்னேறிய குழுக்கள் மற்றும் சைபர் குற்றவாளிகள் மத்தியில் குறிப்பாக பிரபலமாகிவிட்டது. பாரம்பரிய வைரஸ் தடுப்பு மென்பொருளைத் தவிர்க்கவும், தரவைத் திருடவும், மறைக்கப்பட்டிருக்கவும் முடிந்தவரை நீண்ட காலத்திற்கு. அவை எவ்வாறு செயல்படுகின்றன, என்ன நுட்பங்களைப் பயன்படுத்துகின்றன, அவற்றை எவ்வாறு கண்டறிவது என்பதைப் புரிந்துகொள்வது, இன்று சைபர் பாதுகாப்பை தீவிரமாக எடுத்துக் கொள்ள விரும்பும் எந்தவொரு நிறுவனத்திற்கும் முக்கியமாகும்.

கோப்பு இல்லாத தீம்பொருள் என்றால் என்ன, அது ஏன் இவ்வளவு கவலை அளிக்கிறது?

நாம் பேசும்போது கோப்பு இல்லாத தீம்பொருள் ஒரு பைட் கூட இதில் இல்லை என்று நாங்கள் கூறவில்லை, ஆனால் தீங்கிழைக்கும் குறியீடு என்று கூறுகிறோம் இது வட்டில் ஒரு கிளாசிக் இயங்கக்கூடிய கோப்பாக சேமிக்கப்படவில்லை. இறுதிப் புள்ளியிலிருந்து. அதற்கு பதிலாக, இது நேரடியாக நினைவகத்தில் இயங்குகிறது அல்லது பதிவகம், WMI அல்லது திட்டமிடப்பட்ட பணிகள் போன்ற குறைவாகக் காணக்கூடிய கொள்கலன்களில் ஹோஸ்ட் செய்யப்படுகிறது.

பல சூழ்நிலைகளில், தாக்குபவர் கணினியில் ஏற்கனவே இருக்கும் கருவிகளை நம்பியுள்ளார் - பவர்ஷெல், WMI, ஸ்கிரிப்டுகள், கையொப்பமிடப்பட்ட விண்டோஸ் பைனரிகள் - பேலோடுகளை நேரடியாக RAM-இல் ஏற்றவும், மறைகுறியாக்கவும் அல்லது இயக்கவும்.இந்த வழியில், ஒரு கையொப்ப அடிப்படையிலான வைரஸ் தடுப்பு ஒரு சாதாரண ஸ்கேனில் கண்டறியக்கூடிய வெளிப்படையான இயங்கக்கூடிய கோப்புகளை விட்டுச் செல்வதை இது தவிர்க்கிறது.

மேலும், தாக்குதல் சங்கிலியின் ஒரு பகுதி "கோப்பு இல்லாததாக" இருக்கலாம், மற்றொரு பகுதி கோப்பு முறைமையைப் பயன்படுத்தலாம், எனவே நாம் ஒன்றுக்கு மேற்பட்டவற்றைப் பற்றிப் பேசுகிறோம் கோப்பு இல்லாத நுட்பங்களின் ஸ்பெக்ட்ரம் ஒரே ஒரு தீம்பொருள் குடும்பத்தைச் சேர்ந்தது. அதனால்தான் ஒற்றை, மூடிய வரையறை இல்லை, மாறாக அவை கணினியில் ஏற்படுத்தும் தாக்கத்தின் அளவைப் பொறுத்து பல பிரிவுகள் உள்ளன.

தொடர்ச்சியான கோப்புகள் இல்லாத தீம்பொருளின் முக்கிய பண்புகள்

இந்த அச்சுறுத்தல்களின் முக்கிய சொத்து அவற்றின் நினைவக மையப்படுத்தப்பட்ட செயல்படுத்தல்தீங்கிழைக்கும் குறியீடு RAM இல் ஏற்றப்பட்டு, ஹார்ட் டிரைவில் நிலையான தீங்கிழைக்கும் பைனரி தேவையில்லாமல், முறையான செயல்முறைகளுக்குள் செயல்படுத்தப்படுகிறது. சில சந்தர்ப்பங்களில், சிறந்த உருமறைப்புக்காக இது முக்கியமான கணினி செயல்முறைகளில் கூட செலுத்தப்படுகிறது.

மற்றொரு முக்கியமான அம்சம் வழக்கத்திற்கு மாறான விடாமுயற்சிபல கோப்பு இல்லாத பிரச்சாரங்கள் முற்றிலும் நிலையற்றவை மற்றும் மறுதொடக்கத்திற்குப் பிறகு மறைந்துவிடும், ஆனால் மற்றவை ரெஜிஸ்ட்ரி ஆட்டோரன் விசைகள், WMI சந்தாக்கள், திட்டமிடப்பட்ட பணிகள் அல்லது BITS ஆகியவற்றைப் பயன்படுத்தி மீண்டும் செயல்படுத்த முடிகிறது, இதனால் "தெரியும்" கலைப்பொருள் குறைவாக இருக்கும் மற்றும் உண்மையான பேலோட் ஒவ்வொரு முறையும் நினைவகத்தில் மீண்டும் உயிர்ப்பிக்கப்படும்.

இந்த அணுகுமுறை செயல்திறனை வெகுவாகக் குறைக்கிறது கையொப்ப அடிப்படையிலான கண்டறிதல்பகுப்பாய்வு செய்வதற்கு நிலையான இயங்கக்கூடிய கோப்பு இல்லாததால், நீங்கள் அடிக்கடி பார்ப்பது சந்தேகத்திற்கிடமான அளவுருக்களுடன் அல்லது தெளிவற்ற உள்ளடக்கத்தை ஏற்றுவதன் மூலம் தொடங்கப்பட்ட ஒரு முழுமையான சட்டபூர்வமான PowerShell.exe, wscript.exe அல்லது mshta.exe ஆகும்.

இறுதியாக, பல நடிகர்கள் கோப்பு இல்லாத நுட்பங்களை மற்றவற்றுடன் இணைக்கிறார்கள் ட்ரோஜன்கள், ரான்சம்வேர் அல்லது ஆட்வேர் போன்ற தீம்பொருள் வகைகள், இதன் விளைவாக இரு உலகங்களின் சிறந்த (மற்றும் மோசமான) கலவையான கலப்பின பிரச்சாரங்கள் உருவாகின்றன: விடாமுயற்சி மற்றும் திருட்டுத்தனம்.

கணினியில் அவற்றின் தடயத்தைப் பொறுத்து கோப்பு இல்லாத அச்சுறுத்தல்களின் வகைகள்

பல பாதுகாப்பு உற்பத்தியாளர்கள் அவர்கள் கணினியில் விட்டுச் செல்லும் தடயத்தின் அடிப்படையில் "கோப்பு இல்லாத" அச்சுறுத்தல்களை வகைப்படுத்துகிறார்கள். இந்த வகைப்பாடு நாம் என்ன பார்க்கிறோம், அதை எவ்வாறு விசாரிப்பது என்பதைப் புரிந்துகொள்ள உதவுகிறது.

வகை I: காணக்கூடிய கோப்பு செயல்பாடு இல்லை.

மிகவும் ரகசியமான முடிவில் நாம் தீம்பொருளைக் காண்கிறோம், அது இது கோப்பு முறைமையில் எதையும் எழுதுவதில்லை.எடுத்துக்காட்டாக, குறியீடு, எடர்னல் ப்ளூ போன்ற பாதிப்பைப் பயன்படுத்திக் கொள்ளும் நெட்வொர்க் பாக்கெட்டுகள் வழியாக வந்து, நேரடியாக நினைவகத்தில் செலுத்தப்பட்டு, கர்னலில் ஒரு பின்கதவாகப் பராமரிக்கப்படுகிறது (டபுள் பல்சர் ஒரு சின்னமான வழக்கு).

மற்ற சூழ்நிலைகளில், தொற்று இங்குதான் இருக்கும் BIOS firmware, நெட்வொர்க் கார்டுகள், USB சாதனங்கள், அல்லது CPU-க்குள் உள்ள துணை அமைப்புகள் கூடஇந்த வகையான அச்சுறுத்தல் இயக்க முறைமை மீண்டும் நிறுவுதல், வட்டு வடிவமைப்பு மற்றும் சில முழுமையான மறுதொடக்கங்களுக்குப் பிறகும் கூட உயிர்வாழும்.

பிரச்சனை என்னவென்றால், பெரும்பாலான பாதுகாப்பு தீர்வுகள் அவர்கள் ஃபார்ம்வேர் அல்லது மைக்ரோகோடை ஆய்வு செய்வதில்லை.அப்படிச் செய்தாலும், சரிசெய்தல் சிக்கலானது. அதிர்ஷ்டவசமாக, இந்த நுட்பங்கள் பொதுவாக மிகவும் நுட்பமான நடிகர்களுக்கு மட்டுமே ஒதுக்கப்பட்டுள்ளன, மேலும் அவை வெகுஜன தாக்குதல்களில் வழக்கமாக இல்லை.

வகை II: கோப்புகளின் மறைமுக பயன்பாடு

இரண்டாவது குழு பின்வருவனவற்றை அடிப்படையாகக் கொண்டது வட்டில் சேமிக்கப்பட்ட கட்டமைப்புகளில் தீங்கிழைக்கும் குறியீட்டைக் கொண்டிருக்கும்.ஆனால் பாரம்பரிய இயங்கக்கூடிய கோப்புகளாக அல்ல, ஆனால் முறையான மற்றும் தீங்கிழைக்கும் தரவைக் கலக்கும் களஞ்சியங்களில், அமைப்பை சேதப்படுத்தாமல் சுத்தம் செய்வது கடினம்.

வழக்கமான எடுத்துக்காட்டுகள் சேமிக்கப்பட்ட ஸ்கிரிப்டுகள் WMI களஞ்சியம், குழப்பமான சங்கிலிகள் பதிவு விசைகள் அல்லது தெளிவான தீங்கிழைக்கும் பைனரி இல்லாமல் ஆபத்தான கட்டளைகளைத் தொடங்கும் திட்டமிடப்பட்ட பணிகள். தீம்பொருள் இந்த உள்ளீடுகளை கட்டளை வரி அல்லது ஸ்கிரிப்டிலிருந்து நேரடியாக நிறுவி, பின்னர் கிட்டத்தட்ட கண்ணுக்குத் தெரியாமல் இருக்கும்.

தொழில்நுட்ப ரீதியாக கோப்புகள் இருந்தாலும் (விண்டோஸ் WMI களஞ்சியத்தை அல்லது ரெஜிஸ்ட்ரி ஹைவ்வை சேமிக்கும் இயற்பியல் கோப்பு), நடைமுறை நோக்கங்களுக்காக நாம் பேசுவது கோப்பு இல்லாத செயல்பாடு ஏனென்றால் தனிமைப்படுத்தப்படக்கூடிய வெளிப்படையான செயல்படுத்தல் எதுவும் இல்லை.

வகை III: கோப்புகள் செயல்பட வேண்டும்.

மூன்றாவது வகை அச்சுறுத்தல்களை உள்ளடக்கியது, அவை அவர்கள் கோப்புகளைப் பயன்படுத்துகிறார்கள், ஆனால் கண்டறிதலுக்கு மிகவும் பயனுள்ளதாக இல்லாத வகையில்.நன்கு அறியப்பட்ட உதாரணம் கோவ்டர், இது பதிவேட்டில் சீரற்ற நீட்டிப்புகளைப் பதிவுசெய்கிறது, இதனால் அந்த நீட்டிப்புடன் ஒரு கோப்பு திறக்கப்படும்போது, ​​ஒரு ஸ்கிரிப்ட் mshta.exe அல்லது இதே போன்ற சொந்த பைனரி வழியாக செயல்படுத்தப்படும்.

இந்த டிகாய் கோப்புகள் பொருத்தமற்ற தரவுகளையும், உண்மையான தீங்கிழைக்கும் குறியீட்டையும் கொண்டிருக்கின்றன. இது மற்ற பதிவு விசைகளிலிருந்து பெறப்படுகிறது. அல்லது உள் களஞ்சியங்கள். வட்டில் "ஏதோ" இருந்தாலும், அதை சமரசத்தின் நம்பகமான குறிகாட்டியாகப் பயன்படுத்துவது எளிதல்ல, நேரடி சுத்தம் செய்யும் பொறிமுறையாகப் பயன்படுத்துவது மிகவும் எளிதானது.

மிகவும் பொதுவான நுழைவு திசையன்கள் மற்றும் தொற்று புள்ளிகள்

தடம் வகைப்பாட்டிற்கு அப்பால், எப்படி என்பதைப் புரிந்துகொள்வது முக்கியம் இங்குதான் தொடர்ச்சியான கோப்புகள் இல்லாத தீம்பொருள் செயல்பாட்டுக்கு வருகிறது. அன்றாட வாழ்வில், தாக்குபவர்கள் பெரும்பாலும் சுற்றுச்சூழல் மற்றும் இலக்கைப் பொறுத்து பல திசையன்களை இணைக்கிறார்கள்.

சுரண்டல்கள் மற்றும் பாதிப்புகள்

மிகவும் நேரடியான பாதைகளில் ஒன்று துஷ்பிரயோகம் ஆகும் ரிமோட் குறியீடு செயல்படுத்தல் (RCE) பாதிப்புகள் உலாவிகள், செருகுநிரல்கள் (ஃப்ளாஷ் பேக் இன் தி டே போன்றவை), வலை பயன்பாடுகள் அல்லது நெட்வொர்க் சேவைகள் (SMB, RDP, முதலியன) ஆகியவற்றில். இந்த சுரண்டல் ஷெல்கோடை செலுத்துகிறது, இது தீங்கிழைக்கும் பேலோடை நேரடியாக நினைவகத்தில் பதிவிறக்குகிறது அல்லது டிகோட் செய்கிறது.

இந்த மாதிரியில், ஆரம்ப கோப்பு நெட்வொர்க்கில் இருக்கலாம் (சுரண்டல் வகை WannaCryஅல்லது பயனர் திறக்கும் ஆவணத்தில், ஆனால் பேலோடு ஒருபோதும் வட்டுக்கு இயக்கக்கூடியதாக எழுதப்படுவதில்லை.: இது RAM இலிருந்து உடனடியாக மறைகுறியாக்கப்பட்டு செயல்படுத்தப்படுகிறது.

தீங்கிழைக்கும் ஆவணங்கள் மற்றும் மேக்ரோக்கள்

மற்றொரு பெரிதும் சுரண்டப்பட்ட வழித்தடம் மேக்ரோக்கள் அல்லது DDE உடன் அலுவலக ஆவணங்கள்வாசகர் பாதிப்புகளைப் பயன்படுத்த வடிவமைக்கப்பட்ட PDF களும் இதில் அடங்கும். வெளித்தோற்றத்தில் பாதிப்பில்லாத வேர்டு அல்லது எக்செல் கோப்பில், பவர்ஷெல், WMI அல்லது பிற மொழிபெயர்ப்பாளர்களைத் தொடங்கி குறியீட்டைப் பதிவிறக்க, கட்டளைகளை இயக்க அல்லது நம்பகமான செயல்முறைகளில் ஷெல்கோடை செலுத்த VBA குறியீடு இருக்கலாம்.

இங்கே வட்டில் உள்ள கோப்பு ஒரு தரவு கொள்கலன் "மட்டுமே", அதே நேரத்தில் உண்மையான திசையன் என்பது பயன்பாட்டின் உள் ஸ்கிரிப்டிங் இயந்திரம்உண்மையில், பல வெகுஜன ஸ்பேம் பிரச்சாரங்கள், பெருநிறுவன நெட்வொர்க்குகளில் கோப்பு இல்லாத தாக்குதல்களைப் பயன்படுத்த இந்த தந்திரோபாயத்தை தவறாகப் பயன்படுத்தியுள்ளன.

சட்டபூர்வமான ஸ்கிரிப்டுகள் மற்றும் பைனரிகள் (நிலத்திலிருந்து விலகி வாழ்வது)

விண்டோஸ் ஏற்கனவே வழங்கும் கருவிகளை தாக்குபவர்கள் விரும்புகிறார்கள்: பவர்ஷெல், wscript, cscript, mshta, rundll32, regsvr32விண்டோஸ் மேலாண்மை கருவித்தொகுப்பு, பிட்ஸ் போன்றவை. இந்த கையொப்பமிடப்பட்ட மற்றும் நம்பகமான பைனரிகள் சந்தேகத்திற்கிடமான "virus.exe" தேவையில்லாமல் ஸ்கிரிப்டுகள், DLLகள் அல்லது தொலைநிலை உள்ளடக்கத்தை இயக்க முடியும்.

தீங்கிழைக்கும் குறியீட்டை இவ்வாறு அனுப்புவதன் மூலம் கட்டளை வரி அளவுருக்கள்படங்களில் உட்பொதித்தல், நினைவகத்தில் குறியாக்கம் செய்து டிகோட் செய்தல் அல்லது பதிவேட்டில் சேமிப்பது, வைரஸ் தடுப்பு முறையான செயல்முறைகளிலிருந்து மட்டுமே செயல்பாட்டைப் பார்ப்பதை உறுதிசெய்கிறது, இதனால் கோப்புகளை மட்டுமே அடிப்படையாகக் கொண்ட கண்டறிதல் மிகவும் கடினமாகிறது.

சமரசம் செய்யப்பட்ட வன்பொருள் மற்றும் நிலைபொருள்

இன்னும் குறைந்த மட்டத்தில், மேம்பட்ட தாக்குபவர்கள் ஊடுருவ முடியும் பயாஸ் ஃபார்ம்வேர், நெட்வொர்க் கார்டுகள், ஹார்டு டிரைவ்கள் அல்லது CPU மேலாண்மை துணை அமைப்புகள் கூட (இன்டெல் ME அல்லது AMT போன்றவை). இந்த வகையான தீம்பொருள் இயக்க முறைமைக்குக் கீழே இயங்குகிறது மற்றும் OS க்கு தெரியாமல் போக்குவரத்தை இடைமறிக்கவோ அல்லது மாற்றவோ முடியும்.

இது ஒரு தீவிர சூழ்நிலை என்றாலும், கோப்பு இல்லாத அச்சுறுத்தல் எந்த அளவிற்கு முடியும் என்பதை இது விளக்குகிறது OS கோப்பு முறைமையைத் தொடாமல் நிலைத்தன்மையைப் பராமரிக்கவும்.மேலும் இந்த சந்தர்ப்பங்களில் கிளாசிக் எண்ட்பாயிண்ட் கருவிகள் ஏன் குறைவாகின்றன.

தொடர்ச்சியான கோப்புகள் இல்லாமல் தீம்பொருள் தாக்குதல் எவ்வாறு செயல்படுகிறது

ஓட்ட மட்டத்தில், கோப்பு இல்லாத தாக்குதல் கோப்பு அடிப்படையிலான தாக்குதலைப் போன்றது, ஆனால் தொடர்புடைய வேறுபாடுகள் பேலோட் எவ்வாறு செயல்படுத்தப்படுகிறது மற்றும் அணுகல் எவ்வாறு பராமரிக்கப்படுகிறது என்பதில்.

1. கணினிக்கான ஆரம்ப அணுகல்

தாக்குபவர் முதல் இடத்தைப் பிடிக்கும் போது இது அனைத்தும் தொடங்குகிறது: a தீங்கிழைக்கும் இணைப்பு அல்லது இணைப்புடன் கூடிய ஃபிஷிங் மின்னஞ்சல், பாதிக்கப்படக்கூடிய பயன்பாட்டிற்கு எதிரான ஒரு சுரண்டல், RDP அல்லது VPN க்கான திருடப்பட்ட சான்றுகள் அல்லது ஒரு சிதைக்கப்பட்ட USB சாதனம் கூட.

இந்த கட்டத்தில், பின்வருபவை பயன்படுத்தப்படுகின்றன: சமூக பொறியியல்தீங்கிழைக்கும் திசைதிருப்பல்கள், தீங்கிழைக்கும் விளம்பர பிரச்சாரங்கள் அல்லது இணையத்தில் வெளிப்படும் சேவைகளைப் பயன்படுத்திக் கொள்ள பயனரை ஏமாற்றும் தீங்கிழைக்கும் வைஃபை தாக்குதல்கள்.

2. நினைவகத்தில் தீங்கிழைக்கும் குறியீட்டை செயல்படுத்துதல்

அந்த முதல் உள்ளீடு பெறப்பட்டதும், கோப்பு இல்லாத கூறு தூண்டப்படும்: ஒரு Office மேக்ரோ பவர்ஷெல்லைத் தொடங்குகிறது, ஒரு சுரண்டல் ஷெல்கோடை செலுத்துகிறது, ஒரு WMI சந்தா ஒரு ஸ்கிரிப்டைத் தூண்டுகிறது, முதலியன. இலக்கு தீங்கிழைக்கும் குறியீட்டை நேரடியாக RAM இல் ஏற்றவும்.இணையத்திலிருந்து பதிவிறக்குவதன் மூலமோ அல்லது உட்பொதிக்கப்பட்ட தரவிலிருந்து மறுகட்டமைப்பதன் மூலமோ.

அங்கிருந்து, தீம்பொருள் சலுகைகளை அதிகரிக்கவும், பக்கவாட்டில் நகர்த்தவும், சான்றுகளைத் திருடவும், வெப்ஷெல்களைப் பயன்படுத்தவும், RATகளை நிறுவவும் அல்லது தரவை குறியாக்கவும்இவை அனைத்தும் சத்தத்தைக் குறைப்பதற்கான முறையான செயல்முறைகளால் ஆதரிக்கப்படுகின்றன.

3. விடாமுயற்சியை நிறுவுதல்

வழக்கமான நுட்பங்களில் அவை:

• தானியங்கு இயக்க விசைகள் உள்நுழையும்போது கட்டளைகள் அல்லது ஸ்கிரிப்ட்களை இயக்கும் பதிவேட்டில்.
• திட்டமிடப்பட்ட பணிகள் ஸ்கிரிப்டுகள், அளவுருக்கள் கொண்ட முறையான பைனரிகள் அல்லது தொலை கட்டளைகளைத் தொடங்கும்.
• WMI சந்தாக்கள் சில கணினி நிகழ்வுகள் நிகழும்போது குறியீட்டைத் தூண்டும்.
• BITS இன் பயன்பாடு கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகங்களிலிருந்து பேலோடுகளை அவ்வப்போது பதிவிறக்குவதற்கு.

சந்தர்ப்பங்களில், நிலையான கூறு குறைவாக இருக்கும் மற்றும் நினைவகத்தில் தீம்பொருளை மீண்டும் செலுத்துதல் ஒவ்வொரு முறையும் கணினி தொடங்கும் போது அல்லது ஒரு குறிப்பிட்ட நிபந்தனை பூர்த்தி செய்யப்படும்போது.

4. இலக்குகள் மற்றும் வெளியேற்றத்தின் மீதான நடவடிக்கைகள்

விடாமுயற்சியுடன், தாக்குபவர் தனக்கு உண்மையிலேயே ஆர்வமுள்ளவற்றில் கவனம் செலுத்துகிறார்: தகவல்களைத் திருடுதல், அதை குறியாக்கம் செய்தல், அமைப்புகளை கையாளுதல் அல்லது மாதக்கணக்கில் உளவு பார்த்தல்HTTPS, DNS, ரகசிய சேனல்கள் அல்லது சட்டப்பூர்வமான சேவைகள் மூலம் வெளியேற்றம் செய்யப்படலாம். நிஜ உலக சம்பவங்களில், தெரிந்துகொள்வது ஹேக்கிற்குப் பிறகு முதல் 24 மணி நேரத்தில் என்ன செய்ய வேண்டும் மாற்றத்தை ஏற்படுத்த முடியும்.

APT தாக்குதல்களில், தீம்பொருள் இருப்பது பொதுவானது நீண்ட காலத்திற்கு அமைதியாகவும் ரகசியமாகவும் இருக்கும்உள்கட்டமைப்பின் ஒரு பகுதி கண்டறியப்பட்டு அழிக்கப்பட்டாலும் அணுகலை உறுதி செய்வதற்காக கூடுதல் பின் கதவுகளை உருவாக்குதல்.

கோப்புகள் இல்லாமல் இருக்கக்கூடிய தீம்பொருளின் திறன்கள் மற்றும் வகைகள்

இந்த அணுகுமுறையைப் பின்பற்றுவதன் மூலம், பாரம்பரிய தீம்பொருள் செய்யக்கூடிய எந்தவொரு தீங்கிழைக்கும் செயல்பாட்டையும் செயல்படுத்த முடியும். கோப்பு இல்லாதது அல்லது அரை கோப்பு இல்லாததுமாறுவது குறிக்கோள் அல்ல, ஆனால் குறியீடு பயன்படுத்தப்படும் விதம்தான்.

நினைவகத்தில் மட்டுமே இருக்கும் தீம்பொருள்

இந்தப் பிரிவில் சுமைகள் அடங்கும், அவை அவை செயல்முறை அல்லது கருவின் நினைவகத்தில் மட்டுமே வாழ்கின்றன.நவீன ரூட்கிட்கள், மேம்பட்ட பின்கதவுகள் அல்லது ஸ்பைவேர் ஒரு முறையான செயல்முறையின் நினைவக இடத்தில் ஏற்றப்பட்டு, கணினி மறுதொடக்கம் செய்யப்படும் வரை அங்கேயே இருக்கும்.

இந்தக் கூறுகள் வட்டு சார்ந்த கருவிகளைப் பார்ப்பது மிகவும் கடினம், மேலும் அவை பயன்படுத்துவதை கட்டாயப்படுத்துகின்றன நேரடி நினைவக பகுப்பாய்வு, நிகழ்நேர ஆய்வு அல்லது மேம்பட்ட தடயவியல் திறன்களைக் கொண்ட EDR.

விண்டோஸ் பதிவகம் சார்ந்த தீம்பொருள்

மற்றொரு தொடர்ச்சியான நுட்பம் சேமிப்பது ஆகும் பதிவேட்டில் உள்ள குறியீடுகளில் மறைகுறியாக்கப்பட்ட அல்லது தெளிவற்ற குறியீடு. மேலும் அதைப் படிக்க, டிகோட் செய்ய மற்றும் நினைவகத்தில் செயல்படுத்த ஒரு முறையான பைனரியை (பவர்ஷெல், MSHTA, அல்லது rundll32 போன்றவை) பயன்படுத்தவும்.

பதிவேட்டில் எழுதிய பிறகு ஆரம்ப துளிசொட்டி தன்னைத்தானே அழித்துக்கொள்ளக்கூடும், எனவே எஞ்சியிருப்பது வெளித்தோற்றத்தில் பாதிப்பில்லாத தரவுகளின் கலவையாகும், அவை ஒவ்வொரு முறையும் கணினி தொடங்கும் போது அவை அச்சுறுத்தலைச் செயல்படுத்துகின்றன. அல்லது ஒவ்வொரு முறையும் ஒரு குறிப்பிட்ட கோப்பு திறக்கப்படும்போது.

ரான்சம்வேர் மற்றும் கோப்பு இல்லாத ட்ரோஜான்கள்

கோப்பு இல்லாத அணுகுமுறை, மிகவும் தீவிரமான ஏற்றுதல் முறைகளுடன் பொருந்தாது, எடுத்துக்காட்டாக ransomwareransomware ஐ இயக்கக்கூடியதாக வட்டில் விடாமல், PowerShell அல்லது WMI ஐப் பயன்படுத்தி முழு குறியாக்கத்தையும் நினைவகத்தில் பதிவிறக்கம் செய்து, மறைகுறியாக்கி, செயல்படுத்தும் பிரச்சாரங்கள் உள்ளன.

இதேபோல், தொலைநிலை அணுகல் ட்ரோஜான்கள் (RATகள்)கீலாக்கர்கள் அல்லது நற்சான்றிதழ் திருடர்கள் அரை-கோப்பு இல்லாத முறையில் செயல்பட முடியும், தேவைக்கேற்ப தொகுதிகளை ஏற்றலாம் மற்றும் முறையான கணினி செயல்முறைகளில் முக்கிய தர்க்கத்தை ஹோஸ்ட் செய்யலாம்.

சுரண்டல் கருவிகள் மற்றும் திருடப்பட்ட சான்றுகள்

வலை சுரண்டல் கருவிகள் புதிரின் மற்றொரு பகுதி: அவை நிறுவப்பட்ட மென்பொருளைக் கண்டறிகின்றன, அவர்கள் பொருத்தமான சுரண்டலைத் தேர்ந்தெடுத்து, பேலோடை நேரடியாக நினைவகத்தில் செலுத்துகிறார்கள்., பெரும்பாலும் எதையும் வட்டில் சேமிக்காமல்.

மறுபுறம், பயன்பாடு திருடப்பட்ட சான்றுகள் இது கோப்பு இல்லாத நுட்பங்களுடன் மிகவும் பொருந்தக்கூடிய ஒரு திசையன்: தாக்குபவர் ஒரு முறையான பயனராக அங்கீகரிக்கிறார், மேலும் அங்கிருந்து, தீம்பொருளின் உன்னதமான தடயங்களை விட்டுச் செல்லாத ஸ்கிரிப்டுகள் மற்றும் கட்டளைகளை வரிசைப்படுத்த சொந்த நிர்வாக கருவிகளை (பவர்ஷெல் ரிமோட்டிங், WMI, PsExec) துஷ்பிரயோகம் செய்கிறார்.

கோப்பு இல்லாத தீம்பொருளைக் கண்டறிவது ஏன் மிகவும் கடினம்?

அடிப்படைக் காரணம் என்னவென்றால், இந்த வகையான அச்சுறுத்தல் குறிப்பாக வடிவமைக்கப்பட்டுள்ளது பாரம்பரிய பாதுகாப்பு அடுக்குகளைத் தவிர்ப்பதுகையொப்பங்கள், அனுமதிப்பட்டியல்கள் மற்றும் அவ்வப்போது கோப்பு ஸ்கேன்கள் ஆகியவற்றின் அடிப்படையில்.

தீங்கிழைக்கும் குறியீடு ஒருபோதும் வட்டில் இயங்கக்கூடியதாக சேமிக்கப்படாவிட்டால், அல்லது அது WMI, பதிவகம் அல்லது ஃபார்ம்வேர் போன்ற கலப்பு கொள்கலன்களில் மறைந்திருந்தால், பாரம்பரிய வைரஸ் தடுப்பு மென்பொருளில் பகுப்பாய்வு செய்ய மிகக் குறைவு. "சந்தேகத்திற்கிடமான கோப்பு" என்பதற்குப் பதிலாக, உங்களிடம் இருப்பது ஒழுங்கற்ற முறையில் நடந்து கொள்ளும் முறையான செயல்முறைகள்.

மேலும், இது பவர்ஷெல், ஆபிஸ் மேக்ரோக்கள் அல்லது WMI போன்ற கருவிகளை தீவிரமாகத் தடுக்கிறது. பல நிறுவனங்களில் இது சாத்தியமில்லை.ஏனெனில் அவை நிர்வாகம், ஆட்டோமேஷன் மற்றும் அன்றாட நடவடிக்கைகளுக்கு அவசியமானவை. இது ஆதரவாளர்களை மிகவும் கவனமாக நடக்க கட்டாயப்படுத்துகிறது.

சில விற்பனையாளர்கள் விரைவான திருத்தங்கள் (பொதுவான பவர்ஷெல் தடுப்பு, மொத்த மேக்ரோ முடக்குதல், மேகம் மட்டும் கண்டறிதல் போன்றவை) மூலம் ஈடுசெய்ய முயற்சித்துள்ளனர், ஆனால் இந்த நடவடிக்கைகள் பொதுவாக போதுமானதாக இல்லை அல்லது அதிகமாக இடையூறு விளைவிக்கும் வணிகத்திற்காக.

கோப்பு இல்லாத தீம்பொருளைக் கண்டறிந்து நிறுத்துவதற்கான நவீன உத்திகள்

இந்த அச்சுறுத்தல்களை எதிர்கொள்ள, கோப்புகளை ஸ்கேன் செய்வதைத் தாண்டி, கவனம் செலுத்தும் அணுகுமுறையைப் பின்பற்றுவது அவசியம். நடத்தை, நிகழ்நேர டெலிமெட்ரி மற்றும் ஆழமான தெரிவுநிலை இறுதிப் புள்ளியின்.

நடத்தை மற்றும் நினைவக கண்காணிப்பு

ஒரு பயனுள்ள அணுகுமுறை செயல்முறைகள் உண்மையில் என்ன செய்கின்றன என்பதைக் கவனிப்பதை உள்ளடக்குகிறது: அவர்கள் என்ன கட்டளைகளை இயக்குகிறார்கள், என்ன வளங்களை அணுகுகிறார்கள், என்ன தொடர்புகளை ஏற்படுத்துகிறார்கள்அவை ஒன்றுக்கொன்று எவ்வாறு தொடர்பு கொள்கின்றன, முதலியன. ஆயிரக்கணக்கான தீம்பொருள் வகைகள் இருந்தாலும், தீங்கிழைக்கும் நடத்தை முறைகள் மிகவும் குறைவாகவே உள்ளன. இதை மேலும் பூர்த்தி செய்யலாம் YARA உடன் மேம்பட்ட கண்டறிதல்.

நவீன தீர்வுகள் இந்த டெலிமெட்ரியை நினைவக பகுப்பாய்வு, மேம்பட்ட ஹியூரிஸ்டிக்ஸ் மற்றும் தானியங்கி கற்றல் குறியீடு பெரிதும் தெளிவற்றதாக இருந்தாலும் அல்லது இதற்கு முன்பு பார்த்திராதபோதும் கூட, தாக்குதல் சங்கிலிகளை அடையாளம் காண.

AMSI மற்றும் ETW போன்ற அமைப்பு இடைமுகங்களின் பயன்பாடு

விண்டோஸ் போன்ற தொழில்நுட்பங்களை வழங்குகிறது ஆன்டிமால்வேர் ஸ்கேன் இடைமுகம் (AMSI) y விண்டோஸிற்கான நிகழ்வுத் தடமறிதல் (ETW) இந்த மூலங்கள் கணினி ஸ்கிரிப்டுகள் மற்றும் நிகழ்வுகளை மிகக் குறைந்த மட்டத்தில் ஆய்வு செய்ய அனுமதிக்கின்றன. இந்த மூலங்களை பாதுகாப்பு தீர்வுகளில் ஒருங்கிணைப்பது கண்டறிதலை எளிதாக்குகிறது. தீங்கிழைக்கும் குறியீடு செயல்படுத்தப்படுவதற்கு சற்று முன்பு அல்லது செயல்படுத்தும்போது.

கூடுதலாக, திட்டமிடப்பட்ட பணிகள், WMI சந்தாக்கள், துவக்கப் பதிவேடு விசைகள் போன்ற முக்கியமான பகுதிகளை பகுப்பாய்வு செய்வது, மறைமுக கோப்பு இல்லாத நிலைத்தன்மை ஒரு எளிய கோப்பு ஸ்கேன் மூலம் அது கவனிக்கப்படாமல் போகலாம்.

அச்சுறுத்தல் வேட்டை மற்றும் தாக்குதலின் குறிகாட்டிகள் (IoA)

கிளாசிக் குறிகாட்டிகள் (ஹாஷ்கள், கோப்பு பாதைகள்) குறைவாக இருப்பதால், நம்பியிருப்பது நல்லது தாக்குதலின் குறிகாட்டிகள் (IoA), இது சந்தேகத்திற்கிடமான நடத்தைகள் மற்றும் அறியப்பட்ட தந்திரோபாயங்களுடன் பொருந்தக்கூடிய செயல்களின் வரிசைகளை விவரிக்கிறது.

அச்சுறுத்தல் வேட்டை குழுக்கள் - உள் அல்லது நிர்வகிக்கப்பட்ட சேவைகள் மூலம் - முன்கூட்டியே தேடலாம் பக்கவாட்டு இயக்க முறைகள், சொந்த கருவிகளின் துஷ்பிரயோகம், பவர்ஷெல் பயன்பாட்டில் உள்ள முரண்பாடுகள் அல்லது முக்கியமான தரவுகளுக்கான அங்கீகரிக்கப்படாத அணுகல், கோப்பு இல்லாத அச்சுறுத்தல்களை அவை பேரழிவைத் தூண்டுவதற்கு முன்பு கண்டறிதல்.

EDR, XDR மற்றும் SOC 24/7

நவீன தளங்கள் EDR மற்றும் XDR (விரிவாக்கப்பட்ட மட்டத்தில் எண்ட்பாயிண்ட் கண்டறிதல் மற்றும் பதில்) முதல் ஃபிஷிங் மின்னஞ்சலில் இருந்து இறுதி வெளியேற்றம் வரை ஒரு சம்பவத்தின் முழுமையான வரலாற்றை மீண்டும் உருவாக்கத் தேவையான தெரிவுநிலை மற்றும் தொடர்பை வழங்குகிறது.

உடன் இணைந்து 24/7 செயல்பாட்டு SOCஅவை கண்டறிதலை மட்டுமல்ல, மேலும் தானாகவே கட்டுப்படுத்தி சரிசெய்யவும் தீங்கிழைக்கும் செயல்பாடு: கணினிகளைத் தனிமைப்படுத்துதல், செயல்முறைகளைத் தடுப்பது, பதிவேட்டில் மாற்றங்களை மாற்றியமைத்தல் அல்லது முடிந்தால் குறியாக்கத்தை செயல்தவிர்த்தல்.

கோப்பு இல்லாத தீம்பொருள் நுட்பங்கள் விளையாட்டை மாற்றியுள்ளன: வைரஸ் தடுப்பு ஸ்கேன் இயக்குவதும், சந்தேகத்திற்கிடமான இயங்கக்கூடியதை நீக்குவதும் இனி போதாது. இன்று, பாதுகாப்பு என்பது நினைவகம், பதிவேடு, WMI அல்லது ஃபார்ம்வேரில் குறியீட்டை மறைப்பதன் மூலம் தாக்குபவர்கள் பாதிப்புகளை எவ்வாறு சுரண்டுகிறார்கள் என்பதைப் புரிந்துகொள்வதையும், நடத்தை கண்காணிப்பு, நினைவகத்தில் பகுப்பாய்வு, EDR/XDR, அச்சுறுத்தல் வேட்டை மற்றும் சிறந்த நடைமுறைகளின் கலவையைப் பயன்படுத்துவதையும் உள்ளடக்கியது. தாக்கத்தை யதார்த்தமாகக் குறைக்கவும் பாரம்பரிய தீர்வுகள் எங்கு தோன்றினாலும், எந்த தடயத்தையும் விட்டுச் செல்லாமல் இருக்க முயற்சிக்கும் தாக்குதல்களுக்கு, முழுமையான மற்றும் தொடர்ச்சியான உத்தி தேவைப்படுகிறது. சமரசம் ஏற்பட்டால், தெரிந்துகொள்வது கடுமையான வைரஸுக்குப் பிறகு விண்டோஸை சரிசெய்யவும் அவசியம்.