فائل لیس فائلوں کی شناخت: میموری میں میلویئر کا پتہ لگانے اور روکنے کے لیے ایک مکمل گائیڈ

وہ حملے جو ڈسک پر کوئی نشان چھوڑے بغیر کام کرتے ہیں بہت سی سیکیورٹی ٹیموں کے لیے ایک بڑا درد سر بن گئے ہیں کیونکہ وہ مکمل طور پر میموری میں کام کرتے ہیں اور نظام کے جائز عمل کا استحصال کرتے ہیں۔ اس لیے جاننے کی اہمیت فائل لیس فائلوں کی شناخت کیسے کریں۔ اور ان کے خلاف اپنا دفاع کریں۔

شہ سرخیوں اور رجحانات سے ہٹ کر، یہ سمجھنا کہ وہ کیسے کام کرتے ہیں، وہ اتنے پرجوش کیوں ہیں، اور کون سی نشانیاں ہمیں ان کا پتہ لگانے کی اجازت دیتی ہیں، واقعہ کو شامل کرنے اور خلاف ورزی پر افسوس کرنے میں فرق پیدا کرتی ہے۔ درج ذیل سطور میں، ہم مسئلہ کا تجزیہ کرتے ہیں اور تجویز کرتے ہیں۔ حل.

فائل لیس میلویئر کیا ہے اور اس سے فرق کیوں پڑتا ہے؟

 

فائل لیس میلویئر ایک مخصوص خاندان نہیں ہے، بلکہ کام کرنے کا ایک طریقہ ہے: ڈسک پر ایگزیکیوٹیبل لکھنے سے گریز کریں۔ یہ بدنیتی پر مبنی کوڈ کو انجام دینے کے لیے سسٹم میں پہلے سے موجود سروسز اور بائنریز کا استعمال کرتا ہے۔ آسانی سے اسکین کرنے کے قابل فائل کو چھوڑنے کے بجائے، حملہ آور قابل اعتماد افادیت کا غلط استعمال کرتا ہے اور اپنی منطق کو براہ راست RAM میں لوڈ کرتا ہے۔

یہ نقطہ نظر اکثر 'لینڈ آف دی لینڈ' کے فلسفے میں شامل ہوتا ہے: حملہ آور آلہ کار بناتے ہیں۔ مقامی ٹولز جیسے PowerShell، WMI، mshta، rundll32 یا اسکرپٹنگ انجن جیسے VBScript اور JScript اپنے مقاصد کو کم سے کم شور کے ساتھ حاصل کرنے کے لیے۔

اس کی سب سے زیادہ نمائندہ خصوصیات میں سے ہم تلاش کرتے ہیں: غیر مستحکم میموری میں عملدرآمد، ڈسک پر بہت کم یا کوئی مستقل مزاجی، سسٹم کے دستخط شدہ اجزاء کا استعمال اور دستخط پر مبنی انجنوں کے خلاف چوری کی زیادہ صلاحیت۔

اگرچہ ریبوٹ کے بعد بہت سے پے لوڈ غائب ہو جاتے ہیں، لیکن دھوکہ نہ کھائیں: مخالفین استقامت قائم کر سکتے ہیں۔ رجسٹری کیز، WMI سبسکرپشنز، یا طے شدہ کاموں کا فائدہ اٹھا کر، یہ سب ڈسک پر مشکوک بائنریز چھوڑے بغیر۔

ہمیں فائل لیس فائلوں کی شناخت کرنا اتنا مشکل کیوں لگتا ہے؟

پہلی رکاوٹ واضح ہے: معائنہ کرنے کے لیے کوئی غیر معمولی فائلیں نہیں ہیں۔دستخطوں اور فائلوں کے تجزیے پر مبنی روایتی اینٹی وائرس پروگراموں میں تدبیر کی بہت کم گنجائش ہوتی ہے جب عمل درست عمل میں رہتا ہے اور بدنیتی پر مبنی منطق میموری میں رہتی ہے۔

دوسرا زیادہ لطیف ہے: حملہ آور خود کو پیچھے چھپاتے ہیں۔ آپریٹنگ سسٹم کے جائز عملاگر PowerShell یا WMI کو انتظامیہ کے لیے روزانہ استعمال کیا جاتا ہے، تو آپ سیاق و سباق اور رویے کی ٹیلی میٹری کے بغیر نارمل استعمال سے عام استعمال کو کیسے الگ کر سکتے ہیں؟

مزید برآں، اہم ٹولز کو آنکھیں بند کر کے روکنا ممکن نہیں ہے۔ پاور شیل یا آفس میکرو کو پورے بورڈ میں غیر فعال کرنے سے آپریشنز ٹوٹ سکتے ہیں اور یہ بدسلوکی کو مکمل طور پر روک نہیں سکتاکیونکہ سادہ بلاکس کو روکنے کے لیے متعدد متبادل طریقے اور تکنیک موجود ہیں۔

ان سب کو ختم کرنے کے لیے، کلاؤڈ بیسڈ یا سرور سائڈ کا پتہ لگانے میں مسائل کو روکنے میں بہت دیر ہو چکی ہے۔ مسئلے میں ریئل ٹائم مقامی مرئیت کے بغیر... کمانڈ لائنز، عمل کے تعلقات، اور لاگ ایونٹسایجنٹ مکھی پر ایک بدنیتی پر مبنی بہاؤ کو کم نہیں کر سکتا جو ڈسک پر کوئی نشان نہیں چھوڑتا ہے۔

فائل لیس حملہ شروع سے آخر تک کیسے کام کرتا ہے۔

ابتدائی رسائی عام طور پر ہمیشہ کی طرح ایک ہی ویکٹر کے ساتھ ہوتی ہے: دفتری دستاویزات کے ساتھ فشنگ جو فعال مواد، سمجھوتہ شدہ سائٹس کے لنکس، بے نقاب ایپلی کیشنز میں کمزوریوں کا استحصال، یا RDP یا دیگر خدمات کے ذریعے رسائی کے لیے لیک شدہ اسناد کا غلط استعمال کرنے کے لیے کہتا ہے۔

ایک بار اندر جانے کے بعد، مخالف ڈسک کو چھوئے بغیر عمل کرنے کی کوشش کرتا ہے۔ ایسا کرنے کے لیے، وہ نظام کے افعال کو ایک ساتھ جوڑتے ہیں: دستاویزات میں میکروز یا ڈی ڈی ای جو کمانڈز لانچ کرتے ہیں، RCE کے لیے اوور فلو کا فائدہ اٹھاتے ہیں، یا قابل اعتماد بائنریز کو طلب کرتے ہیں جو میموری میں کوڈ کو لوڈ کرنے اور اس پر عمل کرنے کی اجازت دیتے ہیں۔

اگر آپریشن کو تسلسل کی ضرورت ہے تو، نئے ایگزیکیوٹیبلز کو تعینات کیے بغیر استقامت کو لاگو کیا جا سکتا ہے: رجسٹری میں اسٹارٹ اپ اندراجاتWMI سبسکرپشنز جو سسٹم کے واقعات یا طے شدہ کاموں پر رد عمل ظاہر کرتی ہیں جو مخصوص حالات میں اسکرپٹ کو متحرک کرتی ہیں۔

عمل درآمد کے قائم ہونے کے ساتھ، مقصد درج ذیل اقدامات کا حکم دیتا ہے: بعد میں منتقل، ڈیٹا کو نکالنااس میں اسناد چوری کرنا، RAT کی تعیناتی، کریپٹو کرنسیوں کی کان کنی، یا رینسم ویئر کے معاملے میں فائل انکرپشن کو چالو کرنا شامل ہے۔ یہ سب کچھ، جب ممکن ہو، موجودہ افعال کا فائدہ اٹھا کر کیا جاتا ہے۔

شواہد کو ہٹانا منصوبے کا حصہ ہے: مشکوک بائنریز نہ لکھ کر، حملہ آور ان نمونوں کو نمایاں طور پر کم کر دیتا ہے جس کا تجزیہ کیا جائے۔ ان کی سرگرمی کو عام واقعات کے درمیان ملانا سسٹم کا اور جب ممکن ہو عارضی نشانات کو حذف کرنا۔

تکنیک اور اوزار جو وہ عام طور پر استعمال کرتے ہیں۔

کیٹلاگ وسیع ہے، لیکن یہ تقریباً ہمیشہ مقامی افادیت اور قابل اعتماد راستوں کے گرد گھومتا ہے۔ یہ سب سے زیادہ عام ہیں، ہمیشہ کے مقصد کے ساتھ میموری میں عملدرآمد کو زیادہ سے زیادہ کریں۔ اور نشان کو دھندلا کریں:

• پاورشیلطاقتور اسکرپٹنگ، ونڈوز APIs تک رسائی، اور آٹومیشن۔ اس کی استعداد اسے انتظامیہ اور جارحانہ استعمال دونوں کے لیے پسندیدہ بناتی ہے۔
• WMI (ونڈوز مینجمنٹ انسٹرومینٹیشن)یہ آپ کو سسٹم کے واقعات کے بارے میں استفسار کرنے اور ان پر ردعمل ظاہر کرنے کے ساتھ ساتھ ریموٹ اور مقامی کارروائیوں کو انجام دینے کی اجازت دیتا ہے۔ کے لیے مفید ہے۔ استقامت اور آرکیسٹریشن.
• VBScript اور JScript: انجن بہت سے ماحول میں موجود ہیں جو نظام کے اجزاء کے ذریعے منطق کو انجام دینے میں سہولت فراہم کرتے ہیں۔
• mshta، rundll32 اور دیگر قابل اعتماد بائنریز: معروف LoLBins جو، جب مناسب طریقے سے منسلک ہوتے ہیں، کر سکتے ہیں۔ نمونے چھوڑے بغیر کوڈ پر عمل کریں۔ ڈسک پر واضح.
• فعال مواد کے ساتھ دستاویزاتآفس میں میکروس یا ڈی ڈی ای کے ساتھ ساتھ جدید خصوصیات والے پی ڈی ایف ریڈرز میموری میں کمانڈز لانچ کرنے کے لیے اسپرنگ بورڈ کے طور پر کام کر سکتے ہیں۔
• ونڈوز رجسٹری: سیلف بوٹ کیز یا پے لوڈز کا انکرپٹڈ/پوشیدہ ذخیرہ جو سسٹم کے اجزاء کے ذریعے چالو کیا جاتا ہے۔
• عمل میں قبضہ اور انجکشن: چلانے کے عمل کی میموری کی جگہ میں ترمیم کے لیے بدنیتی پر مبنی منطق کی میزبانی کریں۔ ایک جائز قابل عمل کے اندر۔
• آپریٹنگ کٹس: شکار کے نظام میں کمزوریوں کا پتہ لگانا اور ڈسک کو چھوئے بغیر عمل درآمد کو حاصل کرنے کے لیے موزوں کارناموں کی تعیناتی۔

کمپنیوں کے لیے چیلنج (اور کیوں صرف ہر چیز کو مسدود کرنا کافی نہیں ہے)

ایک سادہ نقطہ نظر ایک سخت اقدام کی تجویز کرتا ہے: پاور شیل کو مسدود کرنا، میکروز پر پابندی لگانا، بائنریز جیسے rundll32 کو روکنا۔ حقیقت زیادہ باریک ہے: ان میں سے بہت سے اوزار ضروری ہیں۔ روزانہ آئی ٹی آپریشنز اور انتظامی آٹومیشن کے لیے۔

اس کے علاوہ، حملہ آور خامیاں تلاش کرتے ہیں: اسکرپٹنگ انجن کو دوسرے طریقوں سے چلانا، متبادل کاپیاں استعمال کریں۔آپ تصاویر میں منطق کو پیک کر سکتے ہیں یا کم مانیٹر شدہ LoLBins کا سہارا لے سکتے ہیں۔ بروٹ بلاکنگ بالآخر مکمل دفاع فراہم کیے بغیر رگڑ پیدا کرتی ہے۔

خالصتاً سرور سائیڈ یا کلاؤڈ بیسڈ تجزیہ بھی مسئلہ حل نہیں کرتا۔ بھرپور اینڈ پوائنٹ ٹیلی میٹری کے بغیر اور بغیر ایجنٹ خود میں ردعملفیصلہ دیر سے آتا ہے اور روک تھام ممکن نہیں کیونکہ ہمیں بیرونی فیصلے کا انتظار کرنا پڑتا ہے۔

دریں اثنا، مارکیٹ کی رپورٹوں نے طویل عرصے سے اس علاقے میں بہت اہم ترقی کی طرف اشارہ کیا ہے، جہاں چوٹیوں کے ساتھ پاور شیل کا غلط استعمال کرنے کی کوششیں تقریباً دگنی ہوگئیں۔ مختصر مدت میں، جو اس بات کی تصدیق کرتا ہے کہ یہ مخالفین کے لیے ایک بار بار چلنے والا اور منافع بخش حربہ ہے۔

جدید پتہ لگانے: فائل سے رویے تک

کلید یہ نہیں ہے کہ کون پھانسی دیتا ہے، بلکہ یہ ہے کہ کیسے اور کیوں۔ کی نگرانی عمل کا رویہ اور اس کے تعلقات یہ فیصلہ کن ہے: کمانڈ لائن، پروسیس وراثت، حساس API کالز، آؤٹ باؤنڈ کنکشن، رجسٹری میں ترمیم، اور WMI ایونٹس۔

یہ نقطہ نظر چوری کی سطح کو کافی حد تک کم کرتا ہے: یہاں تک کہ اگر بائنریز میں تبدیلی شامل ہو، حملے کے نمونے دہرائے جاتے ہیں۔ (اسکرپٹس جو میموری میں ڈاؤن لوڈ اور عمل کرتے ہیں، LoLBins کا غلط استعمال، ترجمانوں کی درخواست وغیرہ)۔ اس اسکرپٹ کا تجزیہ کرنا، فائل کی 'شناخت' کا نہیں، پتہ لگانے میں بہتری لاتا ہے۔

مؤثر EDR/XDR پلیٹ فارمز واقعات کی مکمل تاریخ کو دوبارہ تشکیل دینے کے لیے سگنلز کو آپس میں جوڑتے ہیں۔ بنیادی وجہ اس عمل کو موردِ الزام ٹھہرانے کے بجائے جو 'ظاہر ہوا'، یہ بیانیہ منسلکات، میکرو، ترجمانوں، پے لوڈز، اور مستقل مزاجی کو جوڑتا ہے تاکہ پورے بہاؤ کو کم کیا جا سکے، نہ کہ صرف ایک الگ تھلگ حصہ۔

فریم ورک کا اطلاق جیسے میٹر اے ٹی ٹی اینڈ سی کے یہ مشاہدہ شدہ حکمت عملیوں اور تکنیکوں (TTPs) کو نقشہ بنانے میں مدد کرتا ہے اور دلچسپی کے طرز عمل کی طرف خطرے کے شکار کی رہنمائی کرتا ہے: عملدرآمد، استقامت، دفاعی چوری، اسناد تک رسائی، دریافت، پس منظر کی نقل و حرکت اور اخراج۔

آخر میں، اختتامی نقطہ رسپانس آرکیسٹریشن فوری ہونا چاہیے: ڈیوائس کو الگ کر دیں، اختتامی عمل شامل، رجسٹری یا ٹاسک شیڈیولر میں تبدیلیاں واپس کریں اور بیرونی تصدیق کا انتظار کیے بغیر مشکوک آؤٹ گوئنگ کنکشن بلاک کریں۔

مفید ٹیلی میٹری: کیا دیکھنا ہے اور کس طرح ترجیح دی جائے۔

سسٹم کو سیر کیے بغیر پتہ لگانے کے امکان کو بڑھانے کے لیے، یہ مشورہ دیا جاتا ہے کہ زیادہ قیمت والے سگنلز کو ترجیح دیں۔ کچھ ذرائع اور کنٹرول جو سیاق و سباق فراہم کرتے ہیں۔ فائل لیس کے لیے اہم آواز:

• تفصیلی پاور شیل لاگ اور دوسرے ترجمان: اسکرپٹ بلاک لاگ، کمانڈ ہسٹری، بھری ہوئی ماڈیولز، اور AMSI ایونٹس، جب دستیاب ہوں۔
• WMI ذخیرہایونٹ کے فلٹرز، صارفین اور لنکس کی تخلیق یا ترمیم کے حوالے سے انوینٹری اور الرٹ، خاص طور پر حساس نام کی جگہوں میں۔
• سیکیورٹی ایونٹس اور سیسمون: عمل کا ارتباط، تصویر کی سالمیت، میموری لوڈنگ، انجیکشن، اور طے شدہ کاموں کی تخلیق۔
• ریڈ: غیرمعمولی آؤٹ باؤنڈ کنکشن، بیکننگ، پے لوڈ ڈاؤن لوڈ پیٹرن، اور اخراج کے لیے خفیہ چینلز کا استعمال۔

آٹومیشن گندم کو بھوسے سے الگ کرنے میں مدد کرتا ہے: رویے پر مبنی پتہ لگانے کے اصول، اجازت کی فہرست قانونی انتظامیہ اور خطرے کی ذہانت کے ساتھ افزودگی غلط مثبت کو محدود کرتی ہے اور ردعمل کو تیز کرتی ہے۔

روک تھام اور سطح کی کمی

کوئی ایک پیمائش کافی نہیں ہے، لیکن ایک تہہ دار دفاع خطرے کو بہت کم کر دیتا ہے۔ روک تھام کی طرف، کارروائی کی کئی لائنیں سامنے آتی ہیں۔ ویکٹر تراشنا اور مخالف کی زندگی کو مزید مشکل بناتا ہے:

• میکرو مینجمنٹ: بطور ڈیفالٹ غیر فعال کریں اور صرف اس وقت اجازت دیں جب بالکل ضروری اور دستخط شدہ ہوں۔ گروپ کی پالیسیوں کے ذریعے دانے دار کنٹرول۔
• ترجمانوں اور LoLBins کی پابندی: AppLocker/WDAC یا مساوی لاگو کریں، جامع لاگنگ کے ساتھ اسکرپٹس اور ایگزیکیوشن ٹیمپلیٹس کا کنٹرول۔
• پیچ اور تخفیف: قابل استعمال کمزوریوں کو بند کریں اور میموری کے تحفظات کو فعال کریں جو RCE اور انجیکشن کو محدود کرتے ہیں۔
• مضبوط تصدیقاسناد کے غلط استعمال کو روکنے کے لیے MFA اور صفر اعتماد کے اصول اور پس منظر کی تحریک کو کم کریں.
• آگاہی اور نقالیفشنگ کے بارے میں عملی تربیت، فعال مواد کے ساتھ دستاویزات، اور غیر معمولی عمل درآمد کی علامات۔

یہ اقدامات ایسے حلوں سے مکمل ہوتے ہیں جو ٹریفک اور میموری کا تجزیہ کرتے ہیں تاکہ حقیقی وقت میں بدنیتی پر مبنی رویے کی نشاندہی کی جا سکے۔ تقسیم کی پالیسیاں اور جب کوئی چیز پھسل جاتی ہے تو اس پر اثر ڈالنے کے لیے کم سے کم مراعات۔

خدمات اور نقطہ نظر جو کام کر رہے ہیں۔

بہت سے اختتامی نکات اور اعلی تنقیدی ماحول میں، منظم پتہ لگانے اور جوابی خدمات کے ساتھ 24/7 نگرانی انہوں نے واقعہ کی روک تھام کو تیز کرنے کا ثبوت دیا ہے۔ SOC، EMDR/MDR، اور EDR/XDR کا امتزاج ماہر آنکھیں، بھرپور ٹیلی میٹری، اور مربوط جوابی صلاحیتیں فراہم کرتا ہے۔

سب سے زیادہ مؤثر فراہم کنندگان نے رویے میں تبدیلی کو اندرونی بنا دیا ہے: ہلکے وزن والے ایجنٹ دانا کی سطح پر سرگرمی کو مربوط کریں۔وہ حملے کی مکمل تاریخوں کی تشکیل نو کرتے ہیں اور تبدیلیوں کو کالعدم کرنے کی رول بیک صلاحیت کے ساتھ، نقصان دہ زنجیروں کا پتہ لگانے پر خودکار تخفیف کا اطلاق کرتے ہیں۔

متوازی طور پر، اینڈ پوائنٹ پروٹیکشن سویٹس اور XDR پلیٹ فارم ورک سٹیشنز، سرورز، شناخت، ای میل، اور کلاؤڈ پر مرکزی مرئیت اور خطرے کے انتظام کو مربوط کرتے ہیں۔ مقصد ختم کرنا ہے حملے کا سلسلہ اس سے قطع نظر کہ فائلیں شامل ہیں یا نہیں۔

خطرے کے شکار کے لیے عملی اشارے

اگر آپ کو تلاش کے مفروضوں کو ترجیح دینی ہے تو، سگنلز کو یکجا کرنے پر توجہ دیں: ایک دفتری عمل جو غیر معمولی پیرامیٹرز کے ساتھ ایک ترجمان کا آغاز کرتا ہے، WMI سبسکرپشن تخلیق ایک دستاویز کھولنے کے بعد، سٹارٹ اپ کیز میں ترمیم اور اس کے بعد خراب ساکھ والے ڈومینز سے کنکشن۔

ایک اور مؤثر طریقہ یہ ہے کہ آپ اپنے ماحول کی بنیادوں پر انحصار کریں: آپ کے سرورز اور ورک سٹیشنز پر کیا معمول ہے؟ کوئی انحراف (ترجمان کے والدین کے طور پر ظاہر ہونے والی نئی دستخط شدہ بائنریز، کارکردگی میں اچانک اضافہ (اسکرپٹ کے، مبہم کے ساتھ کمانڈ سٹرنگز) تحقیقات کے مستحق ہیں۔

آخر میں، یادداشت کو نہ بھولیں: اگر آپ کے پاس ایسے ٹولز ہیں جو چلنے والے علاقوں کا معائنہ کرتے ہیں یا سنیپ شاٹس حاصل کرتے ہیں، RAM میں نتائج وہ فائل لیس سرگرمی کا قطعی ثبوت ہو سکتے ہیں، خاص طور پر جب فائل سسٹم میں کوئی نمونے نہ ہوں۔

ان ہتھکنڈوں، تکنیکوں اور کنٹرولوں کا امتزاج خطرے کو ختم نہیں کرتا، لیکن یہ آپ کو وقت پر اس کا پتہ لگانے کے لیے بہتر پوزیشن میں رکھتا ہے۔ زنجیر کاٹ دو اور اثر کو کم کریں.

جب ان سب کو انصاف کے ساتھ لاگو کیا جاتا ہے — اختتامی نقطہ سے بھرپور ٹیلی میٹری، رویے سے متعلق ارتباط، خودکار ردعمل، اور انتخابی سختی — فائل لیس حربہ اپنا زیادہ تر فائدہ کھو دیتا ہے۔ اور، اگرچہ یہ ترقی کرتا رہے گا، طرز عمل پر توجہ فائلوں کے بجائے، یہ آپ کے دفاع کے لیے اس کے ساتھ تیار ہونے کے لیے ایک ٹھوس بنیاد فراہم کرتا ہے۔