- Ang fileless malware ay tumatakbo sa memory at inaabuso ang mga lehitimong tool tulad ng PowerShell o WMI.
- Kaya nitong magnakaw ng data, mag-encrypt ng mga file, o mag-espiya sa mga computer nang hindi nag-iiwan ng malinaw na bakas sa disk.
- Ang epektibong pagtuklas ay nangangailangan ng pagsubaybay sa kilos at mga proseso, hindi lamang mga file.
- Ang pagdedepensa ay nangangailangan ng EDR, segmentation, patching, at pagbabawas ng paggamit ng mga script at macro.
Sa nakalipas na mga taon ang walang file na malware Ang fileless malware ay naging isa sa mga pinakamalalang sakit ng ulo para sa mga IT at security team. Hindi natin pinag-uusapan ang tipikal na virus na dina-download mo sa isang attachment at maaaring tanggalin gamit ang antivirus scan, kundi isang bagay na mas palihim na nakatago sa loob ng sariling mga proseso ng system.
Sinasamantala ng ganitong uri ng banta mga lehitimong kagamitan sa operating systemLalo na sa Windows, maaari nitong isagawa ang malisyosong code nang direkta sa RAM. Dahil halos wala itong iniiwang bakas sa disk, maaari nitong maiwasan ang maraming tradisyonal na programang antivirus at manatiling aktibo nang sapat na katagalan upang magnakaw ng impormasyon, i-encrypt ang mga file, o magpanatili ng mga backdoor nang hindi natutukoy.
Ano nga ba ang fileless malware?
Kapag pinag-uusapan natin ang tungkol sa fileless malware, ang tinutukoy natin ay malisyosong code na hindi nakadepende sa isang klasikong executable sa disk para gumana. Sa halip na mai-install tulad ng ibang programa, umaasa ito sa mga bahaging mayroon na sa sistema (mga script, serbisyo, command interpreter, atbp.) upang i-load at isagawa ang mga instruksyon nito nang direkta sa memorya.
Mula sa teknikal na pananaw, ang malware na ito ay karaniwang na ipasok sa mga prosesong tumatakbo na o maaari silang ilunsad gamit ang mga utos na naglo-load ng lahat sa RAM. Nangangahulugan ito na, kapag ang computer ay pinatay o na-restart, maraming variant ang nawawala, ngunit pansamantala ay mayroon silang sapat na oras upang magdulot ng malubhang pinsala.
Kung ikukumpara sa malware na nakabatay sa file, ang mga banta na ito ay mas magaan, mas maingat, at mas mahirap subaybayanWala kang makikitang kahina-hinalang .exe file sa disk, ni hindi mo rin makikita ang isang malisyosong installer: ang problema ay nasa nangyayari sa loob ng mga prosesong tila pinagkakatiwalaan.
Ang pagsikat ng pamamaraang ito ay biglang sumikat noong bandang 2017, nang simulan ng mga kampanya na pagsamahin ang mga pamamaraang walang file mga clicker trojan, advanced adware, at mga remote access tool (RAT)Sa kasalukuyan, isinama na sila sa lahat ng uri ng operasyon: mula sa paniniktik at mga APT hanggang sa ransomware at cryptomining.
Paano gumagana ang fileless malware sa loob
Para maunawaan kung paano ito gumagana, mahalagang tandaan na ang karamihan sa mga normal na aplikasyon ay ipinamamahagi bilang isang file na isinusulat sa disk at pagkatapos ay nilo-load sa memorya kapag pinatakbo ito ng user. Sa kabilang banda, ang fileless malware ay nilalaktawan ang unang hakbang at direktang lumilitaw sa RAM gamit ang mga mekanismo ng operating system mismo.
Maraming kampanya ang umaasa sa ideya ng "pamumuhay mula sa lupa" (nabubuhay sa lupain): ang umaatake inaabuso ang mga lehitimong kapangyarihang administratibo sa halip na magpakilala ng mga bagong binary. Sa Windows, ang pangunahing halimbawa ay ang PowerShell, ngunit ang mga WMI, mshta, rundll32, VBScript o JScript script, at iba pang mga pinagkakatiwalaang binary (LoLBins) ay ginagamit din.
Ang isang karaniwang senaryo ay: magbubukas ang isang user ng isang dokumento ng Office na may malisyosong nilalaman o mag-click sa isang phishing link; mula roon ay script na tumatawag sa PowerShell o ibang kagamitan upang mag-download, mag-decrypt, o mag-inject ng code para sa susunod na yugto sa memorya. Maaaring mangyari ang lahat ng ito nang hindi lumilikha ng permanenteng file sa hard drive.
Ang isa pang karaniwang vector ay kinabibilangan ng pagsasamantala mga kahinaan sa pagpapatupad ng malayuang code, tulad ng mga buffer overflow sa mga browser, plugin, o mga application ng server. Sa pamamagitan ng pagsasamantala sa kahinaan, maaaring direktang isagawa ng attacker ang shellcode sa loob ng prosesong mahina at, mula roon, i-load ang natitirang bahagi ng mga bahagi sa memorya.
Ang ilang mga variant ay gumagamit pa nga ng Windows Registry o mga naka-iskedyul na gawain para mag-imbak ng mga script o command na muling nagpapagana ng pag-atake kapag nagsimula ang system o kapag nag-log in ang isang user. Kahit na may nakasulat sa Registry, ang pangunahing malisyosong lohika ay patuloy na tumatakbo sa memorya, na nagpapahirap sa pagtuklas nito gamit ang mga tool na nakatuon lamang sa file system.
Mga paraan ng impeksyon at paunang pag-access
Ang pintuan sa harap ay karaniwang medyo klasiko: mga phishing email, mga malisyosong link, at mga pekeng dokumento Sila pa rin ang mga hari ng unang pag-access, kahit na ginagamit ang mga pamamaraang walang file sa ilalim. Ang sekreto ay sa buong kadena, ginagawa ang lahat ng pagsisikap upang mabawasan ang anumang bakas ng disk.
Ginagamit ang mga ito sa maraming insidente Mga dokumento ng Microsoft Office na may mga macro Kapag na-activate, tinatawag ng mga macro na ito ang PowerShell o WMI upang i-download at isagawa ang susunod na yugto ng pag-atake sa memorya. Kahit walang mga macro, sinasamantala ng mga attacker ang mga kahinaan sa Word, Excel, Mga mambabasa ng PDF o ang scripting engine mismo upang makamit ang pagpapatupad ng code.
Ang isa pang pamamaraan ay kinabibilangan ng direktang paggamit tila hindi nakakapinsalang mga executable na natatanggap ng user sa pamamagitan ng email o pag-download mula sa web. Maaaring kumuha ang executable na ito ng isang malisyosong module at i-load ito sa memory gamit ang mga pamamaraan tulad ng reflection sa .NET, nang hindi ito aktwal na sine-save sa disk bilang isang hiwalay na file.
Mayroon ding mga kampanyang nagta-target sa mga web server o application na nakalantad sa Internet, kung saan ginagamit ang kahinaan upang i-deploy mga webshell na may mga bahaging walang fileAng isang kamakailang halimbawa ay ang paggamit ng Godzilla at mga katulad na tool, kung saan ang malisyosong code ay naglalakbay sa loob ng mga HTTP request at direktang inilalagay sa memorya ng nakompromisong server.
Panghuli, ang mga umaatake ay madalas na gumagamit ng ninakaw na mga kredensyalKung makuha nila ang username at password ng isang administrator o isang privileged account, maaari silang mag-log in sa pamamagitan ng RDP o iba pang mga channel at manu-manong ilunsad ang mga PowerShell script, WMI command, o mga administrative tool na naglo-load ng malware sa memory nang hindi nag-iiwan ng anumang mga bagong executable sa system.
Mga partikular na pamamaraan na ginagamit ng fileless malware
Isa sa mga susi sa mga pag-atakeng ito ay ang muling paggamit ng katutubong mga tool sa bintana bilang sasakyan para sa kanilang mga script. Nagiging sanhi ito ng paghahalo ng malisyosong aktibidad sa mga normal na gawaing administratibo, na nagpapakomplikado sa pagsusuri at pagtugon.
Kabilang sa mga pinakakaraniwang pamamaraan na ating matatagpuan ay ang paggamit ng PowerShell bilang isang naka-embed na code launcher direkta mula sa command line. Halimbawa, ang isang obfuscated script ay ipinapasa bilang isang parameter, ang patakaran sa pagpapatupad ay hindi pinagana, ang window ay nakatago, at ang isang payload ay direktang dina-download sa memorya, lahat nang hindi nag-iiwan ng .ps1 file o anumang kahina-hinalang executable na nakikita.
Isa pang napakasikat na taktika ay ang pag-iimbak ng mga malisyosong script sa Mga subscription sa Windows Management Instrumentation (WMI)Paminsan-minsan, tini-trigger ng WMI ang script, na maaaring magpatupad ng code mula sa memorya, kumonekta sa mga command at control server, o maglunsad ng mga bagong yugto ng impeksyon.
Gayundin, maraming grupo ang gumagamit ng Windows Registry at Task Scheduler bilang kanlungan para sa kanilang mga script at command. Sa halip na maglagay ng executable sa startup folder, tinutukoy nila ang mga startup key o naka-iskedyul na mga gawain na nagpapatakbo ng PowerShell, mshta, o rundll32 script na may naka-embed o on-the-fly code.
Makikita rin ang mga teknik sa repleksyon sa .NETkung saan ang isang magaan na executable ay naglalaman ng mga naka-encrypt o naka-compress na assembly na direktang nilo-load sa memory gamit ang Reflection.Load, nang hindi kailanman isinusulat bilang mga .dll file sa disk. Pinapayagan nito ang pag-deploy ng mga napakasopistikadong Trojan sa loob ng isang tila normal na proseso.
Ano ang magagawa ng isang fileless attack?
Sa kabila ng pangalan nito, ang isang fileless attack ay hindi limitado sa epekto nito. Sa katunayan, maaari itong gumanap ang parehong mga function tulad ng tradisyonal na malware: pagnanakaw ng impormasyon, pag-encrypt ng data, lateral movement, paniniktik, pagmimina ng cryptocurrency, o pag-install ng mga permanenteng backdoor.
Maraming mga kampanyang walang file ang kumikilos tulad ng magnanakaw ng kredensyalKabilang dito ang pagkuha ng mga password, session token, o authentication hash mula sa memorya ng mga sensitibong proseso. Ginagawa nitong mas madali ang pag-escalate ng mga pribilehiyo, pagkompromiso sa mas maraming sistema, at pagpapanatili ng pangmatagalang access nang hindi gumagamit ng mga karagdagang binary.
Ang iba ay nakatuon sa walang file na ransomwarekung saan ang bahagi ng lohika ng pag-encrypt at komunikasyon ay direktang isinasagawa sa memorya. Bagama't ang isang bahagi ng disk ay maaaring lumitaw sa isang punto upang manipulahin ang isang malaking bilang ng mga file, ang unang pagkarga at pagkontrol ng pag-atake ay ginagawa gamit ang mga pamamaraan na walang file upang maiwasan ang maagang pagtuklas.
Maaari ring mag-install ang mga umaatake mga rootkit o mga advanced na RAT Kapag naitatag na, ang mga tool na ito ay gumagamit ng mga fileless channel upang makatanggap ng mga command, lumipat sa network, at mag-update ng mga module. Dahil isinama ang mga ito sa mga proseso ng system o mga kritikal na serbisyo, ang mga tool na ito ay partikular na mahirap alisin.
Sa aspetong pang-ekonomiya, ang epekto ay isinasalin sa pagkawala ng datos, mga pagkaantala ng serbisyo, mga multa sa regulasyon, at pinsala sa reputasyonDahil ang mga panghihimasok na ito ay kadalasang hindi natutuklasan sa loob ng ilang buwan, ang dami ng impormasyong na-exfilt at ang saklaw ng paglabag ay maaaring maging napakalaki.
Mga yugto ng pag-atake ng malware na walang file
Bagama't magkakaiba ang mga teknikal na aspeto, ang lifecycle ng isang fileless attack ay halos kapareho ng sa anumang advanced intrusion. Anong mga pagbabago ang mga mekanismong ginagamit sa bawat yugto at ang paraan ng kanilang pagbabalatkayo.
Sa yugto ng paunang pag-accessAng umaatake ay nangangailangan ng panimulang suporta: isang pag-click sa isang phishing link, ang pagbubukas ng isang dokumentong naglalaman ng mga macro, ang pagsasamantala sa isang mahinang server, o ang muling paggamit ng mga nakompromisong kredensyal. Mula roon, ang layunin ay isagawa ang code sa loob ng target na sistema.
Kapag naabot na ang hakbang na iyon, magsisimula na ang susunod na yugto pagpapatupad sa memoryaDito pumapasok ang PowerShell, WMI, mshta, rundll32, VBScript, JScript, o iba pang interpreter upang i-load at i-activate ang payload nang hindi bumubuo ng mga permanenteng executable sa disk. Ang code ay karaniwang nao-obfuscate o naka-encrypt at nade-decrypt lamang sa RAM.
Pagkatapos ay magsisimula ang paghabol pagtitiyagaBagama't maraming fileless payloads ang nawawala kapag ang computer ay muling ni-restart, pinagsasama ng mga sopistikadong attackers ang mga RAM-resident script na may mga Registry key, naka-iskedyul na gawain, o mga subscription sa WMI na muling naglulunsad ng code sa tuwing natutugunan ang isang partikular na kundisyon, tulad ng pagsisimula ng system o pag-login ng user.
Sa wakas, ang mga pangwakas na layunin Kabilang sa mga aksyon ng umaatake ang: pagnanakaw at pag-exfiltrate ng datos, pag-encrypt ng impormasyon, paglalagay ng mas maraming malware, patuloy na paniniktik, at pagsabotahe sa mga kritikal na sistema. Ginagawa ang lahat ng ito habang sinusubukang mapanatili ang pinakamababang posibleng profile upang maiwasan ang mga maagang alerto at forensic analysis.
Bakit ba ang hirap nitong matukoy?
Ang malaking problema sa fileless malware ay Sinisira nito ang klasikong modelo ng depensa batay sa mga file at lagdaKung walang kahina-hinalang executable na maaaring suriin, maraming antivirus engine ang nananatiling bulag sa nangyayari sa loob ng memorya at mga lehitimong proseso.
Ang kawalan ng mga file sa disk ay nagpapahiwatig na Walang mga bagay na dapat i-scan paminsan-minsan sa paghahanap ng mga kilalang pattern. Bukod pa rito, sa pamamagitan ng paggamit ng mga binary na nilagdaan mismo ng operating system, tulad ng PowerShell.exe, wscript.exe, o rundll32.exe, ang malisyosong aktibidad ay nababalot sa likod ng mga pangalang karaniwang pinagkakatiwalaan ng administrator.
Bukod pa rito, maraming minanang produkto ang may Limitadong kakayahang makita ang mga prosesong tumatakboNakatuon sila sa file system at trapiko sa network, ngunit halos hindi sinisiyasat ang mga internal na tawag sa API, mga parameter ng command-line, pag-uugali ng script, o mga kaganapan sa Registry na maaaring magbunyag ng isang fileless na pag-atake.
Ang mga umaatake, dahil alam nila ang mga limitasyong ito, ay gumagamit ng mga pamamaraan ng obfuscation, encryption, at code fragmentationHalimbawa, hinahati nila ang isang malisyosong script sa ilang mga fragment na pinagsama-sama nang real time, o itinatago nila ang mga tagubilin sa loob ng mga imahe, naka-embed na mapagkukunan, o tila hindi nakakapinsalang mga string.
Sa mga kapaligiran kung saan bihirang i-restart ang mga sistema (mga kritikal na server, mga production terminal, atbp.), maaaring... manatiling aktibo sa loob ng ilang linggo o buwan nang hindi napapansin, lalo na kung maingat kang kikilos at binabawasan ang dami ng trapiko o mga kapansin-pansing kilos.
Mga Limitasyon ng mga Tradisyunal na Panlaban
Ang unang tugon ng maraming provider sa bantang ito ay ang pagsubok paghigpitan o direktang harangan ang mga tool tulad ng PowerShell o Office macrosBagama't maaari nitong bawasan ang ilang mga vector, hindi ito isang makatotohanan o kumpletong solusyon sa karamihan ng mga organisasyon.
Ang PowerShell ay naging isang pangunahing bahagi para sa pangangasiwa ng sistema ng WindowsPag-aautomat ng gawain, pag-deploy ng software, at pamamahala ng server. Ang ganap na pagharang dito ay magpaparalisa sa mga daloy ng trabaho ng IT at mapipilitan ang pag-uulit ng maraming panloob na proseso.
Bukod pa rito, mula sa pananaw ng umaatake, maraming paraan upang pag-iwas sa isang simpleng patakaran sa pagharangMay mga pamamaraan para i-load ang PowerShell engine mula sa mga library (dll) gamit ang rundll32, i-convert ang mga script sa mga executable gamit ang mga tool tulad ng PS2EXE, gumamit ng mga binagong kopya ng PowerShell.exe, o kahit na i-embed ang mga PowerShell script sa mga PNG na imahe at patakbuhin ang mga ito gamit ang mga obfuscated command line.
May katulad na nangyayari sa mga macro ng Office: Maraming kompanya ang umaasa sa kanila para i-automate ang mga ulat, kalkulasyon, at proseso ng negosyo. Ang pag-disable sa mga ito sa buong mundo ay maaaring makasira sa mga internal na application, habang ang pag-asa lamang sa static analysis ng VBA code ay kadalasang nagreresulta sa mahirap pamahalaang false positive at false negative rate.
Bukod pa rito, ang ilang mga pamamaraan batay sa pagtukoy bilang isang serbisyo batay sa cloud Nangangailangan ang mga ito ng patuloy na koneksyon at, kung minsan, gumagana nang may labis na pagkaantala upang maiwasan ang unang pagpapatupad ng malware. Kung ang desisyon sa pagharang ay ginawa pagkalipas ng ilang segundo o minuto, maaaring nagawa na ang pinsala.
Paglipat ng pokus: mula sa mga file patungo sa gawi
Dahil ang file ay hindi na ang pangunahing elemento, ang mga modernong solusyon sa depensa ay nakatuon sa subaybayan ang pag-uugali ng mga proseso sa halip na siyasatin lamang ang mga nilalaman ng mga file. Ang ideya ay, bagama't mayroong libu-libong variant ng malware, ang mga pattern ng malisyosong aktibidad ay hindi gaanong magkakaiba.
Ang pamamaraang ito ay nakasalalay sa mga makina ng pagsusuri ng pag-uugali at pagkatuto ng makina na patuloy na sumusubaybay sa ginagawa ng bawat proseso: kung ano ang mga utos na inilulunsad nito, kung anong mga mapagkukunan ng sistema ang hinahawakan nito, kung paano ito nakikipag-ugnayan sa labas ng mundo, at kung anong mga pagbabago ang sinusubukan nitong ipakilala sa kapaligiran.
Halimbawa, ang isang proseso ng Office ay maaaring markahan bilang kahina-hinala kung nagsasagawa ng isang obfuscated na utos ng PowerShell na may mga parameter upang i-disable ang mga patakaran sa seguridad at mag-download ng code mula sa isang kahina-hinalang domain. O isang proseso na, nang walang maliwanag na dahilan, ay biglang nag-a-access ng daan-daang sensitibong file o nagbabago ng mga mahahalagang registry key.
Ang pinakabagong henerasyon ng mga sistema ng EDR at mga platform ng XDR ay nangongolekta detalyadong telemetry ng mga endpoint, server at networkat nagagawang buuin muli ang mga kumpletong kuwento (minsan tinatawag na StoryLines) kung paano nagmula ang isang insidente, kung anong mga proseso ang kasangkot, at kung anong mga pagbabago ang naranasan ng apektadong makina.
Ang isang mahusay na behavioral engine ay hindi lamang nakakatukoy ng banta, kundi maaari rin pagaanin o awtomatikong baligtarin ang mga malisyosong aksyon: patayin ang mga kasangkot na proseso, ihiwalay ang computer, ibalik ang mga naka-encrypt na file, i-undo ang mga pagbabago sa Registry, at putulin ang mga komunikasyon sa mga command at control domain.
Mga teknolohiya at mapagkukunan ng mga pangunahing kaganapan sa Windows
Para masuri ang mga banta na walang file sa Windows, lalong kapaki-pakinabang na samantalahin ang mga mekanismo ng telemetrya ng katutubong operating system, na naroon na at nag-aalok ng maraming impormasyon tungkol sa kung ano ang nangyayari sa likod ng mga eksena.
Sa isang banda ay Pagsubaybay sa Kaganapan para sa Windows (ETW)Ang ETW ay isang balangkas na nagbibigay-daan para sa pagtatala ng mga detalyadong kaganapan na may kaugnayan sa pagpapatupad ng proseso, mga tawag sa API, pag-access sa memorya, at iba pang aspeto ng panloob na sistema. Maraming solusyon sa EDR ang umaasa sa ETW upang matukoy ang hindi pangkaraniwang pag-uugali sa totoong oras.
Ang isa pang key piece ay Antimalware Scan Interface (AMSI)Ang AMSI ay isang API na dinisenyo ng Microsoft upang payagan ang mga security engine na siyasatin ang mga script at dynamic na nilalaman bago pa man tumakbo ang mga ito, kahit na na-obfuscate. Ang AMSI ay lalong kapaki-pakinabang sa PowerShell, VBScript, JScript, at iba pang mga scripting language.
Bukod pa rito, ang mga modernong makina ay sinusuri nang pana-panahon mga sensitibong lugar tulad ng Registry, Task Scheduler, mga subscription sa WMI, o mga patakaran sa pagpapatupad ng scriptAng mga kahina-hinalang pagbabago sa mga lugar na ito ay kadalasang senyales na ang isang fileless attack ay nakapagpanatili na ng pagtitiyaga.
Ang lahat ng ito ay kinukumpleto ng heuristics na isinasaalang-alang hindi lamang ang kasalukuyang proseso, kundi pati na rin ang konteksto ng pagpapatupad: saan nagmumula ang prosesong parent, anong aktibidad ng network ang naobserbahan bago at pagkatapos, kung nagkaroon ba ng mga kakaibang pagkabigo, mga maanomalyang pagbara o iba pang mga senyales na, kung pagsasama-samahin, ay magdadala ng hinala.
Praktikal na mga estratehiya sa pagtuklas at pag-iwas
Sa pagsasagawa, ang pagprotekta sa sarili mula sa mga banta na ito ay kinabibilangan ng pagsasama-sama ng teknolohiya, proseso at pagsasanayHindi sapat ang mag-install lang ng antivirus at kalimutan na lang ito; kailangan ang isang layered na estratehiya na inangkop sa totoong kilos ng fileless malware.
Sa teknikal na antas, mahalagang ipatupad ang Mga solusyon sa EDR o XDR na may mga kakayahan sa pagsusuri ng pag-uugali at kakayahang makita sa antas ng proseso. Ang mga tool na ito ay dapat na makapagtala at makapag-ugnay ng aktibidad sa totoong oras, harangan ang mga hindi pangkaraniwang pag-uugali, at magbigay ng malinaw na impormasyong forensic sa pangkat ng seguridad.
Maginhawa din ito Paghihigpit sa paggamit ng PowerShell, WMI, at iba pang mga interpreter sa kung ano ang mahigpit na kinakailangan, paglalapat ng mga listahan ng kontrol sa pag-access, paglagda ng script (Code Signing) at mga patakaran sa pagpapatupad na naglilimita sa kung anong code ang maaaring tumakbo at kung anong mga pribilehiyo ang maaaring gamitin.
Sa panig ng gumagamit, nananatiling mahalaga ang pagsasanay: kinakailangan upang mapalakas ang kamalayan sa phishing, mga kahina-hinalang link, at mga hindi inaasahang dokumentoIto ay lalong mahalaga sa mga tauhang may access sa sensitibong impormasyon o mga pribilehiyong may mataas na antas. Ang pagbabawas ng bilang ng mga pabaya na pag-click ay makabuluhang nakakabawas sa posibilidad ng pag-atake.
Panghuli, hindi maaaring balewalain ng isa ang patch at siklo ng pag-update ng softwareMaraming fileless chain ang nagsisimula sa pamamagitan ng pagsasamantala sa mga kilalang kahinaan na mayroon nang mga patch. Ang pagpapanatiling updated ng mga browser, plugin, enterprise application, at operating system ay nagsasara ng mahahalagang pinto para sa mga umaatake.
Mga pinamamahalaang serbisyo at pangangaso ng banta
Sa mga organisasyong katamtaman at malaki, kung saan napakarami ang mga kaganapan, mahirap para sa internal na pangkat na makita ang lahat. Kaya naman lumalaki ang kanilang popularidad. mga serbisyo sa pagsubaybay at pinamamahalaang pagtugon (MDR/EMDR) at mga panlabas na sentro ng operasyon ng seguridad (SOC).
Pinagsasama ng mga serbisyong ito ang makabagong teknolohiya at mga pangkat ng mga analyst na nagmomonitor 24/7 ang mga kapaligiran ng kanilang mga kliyente, na iniuugnay ang mga mahihinang signal na kung hindi man ay hindi mapapansin. Ang ideya ay upang matukoy ang mga pag-uugaling tipikal ng fileless malware bago pa man mangyari ang pinsala.
Maraming SOC ang umaasa sa mga balangkas tulad ng MITER ATT&CK upang ilista ang mga taktika, pamamaraan, at pamamaraan (TTP) ng mga kalaban at bumuo ng mga partikular na panuntunan na nakatuon sa in-memory execution, pang-aabuso sa LoLBins, malisyosong WMI, o mga patagong pattern ng pag-exfiltration ng data.
Bukod sa patuloy na pagsubaybay, karaniwang kasama sa mga serbisyong ito ang pagsusuring forensik, pagtugon sa insidente, at pagkonsulta upang mapabuti ang arkitektura ng seguridad, isara ang mga paulit-ulit na puwang, at palakasin ang mga kontrol sa mga endpoint at server.
Para sa maraming kumpanya, ang pag-outsource ng bahagi ng tungkuling ito ang pinaka-mabisang paraan upang makasabay sa mga ganitong kumplikadong banta, dahil hindi lahat ay kayang bumili ng isang internal na pangkat na dalubhasa sa paghahanap ng mga advanced na malware.
Ang katotohanan ay ang fileless malware ay magpakailanman nang nagpabago sa paraan ng pag-unawa natin sa seguridad ng endpoint: Hindi na lamang ang mga file ang pangunahing tagapagpahiwatigAt tanging ang kombinasyon ng malalim na kakayahang makita, pagsusuri sa pag-uugali, mahusay na mga kasanayan sa pamamahala, at isang pinalawak na kultura ng cybersecurity ang makakapigil dito sa pang-araw-araw na batayan.
