கோப்பு இல்லாத கோப்புகளை அடையாளம் காணுதல்: விசை கண்டறிதல் மற்றும் பாதுகாப்பு

கோப்பு இல்லாத தீம்பொருள் நினைவகத்தில் வாழ்கிறது மற்றும் முறையான கருவிகளை (பவர்ஷெல், WMI, LoLBins) துஷ்பிரயோகம் செய்கிறது, இதனால் கோப்புகளின் அடிப்படையில் கண்டறிவது கடினம்.
செயல்முறை உறவுகள், கட்டளை வரிகள், பதிவகம், WMI மற்றும் நெட்வொர்க், இறுதிப் புள்ளியில் உடனடி பதிலுடன் நடத்தைகளைக் கண்காணிப்பதே முக்கியமாகும்.
ஒரு அடுக்கு பாதுகாப்பு, மொழிபெயர்ப்பாளர் கட்டுப்பாடு, மேக்ரோ மேலாண்மை, ஒட்டுப்போடுதல், MFA மற்றும் EDR/XDR ஆகியவற்றை ரிச் டெலிமெட்ரி மற்றும் 24/7 SOC உடன் ஒருங்கிணைக்கிறது.

கோப்பு இல்லாத கோப்புகளை அடையாளம் காணவும்.

வட்டில் ஒரு தடயத்தையும் விடாமல் செயல்படும் தாக்குதல்கள் பல பாதுகாப்பு குழுக்களுக்கு ஒரு பெரிய தலைவலியாக மாறியுள்ளன, ஏனெனில் அவை முழுமையாக நினைவகத்தில் செயல்படுகின்றன மற்றும் முறையான கணினி செயல்முறைகளை சுரண்டுகின்றன. எனவே தெரிந்துகொள்வதன் முக்கியத்துவம் கோப்பு இல்லாத கோப்புகளை எவ்வாறு அடையாளம் காண்பது மேலும் அவற்றிலிருந்து தங்களைக் காப்பாற்றிக் கொள்கிறார்கள்.

தலைப்புச் செய்திகள் மற்றும் போக்குகளுக்கு அப்பால், அவை எவ்வாறு செயல்படுகின்றன, ஏன் அவை மிகவும் புரிந்துகொள்ள முடியாதவை, எந்த அறிகுறிகள் அவற்றைக் கண்டறிய அனுமதிக்கின்றன என்பதைப் புரிந்துகொள்வது ஒரு சம்பவத்தைக் கட்டுப்படுத்துவதற்கும் மீறலுக்கு வருந்துவதற்கும் இடையிலான வித்தியாசத்தை ஏற்படுத்துகிறது. பின்வரும் வரிகளில், நாங்கள் சிக்கலை பகுப்பாய்வு செய்து முன்மொழிகிறோம் தீர்வுகள்.

கோப்பு இல்லாத தீம்பொருள் என்றால் என்ன, அது ஏன் முக்கியமானது?

கோப்பு இல்லாத தீம்பொருள் ஒரு குறிப்பிட்ட குடும்பம் அல்ல, மாறாக செயல்படும் ஒரு வழி: இயக்கக்கூடியவற்றை வட்டில் எழுதுவதைத் தவிர்க்கவும். தீங்கிழைக்கும் குறியீட்டை இயக்க, கணினியில் ஏற்கனவே இருக்கும் சேவைகள் மற்றும் பைனரிகளைப் பயன்படுத்துகிறது. எளிதில் ஸ்கேன் செய்யக்கூடிய கோப்பை விட்டுச் செல்வதற்குப் பதிலாக, தாக்குபவர் நம்பகமான பயன்பாடுகளை துஷ்பிரயோகம் செய்து அதன் தர்க்கத்தை நேரடியாக RAM இல் ஏற்றுகிறார்.

இந்த அணுகுமுறை பெரும்பாலும் 'நிலத்திலிருந்து விலகி வாழ்வது' தத்துவத்தில் உள்ளடக்கப்பட்டுள்ளது: தாக்குபவர்கள் கருவியாகக் கருதுகின்றனர் பவர்ஷெல், WMI, mshta, rundll32 போன்ற சொந்த கருவிகள் அல்லது குறைந்த சத்தத்துடன் தங்கள் இலக்குகளை அடைய VBScript மற்றும் JScript போன்ற ஸ்கிரிப்டிங் இயந்திரங்களைப் பயன்படுத்தலாம்.

அதன் மிகவும் பிரதிநிதித்துவ அம்சங்களில் நாம் காண்கிறோம்: நிலையற்ற நினைவகத்தில் செயல்படுத்தல், வட்டில் நிலைத்தன்மை குறைவாகவோ அல்லது இல்லாமலோ, கணினி-கையொப்பமிடப்பட்ட கூறுகளின் பயன்பாடு மற்றும் கையொப்ப அடிப்படையிலான இயந்திரங்களுக்கு எதிராக அதிக ஏய்ப்பு திறன்.

மறுதொடக்கத்திற்குப் பிறகு பல பேலோடுகள் மறைந்தாலும், ஏமாற வேண்டாம்: எதிரிகள் நிலைத்தன்மையை நிலைநாட்ட முடியும். வட்டில் சந்தேகத்திற்கிடமான பைனரிகளை விடாமல், பதிவேட்டில் உள்ள விசைகள், WMI சந்தாக்கள் அல்லது திட்டமிடப்பட்ட பணிகளைப் பயன்படுத்துவதன் மூலம்.

கோப்பு இல்லாத தீம்பொருளைக் கண்டறிவதில் உள்ள சிரமங்கள்

கோப்பு இல்லாத கோப்புகளை அடையாளம் காண்பது ஏன் இவ்வளவு கடினமாக இருக்கிறது?

முதல் தடை வெளிப்படையானது: ஆய்வு செய்ய எந்த அசாதாரண கோப்புகளும் இல்லை.கையொப்பங்கள் மற்றும் கோப்பு பகுப்பாய்வை அடிப்படையாகக் கொண்ட பாரம்பரிய வைரஸ் தடுப்பு நிரல்கள், செயல்படுத்தல் செல்லுபடியாகும் செயல்முறைகளிலும், தீங்கிழைக்கும் தர்க்கம் நினைவகத்திலும் இருக்கும்போது சூழ்ச்சிக்கு இடமில்லை.

இரண்டாவது மிகவும் நுட்பமானது: தாக்குபவர்கள் பின்னால் தங்களை மறைத்துக் கொள்கிறார்கள். முறையான இயக்க முறைமை செயல்முறைகள்நிர்வாகத்திற்காக பவர்ஷெல் அல்லது WMI தினமும் பயன்படுத்தப்பட்டால், சூழல் மற்றும் நடத்தை டெலிமெட்ரி இல்லாமல் தீங்கிழைக்கும் பயன்பாட்டிலிருந்து சாதாரண பயன்பாட்டை எவ்வாறு வேறுபடுத்துவது?

மேலும், முக்கியமான கருவிகளை கண்மூடித்தனமாகத் தடுப்பது சாத்தியமில்லை. பவர்ஷெல் அல்லது ஆபிஸ் மேக்ரோக்களை முடக்குவது செயல்பாடுகளை சீர்குலைத்துவிடும் மற்றும் இது துஷ்பிரயோகங்களை முழுமையாகத் தடுக்காது.ஏனெனில் எளிய தொகுதிகளைத் தவிர்ப்பதற்கு பல மாற்று செயல்படுத்தல் பாதைகள் மற்றும் நுட்பங்கள் உள்ளன.

எல்லாவற்றிற்கும் மேலாக, கிளவுட் அடிப்படையிலான அல்லது சர்வர் பக்க கண்டறிதல் சிக்கல்களைத் தடுக்க மிகவும் தாமதமானது. சிக்கலில் நிகழ்நேர உள்ளூர் தெரிவுநிலை இல்லாமல்... கட்டளை வரிகள், செயல்முறை உறவுகள் மற்றும் பதிவு நிகழ்வுகள்வட்டில் எந்த தடயத்தையும் விட்டுச் செல்லாத தீங்கிழைக்கும் ஓட்டத்தை முகவர் உடனடியாகக் குறைக்க முடியாது.

பிரத்தியேக உள்ளடக்கம் - இங்கே கிளிக் செய்யவும் கடவுச்சொல் இல்லாத கணக்குகள் என்றால் என்ன, அவை டிஜிட்டல் பாதுகாப்பை எவ்வாறு மாற்றுகின்றன?

கோப்பு இல்லாத தாக்குதல் ஆரம்பம் முதல் முடிவு வரை எவ்வாறு செயல்படுகிறது

ஆரம்ப அணுகல் பொதுவாக எப்போதும் போலவே அதே திசையன்களுடன் நிகழ்கிறது: அலுவலக ஆவணங்களுடன் ஃபிஷிங் செய்தல் செயலில் உள்ள உள்ளடக்கம், சமரசம் செய்யப்பட்ட தளங்களுக்கான இணைப்புகள், வெளிப்படும் பயன்பாடுகளில் உள்ள பாதிப்புகளைப் பயன்படுத்துதல் அல்லது கசிந்த சான்றுகளை RDP அல்லது பிற சேவைகள் வழியாக அணுகுவதைத் துஷ்பிரயோகம் செய்தல் ஆகியவற்றை இயக்கக் கேட்கும்.

உள்ளே நுழைந்ததும், எதிராளி வட்டைத் தொடாமல் செயல்படுத்த முயல்கிறான். இதைச் செய்ய, அவை அமைப்பு செயல்பாடுகளை ஒன்றாக இணைக்கின்றன: ஆவணங்களில் மேக்ரோக்கள் அல்லது DDE கட்டளைகளைத் துவக்கும், RCE-க்கான ஓவர்ஃப்ளோக்களைப் பயன்படுத்தும் அல்லது நினைவகத்தில் குறியீட்டை ஏற்றி செயல்படுத்த அனுமதிக்கும் நம்பகமான பைனரிகளை அழைக்கும்.

செயல்பாட்டிற்கு தொடர்ச்சி தேவைப்பட்டால், புதிய செயல்படுத்தக்கூடியவற்றைப் பயன்படுத்தாமல் நிலைத்தன்மையை செயல்படுத்தலாம்: பதிவேட்டில் தொடக்க உள்ளீடுகள்சில நிபந்தனைகளின் கீழ் ஸ்கிரிப்ட்களைத் தூண்டும் கணினி நிகழ்வுகள் அல்லது திட்டமிடப்பட்ட பணிகளுக்கு எதிர்வினையாற்றும் WMI சந்தாக்கள்.

செயல்படுத்தல் நிறுவப்பட்டவுடன், குறிக்கோள் பின்வரும் படிகளை ஆணையிடுகிறது: பக்கவாட்டில் நகரவும், தரவுகளை வடிகட்டுதல்இதில் சான்றுகளைத் திருடுதல், RAT ஐப் பயன்படுத்துதல், கிரிப்டோகரன்சிகளைச் சுரங்கப்படுத்துதல் அல்லது ரான்சம்வேர் விஷயத்தில் கோப்பு குறியாக்கத்தை செயல்படுத்துதல் ஆகியவை அடங்கும். இவை அனைத்தும், முடிந்தால், ஏற்கனவே உள்ள செயல்பாடுகளைப் பயன்படுத்துவதன் மூலம் செய்யப்படுகின்றன.

ஆதாரங்களை அகற்றுவது திட்டத்தின் ஒரு பகுதியாகும்: சந்தேகத்திற்கிடமான பைனரிகளை எழுதாமல் இருப்பதன் மூலம், தாக்குபவர் பகுப்பாய்வு செய்யப்பட வேண்டிய கலைப்பொருட்களை கணிசமாகக் குறைக்கிறார். சாதாரண நிகழ்வுகளுக்கு இடையில் அவற்றின் செயல்பாட்டைக் கலத்தல் அமைப்பின் செயல்பாடு மற்றும் முடிந்த போதெல்லாம் தற்காலிக தடயங்களை நீக்குதல்.

கோப்பு இல்லாத கோப்புகளை அடையாளம் காணவும்.

அவர்கள் வழக்கமாகப் பயன்படுத்தும் நுட்பங்கள் மற்றும் கருவிகள்

இந்தப் பட்டியல் விரிவானது, ஆனால் அது எப்போதும் சொந்த பயன்பாடுகள் மற்றும் நம்பகமான வழிகளைச் சுற்றியே சுழல்கிறது. இவை மிகவும் பொதுவானவை, எப்போதும் குறிக்கோளுடன் நினைவகத்தில் செயல்படுத்தலை அதிகப்படுத்துதல் மற்றும் தடயத்தை மங்கலாக்குங்கள்:

பவர்ஷெல்சக்திவாய்ந்த ஸ்கிரிப்டிங், விண்டோஸ் APIகளுக்கான அணுகல் மற்றும் ஆட்டோமேஷன். இதன் பல்துறைத்திறன் நிர்வாகம் மற்றும் தாக்குதல் துஷ்பிரயோகம் ஆகிய இரண்டிற்கும் பிடித்தமானதாக ஆக்குகிறது.
WMI (விண்டோஸ் மேலாண்மை கருவி)இது கணினி நிகழ்வுகளை வினவவும் எதிர்வினையாற்றவும் உங்களை அனுமதிக்கிறது, அதே போல் தொலை மற்றும் உள்ளூர் செயல்களையும் செய்கிறது; பயனுள்ளதாக இருக்கும் நிலைத்தன்மை மற்றும் இசைக்குழு.
VBScript மற்றும் JScript: கணினி கூறுகள் மூலம் தர்க்கத்தை செயல்படுத்துவதை எளிதாக்கும் பல சூழல்களில் இருக்கும் இயந்திரங்கள்.
mshta, rundll32 மற்றும் பிற நம்பகமான பைனரிகள்: நன்கு அறியப்பட்ட LoLBins, சரியாக இணைக்கப்பட்டால், முடியும் கலைப்பொருட்களை கைவிடாமல் குறியீட்டை இயக்கவும். வட்டில் தெளிவாகத் தெரியும்.
செயலில் உள்ள உள்ளடக்கம் கொண்ட ஆவணங்கள்அலுவலகத்தில் உள்ள மேக்ரோக்கள் அல்லது DDE, மேம்பட்ட அம்சங்களைக் கொண்ட PDF வாசகர்கள், நினைவகத்தில் கட்டளைகளைத் தொடங்க ஒரு ஊக்கப் பலகையாகச் செயல்படும்.
விண்டோஸ் பதிவு: சுய-துவக்க விசைகள் அல்லது கணினி கூறுகளால் செயல்படுத்தப்படும் பேலோடுகளின் மறைகுறியாக்கப்பட்ட/மறைக்கப்பட்ட சேமிப்பு.
வலிப்புத்தாக்கம் மற்றும் செயல்முறைகளில் ஊசி போடுதல்: இயங்கும் செயல்முறைகளின் நினைவக இடத்தை மாற்றியமைத்தல் ஹோஸ்ட் தீங்கிழைக்கும் தர்க்கம் ஒரு சட்டபூர்வமான செயல்படுத்தலுக்குள்.
இயக்க கருவிகள்: பாதிக்கப்பட்டவரின் அமைப்பில் உள்ள பாதிப்புகளைக் கண்டறிதல் மற்றும் வட்டைத் தொடாமலேயே செயல்படுத்தலை அடைய வடிவமைக்கப்பட்ட சுரண்டல்களைப் பயன்படுத்துதல்.

நிறுவனங்களுக்கான சவால் (மற்றும் எல்லாவற்றையும் வெறுமனே தடுப்பது ஏன் போதாது)

ஒரு அப்பாவி அணுகுமுறை ஒரு கடுமையான நடவடிக்கையை பரிந்துரைக்கிறது: பவர்ஷெல்லைத் தடுப்பது, மேக்ரோக்களைத் தடை செய்வது, rundll32 போன்ற பைனரிகளைத் தடுப்பது. யதார்த்தம் மிகவும் நுணுக்கமானது: இந்தக் கருவிகளில் பல அவசியமானவை. தினசரி ஐடி செயல்பாடுகளுக்கும் நிர்வாக ஆட்டோமேஷனுக்கும்.

பிரத்தியேக உள்ளடக்கம் - இங்கே கிளிக் செய்யவும் எனது Whatsapp என்னை உளவு பார்க்கிறதா என்பதை எப்படி அறிவது

கூடுதலாக, தாக்குபவர்கள் ஓட்டைகளைத் தேடுகிறார்கள்: ஸ்கிரிப்டிங் இயந்திரத்தை வேறு வழிகளில் இயக்குதல், மாற்று நகல்களைப் பயன்படுத்தவும்.நீங்கள் படங்களில் தர்க்கத்தை தொகுக்கலாம் அல்லது குறைவாக கண்காணிக்கப்படும் LoLBins ஐ நாடலாம். ப்ரூட் பிளாக்கிங் இறுதியில் முழுமையான பாதுகாப்பை வழங்காமல் உராய்வை உருவாக்குகிறது.

முற்றிலும் சர்வர்-சைடு அல்லது கிளவுட் அடிப்படையிலான பகுப்பாய்வு கூட சிக்கலை தீர்க்காது. பணக்கார எண்ட்பாயிண்ட் டெலிமெட்ரி இல்லாமல் மற்றும் இல்லாமல் முகவரிடமே பதிலளிக்கும் தன்மைமுடிவு தாமதமாக வருகிறது, மேலும் தடுப்பு சாத்தியமில்லை, ஏனென்றால் வெளிப்புற தீர்ப்புக்காக நாம் காத்திருக்க வேண்டும்.

இதற்கிடையில், சந்தை அறிக்கைகள் நீண்ட காலமாக இந்தப் பகுதியில் மிகவும் குறிப்பிடத்தக்க வளர்ச்சியைக் குறிப்பிட்டு வருகின்றன, அங்கு உச்சங்கள் பவர்ஷெல்லை துஷ்பிரயோகம் செய்வதற்கான முயற்சிகள் கிட்டத்தட்ட இரட்டிப்பாகின. குறுகிய காலத்தில், இது எதிரிகளுக்கு தொடர்ச்சியான மற்றும் லாபகரமான தந்திரோபாயம் என்பதை உறுதிப்படுத்துகிறது.

நவீன கண்டறிதல்: கோப்பிலிருந்து நடத்தை வரை

யார் செயல்படுத்துகிறார்கள் என்பதல்ல, எப்படி, ஏன் என்பதுதான் முக்கியம். செயல்முறை நடத்தை மற்றும் அதன் உறவுகள் இது தீர்க்கமானது: கட்டளை வரி, செயல்முறை மரபுரிமை, உணர்திறன் வாய்ந்த API அழைப்புகள், வெளிச்செல்லும் இணைப்புகள், பதிவேட்டில் மாற்றங்கள் மற்றும் WMI நிகழ்வுகள்.

இந்த அணுகுமுறை ஏய்ப்பு மேற்பரப்பை வெகுவாகக் குறைக்கிறது: சம்பந்தப்பட்ட இருமங்கள் மாறினாலும், தாக்குதல் முறைகள் மீண்டும் மீண்டும் நிகழ்கின்றன. (நினைவகத்தில் பதிவிறக்கம் செய்து செயல்படுத்தும் ஸ்கிரிப்டுகள், LoLBins ஐ துஷ்பிரயோகம் செய்தல், மொழிபெயர்ப்பாளர்களை அழைப்பது போன்றவை). கோப்பின் 'அடையாளத்தை' அல்ல, அந்த ஸ்கிரிப்டை பகுப்பாய்வு செய்வது கண்டறிதலை மேம்படுத்துகிறது.

முழுமையான சம்பவ வரலாற்றை மறுகட்டமைக்க பயனுள்ள EDR/XDR தளங்கள் சமிக்ஞைகளை தொடர்புபடுத்துகின்றன, அடையாளம் காண்கின்றன மூல காரணம் 'தோன்றியது' என்று செயல்முறையைக் குறை கூறுவதற்குப் பதிலாக, இந்தக் கதை, தனிமைப்படுத்தப்பட்ட ஒரு பகுதியை மட்டுமல்லாமல், முழு ஓட்டத்தையும் தணிக்க இணைப்புகள், மேக்ரோக்கள், மொழிபெயர்ப்பாளர்கள், பேலோடுகள் மற்றும் விடாமுயற்சியை இணைக்கிறது.

போன்ற கட்டமைப்புகளின் பயன்பாடு MITER ATT&CK இது கவனிக்கப்பட்ட தந்திரோபாயங்கள் மற்றும் நுட்பங்களை (TTPs) வரைபடமாக்க உதவுகிறது மற்றும் அச்சுறுத்தல் வேட்டையை ஆர்வமுள்ள நடத்தைகளை நோக்கி வழிநடத்துகிறது: செயல்படுத்தல், நிலைத்தன்மை, பாதுகாப்பு ஏய்ப்பு, நற்சான்றிதழ் அணுகல், கண்டுபிடிப்பு, பக்கவாட்டு இயக்கம் மற்றும் வெளியேற்றம்.

இறுதியாக, எண்ட்பாயிண்ட் ரெஸ்பான்ஸ் ஆர்கெஸ்ட்ரேஷன் உடனடியாக இருக்க வேண்டும்: சாதனத்தை தனிமைப்படுத்தவும், இறுதி செயல்முறைகள் சம்பந்தப்பட்ட, பதிவேட்டில் அல்லது பணி திட்டமிடுபவரின் மாற்றங்களை மாற்றியமைக்கவும், வெளிப்புற உறுதிப்படுத்தல்களுக்காகக் காத்திருக்காமல் சந்தேகத்திற்கிடமான வெளிச்செல்லும் இணைப்புகளைத் தடுக்கவும்.

பயனுள்ள டெலிமெட்ரி: எதைப் பார்க்க வேண்டும், எப்படி முன்னுரிமை அளிக்க வேண்டும்

அமைப்பை நிறைவு செய்யாமல் கண்டறிவதற்கான நிகழ்தகவை அதிகரிக்க, அதிக மதிப்புள்ள சமிக்ஞைகளுக்கு முன்னுரிமை அளிப்பது நல்லது. சூழலை வழங்கும் சில ஆதாரங்கள் மற்றும் கட்டுப்பாடுகள். கோப்பு இல்லாததற்கு முக்கியமானது அவை:

விரிவான பவர்ஷெல் பதிவு மற்றும் பிற மொழிபெயர்ப்பாளர்கள்: ஸ்கிரிப்ட் தொகுதி பதிவு, கட்டளை வரலாறு, ஏற்றப்பட்ட தொகுதிகள் மற்றும் AMSI நிகழ்வுகள், கிடைக்கும்போது.
WMI களஞ்சியம்நிகழ்வு வடிப்பான்கள், நுகர்வோர் மற்றும் இணைப்புகளை உருவாக்குதல் அல்லது மாற்றியமைத்தல் தொடர்பான இருப்பு மற்றும் எச்சரிக்கை, குறிப்பாக உணர்திறன் வாய்ந்த பெயர்வெளிகளில்.
பாதுகாப்பு நிகழ்வுகள் மற்றும் சிஸ்மன்: செயல்முறை தொடர்பு, பட ஒருமைப்பாடு, நினைவக ஏற்றுதல், ஊசி மற்றும் திட்டமிடப்பட்ட பணிகளை உருவாக்குதல்.
ரெட்: அசாதாரண வெளிச்செல்லும் இணைப்புகள், பீக்கனிங், பேலோட் பதிவிறக்க முறைகள் மற்றும் வெளியேற்றத்திற்கான ரகசிய சேனல்களின் பயன்பாடு.

தானியங்கிமயமாக்கல் கோதுமையை சப்பிலிருந்து பிரிக்க உதவுகிறது: நடத்தை அடிப்படையிலான கண்டறிதல் விதிகள், அனுமதிப் பட்டியல்கள் சட்டபூர்வமான நிர்வாகம் மற்றும் அச்சுறுத்தல் நுண்ணறிவால் செறிவூட்டப்படுவது தவறான நேர்மறைகளைக் கட்டுப்படுத்துகிறது மற்றும் பதிலை துரிதப்படுத்துகிறது.

மேற்பரப்பைத் தடுத்தல் மற்றும் குறைத்தல்

எந்த ஒரு நடவடிக்கையும் போதாது, ஆனால் ஒரு அடுக்கு பாதுகாப்பு ஆபத்தை பெருமளவில் குறைக்கிறது. தடுப்பு பக்கத்தில், பல நடவடிக்கைகள் தனித்து நிற்கின்றன. திசையன் கிளிப்பிங் மேலும் எதிரியின் வாழ்க்கையை மேலும் கடினமாக்கும்:

மேக்ரோ மேலாண்மை: முன்னிருப்பாக முடக்கி, மிகவும் அவசியமான மற்றும் கையொப்பமிடப்பட்ட போது மட்டுமே அனுமதிக்கவும்; குழு கொள்கைகள் வழியாக நுணுக்கமான கட்டுப்பாடுகள்.
உரைபெயர்ப்பாளர்கள் மற்றும் LoLBins மீதான கட்டுப்பாடு: விரிவான பதிவுடன் AppLocker/WDAC அல்லது அதற்கு சமமான, ஸ்கிரிப்ட்களின் கட்டுப்பாடு மற்றும் செயல்படுத்தல் டெம்ப்ளேட்களைப் பயன்படுத்தவும்.
ஒட்டுப்போடுதல் மற்றும் குறைத்தல்: சுரண்டக்கூடிய பாதிப்புகளை மூடி, RCE மற்றும் ஊசிகளை கட்டுப்படுத்தும் நினைவக பாதுகாப்புகளை செயல்படுத்தவும்.
வலுவான அங்கீகாரம்நற்சான்றிதழ் துஷ்பிரயோகத்தைத் தடுக்க MFA மற்றும் பூஜ்ஜிய நம்பிக்கை கொள்கைகள் மற்றும் பக்கவாட்டு இயக்கத்தைக் குறைத்தல்.
விழிப்புணர்வு மற்றும் உருவகப்படுத்துதல்கள்ஃபிஷிங், செயலில் உள்ள உள்ளடக்கம் கொண்ட ஆவணங்கள் மற்றும் அசாதாரண செயல்பாட்டின் அறிகுறிகள் குறித்த நடைமுறைப் பயிற்சி.

பிரத்தியேக உள்ளடக்கம் - இங்கே கிளிக் செய்யவும் உங்கள் Shopee கணக்கை ஹேக்கர்களிடமிருந்து எவ்வாறு பாதுகாப்பது?

இந்த நடவடிக்கைகள், தீங்கிழைக்கும் நடத்தையை உண்மையான நேரத்தில் அடையாளம் காண போக்குவரத்து மற்றும் நினைவகத்தை பகுப்பாய்வு செய்யும் தீர்வுகளால் பூர்த்தி செய்யப்படுகின்றன, அத்துடன் பிரிவு கொள்கைகள் ஏதாவது தவறி விழும்போது ஏற்படும் தாக்கத்தைக் கட்டுப்படுத்த குறைந்தபட்ச சலுகைகள்.

செயல்படும் சேவைகள் மற்றும் அணுகுமுறைகள்

பல முனைப்புள்ளிகள் மற்றும் அதிக விமர்சனத்தன்மை கொண்ட சூழல்களில், நிர்வகிக்கப்பட்ட கண்டறிதல் மற்றும் பதில் சேவைகள் 24/7 கண்காணிப்பு அவை சம்பவக் கட்டுப்பாட்டை துரிதப்படுத்துவதாக நிரூபிக்கப்பட்டுள்ளன. SOC, EMDR/MDR, மற்றும் EDR/XDR ஆகியவற்றின் கலவையானது நிபுணத்துவக் கண்கள், சிறந்த டெலிமெட்ரி மற்றும் ஒருங்கிணைந்த மறுமொழி திறன்களை வழங்குகிறது.

மிகவும் பயனுள்ள வழங்குநர்கள் நடத்தைக்கான மாற்றத்தை உள்வாங்கிக் கொண்டுள்ளனர்: இலகுரக முகவர்கள் கர்னல் மட்டத்தில் செயல்பாட்டைத் தொடர்புபடுத்து.அவை முழுமையான தாக்குதல் வரலாறுகளை மறுகட்டமைக்கின்றன மற்றும் தீங்கிழைக்கும் சங்கிலிகளைக் கண்டறியும்போது தானியங்கி தணிப்புகளைப் பயன்படுத்துகின்றன, மாற்றங்களைச் செயல்தவிர்க்கும் திறனுடன்.

இணையாக, எண்ட்பாயிண்ட் பாதுகாப்பு தொகுப்புகள் மற்றும் XDR தளங்கள் பணிநிலையங்கள், சேவையகங்கள், அடையாளங்கள், மின்னஞ்சல் மற்றும் மேகம் முழுவதும் மையப்படுத்தப்பட்ட தெரிவுநிலை மற்றும் அச்சுறுத்தல் மேலாண்மையை ஒருங்கிணைக்கின்றன; இலக்கு அகற்றுவதாகும் தாக்குதல் சங்கிலி கோப்புகள் சம்பந்தப்பட்டதா இல்லையா என்பதைப் பொருட்படுத்தாமல்.

அச்சுறுத்தல் வேட்டைக்கான நடைமுறை குறிகாட்டிகள்

தேடல் கருதுகோள்களுக்கு முன்னுரிமை அளிக்க வேண்டுமானால், சிக்னல்களை இணைப்பதில் கவனம் செலுத்துங்கள்: அசாதாரண அளவுருக்கள் கொண்ட ஒரு மொழிபெயர்ப்பாளரைத் தொடங்கும் ஒரு அலுவலக செயல்முறை, WMI சந்தா உருவாக்கம் ஒரு ஆவணத்தைத் திறந்த பிறகு, தொடக்க விசைகளில் மாற்றங்கள், அதைத் தொடர்ந்து மோசமான நற்பெயரைக் கொண்ட டொமைன்களுக்கான இணைப்புகள்.

மற்றொரு பயனுள்ள அணுகுமுறை உங்கள் சூழலில் இருந்து அடிப்படைகளை நம்பியிருப்பது: உங்கள் சேவையகங்கள் மற்றும் பணிநிலையங்களில் இயல்பானது என்ன? ஏதேனும் விலகல் (புதிதாக கையொப்பமிடப்பட்ட பைனரிகள் உரைபெயர்ப்பாளர்களின் பெற்றோராகத் தோன்றுவது, செயல்திறனில் திடீர் ஏற்ற இறக்கங்கள் (ஸ்கிரிப்டுகள், குழப்பத்துடன் கூடிய கட்டளை சரங்கள்) விசாரணைக்கு உரியது.

இறுதியாக, நினைவகத்தை மறந்துவிடாதீர்கள்: இயங்கும் பகுதிகளை ஆய்வு செய்யும் அல்லது ஸ்னாப்ஷாட்களைப் பிடிக்கும் கருவிகள் உங்களிடம் இருந்தால், RAM இல் உள்ள கண்டுபிடிப்புகள் கோப்பு முறைமையில் எந்த கலைப்பொருட்களும் இல்லாதபோது, அவை கோப்பு இல்லாத செயல்பாட்டிற்கான உறுதியான சான்றாக இருக்கலாம்.

இந்த தந்திரோபாயங்கள், நுட்பங்கள் மற்றும் கட்டுப்பாடுகளின் கலவையானது அச்சுறுத்தலை நீக்குவதில்லை, ஆனால் சரியான நேரத்தில் அதைக் கண்டறிய உங்களை சிறந்த நிலையில் வைக்கிறது. சங்கிலியை அறுத்துவிடு. மற்றும் தாக்கத்தைக் குறைக்கவும்.

இவை அனைத்தும் - இறுதிப்புள்ளி நிறைந்த டெலிமெட்ரி, நடத்தை தொடர்பு, தானியங்கி பதில் மற்றும் தேர்ந்தெடுக்கப்பட்ட கடினப்படுத்துதல் - விவேகத்துடன் பயன்படுத்தப்படும்போது - கோப்பு இல்லாத தந்திரோபாயம் அதன் நன்மையை இழக்கிறது. மேலும், அது தொடர்ந்து உருவாகும் என்றாலும், நடத்தைகள் மீது கவனம் செலுத்துதல் கோப்புகளில் இருப்பதற்குப் பதிலாக, உங்கள் பாதுகாப்பு அதனுடன் உருவாக ஒரு உறுதியான அடித்தளத்தை வழங்குகிறது.

டேனியல் டெர்ராசா

பல்வேறு டிஜிட்டல் மீடியாக்களில் பத்து வருடங்களுக்கும் மேலான அனுபவத்துடன் தொழில்நுட்பம் மற்றும் இணைய சிக்கல்களில் நிபுணத்துவம் பெற்ற ஆசிரியர். நான் ஈ-காமர்ஸ், கம்யூனிகேஷன், ஆன்லைன் மார்க்கெட்டிங் மற்றும் விளம்பர நிறுவனங்களுக்கு எடிட்டராகவும், உள்ளடக்கத்தை உருவாக்குபவராகவும் பணியாற்றியுள்ளேன். பொருளாதாரம், நிதி மற்றும் பிற துறைகளின் இணையதளங்களிலும் நான் எழுதியுள்ளேன். என் வேலையும் என் விருப்பம். இப்போது, என் கட்டுரைகள் மூலம் Tecnobits, நமது வாழ்க்கையை மேம்படுத்த தொழில்நுட்ப உலகம் ஒவ்வொரு நாளும் நமக்கு வழங்கும் அனைத்து செய்திகளையும் புதிய வாய்ப்புகளையும் ஆராய முயற்சிக்கிறேன்.