ফাইললেস ম্যালওয়্যার: এটি কী, এটি কীভাবে কাজ করে এবং কীভাবে এর বিরুদ্ধে প্রতিরক্ষা করা যায়

ইউনিভার্সাল অ্যাডভেঞ্চার » সাধারণ » ফাইললেস ম্যালওয়্যার: এটি কী, এটি কীভাবে কাজ করে এবং কীভাবে এর বিরুদ্ধে প্রতিরক্ষা করা যায়

সাম্প্রতিক বছরগুলোতে ফাইলহীন ম্যালওয়্যার ফাইললেস ম্যালওয়্যার আইটি এবং নিরাপত্তা দলগুলির জন্য সবচেয়ে গুরুতর মাথাব্যথার বিষয় হয়ে উঠেছে। আমরা একটি সংযুক্তিতে ডাউনলোড করা সাধারণ ভাইরাসের কথা বলছি না এবং অ্যান্টিভাইরাস স্ক্যানের মাধ্যমে অপসারণ করা যেতে পারে, বরং আরও অনেক গোপনীয় কিছু যা সিস্টেমের নিজস্ব প্রক্রিয়াগুলির মধ্যে লুকিয়ে থাকে।

এই ধরণের হুমকি সুযোগ নেয় বৈধ অপারেটিং সিস্টেম টুলবিশেষ করে উইন্ডোজে, এটি সরাসরি RAM-তে ক্ষতিকারক কোড চালাতে পারে। যেহেতু এটি ডিস্কে প্রায় কোনও চিহ্নই রাখে না, তাই এটি অনেক ঐতিহ্যবাহী অ্যান্টিভাইরাস প্রোগ্রাম এড়িয়ে যেতে পারে এবং তথ্য চুরি করতে, ফাইল এনক্রিপ্ট করতে বা সনাক্ত না করেই পিছনের দরজা বজায় রাখতে যথেষ্ট সময় ধরে সক্রিয় থাকতে পারে।

ফাইললেস ম্যালওয়্যার আসলে কী?

যখন আমরা ফাইললেস ম্যালওয়্যার সম্পর্কে কথা বলি, তখন আমরা উল্লেখ করি দূষিত কোড যা ডিস্কে থাকা ক্লাসিক এক্সিকিউটেবলের উপর নির্ভর করে না অন্য যেকোনো প্রোগ্রামের মতো ইনস্টল করার পরিবর্তে, এটি সিস্টেমে ইতিমধ্যে উপস্থিত উপাদানগুলির (স্ক্রিপ্ট, পরিষেবা, কমান্ড ইন্টারপ্রেটার, ইত্যাদি) উপর নির্ভর করে সরাসরি মেমরিতে এর নির্দেশাবলী লোড এবং কার্যকর করে।

প্রযুক্তিগত দৃষ্টিকোণ থেকে, এই ম্যালওয়্যারটি সাধারণত ইতিমধ্যে চলমান প্রক্রিয়াগুলিতে ইনজেক্ট করা হবে অথবা এগুলি এমন কমান্ড ব্যবহার করে চালু করা যেতে পারে যা সবকিছু RAM-এ লোড করে। এর মানে হল, একবার কম্পিউটার বন্ধ বা পুনরায় চালু করার পরে, অনেক রূপ অদৃশ্য হয়ে যায়, কিন্তু ইতিমধ্যে তাদের কাছে গুরুতর ক্ষতি করার জন্য প্রচুর সময় থাকে।

ফাইল-ভিত্তিক ম্যালওয়্যারের তুলনায়, এই হুমকিগুলি হল হালকা, আরও গোপন, এবং ট্র্যাক করা অনেক কঠিনআপনি ডিস্কে কোন সন্দেহজনক .exe ফাইল পাবেন না, অথবা অবশ্যই কোন ক্ষতিকারক ইনস্টলারও পাবেন না: সমস্যাটি হল এমন প্রক্রিয়াগুলির মধ্যে কী ঘটে যা বিশ্বাসযোগ্য বলে মনে হয়।

২০১৭ সালের দিকে এই পদ্ধতির উত্থান আকাশচুম্বী হয়ে ওঠে, যখন প্রচারণাগুলি ফাইলবিহীন কৌশলগুলিকে একত্রিত করতে শুরু করে ক্লিকার ট্রোজান, উন্নত অ্যাডওয়্যার এবং রিমোট অ্যাক্সেস টুল (RATs)আজ তারা সকল ধরণের অপারেশনে একীভূত হয়েছে: গুপ্তচরবৃত্তি এবং এপিটি থেকে শুরু করে র‍্যানসমওয়্যার এবং ক্রিপ্টোমাইনিং পর্যন্ত।

ফাইললেস ম্যালওয়্যার ভেতরে কীভাবে কাজ করে

এটি কীভাবে কাজ করে তা বোঝার জন্য, এটি মনে রাখা উচিত যে বেশিরভাগ সাধারণ অ্যাপ্লিকেশনগুলি একটি হিসাবে বিতরণ করা হয় ফাইল যা ডিস্কে লেখা হয় এবং তারপর মেমরিতে লোড করা হয় যখন ব্যবহারকারী এটি চালায়। অন্যদিকে, ফাইললেস ম্যালওয়্যার প্রথম ধাপটি এড়িয়ে যায় এবং অপারেটিং সিস্টেমের প্রক্রিয়া ব্যবহার করে সরাসরি RAM-তে প্রবেশ করে।

অনেক প্রচারণা "ভূমির বাইরে বসবাস" ধারণার উপর নির্ভর করে (জমি থেকে দূরে বসবাস): আক্রমণকারী বৈধ প্রশাসনিক ক্ষমতার অপব্যবহার করে নতুন বাইনারি প্রবর্তনের পরিবর্তে। উইন্ডোজে, প্রধান উদাহরণ হল PowerShell, কিন্তু WMI, mshta, rundll32, VBScript বা JScript স্ক্রিপ্ট এবং অন্যান্য বিশ্বস্ত বাইনারি (LoLBins) ব্যবহার করা হয়।

একটি সাধারণ দৃশ্যকল্প হল: একজন ব্যবহারকারী ক্ষতিকারক সামগ্রী সহ একটি অফিস ডকুমেন্ট খোলেন বা একটি ফিশিং লিঙ্কে ক্লিক করেন; সেখান থেকে একটি পাওয়ারশেল ব্যবহার করে এমন স্ক্রিপ্ট অথবা পরবর্তী ধাপের জন্য মেমোরিতে কোড ডাউনলোড, ডিক্রিপ্ট বা ইনজেক্ট করার জন্য অন্য কোনও টুল। হার্ড ড্রাইভে স্থায়ী ফাইল তৈরি না করেও এই সব ঘটতে পারে।

আরেকটি সাধারণ ভেক্টর হল সুবিধা গ্রহণ করা রিমোট কোড এক্সিকিউশন দুর্বলতা, যেমন ব্রাউজার, প্লাগইন বা সার্ভার অ্যাপ্লিকেশনগুলিতে বাফার ওভারফ্লো। দুর্বলতা কাজে লাগিয়ে, আক্রমণকারী সরাসরি দুর্বল প্রক্রিয়ার মধ্যে শেলকোড কার্যকর করতে পারে এবং সেখান থেকে বাকি উপাদানগুলিকে মেমরিতে লোড করতে পারে।

কিছু রূপ এমনকি অবলম্বন করে উইন্ডোজ রেজিস্ট্রি বা নির্ধারিত কাজগুলি সিস্টেম শুরু হলে বা ব্যবহারকারী লগ ইন করলে আক্রমণ পুনরায় সক্রিয় করে এমন স্ক্রিপ্ট বা কমান্ড সংরক্ষণ করা। রেজিস্ট্রিতে কিছু লেখা থাকলেও, মূল ক্ষতিকারক যুক্তি মেমরিতে চলতে থাকে, যা শুধুমাত্র ফাইল সিস্টেমের উপর দৃষ্টি নিবদ্ধ করা সরঞ্জামগুলির মাধ্যমে সনাক্ত করা কঠিন করে তোলে।

সংক্রমণ পদ্ধতি এবং প্রাথমিক প্রবেশাধিকার

সামনের দরজাটি সাধারণত বেশ ক্লাসিক হয়: ফিশিং ইমেল, ক্ষতিকারক লিঙ্ক এবং জাল নথি যদিও ফাইললেস কৌশল ব্যবহার করা হয়, তবুও প্রাথমিক অ্যাক্সেসের ক্ষেত্রে এগুলিই সবচেয়ে ভালো অবস্থানে থাকে। কৌশলটি হল পুরো শৃঙ্খলে, যেকোনো ডিস্ক ফুটপ্রিন্ট কমানোর জন্য সর্বাত্মক প্রচেষ্টা করা হয়।

অনেক ক্ষেত্রেই এগুলি ব্যবহার করা হয় ম্যাক্রো সহ মাইক্রোসফ্ট অফিস ডকুমেন্টস সক্রিয় করা হলে, এই ম্যাক্রোগুলি পাওয়ারশেল বা WMI কে কল করে মেমোরিতে আক্রমণের পরবর্তী ধাপ ডাউনলোড এবং কার্যকর করার জন্য। ম্যাক্রো ছাড়াই, আক্রমণকারীরা Word, Excel, পিডিএফ পাঠক অথবা কোড এক্সিকিউশন অর্জনের জন্য স্ক্রিপ্টিং ইঞ্জিন নিজেই।

আরেকটি পদ্ধতির মধ্যে রয়েছে সরাসরি সুবিধা গ্রহণ করা আপাতদৃষ্টিতে ক্ষতিকারক এক্সিকিউটেবল যা ব্যবহারকারী ইমেল বা ওয়েব থেকে ডাউনলোডের মাধ্যমে পান। এই এক্সিকিউটেবলটি একটি ক্ষতিকারক মডিউল বের করতে পারে এবং .NET-তে প্রতিফলনের মতো কৌশল ব্যবহার করে মেমোরিতে লোড করতে পারে, আসলে এটিকে একটি পৃথক ফাইল হিসাবে ডিস্কে সংরক্ষণ না করেই।

ইন্টারনেটের সংস্পর্শে থাকা ওয়েব সার্ভার বা অ্যাপ্লিকেশনগুলিকে লক্ষ্য করে প্রচারণাও রয়েছে, যেখানে দুর্বলতা ব্যবহার করে ফাইলহীন উপাদান সহ ওয়েবশেলএর একটি সাম্প্রতিক উদাহরণ হল গডজিলা এবং অনুরূপ সরঞ্জামগুলির ব্যবহার, যেখানে ক্ষতিকারক কোড HTTP অনুরোধের মধ্যে ভ্রমণ করে এবং সরাসরি আপোস করা সার্ভারের মেমরিতে প্রবেশ করানো হয়।

অবশেষে, আক্রমণকারীরা প্রায়শই অবলম্বন করে চুরি করা পরিচয়পত্রযদি তারা কোনও প্রশাসক বা বিশেষাধিকারপ্রাপ্ত অ্যাকাউন্টের ব্যবহারকারীর নাম এবং পাসওয়ার্ড পেয়ে থাকে, তাহলে তারা RDP বা অন্যান্য চ্যানেলের মাধ্যমে লগ ইন করতে পারে এবং ম্যানুয়ালি PowerShell স্ক্রিপ্ট, WMI কমান্ড, অথবা প্রশাসনিক সরঞ্জাম চালু করতে পারে যা সিস্টেমে কোনও নতুন এক্সিকিউটেবল না রেখেই ম্যালওয়্যারকে মেমরিতে লোড করে।

ফাইলহীন ম্যালওয়্যার দ্বারা ব্যবহৃত নির্দিষ্ট কৌশল

এই আক্রমণগুলির একটি চাবিকাঠি হল এর পুনঃব্যবহার নেটিভ উইন্ডোজ টুল তাদের স্ক্রিপ্টের জন্য একটি বাহন হিসেবে। এর ফলে দূষিত কার্যকলাপ স্বাভাবিক প্রশাসনিক কাজের সাথে মিশে যায়, যা বিশ্লেষণ এবং প্রতিক্রিয়াকে জটিল করে তোলে।

সবচেয়ে সাধারণ কৌশলগুলির মধ্যে আমরা এর ব্যবহার দেখতে পাই একটি এমবেডেড কোড লঞ্চার হিসেবে পাওয়ারশেল সরাসরি কমান্ড লাইন থেকে। উদাহরণস্বরূপ, একটি অস্পষ্ট স্ক্রিপ্ট একটি প্যারামিটার হিসাবে পাস করা হয়, এক্সিকিউশন নীতি নিষ্ক্রিয় করা হয়, উইন্ডোটি লুকানো থাকে এবং একটি পেলোড সরাসরি মেমোরিতে ডাউনলোড করা হয়, সবই .ps1 ফাইল বা কোনও সন্দেহজনক এক্সিকিউটেবল দৃশ্যমান না রেখে।

আরেকটি খুব জনপ্রিয় কৌশল হল ক্ষতিকারক স্ক্রিপ্টগুলি সংরক্ষণ করা উইন্ডোজ ম্যানেজমেন্ট ইন্সট্রুমেন্টেশন (WMI) সাবস্ক্রিপশনমাঝে মাঝে, WMI স্ক্রিপ্টটি ট্রিগার করে, যা মেমরি থেকে কোড কার্যকর করতে পারে, কমান্ড এবং নিয়ন্ত্রণ সার্ভারের সাথে সংযোগ করতে পারে, অথবা সংক্রমণের নতুন পর্যায় শুরু করতে পারে।

একইভাবে, অনেক গোষ্ঠী ব্যবহার করে উইন্ডোজ রেজিস্ট্রি এবং টাস্ক শিডিউলার তাদের স্ক্রিপ্ট এবং কমান্ডের আশ্রয়স্থল হিসেবে। স্টার্টআপ ফোল্ডারে একটি এক্সিকিউটেবল রাখার পরিবর্তে, তারা স্টার্টআপ কী বা নির্ধারিত কাজগুলি সংজ্ঞায়িত করে যা পাওয়ারশেল, এমএসটিএ, অথবা রুন্ডল 32 স্ক্রিপ্টগুলি এমবেডেড বা অন-দ্য-ফ্লাই কোড সহ চালায়।

কৌশলগুলিও দেখা যায় .NET-তে প্রতিফলনযেখানে একটি লাইটওয়েট এক্সিকিউটেবলে এনক্রিপ্টেড বা কম্প্রেসড অ্যাসেম্বলি থাকে যা Reflection.Load ব্যবহার করে সরাসরি মেমোরিতে লোড করা হয়, ডিস্কে .dll ফাইল হিসেবে লেখা না হয়ে। এটি একটি একক, আপাতদৃষ্টিতে স্বাভাবিক প্রক্রিয়ার মধ্যে অত্যন্ত পরিশীলিত ট্রোজান স্থাপনের অনুমতি দেয়।

একটি ফাইলবিহীন আক্রমণ কী করতে পারে?

নাম সত্ত্বেও, একটি ফাইলবিহীন আক্রমণের প্রভাব সীমাবদ্ধ নয়। আসলে, এটি কার্যকর করতে পারে ঐতিহ্যবাহী ম্যালওয়্যারের মতোই কাজ করে: তথ্য চুরি, ডেটা এনক্রিপশন, পার্শ্বীয় চলাচল, গুপ্তচরবৃত্তি, ক্রিপ্টোকারেন্সি মাইনিং, অথবা স্থায়ী ব্যাকডোর স্থাপন।

অনেক ফাইলবিহীন প্রচারণা এমন আচরণ করে পরিচয়পত্র চোরএর মধ্যে রয়েছে সংবেদনশীল প্রক্রিয়াগুলির মেমরি থেকে পাসওয়ার্ড, সেশন টোকেন বা প্রমাণীকরণ হ্যাশ ক্যাপচার করা। এটি অতিরিক্ত বাইনারি ব্যবহার না করেই সুবিধাগুলি বৃদ্ধি করা, আরও সিস্টেমের সাথে আপস করা এবং দীর্ঘায়িত অ্যাক্সেস বজায় রাখা সহজ করে তোলে।

অন্যরা মনোযোগ দেয় ফাইললেস র‍্যানসমওয়্যারযেখানে এনক্রিপশন এবং যোগাযোগের লজিকের কিছু অংশ সরাসরি মেমোরিতে কার্যকর করা হয়। যদিও কোনও সময়ে একটি ডিস্ক উপাদান প্রচুর সংখ্যক ফাইল পরিচালনা করার জন্য উপস্থিত হতে পারে, তবে আক্রমণের প্রাথমিক লোডিং এবং নিয়ন্ত্রণ প্রাথমিক সনাক্তকরণ এড়াতে ফাইলবিহীন কৌশল ব্যবহার করে করা হয়।

আক্রমণকারীরাও ইনস্টল করতে পারে রুটকিট বা উন্নত RAT একবার প্রতিষ্ঠিত হয়ে গেলে, এই সরঞ্জামগুলি কমান্ড গ্রহণ, নেটওয়ার্ক জুড়ে স্থানান্তর এবং মডিউল আপডেট করার জন্য ফাইলবিহীন চ্যানেল ব্যবহার করে। যেহেতু এগুলি সিস্টেম প্রক্রিয়া বা গুরুত্বপূর্ণ পরিষেবাগুলির সাথে একীভূত, তাই এই সরঞ্জামগুলি নির্মূল করা বিশেষভাবে কঠিন।

অর্থনৈতিক ক্ষেত্রে, এর প্রভাবটি হল ডেটা ক্ষতি, পরিষেবা ব্যাহত হওয়া, নিয়ন্ত্রক জরিমানা এবং সুনামের ক্ষতিযেহেতু এই অনুপ্রবেশগুলি প্রায়শই মাসের পর মাস ধরে অধরা থাকে, তাই তথ্যের পরিমাণ এবং লঙ্ঘনের পরিধি বিশাল হতে পারে।

ফাইলবিহীন ম্যালওয়্যার আক্রমণের পর্যায়গুলি

যদিও প্রযুক্তিগত দিকগুলি ভিন্ন, একটি ফাইলবিহীন আক্রমণের জীবনচক্র যেকোনো উন্নত অনুপ্রবেশের মতোই। কী কী পরিবর্তন এসেছে? প্রতিটি পর্যায়ে ব্যবহৃত প্রক্রিয়া এবং তারা যেভাবে নিজেদের ছদ্মবেশ ধারণ করে।

এর পর্যায়ে প্রাথমিক অ্যাক্সেসআক্রমণকারীর প্রাথমিকভাবে একটি অবস্থানের প্রয়োজন: একটি ফিশিং লিঙ্কে ক্লিক করা, ম্যাক্রো সম্বলিত একটি ডকুমেন্ট খোলা, একটি দুর্বল সার্ভারের শোষণ, অথবা আপোসকৃত শংসাপত্রের পুনঃব্যবহার। সেখান থেকে, লক্ষ্য হল লক্ষ্য সিস্টেমের মধ্যে কোড কার্যকর করা।

একবার সেই ধাপটি অর্জন করা হলে, পরবর্তী ধাপ শুরু হয় মেমরিতে এক্সিকিউশনএখানেই PowerShell, WMI, mshta, rundll32, VBScript, JScript, অথবা অন্যান্য ইন্টারপ্রেটাররা ডিস্কে স্থায়ী এক্সিকিউটেবল তৈরি না করেই পেলোড লোড এবং সক্রিয় করার জন্য কাজ করে। কোডটি সাধারণত অস্পষ্ট বা এনক্রিপ্ট করা হয় এবং শুধুমাত্র RAM-তে ডিক্রিপ্ট করা হয়।

তারপর শুরু হয় সাধনা অধ্যবসায়যদিও কম্পিউটার পুনরায় চালু করার সময় অনেক ফাইললেস পেলোড অদৃশ্য হয়ে যায়, অত্যাধুনিক আক্রমণকারীরা RAM-রেসিডেন্ট স্ক্রিপ্টগুলিকে রেজিস্ট্রি কী, নির্ধারিত কাজ বা WMI সাবস্ক্রিপশনের সাথে একত্রিত করে যা সিস্টেম স্টার্টআপ বা ব্যবহারকারী লগইনের মতো নির্দিষ্ট শর্ত পূরণ হলে প্রতিবার কোডটি পুনরায় চালু করে।

অবশেষে, চূড়ান্ত লক্ষ্য আক্রমণকারীর কর্মকাণ্ডের মধ্যে রয়েছে: তথ্য চুরি এবং বহিষ্কার, তথ্য এনক্রিপশন, আরও ম্যালওয়্যার স্থাপন, ক্রমাগত গুপ্তচরবৃত্তি এবং গুরুত্বপূর্ণ সিস্টেমের অন্তর্ঘাত। প্রাথমিক সতর্কতা এবং ফরেনসিক বিশ্লেষণ এড়াতে সম্ভাব্য সর্বনিম্ন প্রোফাইল বজায় রাখার চেষ্টা করার সময় এই সমস্ত করা হয়।

কেন এটি সনাক্ত করা এত কঠিন?

ফাইললেস ম্যালওয়্যারের বড় সমস্যা হল যে এটি ফাইল এবং স্বাক্ষরের উপর ভিত্তি করে তৈরি ক্লাসিক প্রতিরক্ষা মডেলকে ভেঙে দেয়যদি বিশ্লেষণের জন্য কোনও সন্দেহজনক এক্সিকিউটেবল না থাকে, তাহলে অনেক অ্যান্টিভাইরাস ইঞ্জিন মেমরি এবং বৈধ প্রক্রিয়াগুলির মধ্যে কী ঘটছে তা সম্পর্কে অন্ধ থাকে।

ডিস্কে ফাইলের অনুপস্থিতি বোঝায় যে পর্যায়ক্রমে স্ক্যান করার জন্য কোনও বস্তু নেই। পরিচিত প্যাটার্নের সন্ধানে। তদুপরি, অপারেটিং সিস্টেম দ্বারা স্বাক্ষরিত বাইনারি, যেমন PowerShell.exe, wscript.exe, অথবা rundll32.exe ব্যবহার করে, দূষিত কার্যকলাপ এমন নামগুলির আড়ালে লুকিয়ে থাকে যা প্রশাসক সাধারণত বিশ্বাস করেন।

এছাড়াও, অনেক উত্তরাধিকারসূত্রে প্রাপ্ত পণ্যের একটি চলমান প্রক্রিয়াগুলিতে সীমিত দৃশ্যমানতাতারা ফাইল সিস্টেম এবং নেটওয়ার্ক ট্র্যাফিকের উপর ফোকাস করে, কিন্তু অভ্যন্তরীণ API কল, কমান্ড-লাইন প্যারামিটার, স্ক্রিপ্ট আচরণ, বা রেজিস্ট্রি ইভেন্টগুলি খুব কমই পরিদর্শন করে যা ফাইলবিহীন আক্রমণের প্রমাণ দিতে পারে।

আক্রমণকারীরা, এই সীমাবদ্ধতাগুলি সম্পর্কে সচেতন, অবলম্বন করে অস্পষ্টকরণ, এনক্রিপশন এবং কোড ফ্র্যাগমেন্টেশন কৌশলউদাহরণস্বরূপ, তারা একটি ক্ষতিকারক স্ক্রিপ্টকে রিয়েল টাইমে একত্রিত করা কয়েকটি খণ্ডে বিভক্ত করে, অথবা তারা চিত্র, এমবেডেড রিসোর্স বা আপাতদৃষ্টিতে নিরীহ স্ট্রিংগুলির মধ্যে নির্দেশাবলী লুকিয়ে রাখে।

যেসব পরিবেশে সিস্টেম খুব কমই পুনঃসূচনা করা হয় (ক্রিটিকাল সার্ভার, প্রোডাকশন টার্মিনাল, ইত্যাদি), মেমরি-রেসিডেন্ট ম্যালওয়্যার সপ্তাহ বা মাস ধরে সক্রিয় থাকুন বিশেষ করে যদি আপনি সাবধানে চলাচল করেন এবং যানবাহনের পরিমাণ বা স্পষ্ট কার্যকলাপ কমিয়ে আনেন।

ঐতিহ্যবাহী প্রতিরক্ষার সীমাবদ্ধতা

এই হুমকির প্রতি অনেক প্রদানকারীর প্রাথমিক প্রতিক্রিয়া ছিল চেষ্টা করা পাওয়ারশেল বা অফিস ম্যাক্রোর মতো সরঞ্জামগুলিকে সীমাবদ্ধ বা সরাসরি ব্লক করুনযদিও এটি কিছু ভেক্টর কমাতে পারে, তবে বেশিরভাগ প্রতিষ্ঠানে এটি বাস্তবসম্মত বা সম্পূর্ণ সমাধান নয়।

পাওয়ারশেল একটি হয়ে উঠেছে উইন্ডোজ সিস্টেম প্রশাসনের জন্য মূল উপাদানটাস্ক অটোমেশন, সফটওয়্যার স্থাপন এবং সার্ভার ব্যবস্থাপনা। এটি সম্পূর্ণরূপে ব্লক করলে আইটি কর্মপ্রবাহ অচল হয়ে যাবে এবং অসংখ্য অভ্যন্তরীণ প্রক্রিয়া পুনরায় সম্পন্ন করতে বাধ্য হবে।

অধিকন্তু, আক্রমণকারীর দৃষ্টিকোণ থেকে, একাধিক উপায় রয়েছে একটি সহজ ব্লকিং নীতি এড়িয়ে যাওয়াrundll32 ব্যবহার করে লাইব্রেরি (dll) থেকে PowerShell ইঞ্জিন লোড করার, PS2EXE এর মতো টুল ব্যবহার করে স্ক্রিপ্টগুলিকে এক্সিকিউটেবলে রূপান্তর করার, PowerShell.exe এর পরিবর্তিত কপি ব্যবহার করার, অথবা এমনকি PNG ছবিতে PowerShell স্ক্রিপ্টগুলি এম্বেড করার এবং অস্পষ্ট কমান্ড লাইন দিয়ে চালানোর কৌশল রয়েছে।

অফিস ম্যাক্রোর ক্ষেত্রেও একই রকম কিছু ঘটে: অনেক কোম্পানি তাদের উপর নির্ভর করে রিপোর্ট, গণনা এবং ব্যবসায়িক প্রক্রিয়া স্বয়ংক্রিয় করতে। বিশ্বব্যাপী এগুলি অক্ষম করলে অভ্যন্তরীণ অ্যাপ্লিকেশনগুলি ভেঙে যেতে পারে, যদিও শুধুমাত্র VBA কোডের স্ট্যাটিক বিশ্লেষণের উপর নির্ভর করলে প্রায়শই পরিচালনা করা কঠিন মিথ্যা ইতিবাচক এবং মিথ্যা নেতিবাচক হার তৈরি হয়।

এছাড়াও, কিছু পদ্ধতির উপর ভিত্তি করে ক্লাউড-ভিত্তিক সনাক্তকরণ-পরিষেবা হিসেবে তাদের অবিরাম সংযোগের প্রয়োজন হয় এবং কখনও কখনও, ম্যালওয়্যারের প্রাথমিক কার্যকরতা রোধ করার জন্য খুব বেশি বিলম্বের সাথে কাজ করে। যদি ব্লক করার সিদ্ধান্ত কয়েক সেকেন্ড বা মিনিট পরে নেওয়া হয়, তাহলে ক্ষতি ইতিমধ্যেই হয়ে যেতে পারে।

ফোকাস পরিবর্তন: ফাইল থেকে আচরণে

যেহেতু ফাইলটি আর প্রধান উপাদান নয়, আধুনিক প্রতিরক্ষা সমাধানগুলি ফোকাস করে প্রক্রিয়াগুলির আচরণ পর্যবেক্ষণ করুন শুধু ফাইলের বিষয়বস্তু পরীক্ষা করার পরিবর্তে। ধারণাটি হল, যদিও হাজার হাজার ম্যালওয়্যার ভেরিয়েন্ট রয়েছে, তবুও দূষিত কার্যকলাপের ধরণগুলি অনেক কম বৈচিত্র্যময়।

এই পদ্ধতিটি ইঞ্জিনের উপর নির্ভর করে আচরণগত বিশ্লেষণ এবং মেশিন লার্নিং যা প্রতিটি প্রক্রিয়া কী করে তা ক্রমাগত পর্যবেক্ষণ করে: এটি কী কমান্ড চালু করে, কোন সিস্টেম রিসোর্স স্পর্শ করে, কীভাবে এটি বাইরের বিশ্বের সাথে যোগাযোগ করে এবং পরিবেশে কী পরিবর্তন আনার চেষ্টা করে।

উদাহরণস্বরূপ, একটি অফিস প্রক্রিয়া সন্দেহজনক হিসাবে চিহ্নিত করা যেতে পারে যদি একটি অস্পষ্ট PowerShell কমান্ড কার্যকর করে সন্দেহজনক ডোমেন থেকে নিরাপত্তা নীতি নিষ্ক্রিয় করার এবং কোড ডাউনলোড করার প্যারামিটার সহ। অথবা এমন একটি প্রক্রিয়া যা, কোনও আপাত কারণ ছাড়াই, হঠাৎ করে শত শত সংবেদনশীল ফাইল অ্যাক্সেস করে বা গুরুত্বপূর্ণ রেজিস্ট্রি কী পরিবর্তন করে।

সর্বশেষ প্রজন্মের EDR সিস্টেম এবং XDR প্ল্যাটফর্মগুলি সংগ্রহ করে এন্ডপয়েন্ট, সার্ভার এবং নেটওয়ার্কের বিস্তারিত টেলিমেট্রিএবং একটি ঘটনার উৎপত্তি কীভাবে হয়েছিল, কী কী প্রক্রিয়া জড়িত ছিল এবং প্রভাবিত মেশিনে কী কী পরিবর্তন এসেছে তার সম্পূর্ণ গল্প (কখনও কখনও স্টোরিলাইন বলা হয়) পুনর্গঠন করতে সক্ষম।

একটি ভালো আচরণগত ইঞ্জিন কেবল হুমকি সনাক্ত করে না, বরং ক্ষতিকারক ক্রিয়াগুলি প্রশমিত করা বা স্বয়ংক্রিয়ভাবে বিপরীত করা: জড়িত প্রক্রিয়াগুলি বন্ধ করে, কম্পিউটারকে বিচ্ছিন্ন করে, এনক্রিপ্ট করা ফাইলগুলি পুনরুদ্ধার করে, রেজিস্ট্রিতে পরিবর্তনগুলি পূর্বাবস্থায় ফেরায় এবং কমান্ড এবং নিয়ন্ত্রণ ডোমেনের সাথে যোগাযোগ বিচ্ছিন্ন করে।

উইন্ডোজের গুরুত্বপূর্ণ ইভেন্টগুলির প্রযুক্তি এবং উৎস

উইন্ডোজে ফাইলবিহীন হুমকি বিশ্লেষণ করার জন্য, এর সুবিধা নেওয়া বিশেষভাবে কার্যকর নেটিভ অপারেটিং সিস্টেম টেলিমেট্রি প্রক্রিয়া, যা ইতিমধ্যেই সেখানে আছে এবং পর্দার আড়ালে কী ঘটে সে সম্পর্কে অনেক তথ্য প্রদান করে।

একদিকে উইন্ডোজের জন্য ইভেন্ট ট্রেসিং (ETW)ETW হল এমন একটি কাঠামো যা প্রক্রিয়া সম্পাদন, API কল, মেমোরি অ্যাক্সেস এবং অন্যান্য অভ্যন্তরীণ সিস্টেমের দিকগুলির সাথে সম্পর্কিত অত্যন্ত বিস্তারিত ইভেন্টগুলির রেকর্ডিং করার অনুমতি দেয়। অনেক EDR সমাধান রিয়েল টাইমে অস্বাভাবিক আচরণ সনাক্ত করতে ETW এর উপর নির্ভর করে।

আরেকটি গুরুত্বপূর্ণ অংশ হল অ্যান্টিম্যালওয়্যার স্ক্যান ইন্টারফেস (AMSI)AMSI হল মাইক্রোসফট কর্তৃক ডিজাইন করা একটি API যা নিরাপত্তা ইঞ্জিনগুলিকে স্ক্রিপ্ট এবং গতিশীল বিষয়বস্তু চালানোর ঠিক আগে পরীক্ষা করার অনুমতি দেয়, এমনকি যদি অস্পষ্ট থাকে। AMSI বিশেষ করে PowerShell, VBScript, JScript এবং অন্যান্য স্ক্রিপ্টিং ভাষার ক্ষেত্রে কার্যকর।

এছাড়াও, আধুনিক ইঞ্জিনগুলি পর্যায়ক্রমে বিশ্লেষণ করা হয় সংবেদনশীল ক্ষেত্র যেমন রেজিস্ট্রি, টাস্ক শিডিউলার, WMI সাবস্ক্রিপশন, অথবা স্ক্রিপ্ট এক্সিকিউশন নীতিএই ক্ষেত্রগুলিতে সন্দেহজনক পরিবর্তনগুলি প্রায়শই একটি লক্ষণ যে একটি ফাইলবিহীন আক্রমণ টিকে আছে।

এই সবকিছুই হিউরিস্টিক দ্বারা পরিপূরক যা কেবল বর্তমান প্রক্রিয়াকেই নয়, বরং কার্যকরকরণ প্রেক্ষাপট: মূল প্রক্রিয়াটি কোথা থেকে আসে, আগে এবং পরে কোন নেটওয়ার্ক কার্যকলাপ পরিলক্ষিত হয়েছে, অদ্ভুত ব্যর্থতা, অস্বাভাবিক ব্লকেজ বা অন্যান্য সংকেত রয়েছে যা একসাথে যোগ করে সন্দেহের দিকে ঠেলে দেয়।

ব্যবহারিক সনাক্তকরণ এবং প্রতিরোধ কৌশল

বাস্তবে, এই হুমকি থেকে নিজেকে রক্ষা করার মধ্যে রয়েছে একত্রিত হওয়া প্রযুক্তি, প্রক্রিয়া এবং প্রশিক্ষণশুধু একটি অ্যান্টিভাইরাস ইনস্টল করে ভুলে যাওয়া যথেষ্ট নয়; ফাইললেস ম্যালওয়্যারের বাস্তব আচরণের সাথে খাপ খাইয়ে নেওয়া একটি স্তরযুক্ত কৌশল প্রয়োজন।

প্রযুক্তিগত স্তরে, এটি স্থাপন করা অপরিহার্য EDR বা XDR সমাধান আচরণগত বিশ্লেষণ ক্ষমতা এবং প্রক্রিয়া-স্তরের দৃশ্যমানতা সহ। এই সরঞ্জামগুলিকে বাস্তব সময়ে কার্যকলাপ রেকর্ড এবং সম্পর্কযুক্ত করতে, অস্বাভাবিক আচরণ ব্লক করতে এবং নিরাপত্তা দলকে স্পষ্ট ফরেনসিক তথ্য সরবরাহ করতে সক্ষম হতে হবে।

এটি সুবিধাজনকও বটে PowerShell, WMI, এবং অন্যান্য দোভাষীর ব্যবহার সীমিত করা যা কঠোরভাবে প্রয়োজনীয়, অ্যাক্সেস নিয়ন্ত্রণ তালিকা প্রয়োগ, স্ক্রিপ্ট স্বাক্ষর (কোড সাইনিং) এবং কার্যকরকরণ নীতি যা কোন কোড চালানো যাবে এবং কোন সুবিধাগুলি সহ তা সীমাবদ্ধ করে।

ব্যবহারকারীর দিক থেকে, প্রশিক্ষণ অত্যন্ত গুরুত্বপূর্ণ: এটি আরও শক্তিশালী করা প্রয়োজন ফিশিং, সন্দেহজনক লিঙ্ক এবং অপ্রত্যাশিত নথি সম্পর্কে সচেতনতাসংবেদনশীল তথ্য বা উচ্চ-স্তরের সুযোগ-সুবিধাপ্রাপ্ত কর্মীদের ক্ষেত্রে এটি বিশেষভাবে গুরুত্বপূর্ণ। অসাবধান ক্লিকের সংখ্যা হ্রাস করলে আক্রমণের পৃষ্ঠ উল্লেখযোগ্যভাবে হ্রাস পায়।

পরিশেষে, কেউ উপেক্ষা করতে পারে না প্যাচ এবং সফ্টওয়্যার আপডেট চক্রঅনেক ফাইললেস চেইন পরিচিত দুর্বলতাগুলিকে কাজে লাগিয়ে শুরু করে যার জন্য প্যাচগুলি ইতিমধ্যেই বিদ্যমান। ব্রাউজার, প্লাগইন, এন্টারপ্রাইজ অ্যাপ্লিকেশন এবং অপারেটিং সিস্টেমগুলিকে আপডেট রাখা আক্রমণকারীদের জন্য মূল্যবান দরজা বন্ধ করে দেয়।

পরিচালিত পরিষেবা এবং হুমকি অনুসন্ধান

মাঝারি এবং বৃহৎ সংস্থাগুলিতে, যেখানে ইভেন্টের পরিমাণ বিশাল, অভ্যন্তরীণ দলের পক্ষে সবকিছু দেখা কঠিন। এই কারণেই তাদের জনপ্রিয়তা ক্রমশ বাড়ছে। পর্যবেক্ষণ এবং পরিচালিত প্রতিক্রিয়া পরিষেবা (MDR/EMDR) এবং বহিরাগত নিরাপত্তা অপারেশন সেন্টার (SOCs)।

এই পরিষেবাগুলি উন্নত প্রযুক্তির সাথে একত্রিত করে বিশ্লেষকদের দল ২৪/৭ পর্যবেক্ষণ করছে তাদের ক্লায়েন্টদের পরিবেশ, দুর্বল সংকেতগুলির সাথে সম্পর্কযুক্ত যা অন্যথায় অলক্ষিত হত। ধারণাটি হল ক্ষতি হওয়ার আগে ফাইললেস ম্যালওয়্যারের সাধারণ আচরণগুলি সনাক্ত করা।

অনেক SOC কাঠামোর উপর নির্ভর করে যেমন মিটার এটিটি এবং সিকে প্রতিপক্ষের কৌশল, কৌশল এবং পদ্ধতি (TTP) তালিকাভুক্ত করা এবং মেমরির মধ্যে কার্যকরকরণ, LoLBins অপব্যবহার, দূষিত WMI, অথবা গোপনে ডেটা এক্সফিল্ট্রেশন প্যাটার্নের জন্য নির্দিষ্ট নিয়ম তৈরি করা।

ক্রমাগত পর্যবেক্ষণের পাশাপাশি, এই পরিষেবাগুলির মধ্যে সাধারণত অন্তর্ভুক্ত থাকে ফরেনসিক বিশ্লেষণ, ঘটনার প্রতিক্রিয়া এবং পরামর্শ নিরাপত্তা স্থাপত্য উন্নত করা, পুনরাবৃত্ত ফাঁকগুলি পূরণ করা এবং এন্ডপয়েন্ট এবং সার্ভারগুলিতে নিয়ন্ত্রণ জোরদার করা।

অনেক কোম্পানির জন্য, এই ফাংশনের অংশ আউটসোর্সিং এই ধরনের জটিল হুমকি মোকাবেলা করার সবচেয়ে কার্যকর উপায়, কারণ সকলের পক্ষে উন্নত ম্যালওয়্যার অনুসন্ধানে বিশেষজ্ঞ একটি অভ্যন্তরীণ দল গঠনের সামর্থ্য নেই।

বাস্তবতা হলো, ফাইললেস ম্যালওয়্যার আমাদের এন্ডপয়েন্ট নিরাপত্তা বোঝার ধরণ চিরতরে বদলে দিয়েছে: ফাইলগুলি আর একমাত্র মূল সূচক নয়এবং শুধুমাত্র গভীর দৃশ্যমানতা, আচরণগত বিশ্লেষণ, ভালো ব্যবস্থাপনা অনুশীলন এবং একটি বর্ধিত সাইবার নিরাপত্তা সংস্কৃতির সমন্বয়ই এটিকে দৈনন্দিন জীবনে দূরে রাখতে পারে।