«Нармафзори зараровар бидуни файлҳои доимӣ» чист ва чӣ гуна онро бо истифода аз абзорҳои ройгон муайян кардан мумкин аст

Намуди зоҳирии нармафзори зараровар бидуни файлҳои доимӣ бидуни файлҳои доимӣ Ин барои гурӯҳҳои амниятӣ дарди сари воқеӣ буд. Мо бо вируси маъмулие, ки шумо ҳангоми нест кардани файли иҷрошаванда аз диск "даст мегиред", сарукор надорем, балки бо таҳдидҳое, ки дар хотира зиндагӣ мекунанд, аз абзорҳои қонунии система сӯиистифода мекунанд ва дар бисёр мавридҳо қариб ягон изи криминалистии қобили истифода намегузоранд, сарукор дорем.

Ин намуди ҳамла махсусан дар байни гурӯҳҳои пешрафта ва ҷинояткорони киберӣ маъмул гаштааст, ки мехоҳанд ... аз нармафзори анъанавии антивирус канорагирӣ кунед, маълумотро дуздед ва пинҳон монед то ҳадди имкон. Фаҳмидани тарзи кори онҳо, истифодаи кадом усулҳо ва чӣ гуна ошкор кардани онҳо барои ҳар як созмоне, ки имрӯз мехоҳад амнияти кибернетикиро ҷиддӣ қабул кунад, калиди муваффақият аст.

Нармафзори зараровари бефайл чист ва чаро он ин қадар нигаронкунанда аст?

Вақте ки мо дар бораи он гап мезанем нармафзори зараровари бефайл Мо намегӯем, ки як байт ҳам дахл надорад, балки рамзи зараровар Он ҳамчун файли иҷрошавандаи классикӣ дар диск нигоҳ дошта намешавад аз нуқтаи ниҳоӣ. Ба ҷои ин, он мустақиман дар хотира кор мекунад ё дар контейнерҳои камтар намоён, ба монанди Реестр, WMI ё вазифаҳои ба нақша гирифташуда ҷойгир карда мешавад.

Дар бисёр сенарияҳо, ҳамлагар барои... ба абзорҳое, ки аллакай дар система мавҷуданд - PowerShell, WMI, скриптҳо, файлҳои дуии имзошудаи Windows - такя мекунад. бор кардан, рамзкушоӣ кардан ё иҷро кардани борҳои муфид мустақиман ба RAMБо ин роҳ, он аз тарк кардани файлҳои иҷрошавандаи возеҳе, ки антивируси имзоӣ метавонад онҳоро дар сканкунии муқаррарӣ муайян кунад, худдорӣ мекунад.

Ғайр аз ин, як қисми занҷири ҳамла метавонад "бефайл" бошад ва қисми дигар метавонад аз системаи файлӣ истифода барад, аз ин рӯ мо дар бораи беш аз як чиз гап мезанем. доираи усулҳои бефайл ки як оилаи як нармафзори зараровар аст. Аз ин рӯ, як таърифи ягонаи пӯшида вуҷуд надорад, балки вобаста ба дараҷаи таъсири онҳо ба мошин якчанд категория вуҷуд дорад.

Хусусиятҳои асосии нармафзори зараровар бидуни файлҳои доимӣ

Хусусияти асосии ин таҳдидҳо дар он аст, ки онҳо иҷрои ба хотира нигаронидашудаКоди зараровар ба RAM бор карда мешавад ва дар доираи равандҳои қонунӣ иҷро карда мешавад, бе он ки файли дуии зараровари устуворро дар диски сахт талаб кунад. Дар баъзе ҳолатҳо, он ҳатто барои камуфляжкунии беҳтар ба равандҳои муҳими система ворид карда мешавад.

Хусусияти дигари муҳим ин аст устувории ғайриоддӣБисёре аз маъракаҳои бефайл комилан ноустуворанд ва пас аз бозоғозӣ нопадид мешаванд, аммо дигарон бо истифода аз калидҳои Registry Autorun, обунаҳои WMI, вазифаҳои ба нақша гирифташуда ё BITS дубора фаъол мешаванд, то ки артефакти "намоён" ҳадди ақал бошад ва бори воқеӣ ҳар дафъа дар хотира зинда шавад.

Ин усул самаранокии онро ба таври назаррас коҳиш медиҳад ошкоркунӣ дар асоси имзоАзбаски ягон файли иҷрошавандаи собит барои таҳлил вуҷуд надорад, шумо аксар вақт PowerShell.exe, wscript.exe ё mshta.exe-и комилан қонуниро мебинед, ки бо параметрҳои шубҳанок оғоз мешавад ё мундариҷаи печида бор карда мешавад.

Ниҳоят, бисёре аз актёрҳо усулҳои бефайлро бо дигар усулҳо муттаҳид мекунанд. намудҳои нармафзори зараровар ба монанди троянҳо, нармафзори ransomware ё нармафзори таблиғотӣ, ки дар натиҷа маъракаҳои гибридӣ ба вуҷуд меоянд, ки беҳтарин (ва бадтарин)-и ҳарду ҷаҳонро омехта мекунанд: истодагарӣ ва пинҳонкорӣ.

Намудҳои таҳдидҳои бефайл аз рӯи таъсири онҳо дар система

Якчанд истеҳсолкунандагони амниятӣ Онҳо таҳдидҳои "бефайл"-ро ​​мувофиқи пайе, ки дар компютер мегузоранд, тасниф мекунанд. Ин таксономия ба мо кӯмак мекунад, ки он чизеро, ки мебинем ва чӣ гуна онро таҳқиқ кунем, дарк кунем.

Навъи I: фаъолияти намоёни файл вуҷуд надорад

Дар ниҳояти пинҳонӣ мо нармафзори зараровареро пайдо мекунем, ки Он ба системаи файлӣ тамоман ҳеҷ чиз наменависадМасалан, рамз тавассути бастаҳои шабакавӣ, ки аз осебпазирӣ истифода мебаранд (масалан, EternalBlue), ворид мешавад, мустақиман ба хотира ворид карда мешавад ва, масалан, ҳамчун дари қафо дар ядро ​​нигоҳ дошта мешавад (DoublePulsar як ҳолати рамзӣ буд).

Дар ҳолатҳои дигар, сироят дар он ҷойгир аст Нармафзори BIOS, кортҳои шабакавӣ, дастгоҳҳои USB ё ҳатто зерсистемаҳо дар дохили CPUИн намуди таҳдид метавонад аз нав насб кардани системаҳои оператсионӣ, форматкунии диск ва ҳатто баъзе аз аз нав боркунии пурра наҷот ёбад.

Мушкилот дар он аст, ки аксари роҳҳои ҳалли амниятӣ Онҳо нармафзори нармафзор ё микрокодро тафтиш намекунандВа ҳатто агар онҳо ин корро кунанд ҳам, барқарорсозӣ мураккаб аст. Хушбахтона, ин усулҳо одатан барои бозигарони хеле ботаҷриба пешбинӣ шудаанд ва дар ҳамлаҳои оммавӣ меъёр нестанд.

Навъи II: Истифодаи ғайримустақими файлҳо

Гурӯҳи дуюм бар асоси рамзи зарароварро дар сохторҳои дар диск нигоҳдошташуда нигоҳ медорадАммо на ҳамчун файлҳои иҷрошавандаи анъанавӣ, балки дар анборҳое, ки маълумоти қонунӣ ва зарароварро омехта мекунанд, тоза кардани онҳо бе осеб расонидан ба система душвор аст.

Мисолҳои маъмулӣ скриптҳои нигоҳдошташуда дар Анбори WMI, занҷирҳои печида дар Калидҳои реестр ё вазифаҳои ба нақша гирифташуда, ки фармонҳои хатарнокро бе файли дуӣ зараровари равшан оғоз мекунанд. Нармафзори зараровар метавонад ин вурудҳоро мустақиман аз сатри фармон ё скрипт насб кунад ва сипас қариб ноаён боқӣ монад.

Гарчанде ки аз ҷиҳати техникӣ файлҳо мавҷуданд (файли физикӣ, ки Windows дар он анбори WMI ё қуттии реестрро нигоҳ медорад), барои мақсадҳои амалӣ мо дар бораи он гап мезанем. фаъолияти бефайл зеро ягон файли иҷрошавандаи возеҳе вуҷуд надорад, ки онро танҳо карантин кардан мумкин аст.

Навъи III: Барои кор кардан файлҳоро талаб мекунад

Навъи сеюм таҳдидҳоеро дар бар мегирад, ки Онҳо аз файлҳо истифода мебаранд, аммо ба тарзе, ки барои ошкоркунӣ чандон муфид нест.Мисоли маъруф Kovter аст, ки васеъкуниҳои тасодуфиро дар Феҳрист сабт мекунад, то вақте ки файл бо ин васеъкунӣ кушода мешавад, скрипт тавассути mshta.exe ё файли дуии монанд иҷро карда шавад.

Ин файлҳои фиребанда дорои маълумоти номарбут ва рамзи воқеии зараровар мебошанд. Он аз дигар калидҳои Реестр гирифта мешавад ё анборҳои дохилӣ. Гарчанде ки дар диск "чизе" мавҷуд аст, истифодаи он ҳамчун нишондиҳандаи боэътимоди созиш, хеле камтар ҳамчун механизми мустақими тозакунӣ, осон нест.

Векторҳои маъмултарини вуруд ва нуқтаҳои сироят

Ғайр аз таснифи изи пой, фаҳмидани он ки чӣ тавр Ин ҷоест, ки нармафзори зараровар бидуни файлҳои доимӣ ба кор медарояд. Дар ҳаёти ҳаррӯза, ҳамлагарон аксар вақт вобаста ба муҳит ва ҳадаф якчанд векторҳоро муттаҳид мекунанд.

Истисморҳо ва осебпазириҳо

Яке аз роҳҳои мустақим сӯиистифода аз осебпазириҳои иҷрои дурдасти код (RCE) дар браузерҳо, плагинҳо (ба монанди Flash дар замонҳои пеш), барномаҳои веб ё хидматҳои шабакавӣ (SMB, RDP ва ғайра). Эксплойт рамзи shell-ро ворид мекунад, ки мустақиман файли зарароварро ба хотира зеркашӣ ё рамзкушоӣ мекунад.

Дар ин модел, файли ибтидоӣ метавонад дар шабака бошад (навъи эксплойтҳо WannaCryё дар ҳуҷҷате, ки корбар мекушояд, аммо Бори фоида ҳеҷ гоҳ ҳамчун файли иҷрошаванда ба диск навишта намешавад: он рамзкушоӣ карда мешавад ва фавран аз RAM иҷро карда мешавад.

Ҳуҷҷатҳо ва макросҳои зараровар

Роҳи дигари аз ҳад зиёд истифодашаванда ин аст, ки Ҳуҷҷатҳои Office бо макросҳо ё DDEинчунин PDF-ҳое, ки барои истифода аз осебпазириҳои хонанда тарҳрезӣ шудаанд. Файли зоҳиран безарари Word ё Excel метавонад рамзи VBA-ро дар бар гирад, ки PowerShell, WMI ё дигар интерпретаторҳоро барои зеркашии рамз, иҷрои фармонҳо ё ворид кардани shellcode ба равандҳои боэътимод ба кор медарорад.

Дар ин ҷо файли дар диск буда "танҳо" як контейнери додаҳо аст, дар ҳоле ки вектори воқеӣ ин аст муҳаррики скрипти дохилии барномаДар асл, бисёр маъракаҳои спами оммавӣ ин тактикаро барои паҳн кардани ҳамлаҳои бефайл ба шабакаҳои корпоративӣ сӯиистифода кардаанд.

Скриптҳо ва файлҳои дуӣ (Зиндагӣ аз замин)

Ҳамлагарон абзорҳоеро, ки Windows аллакай пешниҳод мекунад, дӯст медоранд: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Асбобҳои идоракунии Windows, BITS ва ғайра. Ин файлҳои дуӣ имзошуда ва боэътимод метавонанд скриптҳо, DLL-ҳо ё мундариҷаи дурдастро бидуни ниёз ба "virus.exe"-и шубҳанок иҷро кунанд.

Бо интиқоли рамзи зараровар ҳамчун параметрҳои сатри фармонҶойгир кардани он дар тасвирҳо, рамзгузорӣ ва рамзкушоӣ дар хотира ё нигоҳ доштани он дар Феҳрист, кафолат медиҳад, ки антивирус танҳо фаъолиятро аз равандҳои қонунӣ мебинад ва муайянкуниро танҳо дар асоси файлҳо душвортар мекунад.

Сахтафзор ва нармафзори осебдида

Дар сатҳи боз ҳам пасттар, ҳамлагарони пешрафта метавонанд ворид шаванд Нармафзори BIOS, кортҳои шабакавӣ, дискҳои сахт ё ҳатто зерсистемаҳои идоракунии CPU (масалан, Intel ME ё AMT). Ин намуди нармафзори зараровар дар зери системаи амалиётӣ кор мекунад ва метавонад трафикро бидуни огоҳии системаи амалиётӣ боздорад ё тағйир диҳад.

Гарчанде ки ин як сенарияи шадид аст, он нишон медиҳад, ки таҳдиди бефайл то чӣ андоза метавонад... Нигоҳ доштани устуворӣ бидуни даст расонидан ба системаи файлии OSва чаро абзорҳои классикии нуқтаи ниҳоӣ дар ин ҳолатҳо ноком мешаванд.

Чӣ гуна ҳамлаи нармафзори зараровар бидуни файлҳои доимӣ кор мекунад

Дар сатҳи ҷараён, ҳамлаи бефайл ба ҳамлаи файлӣ хеле монанд аст, аммо бо фарқиятҳои дахлдор дар он ки чӣ гуна бори фоидаовар амалӣ карда мешавад ва чӣ гуна дастрасӣ нигоҳ дошта мешавад.

1. Дастрасии ибтидоӣ ба система

Ҳамааш вақте оғоз мешавад, ки ҳамлагар аввалин шуда мавқеи худро ишғол мекунад: а почтаи электронии фишинг бо истинод ё замимаи зараровар, истисмор бар зидди барномаи осебпазир, маълумоти дуздидашуда барои RDP ё VPN ё ҳатто дастгоҳи USB-и вайроншуда.

Дар ин марҳила, усулҳои зерин истифода мешаванд: муҳандиси иҷтимоӣравонакунии зараровар, маъракаҳои таблиғотии бадхоҳона ё ҳамлаҳои зараровари Wi-Fi барои фиреб додани корбар ба пахш кардани ҷойҳое, ки набояд пахш кунанд ё барои сӯиистифода аз хидматҳои дар Интернет мавҷудбуда.

2. Иҷрои рамзи зараровар дар хотира

Пас аз ба даст овардани аввалин вуруд, ҷузъи бефайл фаъол мешавад: макроси Office PowerShell-ро ба кор медарорад, эксплойт рамзи shell-ро ворид мекунад, обунаи WMI скриптро ба кор медарорад ва ғайра. Ҳадаф ин аст рамзи зарароварро мустақиман ба RAM бор кунедё бо зеркашӣ кардани он аз Интернет ё бо роҳи барқарор кардани он аз маълумоти дарунсохт.

Аз он ҷо, нармафзори зараровар метавонад баланд бардоштани имтиёзҳо, ҳаракат ба паҳлӯ, дуздидани эътимодномаҳо, ҷойгиркунии веб-саҳифаҳо, насб кардани RATs ё рамзгузории маълумотҳамаи ин аз ҷониби равандҳои қонунӣ барои кам кардани садо дастгирӣ карда мешавад.

3. Муқаррар кардани устуворӣ

Дар байни усулҳои маъмулӣ онҳо инҳоянд:

• Калидҳои Autorun дар Феҳрист, ки ҳангоми воридшавӣ фармонҳо ё скриптҳоро иҷро мекунанд.
• Вазифаҳои ба нақша гирифташуда ки скриптҳо, файлҳои дуии қонуниро бо параметрҳо ё фармонҳои дурдастро оғоз мекунанд.
• Обунаҳои WMI ки рамзи триггерро ҳангоми рух додани рӯйдодҳои муайяни система фаъол мекунад.
• Истифодаи BITS барои зеркашиҳои даврии борҳои муфид аз серверҳои фармондеҳӣ ва идоракунӣ.

Дар ҳолатҳо, ҷузъи доимӣ ночиз аст ва танҳо барои он хизмат мекунад нармафзори зарароварро ба хотира дубора ворид кунед ҳар дафъае, ки система ба кор медарояд ё шарти мушаххас иҷро мешавад.

4. Амалҳо нисбат ба ҳадафҳо ва ихроҷ

Бо итминони устуворӣ, ҳамлагар ба он чизе, ки ӯро воқеан ба худ ҷалб мекунад, тамаркуз мекунад: дуздии иттилоот, рамзгузории он, таҳрири системаҳо ё ҷосусӣ ба муддати моҳҳоЭксфилтратсияро метавон тавассути HTTPS, DNS, каналҳои пинҳонӣ ё хидматҳои қонунӣ анҷом дод. Дар ҳодисаҳои воқеӣ, донистан Дар 24 соати аввал пас аз ҳакерӣ чӣ кор кардан лозим аст Он метавонад ҳама чизро фарқ кунад.

Дар ҳамлаҳои APT, маъмулан нармафзори зараровар боқӣ мемонад. муддати тӯлонӣ хомӯш ва пинҳон, сохтани дарҳои иловагии қафо барои таъмини дастрасӣ ҳатто агар қисме аз инфрасохтор ошкор ва тоза карда шавад.

Имкониятҳо ва намудҳои нармафзори зарароваре, ки метавонанд бе файл бошанд

Қариб ҳама гуна функсияи зараровареро, ки нармафзори зараровари классикӣ метавонад иҷро кунад, бо риояи ин равиш амалӣ кардан мумкин аст бефайл ё нимбефайлОн чизе ки тағйир меёбад, ҳадаф нест, балки тарзи ҷойгиркунии код аст.

Нармафзори зараровар, ки танҳо дар хотира ҷойгир аст

Ин категория борҳои фоидаоварро дар бар мегирад Онҳо танҳо дар хотираи раванд ё ядро ​​​​зиндагӣ мекунанд.Руткитҳои муосир, backdoors-и пешрафта ё нармафзори ҷосусӣ метавонанд ба фазои хотираи раванди қонунӣ бор кунанд ва то аз нав оғоз шудани система дар он ҷо бимонанд.

Дидан бо асбобҳои ба диск нигаронидашуда махсусан душвор аст ва истифодаи онҳоро маҷбур мекунад. таҳлили хотираи зинда, EDR бо санҷиши вақти воқеӣ ё қобилиятҳои пешрафтаи криминалистӣ.

Нармафзори зараровар дар асоси феҳристи Windows

Усули дигари такроршаванда нигоҳдорӣ аст рамзи рамзгузорӣшуда ё печида дар калидҳои реестр ва барои хондан, рамзкушоӣ ва иҷро кардани он дар хотира аз файли дуӣ (ба монанди PowerShell, MSHTA ё rundll32) истифода баред.

Пас аз навиштан ба Реестр, дропери аввалия метавонад худкор нобуд шавад, аз ин рӯ, танҳо омехтаи маълумоти ба назар безарар боқӣ мемонад, ки Онҳо ҳар дафъае, ки система оғоз мешавад, таҳдидро фаъол мекунанд ё ҳар дафъае, ки файли мушаххас кушода мешавад.

Нармафзори фидя ва троянҳои бефайл

Усули бефайл бо усулҳои хеле хашмгини боркунӣ, ба монанди ransomwareМаъракаҳое мавҷуданд, ки тамоми рамзгузориро дар хотира бо истифода аз PowerShell ё WMI зеркашӣ, рамзкушоӣ ва иҷро мекунанд, бе он ки файли иҷрошавандаи ransomware-ро дар диск гузоранд.

Ба ҳамин монанд Троянҳои дастрасии дурдаст (RATs)Клавиатураҳои калидӣ ё дуздони эътимоднома метавонанд ба таври нимфайлӣ кор кунанд, модулҳоро мувофиқи талабот бор кунанд ва мантиқи асосиро дар равандҳои қонунии система ҷойгир кунанд.

Маҷмӯаҳои истисмор ва эътимодномаҳои дуздидашуда

Маҷмӯаҳои эксплуататсияи веб қисми дигари муаммо мебошанд: онҳо нармафзори насбшударо муайян мекунанд, Онҳо эксплойти мувофиқро интихоб мекунанд ва бори фоидаоварро мустақиман ба хотира ворид мекунанд., аксар вақт бе захира кардани чизе дар диск.

Аз тарафи дигар, истифодаи эътимодномаҳои дуздидашуда Ин векторест, ки бо усулҳои бефайл хеле хуб мувофиқ аст: ҳамлагар ҳамчун корбари қонунӣ тасдиқ мекунад ва аз он ҷо аз абзорҳои маъмурии маҳаллӣ (PowerShell Remoting, WMI, PsExec) сӯиистифода мекунад, то скриптҳо ва фармонҳоеро ҷойгир кунад, ки ягон нишонаҳои классикии нармафзори зарароварро боқӣ намегузоранд.

Чаро ошкор кардани нармафзори зараровари бефайл ин қадар душвор аст?

Сабаби аслӣ дар он аст, ки ин намуди таҳдид махсус тарҳрезӣ шудааст аз қабатҳои анъанавии дифоъӣ гузаштанбар асоси имзоҳо, рӯйхатҳои сафед ва сканҳои даврии файлҳо.

Агар рамзи зараровар ҳеҷ гоҳ ҳамчун файли иҷрошаванда дар диск сабт нашавад ё он дар контейнерҳои омехта ба монанди WMI, Registry ё нармафзори хурд пинҳон шавад, нармафзори анъанавии антивирус барои таҳлил хеле кам аст. Ба ҷои "файли шубҳанок", он чизе, ки шумо доред, инҳоянд равандҳои қонуние, ки ғайримуқаррарӣ рафтор мекунанд.

Ғайр аз ин, он абзорҳоеро ба монанди PowerShell, макросҳои Office ё WMI ба таври куллӣ масдуд мекунад. Он дар бисёр ташкилотҳо қобили қабул нестЗеро онҳо барои маъмурият, автоматикунонӣ ва амалиёти ҳаррӯза муҳиманд. Ин ҷонибдоронро маҷбур мекунад, ки хеле эҳтиёткор бошанд.

Баъзе фурӯшандагон кӯшиш кардаанд, ки бо ислоҳи зуд (бастани умумии PowerShell, ғайрифаъолсозии пурраи макрос, муайянкунии танҳо дар абр ва ғайра) ҷуброн кунанд, аммо ин чораҳо одатан инҳоянд нокифоя ё аз ҳад зиёд халалдоркунанда барои тиҷорат.

Стратегияҳои муосир барои муайян ва қатъ кардани зараровари бефайл

Барои муқобила бо ин таҳдидҳо, зарур аст, ки танҳо аз сканкунии файлҳо берун равем ва равиши мақсаднокро қабул кунем. рафтор, телеметрияи вақти воқеӣ ва намоёнии амиқ аз нуқтаи ниҳоӣ.

Назорати рафтор ва хотира

Як равиши муассир мушоҳидаи он чизеро, ки равандҳо дар асл анҷом медиҳанд, дар бар мегирад: онҳо кадом фармонҳоро иҷро мекунанд, ба кадом захираҳо дастрасӣ доранд ва кадом пайвастҳоро барқарор мекунандчӣ гуна онҳо бо ҳамдигар алоқаманданд ва ғайра. Гарчанде ки ҳазорҳо вариантҳои нармафзори зараровар мавҷуданд, намунаҳои рафтори зараровар хеле маҳдудтаранд. Инро инчунин бо ... пурра кардан мумкин аст Ошкоркунии пешрафта бо YARA.

Роҳҳои ҳалли муосир ин телеметрияро бо таҳлили дохили хотира, эвристикаи пешрафта ва омӯзиши мошин барои муайян кардани занҷирҳои ҳамла, ҳатто вақте ки рамз хеле печида аст ё қаблан ҳеҷ гоҳ дида нашуда буд.

Истифодаи интерфейсҳои системавӣ ба монанди AMSI ва ETW

Windows технологияҳоеро пешниҳод мекунад, ба монанди Интерфейси сканкунии зидди нармафзор (AMSI) y Пайгирии рӯйдодҳо барои Windows (ETW) Ин манбаъҳо имкон медиҳанд, ки скриптҳо ва рӯйдодҳои система дар сатҳи хеле паст тафтиш карда шаванд. Ҳамгироии ин манбаъҳо ба роҳҳои ҳалли амниятӣ ошкоркуниро осон мекунад. рамзи зараровар пеш аз ё ҳангоми иҷрои он.

Илова бар ин, таҳлили соҳаҳои муҳим - вазифаҳои ба нақша гирифташуда, обунаҳои WMI, калидҳои сабти номи боркунӣ ва ғайра - барои муайян кардани ... кӯмак мекунад. устувории пинҳонии бефайл ки бо сканкунии оддии файлҳо нодида гирифта метавонад.

Шикори таҳдид ва нишондиҳандаҳои ҳамла (IoA)

Азбаски нишондиҳандаҳои классикӣ (хэшҳо, роҳҳои файл) ноком мешаванд, тавсия дода мешавад, ки ба нишондиҳандаҳои ҳамла (IoA), ки рафторҳои шубҳанок ва пайдарпайии амалҳоеро тавсиф мекунанд, ки бо тактикаҳои маълум мувофиқанд.

Гурӯҳҳои шикори таҳдидҳо - дохилӣ ё тавассути хидматҳои идорашаванда - метавонанд фаъолона ҷустуҷӯ кунанд шаклҳои ҳаракати паҳлӯӣ, сӯиистифода аз абзорҳои маҳаллӣ, аномалияҳо дар истифодаи PowerShell ё дастрасии беиҷозат ба маълумоти ҳассос, ошкор кардани таҳдидҳои бефайл пеш аз он ки онҳо офатро ба вуҷуд оранд.

EDR, XDR ва SOC 24/7

Платформаҳои муосири EDR ва XDR (Ошкоркунӣ ва вокуниш дар сатҳи васеъ) намоёнӣ ва ҳамбастагии заруриро барои барқарор кардани таърихи пурраи ҳодиса, аз почтаи электронии аввалини фишинг то эксфилтратсияи ниҳоӣ, таъмин мекунад.

Дар якҷоягӣ бо SOC-и амалиётӣ 24/7Онҳо на танҳо имкон медиҳанд, ки муайян карда шаванд, балки инчунин нигоҳ доштан ва ба таври худкор ислоҳ кардан фаъолияти зараровар: ҷудо кардани компютерҳо, масдуд кардани равандҳо, баргардонидани тағирот ба Феҳрист ё бекор кардани рамзгузорӣ дар ҳолати имконпазир.

Усулҳои нармафзори зараровари бефайл бозиро тағйир доданд: танҳо иҷро кардани сканкунии антивирус ва нест кардани файли шубҳаноки иҷрошаванда дигар кофӣ нест. Имрӯз, мудофиа фаҳмидани он аст, ки чӣ гуна ҳамлагарон аз осебпазириҳо тавассути пинҳон кардани рамз дар хотира, Феҳрист, WMI ё нармафзори нармафзор ва истифодаи якҷояи мониторинги рафторӣ, таҳлили дохили хотира, EDR/XDR, шикори таҳдидҳо ва таҷрибаҳои беҳтарин истифода мебаранд. Таъсири онро воқеан кам кунед Ҳамлаҳое, ки аз рӯи тарҳ кӯшиш мекунанд, ки дар ҷое, ки роҳҳои ҳалли анъанавӣ бештар ба назар мерасанд, ягон нишона нагузоранд, стратегияи куллӣ ва доимиро талаб мекунанд. Дар сурати созиш, донистан Windows пас аз вируси ҷиддӣ барқарор кунед муҳим аст.