फाइललेस मालवेअर: ते काय आहे, ते कसे कार्य करते आणि ते कसे थांबवायचे

फाइललेस मालवेअर ही सायबरसुरक्षा संकल्पनांपैकी एक बनली आहे ज्याचा उल्लेख वाढत्या प्रमाणात केला जातो, परंतु बहुतेकदा तो अंशतःच समजला जातो. आम्ही त्या सामान्य व्हायरसबद्दल बोलत नाही आहोत जो तुम्ही .exe फाइलमध्ये डाउनलोड करता आणि जो तुमच्या हार्ड ड्राइव्हवर राहतो, तर त्याहूनही अधिक गुप्तपणे वापरला जाणारा एक व्हायरस आहे, जो प्रामुख्याने संगणकाच्या मेमरीमध्ये फिरतो आणि ऑपरेटिंग सिस्टमच्याच कायदेशीर साधनांवर अवलंबून असतो.

दुसऱ्या शब्दांत, फाइललेस मालवेअरला क्लासिक प्रोग्रामप्रमाणे इन्स्टॉल करण्याची आवश्यकता नाही. हानी पोहोचवण्यासाठी, ते स्क्रिप्ट्स, विंडोज प्रक्रिया आणि पॉवरशेल, डब्ल्यूएमआय किंवा अगदी रजिस्ट्री सारख्या घटकांचा वापर करून पार्श्वभूमीत दुर्भावनापूर्ण कोड कार्यान्वित करते. यामुळे पारंपारिक अँटीव्हायरस सोल्यूशन्ससह शोध घेणे अत्यंत कठीण होते आणि वर्तनात्मक विश्लेषण आणि सतत देखरेखीकडे संरक्षण धोरणात बदल आवश्यक असतो.

फाइललेस मालवेअर म्हणजे नेमके काय?

जेव्हा आपण फाइललेस मालवेअरबद्दल बोलतो तेव्हा आपला अर्थ असा होतो हे अशा प्रकारच्या धोक्यांना सूचित करते जे शक्य तितके हार्ड ड्राइव्हवर सतत दुर्भावनापूर्ण फाइल्स लिहिणे टाळते. त्याऐवजी, हल्लेखोर कोड थेट मेमरी (RAM) मध्ये किंवा सिस्टममध्ये आधीच अस्तित्वात असलेल्या विश्वसनीय प्रक्रियांद्वारे इंजेक्ट करतो किंवा कार्यान्वित करतो.

पारंपारिक मालवेअरमध्येहल्लेखोर एक एक्झिक्युटेबल फाइल तयार करतो, ती वितरित करतो (उदाहरणार्थ, ईमेल अटॅचमेंट किंवा वेब डाउनलोडद्वारे), पीडित ती चालवतो आणि ती बायनरी फाइल प्रत्येक रीस्टार्टनंतर पुन्हा लाँच करण्यासाठी सिस्टमवर राहते. फाइललेस मॉडेलमध्ये, यापैकी बरेच घटक स्क्रिप्ट्स किंवा कमांडद्वारे बदलले जातात जे मेमरीमध्ये "लाइव्ह" असतात, बिल्ट-इन विंडोज युटिलिटीजवर अवलंबून असतात आणि डिस्कवरील ट्रेस मिटवतात किंवा कमी करतात.

२०१७ पासून हा दृष्टिकोन विशेषतः लोकप्रिय झाला.या वेळी अधिक मोठ्या मोहिमा शोधल्या जाऊ लागल्या, आता त्या केवळ अत्यंत लक्ष्यित हल्ल्यांपुरत्या मर्यादित न राहता. तेव्हापासून, कॅस्परस्की, सेंटिनेलवन आणि इतर प्रमुख सुरक्षा प्रदात्यांसारख्या उत्पादकांनी त्यांच्या हल्ल्याच्या साखळीत फाइललेस घटकांसह ट्रोजन, अॅडवेअर आणि क्लिकर्सच्या कुटुंबांचा उदय पाहिला आहे.

एक महत्त्वाचे वैशिष्ट्य समस्या अशी आहे की बर्‍याच वेळा आपण कार्यक्षमतेच्या बाबतीत "नवीन प्रकारच्या मालवेअर"शी व्यवहार करत नाही, तर त्याच जुन्या धोक्यांचा वापर करण्याच्या नवीन पद्धतीचा वापर करतो: रॅन्समवेअर, क्रेडेन्शियल चोर, RAT (रिमोट अॅक्सेस टूल्स) किंवा क्रिप्टोमायनर्स सिग्नेचर-आधारित डिटेक्शन बायपास करण्यासाठी फाइललेस तंत्रांचा वापर करू शकतात.

सिस्टमवर फाइललेस मालवेअर कसे काम करते

या हल्ल्यांचे मूलभूत तंत्र हे क्लासिक मालवेअरपेक्षा एका महत्त्वाच्या पैलूमध्ये वेगळे आहे: दुर्भावनापूर्ण कोड डिस्कवर दृश्यमान एक्झिक्युटेबल म्हणून टाकला जात नाही. सामान्यतः, अनुप्रयोग स्टोरेजमध्ये स्थापित केले जातात किंवा कॉपी केले जातात आणि जेव्हा वापरकर्ता त्यांना उघडतो तेव्हा एक प्रत मेमरीमध्ये लोड केली जाते. फाइललेस मालवेअरच्या बाबतीत, ही डिस्क-लेखन पायरी बायपास केली जाते आणि ती जवळजवळ पूर्णपणे प्री-लोड केलेल्या प्रक्रियांमधून चालते.

हे साध्य करण्यासाठी, हल्लेखोर जमिनीपासून दूर राहण्याचा गैरवापर करतात.ते परदेशी बायनरीजऐवजी कायदेशीर सिस्टम फंक्शन्स, स्क्रिप्ट्स आणि टूल्स (LoLBins) वापरतात. विंडोज वातावरणात पॉवरशेल हे एक उत्तम उदाहरण आहे, कारण ते सिस्टम API ला विशेषाधिकारित प्रवेश प्रदान करते आणि जटिल स्क्रिप्ट्स एकाच कमांड लाइनसह चालवण्याची परवानगी देते.

एक सामान्य हल्ल्याची परिस्थिती त्याची सुरुवात एका फिशिंग ईमेलने होते ज्यामध्ये एक दुर्भावनापूर्ण लिंक किंवा अटॅचमेंट असते. हा मेसेज निकडीची किंवा विश्वासाची भावना निर्माण करण्याचा प्रयत्न करतो (उदाहरणार्थ, वित्त, मानव संसाधन किंवा पुरवठादाराची तोतयागिरी करून) आणि वापरकर्त्याला फाइल उघडण्यास किंवा लिंकवर क्लिक करण्यास प्रवृत्त करतो. तिथून, मॅक्रो, पॉवरशेल कमांड, VBScript किंवा JScript स्क्रिप्ट ट्रिगर केल्या जाऊ शकतात, पेलोड थेट मेमरीमध्ये डाउनलोड किंवा कार्यान्वित केला जाऊ शकतो.

बऱ्याच प्रकरणांमध्ये, भेद्यतेचा गैरफायदा घेतला जातो.ब्राउझर, प्लगइन किंवा डेस्कटॉप अॅप्लिकेशनमध्ये बफर ओव्हरफ्लो किंवा रिमोट कोड एक्झिक्युशन (RCE) व्हेरनेबिलिटीमुळे हल्लेखोर डिस्कवर न लिहिता, धोक्यात आलेल्या प्रक्रियेतच शेल कोड कार्यान्वित करू शकतो. तिथून, हल्लेखोर मेमरीमध्ये अधिक कोड इंजेक्ट करू शकतो, अतिरिक्त स्क्रिप्ट तैनात करू शकतो किंवा सिस्टम प्रक्रिया हाताळू शकतो.

इतर वेळी, फाइललेस मालवेअर विंडोज रजिस्ट्रीवर अवलंबून असते. फाइल सिस्टममध्ये "स्पष्ट" एक्झिक्युटेबल न सोडता स्थिरता स्थापित करण्यासाठी. उदाहरणार्थ, तुम्ही ऑटोरन कीच्या मूल्याप्रमाणे एन्कोडेड स्क्रिप्ट संग्रहित करू शकता आणि वापरकर्ता लॉग इन केल्यावर तो कोड डीकोड आणि एक्झिक्युट करण्यासाठी पॉवरशेल किंवा WMI सारखी साधने लाँच करू शकता.

फाइललेस मालवेअरद्वारे वापरल्या जाणाऱ्या मुख्य तंत्रे

आधुनिक मोहिमा अनेक फाइललेस तंत्रे एकत्र करतात चुकवणे आणि चिकाटी वाढविण्यासाठी. ते सर्व प्रत्येक हल्ल्याला लागू होत नाहीत, परंतु सर्वात सामान्य गोष्टी जाणून घेणे उपयुक्त आहे कारण ते सहसा एकत्र मिसळलेले दिसतात:

१. WMI (विंडोज मॅनेजमेंट इंस्ट्रुमेंटेशन) मधील दुर्भावनापूर्ण स्क्रिप्ट्स
एक सामान्य युक्ती म्हणजे WMI सबस्क्रिप्शनचा भाग म्हणून दुर्भावनापूर्ण स्क्रिप्ट्स साठवणे. काही सिस्टम इव्हेंट्स (जसे की स्टार्टअप किंवा लॉगिन) घडतात तेव्हा ही सबस्क्रिप्शन अंमलात आणली जाऊ शकतात, ज्यामुळे मालवेअर पारंपारिक एक्झिक्युटेबल फाइलशिवाय सक्रिय होऊ शकतात. कोड विंडोज मॅनेजमेंट इन्फ्रास्ट्रक्चरमध्येच एम्बेड केलेला राहतो.

२. पॉवरशेल हा मध्यवर्ती वेक्टर म्हणून
दुसरी क्लासिक पद्धत म्हणजे दुर्भावनापूर्ण स्क्रिप्ट थेट कमांड-लाइन पॅरामीटर म्हणून PowerShell ला पाठवणे. हे मॅक्रो असलेल्या ऑफिस डॉक्युमेंटमधून, वरवर पाहता कायदेशीर एक्झिक्युटेबलवरून किंवा mshta किंवा rundll32 सारख्या सिस्टम युटिलिटीज वापरून केले जाऊ शकते जे PowerShell लाँच करतात. हा दृष्टिकोन हल्लेखोरांना मेमरीमध्ये अतिरिक्त पेलोड ऑफलोड करण्यास, सिस्टम हाताळण्यास आणि डिस्कवर कायमचे काहीही न लिहिता कमांड आणि कंट्रोल सर्व्हरशी संवाद साधण्यास अनुमती देतो.

३. रजिस्ट्री किंवा टास्क शेड्युलरमध्ये साठवलेल्या स्क्रिप्ट्स
हल्लेखोर हार्डकोडेड स्क्रिप्ट्स विंडोज रजिस्ट्री कीज किंवा टास्क शेड्यूलर एंट्रीजमध्ये साठवतात. त्यानंतर एक वैध प्रक्रिया या स्क्रिप्ट्स वाचते आणि अंमलात आणते, बहुतेकदा powershell.exe, cscript, wscript किंवा अगदी cmd सारख्या LoLBins द्वारे. अशा प्रकारे, हल्लेखोराची चिकाटी सामान्य स्टार्टअप कॉन्फिगरेशन आणि शेड्यूल केलेल्या कार्यांमध्ये लपवली जाते.

४. मेमरीमध्ये परावर्तित होणारे .NET लोड
.NET मध्ये रिफ्लेक्शन तंत्रांचा वापर करून, भौतिक फाइल न लिहिता एक दुर्भावनापूर्ण बायनरी थेट मेमरीमध्ये असेंब्ली म्हणून लोड केली जाऊ शकते. हे लोड करणारे अनुप्रयोग कायदेशीर असू शकते किंवा प्रशासकीय साधनाचा भाग असू शकते, ज्यामुळे डिस्कवरील फायलींचे परीक्षण करून दुर्भावनापूर्ण क्रियाकलाप आणि कायदेशीर क्रियाकलाप वेगळे करणे अधिक कठीण होते.

५. मायक्रोसॉफ्टने स्वाक्षरी केलेल्या बायनरींचा वापर
मायक्रोसॉफ्टने स्वाक्षरी केलेले आणि सर्व विंडोज सिस्टीमवर असलेले mshta.exe किंवा rundll32.exe सारखे टूल्स लाँचर म्हणून वारंवार वापरले जातात. ते दुर्भावनापूर्ण कोड असलेल्या HTML, JavaScript, VBScript किंवा DLL स्क्रिप्ट्स कार्यान्वित करू शकतात. कारण त्या विश्वसनीय प्रक्रिया मानल्या जातात, अनेक मूलभूत सुरक्षा तपासणी त्यांना डीफॉल्टनुसार पास करण्याची परवानगी देतात.

६. मॅक्रो आणि इतर सक्रिय फंक्शन्स असलेले दस्तऐवज
वर्ड, एक्सेल, पॉवरपॉइंट किंवा पीडीएफ फाइल्समध्ये मॅक्रो, डीडीई फील्ड असू शकतात किंवा कमांड लाँच करण्यासाठी वाचक-विशिष्ट भेद्यतेचा फायदा घेऊ शकतात. स्वच्छ दिसणारा दस्तऐवज पॉवरशेल लाइन ट्रिगर करू शकतो जो मेमरीमध्ये पेलोड डाउनलोड करतो आणि कार्यान्वित करतो किंवा विद्यमान प्रक्रियांमध्ये कोड इंजेक्ट करतो, या सर्व गोष्टींमुळे पीडिताला "सामान्य" दस्तऐवजापेक्षा जास्त काहीही दिसत नाही.

७. HTTP द्वारे प्राप्त झालेले वेबशेल आणि घटक
सर्व्हर वातावरणात, हल्लेखोर वेबशेल (जसे की गॉडझिला आणि इतर) स्थापित करतात जे HTTP विनंत्यांद्वारे मालवेअर घटक प्राप्त करतात. हे तुकडे वेब सर्व्हर किंवा अनुप्रयोग प्रक्रियेत थेट मेमरीमध्ये इंजेक्ट केले जातात, डिस्कवर अतिरिक्त लायब्ररी किंवा बायनरी लिहिण्याची आवश्यकता नसताना.

फाइललेस मालवेअर हल्ल्याचे टप्पे

फाइललेस हल्ला सामान्यतः समान चरणांच्या साखळीचे अनुसरण करतो कोणत्याही मालवेअर घटनेसारखेच, परंतु भौतिक फाइल्सचा वापर कमीत कमी करण्यासाठी आणि विद्यमान प्रक्रियांमध्ये जास्तीत जास्त समर्थन देण्यासाठी अनुकूलित केले आहे.

१. उपकरणे किंवा नेटवर्कमध्ये प्रारंभिक प्रवेश
सर्वात सामान्य प्रवेश बिंदू म्हणजे फिशिंग: दुर्भावनापूर्ण साइट्सच्या लिंक्स असलेले ईमेल, मॅक्रो असलेले ऑफिस अटॅचमेंट, एक्सप्लोइट्स असलेले पीडीएफ किंवा कागदपत्रांच्या रूपात साधे एक्झिक्युटेबल. उघड झालेल्या सेवांमधील भेद्यता, वेब अनुप्रयोगांमधील त्रुटी किंवा चोरीला गेलेल्या क्रेडेन्शियल्सचा वापर आरडीपी किंवा इतर रिमोट अॅक्सेस सोल्यूशन्सद्वारे अॅक्सेस मिळविण्यासाठी केला जातो.

२. मेमरीमध्ये कोडची अंमलबजावणी
एकदा सुरुवातीची घुसखोरी साध्य झाली की, हल्लेखोर पॉवरशेल, WMI, VBScript, JScript किंवा शेलकोड स्क्रिप्ट्स वापरून फाइललेस कोड कार्यान्वित करतो जे चालू असलेल्या प्रक्रियांमध्ये इंजेक्ट केले जातात. अशा कमांड वापरणे सामान्य आहे जे स्क्रिप्ट थेट कमांड लाइनवर पाठवतात, बहुतेकदा अस्पष्ट असतात आणि निर्बंध टाळण्यासाठी बायपास मोडमध्ये पॉवरशेलची अंमलबजावणी धोरण कॉन्फिगर करतात.

३. चिकाटी आणि बाजूकडील हालचाल
रीबूट केल्यानंतर प्रवेश राखण्यासाठी, रजिस्ट्री, WMI सबस्क्रिप्शन, शेड्यूल केलेले कार्ये किंवा सुधारित "कायदेशीर" सेवा वापरून पर्सिस्टन्स मेकॅनिझम तयार केले जातात. तिथून, मालवेअर खराब झालेले क्रेडेन्शियल्स, मानक प्रशासकीय साधने आणि सामान्य कॉर्पोरेट प्रोटोकॉल वापरून इतर मशीनमध्ये पार्श्वभूमीने पसरू शकते, सर्व नवीन फाइल्सचा कमीत कमी वापर करून.

४. उद्दिष्टावरील कृती
शेवटच्या टप्प्यात, मालवेअर त्याचा उद्देश पूर्ण करतो: क्रेडेन्शियल्स चोरणे, रॅन्समवेअरसह फाइल्स एन्क्रिप्ट करणे, RATs स्थापित करणे, संवेदनशील माहिती बाहेर काढणे किंवा क्रिप्टोमायनर्स तैनात करणे. यापैकी अनेक कृती सौम्य प्रक्रियांद्वारे केल्या जातात ज्यांना फक्त "सक्तीने" असामान्यपणे वागण्यास भाग पाडले जाते.

फाइललेस मालवेअर काय करू शकते आणि ते इतके धोकादायक का आहे?

नुकसान करण्याच्या क्षमतेच्या बाबतीत, फाइललेस मालवेअरला जवळजवळ कोणतीही मर्यादा नाही. पारंपारिक मालवेअरच्या विपरीत, ते इन-मेमरी स्क्रिप्ट्स आणि विश्वसनीय प्रक्रिया वापरते जेणेकरून ते हे कार्य करतील:

माहिती आणि ओळखपत्रे चोर
ते कीस्ट्रोक लॉग करू शकते, ब्राउझर किंवा क्रेडेन्शियल मॅनेजर सारख्या प्रक्रियांच्या मेमरीमधून पासवर्ड डंप करू शकते आणि तो सर्व डेटा बाह्य सर्व्हरला पाठवू शकते. यापैकी बरेच ऑपरेशन्स प्रशासकीय साधनांद्वारे केले जात असल्याने, मूलभूत सूचना नेहमीच ट्रिगर केल्या जात नाहीत.

फाइललेस रॅन्समवेअर
काही रॅन्समवेअर कुटुंबांनी मेमरीमधून कार्यान्वित करण्यासाठी, फाइल्स एकत्रितपणे एन्क्रिप्ट करण्यासाठी आणि ऑपरेशन पूर्ण झाल्यानंतर सर्व ट्रेस पुसून टाकण्यासाठी फाइललेस तंत्रे समाविष्ट केली आहेत. कारण ते दृश्यमान बायनरी फाइलवर अवलंबून नसतात, शोध विंडो अरुंद असते आणि आपत्ती टाळण्यासाठी प्रतिसाद खूप जलद असणे आवश्यक आहे.

रॅट्स आणि सततचे मागचे दरवाजे
रिमोट अ‍ॅक्सेस किट अंशतः मेमरीमध्ये राहू शकतात आणि सक्रिय राहण्यासाठी रजिस्ट्री किंवा WMI वर अवलंबून राहू शकतात. यामुळे हल्लेखोरांना अनेक महिने नेटवर्कमध्ये फिरता येते, माहिती गोळा करता येते किंवा हल्ल्याच्या भविष्यातील टप्प्यांसाठी तयारी करता येते, बहुतेकदा संशय निर्माण न करता.

क्रिप्टोमायनर्स आणि संसाधनांचा गैरवापर
फाइललेस स्क्रिप्टमुळे मायनिंग प्रक्रिया सुरू होऊ शकतात, क्रिप्टोकरन्सी पूलशी कनेक्ट होऊ शकतात आणि CPU आणि GPU वापरावर ताण येऊ शकतो, विशेषतः क्वचितच रीस्टार्ट होणाऱ्या सर्व्हरवर. कामगिरीतील घट आणि वाढत्या वीज वापरात याचा परिणाम दिसून येतो, परंतु तपशीलवार प्रक्रिया क्रियाकलाप देखरेखीशिवाय स्त्रोताचा शोध घेणे कठीण होऊ शकते.

व्यवसाय आणि वापरकर्त्यांसाठी मोठी समस्या फाइललेस मालवेअर हे सिग्नेचर-आधारित अँटीव्हायरस सॉफ्टवेअर आणि पॉइंट-इन-टाइम फाइल स्कॅन टाळण्यासाठी सुरुवातीपासून डिझाइन केलेले आहे. जर या पातळीवर संरक्षण थांबले तर, या प्रकारच्या हल्ल्यांसाठी संस्था पूर्णपणे तयार नसतील.

फाइललेस मालवेअर शोधणे इतके कठीण का आहे?

या धोक्यांचा मुख्य रणनीतिक फायदा समस्या अशी आहे की ते फाइल सिस्टमवर जवळजवळ कोणताही मागमूस सोडत नाहीत. कायदेशीर प्रक्रियांवर काम करून आणि RAM वर अवलंबून राहून, पारंपारिक डिस्क स्कॅनर क्वचितच संशयास्पद काहीही शोधतात.

ओळखण्यायोग्य दुर्भावनापूर्ण फायलींचा अभाव
पारंपारिक इंजिने स्वाक्षऱ्यांवर अवलंबून असतात: ते फायलींमधील ज्ञात मालवेअरशी संबंधित बाइट पॅटर्न शोधतात. जर हल्लेखोर फायली तयार करणे टाळत असेल किंवा वापरल्यानंतर लगेच त्या हटवत असेल, तर त्या स्वाक्षरीची कधीही तपासणी केली जात नाही. म्हणूनच अनेक फाइललेस हल्ले केवळ स्टोरेजवर लक्ष केंद्रित करणाऱ्या नियंत्रणांपासून वाचतात.

विश्वासार्ह प्रक्रियांचा सघन वापर
पॉवरशेल, WMI, mshta, rundll32, cscript, wscript आणि अगदी ऑफिस अॅप्लिकेशन्स प्रशासन आणि दैनंदिन कामासाठी आवश्यक आहेत. फक्त त्यांना ब्लॉक केल्याने आयटी ऑपरेशन्स आणि व्यवसायात व्यत्यय येईल. यामुळे या टूल्ससह सर्वात मूलभूत नियंत्रणे देखील जास्त प्रमाणात परवानगी देतात, ज्याचा वापर हल्लेखोर त्यांच्यामध्ये त्यांचा कोड लपवण्यासाठी करतात.

अनेक पारंपारिक अँटीव्हायरस प्रोग्रामच्या मर्यादा
अनेक लेगसी सोल्यूशन्स मेमरीमधील प्रक्रिया, कमांड लाइन, एक्झिक्युशन पॅरामीटर्स किंवा सिस्टम इव्हेंट्समधील सहसंबंधांचे सखोल निरीक्षण करण्यासाठी डिझाइन केलेले नाहीत. या दृश्यमानतेशिवाय, ऑफिस प्रक्रियेमागे, संशयास्पद डोमेनमधून कोड डाउनलोड करताना अस्पष्ट स्ट्रिंगसह पॉवरशेल स्क्रिप्ट लाँच केली गेली आहे हे शोधणे खूप कठीण आहे.

गोंधळ आणि विश्लेषणविरोधी तंत्रे
हल्लेखोर स्थिर विश्लेषण गुंतागुंतीचे करण्यासाठी स्क्रिप्ट ऑब्फस्केशन, बेस६४ एन्कोडिंग, कोड फ्रॅगमेंटेशन किंवा प्रतिमांमध्ये स्क्रिप्ट एम्बेडिंग (उदाहरणार्थ, इनव्होक-पीएसआयमेज सारख्या तंत्रांचा वापर) वापरतात. परिणामी, फाइलमधून मॅक्रो किंवा स्क्रिप्ट काढणारी साधने देखील मोठ्या संख्येने खोटे पॉझिटिव्ह निर्माण न करता ते दुर्भावनापूर्ण आहेत की नाही हे निर्धारित करण्यात संघर्ष करू शकतात.

आधुनिक शोध धोरणे: फाईलपासून वर्तनापर्यंत

फाइललेस मालवेअरचा सामना करण्यासाठी, कधीकधी फक्त "अँटीव्हायरस स्कॅन चालवणे" पुरेसे नाही.प्रक्रिया वर्तन आणि घटना सहसंबंधांवर लक्ष केंद्रित करून सुरक्षेचे अनेक स्तर एकत्र करणे हा स्पष्ट ट्रेंड आहे.

रिअल-टाइम वर्तणुकीचे विश्लेषण
आधुनिक EDR आणि XDR सोल्यूशन्स सर्व संबंधित एंडपॉइंट क्रियाकलापांचे निरीक्षण करतात: लाँच केलेल्या प्रक्रिया, कमांड-लाइन युक्तिवाद, रजिस्ट्री प्रवेश, प्रशासकीय साधनांचा वापर, नेटवर्क कनेक्शन आणि असेच. केवळ स्वाक्षरींवर अवलंबून राहण्याऐवजी, ते सामान्य मालवेअर वर्तन नमुने शोधतात, जसे की ऑफिस दस्तऐवज लपलेले पॉवरशेल उदाहरण उघडणे आणि नंतर अविश्वसनीय डोमेनमधून बायनरी फाइल डाउनलोड करणे.

शोषण प्रतिबंधक इंजिने
एक्सप्लोइट प्रिव्हेन्शन (EP) लेयरचा उद्देश असुरक्षितता शोषण टप्प्यात हल्ले रोखणे आहे, मालवेअर लक्ष्यित प्रक्रियेत त्याचा शेलकोड कार्यान्वित करण्यापूर्वी. हे RCE असुरक्षितता किंवा बफर ओव्हरफ्लोचे शोषण करणाऱ्या फाइललेस तंत्रांना साखळीत ठेवण्यासाठी उपलब्ध असलेल्या हल्ल्याच्या पृष्ठभागाला लक्षणीयरीत्या कमी करते.

प्रणालीच्या गंभीर क्षेत्रांचे विश्लेषण
प्रगत साधने वेळोवेळी आणि स्वयंचलितपणे शेड्यूलर कार्ये, संवेदनशील रजिस्ट्री की, WMI सदस्यता आणि इतर सामान्य पर्सिस्टन्स पॉइंट्स सारख्या क्षेत्रांना स्कॅन करतात. कोणतेही संबंधित बायनरी दृश्यमान नसतानाही, विसंगत नोंदी, अस्पष्ट स्क्रिप्ट किंवा संशयास्पद आदेश कार्यान्वित करणारी कार्ये शोधणे हे ध्येय आहे.

विंडोजमध्ये ETW आणि AMSI वापरणे
विंडोज इव्हेंट ट्रेसिंग फॉर विंडोज (ETW) आणि अँटीमालवेअर स्कॅन इंटरफेस (AMSI) सारख्या तंत्रज्ञानाची तरतूद करते जे स्क्रिप्ट एक्झिक्युशन आणि इतर कंटेंटचे कमी-स्तरीय लॉगिंग आणि विश्लेषण करण्यास अनुमती देतात. सुरक्षा उपायांमध्ये या यंत्रणा एकत्रित केल्याने पॉवरशेल, VBScript किंवा JScript कंटेंटची अंमलबजावणीपूर्वीच तपासणी करणे शक्य होते, ज्यामुळे शोध क्षमतांमध्ये नाटकीय वाढ होते.

धोक्याची शिकार आणि सतत गुप्तचर यंत्रणा
स्वयंचलित शोधांच्या पलीकडे, अनेक संस्था धमकी शोध पथके नियुक्त करतात जे फाइललेस तंत्रांशी संबंधित हल्ल्यांच्या निर्देशकांसाठी त्यांच्या वातावरणाचे सक्रियपणे विश्लेषण करतात. हे पथके MITRE ATT&CK सारख्या फ्रेमवर्कवर अवलंबून असतात, ऐतिहासिक टेलीमेट्रीचा सल्ला घेतात आणि नवीन मोहिमांची अपेक्षा करण्यासाठी शोध नियम सुधारतात.

संघटनांवर होणारा परिणाम आणि सुरक्षा पुरवठादारांसमोरील आव्हाने

व्यवसायांसाठी, फाइललेस मालवेअर ही एक मोठी डोकेदुखी आहे. कारण ते जिथे दुखावते तिथेच हल्ला करते: अशा प्रक्रिया आणि साधनांमध्ये जे व्यवसायाला हानी पोहोचवल्याशिवाय ब्लॉक केले जाऊ शकत नाहीत. उदाहरणार्थ, पॉवरशेल पूर्णपणे अक्षम केल्याने सिस्टम प्रशासन गुंतागुंतीचे होईल आणि आयटी टीममध्ये अंतर्गत प्रतिकार निर्माण होईल.

ऑफिस मॅक्रोजनाही हेच लागू होते.
अनेक कॉर्पोरेट वर्कफ्लो अजूनही अशा कागदपत्रांवर अवलंबून असतात जे कार्ये स्वयंचलित करण्यासाठी मॅक्रो वापरतात. जरी मायक्रोसॉफ्ट त्यांना अक्षम करण्याचे पर्याय देत असले तरी, वास्तविकता अशी आहे की अनेक संस्था त्यांना आवश्यकतेशिवाय सक्रिय ठेवतात. सुरक्षा विक्रेत्यांनी मॅक्रो कोड काढून आणि विश्लेषण करून हे कमी करण्याचा प्रयत्न केला आहे, परंतु खोटे सकारात्मक परिणाम न आणता त्याचे अचूक वर्गीकरण करणे हे एक महत्त्वाचे आव्हान आहे.

सर्व्हर-साइड-ओन्ली संरक्षण प्रयत्न
काही उपाय जवळजवळ सर्व डिटेक्शन लॉजिक क्लाउड किंवा सेंट्रल सर्व्हरवर सोपवतात. यामुळे लेटन्सी आणि कनेक्टिव्हिटी अवलंबित्व येते: एजंटला कारवाई करण्यापूर्वी सर्व्हरच्या निर्णयाची वाट पहावी लागते, ज्यामुळे रिअल-टाइम प्रतिबंध करणे कठीण होते. शिवाय, काही फाइललेस रॅन्समवेअरसारख्या अतिशय वेगवान हल्ल्यांमध्ये, काही सेकंदांचा विलंब देखील सर्व फरक करू शकतो.

ग्राहक फाइललेस हल्ल्यांविरुद्ध स्पष्ट कव्हरेजची मागणी करतात
या प्रकारच्या धोक्यांबद्दल जागरूकता वाढत असताना, संघटना उत्पादकांवर दबाव आणत आहेत की त्यांची उत्पादने खरोखरच फाइललेस मोहिमा अवरोधित करतात आणि केवळ वरवरचे पॅच जोडत नाहीत. यामुळे एआय-आधारित इंजिन, इव्हेंट सहसंबंध आणि स्टोरीलाइन मॉडेल्स किंवा आक्रमण आलेखांचा विकास झाला आहे जे दुर्भावनापूर्ण क्रियाकलापांचे खरे मूळ पुनर्रचना करतात.

फाइललेस मालवेअर रोखण्यासाठी सर्वोत्तम पद्धती

कोणतेही वातावरण १००% सुरक्षित असू शकत नसले तरी, त्यासाठी अनेक उपाययोजना करता येतील. ज्यामुळे गंभीर फाइललेस संसर्ग होण्याची शक्यता कमी होते आणि ते लवकर शोधण्याची शक्यता वाढते.

स्क्रिप्ट्स आणि प्रशासकीय साधनांचे कठोर व्यवस्थापन
पॉवरशेल, डब्ल्यूएमआय, सीस्क्रिप्ट, डब्ल्यूस्क्रिप्ट आणि इतर उच्च-जोखीम उपयुक्तता कोण वापरू शकते यावर मर्यादा घालणे महत्त्वाचे आहे. यामध्ये प्रतिबंधात्मक अंमलबजावणी धोरणे लागू करणे, स्क्रिप्टच्या स्वाक्षरीकृत आवृत्त्या वापरणे, या बायनरीच्या सर्व क्रियाकलापांचे लॉगिंग करणे आणि असामान्य वापर नमुने अवरोधित करणे (उदाहरणार्थ, ऑफिस प्रक्रियेद्वारे अस्पष्ट पॅरामीटर्ससह लाँच केलेले पॉवरशेल) समाविष्ट आहे.

सक्रिय मॅक्रो आणि कागदपत्रांचे नियंत्रण
आदर्शपणे, मॅक्रो डीफॉल्टनुसार अक्षम केले पाहिजेत आणि पूर्व पुनरावलोकनानंतर केवळ विशिष्ट वापरकर्त्यांसाठी किंवा टेम्पलेट्ससाठी परवानगी दिली पाहिजे. सक्रिय कोड असलेले ईमेल संलग्नक फिल्टर करणे आणि वापरकर्त्याला वितरित करण्यापूर्वी वेगळ्या वातावरणात दस्तऐवजांचे विश्लेषण करणारे उपाय वापरणे देखील उचित आहे.

भेद्यतांचे सतत पॅचिंग
ब्राउझर, प्लगइन्स, ऑफिस सूट, ऑपरेटिंग सिस्टीम आणि सर्व्हर अॅप्लिकेशन्सना नवीनतम पॅचेससह अद्ययावत ठेवल्याने शोषणाच्या संधी मोठ्या प्रमाणात कमी होतात. याला इंट्रूशन प्रिव्हेन्शन सिस्टीम (IPS) ने पूरक केल्याने अॅप्लिकेशन्समधील अंतर भरण्यास मदत होते जे त्वरित अपडेट करता येत नाहीत.

मजबूत प्रमाणीकरण आणि शून्य-विश्वास मॉडेल
अनेक फाइललेस हल्ले तडजोड केलेल्या क्रेडेन्शियल्सवर अवलंबून असल्याने, MFA (मल्टी-फॅक्टर ऑथेंटिकेशन) आणि झिरो ट्रस्ट तत्त्वे (डिफॉल्टनुसार कोणावरही किंवा कोणत्याही डिव्हाइसवर विश्वास न ठेवणे) अंमलात आणल्याने हल्लेखोराची बाजूने हालचाल करण्याची आणि आत गेल्यावर विशेषाधिकार वाढवण्याची क्षमता मर्यादित होते.

देखरेख आणि व्यवस्थापित प्रतिसाद
बाह्य SOCs किंवा MDR/EMDR प्लॅटफॉर्म सारख्या सेवा मोठ्या अंतर्गत टीम नसलेल्या संस्थांना 24/7 देखरेख, प्रगत सिग्नल सहसंबंध आणि जलद प्रतिसाद क्षमता प्रदान करतात. या सेवा बहुतेकदा फाइललेस मालवेअरशी संबंधित युक्त्या आणि तंत्रे मॅप करण्यासाठी MITRE ATT&CK सारख्या फ्रेमवर्कवर अवलंबून असतात.

थोडक्यात, फाइललेस मालवेअरने आपली प्रतिष्ठा मिळवली आहे. कारण ते पारंपारिक फाइल- आणि स्वाक्षरी-आधारित दृष्टिकोनांच्या कमकुवतपणाचा उत्तम प्रकारे फायदा घेते. ते कसे घुसखोरी करते, ते कोणत्या तंत्रांचा वापर करते (पॉवरशेल, WMI, रजिस्ट्री, मॅक्रो, वेबशेल, मेमरी, LoLBins), आणि ते कोणत्या प्रकारचे नुकसान करू शकते हे समजून घेणे हे EDR/XDR, वर्तणुकीय विश्लेषण, धोक्याची शिकार आणि प्रशासकीय साधने आणि सक्रिय दस्तऐवजांच्या वापरावरील कठोर धोरणांसह संरक्षण मजबूत करण्याचे पहिले पाऊल आहे.