- Dosyasız kötü amaçlı yazılımlar bellekte çalışır ve PowerShell veya WMI gibi meşru araçları kötüye kullanır.
- Disk üzerinde belirgin bir iz bırakmadan veri çalabilir, dosyaları şifreleyebilir veya bilgisayarları gözetleyebilir.
- Etkili tespit, yalnızca dosyaları değil, davranışları ve süreçleri de izlemeyi gerektirir.
- Savunma, EDR, segmentasyon, yama uygulama ve komut dosyaları ile makroların kullanımının azaltılmasını gerektirir.
Son yıllarda dosyasız kötü amaçlı yazılım Dosyasız kötü amaçlı yazılımlar, BT ve güvenlik ekipleri için en ciddi sorunlardan biri haline geldi. Burada, bir e-posta ekinde indirdiğiniz ve antivirüs taramasıyla kaldırabileceğiniz tipik virüslerden bahsetmiyoruz; sistemin kendi süreçleri içinde gizlenen çok daha sinsi bir şeyden bahsediyoruz.
Bu tür tehditler, mevcut durumdan faydalanır. meşru işletim sistemi araçlarıÖzellikle Windows'ta, zararlı kodu doğrudan RAM'e çalıştırabilir. Disk üzerinde neredeyse hiç iz bırakmadığı için, birçok geleneksel antivirüs programından kaçabilir ve bilgi çalmak, dosyaları şifrelemek veya arka kapılar kurmak için yeterince uzun süre tespit edilmeden aktif kalabilir.
Dosyasız kötü amaçlı yazılım tam olarak nedir?
Dosyasız kötü amaçlı yazılımlardan bahsettiğimizde, şunları kastediyoruz: Disk üzerinde klasik bir yürütülebilir dosyaya bağlı olmayan kötü amaçlı kod. İşlevini yerine getirmek için, diğer programlar gibi kurulmak yerine, sistemde zaten mevcut olan bileşenlere (komut dosyaları, hizmetler, komut yorumlayıcıları vb.) dayanarak talimatlarını doğrudan bellekte yükler ve yürütür.
Teknik açıdan bakıldığında, bu kötü amaçlı yazılım genellikle halihazırda çalışan süreçlere enjekte edilmek Ya da her şeyi RAM'e yükleyen komutlar kullanılarak başlatılabilirler. Bu, bilgisayar kapatıldığında veya yeniden başlatıldığında birçok varyantın kaybolduğu, ancak bu arada ciddi hasara yol açmak için bolca zamanları olduğu anlamına gelir.
Dosya tabanlı kötü amaçlı yazılımlarla karşılaştırıldığında, bu tehditler şunlardır: Daha hafif, daha gizli ve izlenmesi çok daha zor.Disk üzerinde şüpheli bir .exe dosyası veya mutlaka kötü amaçlı bir yükleyici bulamazsınız: sorun, güvenilir gibi görünen süreçler içinde olanlarda yatmaktadır.
Bu yaklaşımın yükselişi, kampanyaların dosyasız teknikleri birleştirmeye başladığı 2017 civarında hızla arttı. tıklama truva atları, gelişmiş reklam yazılımları ve uzaktan erişim araçları (RAT'ler)Günümüzde casusluktan gelişmiş kalıcı tehditlere, fidye yazılımlarından kripto para madenciliğine kadar her türlü operasyona entegre edilmiş durumdalar.
Dosyasız kötü amaçlı yazılımlar içeriden nasıl çalışır?
Nasıl çalıştığını anlamak için, çoğu normal uygulamanın şu şekilde dağıtıldığını hatırlamakta fayda var: diske yazılan ve daha sonra belleğe yüklenen dosya Kullanıcı programı çalıştırdığında. Dosyasız kötü amaçlı yazılımlar ise ilk adımı atlayarak işletim sisteminin mekanizmalarını kullanarak doğrudan RAM'de yerleşir.
Birçok kampanya "topraktan geçinme" fikrine dayanmaktadır.arazi dışında yaşamak): saldırgan meşru idari yetkileri kötüye kullanıyor Yeni ikili dosyalar eklemek yerine. Windows'ta bunun en önemli örneği PowerShell'dir, ancak WMI, mshta, rundll32, VBScript veya JScript komut dosyaları ve diğer güvenilir ikili dosyalar (LoLBins) da istismar edilmektedir.
Tipik bir senaryo şöyle olabilir: Kullanıcı kötü amaçlı içerikli bir Office belgesi açar veya kimlik avı bağlantısına tıklar; buradan itibaren PowerShell'i çağıran betik Ya da bir başka araç kullanarak bir sonraki aşama için kodu indirebilir, şifresini çözebilir veya belleğe yerleştirebilirsiniz. Tüm bunlar, sabit sürücüde kalıcı bir dosya oluşturmadan gerçekleşebilir.
Bir diğer yaygın yöntem ise avantajlardan yararlanmaktır. uzaktan kod yürütme güvenlik açıklarıTarayıcılarda, eklentilerde veya sunucu uygulamalarında arabellek taşmaları gibi güvenlik açıklarından faydalanılabilir. Saldırgan, bu güvenlik açığını kullanarak savunmasız işlem içinde doğrudan shellcode çalıştırabilir ve oradan diğer bileşenleri belleğe yükleyebilir.
Hatta bazı varyantlar şu yöntemlere başvurur: Windows Kayıt Defteri veya zamanlanmış görevler Sistemin başlatılması veya kullanıcının oturum açması durumunda saldırıyı yeniden etkinleştiren komut dosyalarını veya komutları depolamak. Kayıt defterine bir şey yazılsa bile, ana kötü amaçlı mantık bellekte çalışmaya devam eder; bu da yalnızca dosya sistemine odaklanan araçlarla tespit edilmesini zorlaştırır.
Enfeksiyon yöntemleri ve ilk erişim
Ön kapı genellikle oldukça klasik bir tarza sahiptir: kimlik avı e-postaları, zararlı bağlantılar ve sahte belgeler Altta dosyasız teknikler kullanılsa bile, ilk erişim konusunda hâlâ en iyiler arasındalar. İşin püf noktası, tüm zincir boyunca disk alanını en aza indirmek için her türlü çabanın gösterilmesidir.
Birçok olayda kullanılırlar. Makrolar içeren Microsoft Office belgeleri Etkinleştirildiklerinde, bu makrolar PowerShell veya WMI'yı çağırarak saldırının bir sonraki aşamasını bellekte indirip yürütür. Makrolar olmasa bile, saldırganlar Word, Excel, PDF okuyucular veya kod yürütmeyi gerçekleştirmek için doğrudan betik motorunu kullanmak.
Bir diğer yaklaşım ise doğrudan kaldıraç kullanmayı içerir. görünüşte zararsız yürütülebilir dosyalar Kullanıcının e-posta yoluyla aldığı veya web'den indirdiği bu yürütülebilir dosya, .NET'teki yansıma (reflection) gibi teknikler kullanarak kötü amaçlı bir modülü çıkarabilir ve ayrı bir dosya olarak diske kaydetmeden belleğe yükleyebilir.
Ayrıca, güvenlik açığının kullanıldığı ve internete açık web sunucularını veya uygulamalarını hedef alan kampanyalar da bulunmaktadır. dosyasız bileşenlere sahip web kabuklarıSon örneklerden biri, kötü amaçlı kodun HTTP istekleri içinde iletilerek ele geçirilen sunucunun belleğine doğrudan enjekte edildiği Godzilla ve benzeri araçların kullanımıdır.
Son olarak, saldırganlar sıklıkla şu yöntemlere başvururlar: çalıntı kimlik bilgileriEğer bir yöneticinin veya yetkili bir hesabın kullanıcı adını ve şifresini ele geçirirlerse, RDP veya diğer kanallar aracılığıyla giriş yapabilir ve PowerShell komut dosyalarını, WMI komutlarını veya kötü amaçlı yazılımı sisteme yeni yürütülebilir dosyalar bırakmadan belleğe yükleyen yönetim araçlarını manuel olarak çalıştırabilirler.
Dosyasız kötü amaçlı yazılımların kullandığı özel teknikler
Bu saldırıların kilit noktalarından biri, tekrar tekrar kullanılmasıdır. yerel Windows araçları Bu durum, kötü amaçlı yazılımların komut dosyaları için bir araç olarak kullanılmasına yol açarak, kötü amaçlı faaliyetlerin normal yönetimsel görevlerle karışmasına ve analiz ile müdahalenin zorlaşmasına neden olur.
En yaygın teknikler arasında şunlar yer almaktadır: Gömülü kod başlatıcı olarak PowerShell Doğrudan komut satırından. Örneğin, gizlenmiş bir komut dosyası parametre olarak geçirilir, yürütme politikası devre dışı bırakılır, pencere gizlenir ve bir zararlı yazılım doğrudan belleğe indirilir; bunların hiçbiri .ps1 dosyası veya herhangi bir şüpheli yürütülebilir dosya görünür bırakmaz.
Bir diğer çok yaygın taktik ise zararlı komut dosyalarını depolamaktır. Windows Yönetim Araçları (WMI) abonelikleriWMI, belirli aralıklarla, bellekten kod çalıştırabilen, komuta ve kontrol sunucularına bağlanabilen veya enfeksiyonun yeni aşamalarını başlatabilen bir komut dosyasını tetikler.
Benzer şekilde, birçok grup şunu kullanıyor: Windows Kayıt Defteri ve Görev Zamanlayıcısı Komut dosyaları ve komutları için bir sığınak olarak kullanırlar. Başlangıç klasörüne çalıştırılabilir bir dosya yerleştirmek yerine, gömülü veya anlık kod içeren PowerShell, mshta veya rundll32 komut dosyalarını çalıştıran başlangıç anahtarları veya zamanlanmış görevler tanımlarlar.
Teknikler ayrıca şunlarda da görülmektedir: .NET'te yansıma (reflection)Hafif bir yürütülebilir dosya, şifrelenmiş veya sıkıştırılmış derlemeleri içerir ve bu derlemeler Reflection.Load kullanılarak doğrudan belleğe yüklenir; .dll dosyaları olarak diske asla yazılmaz. Bu, tek bir, görünüşte normal işlem içinde çok gelişmiş Truva atlarının konuşlandırılmasına olanak tanır.
Dosyasız bir saldırı neler yapabilir?
Adına rağmen, dosyasız saldırıların etkisi sınırlı değildir. Aslında, çok çeşitli saldırılar gerçekleştirebilir. geleneksel kötü amaçlı yazılımlarla aynı işlevlere sahipBilgi hırsızlığı, veri şifreleme, yatay hareket, casusluk, kripto para madenciliği veya kalıcı arka kapı kurulumu.
Dosyasız kampanyaların çoğu şu şekilde davranır: kimlik hırsızıBu, hassas süreçlerin belleğinden parolaları, oturum belirteçlerini veya kimlik doğrulama karmalarını yakalamayı içerir. Bu, ek ikili dosyalara başvurmadan ayrıcalıkları yükseltmeyi, daha fazla sistemi tehlikeye atmayı ve uzun süreli erişimi sürdürmeyi kolaylaştırır.
Diğerleri ise şunlara odaklanıyor: dosyasız fidye yazılımıŞifreleme ve iletişim mantığının bir kısmı doğrudan bellekte yürütülür. Çok sayıda dosyayı manipüle etmek için bir noktada disk bileşeni ortaya çıkabilse de, saldırının ilk yüklenmesi ve kontrolü, erken tespit edilmeyi önlemek için dosyasız tekniklerle yapılır.
Saldırganlar ayrıca kurulum da yapabilirler. rootkit'ler veya gelişmiş RAT'lar Bu araçlar bir kez kurulduktan sonra, komutları almak, ağ üzerinde hareket etmek ve modülleri güncellemek için dosyasız kanallar kullanırlar. Sistem süreçlerine veya kritik hizmetlere entegre oldukları için, bu araçları ortadan kaldırmak özellikle zordur.
Ekonomik cephede ise bunun etkisi şu şekilde ortaya çıkıyor: veri kaybı, hizmet kesintileri, düzenleyici para cezaları ve itibar kaybıBu tür siber saldırılar genellikle aylarca tespit edilemediğinden, sızdırılan bilgi miktarı ve ihlalin kapsamı çok büyük olabilir.
Dosyasız kötü amaçlı yazılım saldırısının aşamaları
Teknik yönleri farklı olsa da, dosyasız bir saldırının yaşam döngüsü, herhangi bir gelişmiş sızma saldırısınınkine oldukça benzerdir. Değişen noktalar şunlardır: her aşamada kullanılan mekanizmalar ve kendilerini kamufle etme biçimleri.
aşamasında ilk erişimSaldırganın öncelikle bir dayanak noktasına ihtiyacı vardır: bir kimlik avı bağlantısına tıklama, makro içeren bir belgenin açılması, savunmasız bir sunucunun istismar edilmesi veya ele geçirilmiş kimlik bilgilerinin yeniden kullanılması. Buradan sonraki amaç, hedef sistem içinde kod çalıştırmaktır.
Bu aşama tamamlandıktan sonra, bir sonraki aşama başlar. bellekte yürütmeİşte bu noktada PowerShell, WMI, mshta, rundll32, VBScript, JScript veya diğer yorumlayıcılar devreye girerek, diskte kalıcı yürütülebilir dosyalar oluşturmadan zararlı yazılımı yükler ve etkinleştirir. Kod genellikle gizlenir veya şifrelenir ve yalnızca RAM'de şifresi çözülür.
Sonra takip başlar. persistenciaDosyasız zararlı yazılımların çoğu bilgisayar yeniden başlatıldığında kaybolsa da, gelişmiş saldırganlar RAM'de çalışan komut dosyalarını Kayıt Defteri anahtarları, zamanlanmış görevler veya WMI abonelikleriyle birleştirerek, sistem başlatma veya kullanıcı oturum açma gibi belirli bir koşul karşılandığında kodu yeniden başlatırlar.
Son olarak, nihai hedefler Saldırganın eylemleri arasında veri hırsızlığı ve sızdırma, bilgi şifreleme, daha fazla kötü amaçlı yazılım yayma, sürekli casusluk ve kritik sistemlerin sabotajı yer almaktadır. Tüm bunlar, erken uyarıları ve adli analizleri önlemek için mümkün olan en düşük profili korumaya çalışırken yapılır.
Tespit edilmesi neden bu kadar zor?
Dosyasız kötü amaçlı yazılımların en büyük sorunu şudur ki... Dosya ve imzalara dayalı klasik savunma modelini alt üst ediyor.Analiz edilecek şüpheli bir yürütülebilir dosya yoksa, birçok antivirüs motoru bellek içinde ve meşru süreçlerde neler olup bittiğine karşı kör kalır.
Disk üzerinde dosya bulunmaması şu anlama gelir: Periyodik olarak taranacak nesne yok. Bilinen kalıpları aramak amacıyla. Dahası, PowerShell.exe, wscript.exe veya rundll32.exe gibi işletim sisteminin kendisi tarafından imzalanmış ikili dosyaları kullanarak, kötü amaçlı faaliyetler yöneticinin normalde güvendiği isimlerin ardında gizlenir.
Ayrıca, miras yoluyla geçen birçok ürünün de bir özelliği vardır. İşleyen süreçlere ilişkin sınırlı görünürlük.Dosya sistemine ve ağ trafiğine odaklanıyorlar, ancak dosyasız bir saldırıyı ele verebilecek dahili API çağrılarını, komut satırı parametrelerini, komut dosyası davranışlarını veya Kayıt Defteri olaylarını neredeyse hiç incelemiyorlar.
Bu sınırlamaların farkında olan saldırganlar, şu yöntemlere başvuruyorlar: gizleme, şifreleme ve kod parçalama teknikleriÖrneğin, kötü amaçlı bir betiği gerçek zamanlı olarak bir araya getirilen birkaç parçaya bölerler veya talimatları resimlerin, gömülü kaynakların veya görünüşte zararsız dizelerin içine gizlerler.
Sistemlerin nadiren yeniden başlatıldığı ortamlarda (kritik sunucular, üretim terminalleri vb.), bellekte kalıcı kötü amaçlı yazılımlar şu sorunlara yol açabilir: haftalarca veya aylarca aktif kalmak Özellikle dikkatli hareket ederseniz ve trafik yoğunluğunu veya dikkat çekici eylemleri en aza indirirseniz, fark edilmeden ilerleyebilirsiniz.
Geleneksel savunmaların sınırlılıkları
Bu tehdide karşı birçok sağlayıcının ilk tepkisi denemek oldu. PowerShell veya Office makroları gibi araçları kısıtlamak veya doğrudan engellemekBazı risk faktörlerini azaltabilse de, çoğu kuruluşta gerçekçi veya eksiksiz bir çözüm değildir.
PowerShell bir hale geldi. Windows sistem yönetimi için temel bir bileşenGörev otomasyonu, yazılım dağıtımı ve sunucu yönetimi. Bunu tamamen engellemek, BT iş akışlarını felç eder ve çok sayıda dahili sürecin yeniden yapılmasını gerektirir.
Ayrıca, saldırganın bakış açısından, birden fazla yol mevcuttur. basit bir engelleme politikasını atlatmakPowerShell motorunu rundll32 kullanarak kütüphanelerden (dll) yüklemek, PS2EXE gibi araçlarla komut dosyalarını çalıştırılabilir dosyalara dönüştürmek, PowerShell.exe'nin değiştirilmiş kopyalarını kullanmak veya hatta PowerShell komut dosyalarını PNG resimlerine gömüp gizlenmiş komut satırlarıyla çalıştırmak gibi teknikler mevcuttur.
Benzer bir durum Office makrolarında da yaşanır: Birçok şirket onlara bağımlı. Raporları, hesaplamaları ve iş süreçlerini otomatikleştirmek için kullanılırlar. Bunları global olarak devre dışı bırakmak dahili uygulamaları bozabilirken, yalnızca VBA kodunun statik analizine güvenmek genellikle yönetilmesi zor yanlış pozitif ve yanlış negatif oranlarına yol açar.
Ek olarak, bazı yaklaşımlar şunlara dayanmaktadır: bulut tabanlı tespit hizmeti Sürekli bağlantı gerektirirler ve bazen kötü amaçlı yazılımın ilk çalıştırılmasını engellemek için çok fazla gecikmeyle çalışırlar. Engelleme kararı saniyeler veya dakikalar sonra verilirse, hasar zaten meydana gelmiş olabilir.
Odak noktası değişiyor: dosyalardan davranışlara
Dosya artık ana unsur olmadığı için, modern savunma çözümleri şunlara odaklanıyor: süreçlerin davranışını izlemek Dosyaların içeriğini incelemekle yetinmek yerine. Buradaki fikir, binlerce kötü amaçlı yazılım varyantı olmasına rağmen, kötü amaçlı faaliyet kalıplarının çok daha az çeşitli olduğudur.
Bu yaklaşım, motorlara dayanmaktadır. davranış analizi ve makine öğrenimi Her bir sürecin ne yaptığını sürekli olarak izleyen bir sistem: hangi komutları çalıştırdığı, hangi sistem kaynaklarına dokunduğu, dış dünyayla nasıl iletişim kurduğu ve ortama hangi değişiklikleri getirmeye çalıştığı.
Örneğin, bir Office işlemi aşağıdaki durumlarda şüpheli olarak işaretlenebilir: gizlenmiş bir PowerShell komutunu yürütür Güvenlik politikalarını devre dışı bırakmak ve şüpheli bir alandan kod indirmek için parametreler içeren bir işlem. Veya görünürde hiçbir sebep yokken aniden yüzlerce hassas dosyaya erişen veya kritik kayıt defteri anahtarlarını değiştiren bir işlem.
En yeni nesil EDR sistemleri ve XDR platformları toplar Uç noktaların, sunucuların ve ağın ayrıntılı telemetrisive bir olayın nasıl ortaya çıktığına, hangi süreçlerin involved olduğuna ve etkilenen makinenin hangi değişikliklere uğradığına dair eksiksiz öyküler (bazen Öykü Çizgileri olarak da adlandırılır) yeniden oluşturabilirler.
İyi bir davranışsal algoritma yalnızca tehdidi tespit etmekle kalmaz, aynı zamanda kötü niyetli eylemleri hafifletmek veya otomatik olarak tersine çevirmekİlgili işlemleri sonlandır, bilgisayarı izole et, şifrelenmiş dosyaları geri yükle, Kayıt Defteri'ndeki değişiklikleri geri al ve komuta ve kontrol alanlarıyla iletişimi kes.
Windows'ta önemli olayların teknolojileri ve kaynakları
Windows'ta dosyasız tehditleri analiz etmek için, özellikle şu yöntemlerden yararlanmak faydalıdır: yerel işletim sistemi telemetri mekanizmalarıZaten mevcut olan ve perde arkasında neler olup bittiği hakkında birçok bilgi sunan kaynaklar.
Bir tarafta Windows için Olay İzleme (ETW)ETW, süreç yürütme, API çağrıları, bellek erişimi ve diğer dahili sistem yönleriyle ilgili son derece ayrıntılı olayların kaydedilmesine olanak tanıyan bir çerçevedir. Birçok EDR çözümü, gerçek zamanlı olarak olağandışı davranışları tespit etmek için ETW'ye güvenir.
Bir diğer önemli parça ise Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü (AMSI)AMSI, Microsoft tarafından güvenlik motorlarının, gizlenmiş olsalar bile, komut dosyalarını ve dinamik içeriği çalıştırılmadan hemen önce incelemesine olanak sağlamak üzere tasarlanmış bir API'dir. AMSI özellikle PowerShell, VBScript, JScript ve diğer komut dosyası dilleriyle kullanışlıdır.
Ayrıca, modern motorlar periyodik olarak analiz edilmektedir. Kayıt Defteri, Görev Zamanlayıcı, WMI abonelikleri veya komut dosyası yürütme politikaları gibi hassas alanlarBu alanlardaki şüpheli değişiklikler genellikle dosyasız bir saldırının kalıcı hale geldiğinin bir işaretidir.
Tüm bunlar, yalnızca mevcut süreci değil, aynı zamanda geleceği de dikkate alan sezgisel yöntemlerle tamamlanmaktadır. yürütme bağlamıAna sürecin nereden geldiği, öncesinde ve sonrasında hangi ağ etkinliğinin gözlemlendiği, garip arızaların, anormal tıkanmaların veya birlikte ele alındığında şüpheyi artıran diğer sinyallerin olup olmadığı.
Pratik tespit ve önleme stratejileri
Pratikte, bu tehditlerden korunmak, çeşitli yöntemleri birleştirmeyi gerektirir. teknoloji, süreçler ve eğitimSadece bir antivirüs programı kurup gerisini unutmak yeterli değil; dosyasız kötü amaçlı yazılımların gerçek davranışlarına uyarlanmış katmanlı bir stratejiye ihtiyaç var.
Teknik düzeyde, devreye alınması şarttır. EDR veya XDR çözümleri Davranış analizi yeteneklerine ve süreç düzeyinde görünürlüğe sahip olmaları gerekir. Bu araçlar, faaliyetleri gerçek zamanlı olarak kaydedip ilişkilendirebilmeli, anormal davranışları engelleyebilmeli ve güvenlik ekibine net adli bilgiler sağlayabilmelidir.
Ayrıca uygun PowerShell, WMI ve diğer yorumlayıcıların kullanımının kısıtlanması Sadece gerekli olanlara erişim kontrol listeleri, komut dosyası imzalama (kod imzalama) ve hangi kodun hangi ayrıcalıklarla çalıştırılabileceğini sınırlayan yürütme politikaları uygulanır.
Kullanıcı tarafında ise eğitim hayati önem taşımaktadır: Bilgilerin pekiştirilmesi gereklidir. Kimlik avı, şüpheli bağlantılar ve beklenmedik belgeler konusunda farkındalıkBu durum, özellikle hassas bilgilere veya yüksek düzeyde yetkilere erişimi olan personel arasında son derece önemlidir. Dikkatsiz tıklamaların sayısını azaltmak, saldırı yüzeyini önemli ölçüde küçültür.
Son olarak, göz ardı edilemez ki yama ve yazılım güncelleme döngüsüDosyasız saldırı zincirlerinin çoğu, halihazırda yamaları bulunan bilinen güvenlik açıklarından yararlanarak başlar. Tarayıcıları, eklentileri, kurumsal uygulamaları ve işletim sistemlerini güncel tutmak, saldırganlar için değerli kapıları kapatır.
Yönetilen hizmetler ve tehdit avcılığı
Orta ve büyük ölçekli kuruluşlarda, etkinlik sayısının çok fazla olması nedeniyle, iç ekibin her şeyi görmesi zordur. Bu yüzden bu sistemler giderek daha popüler hale geliyor. izleme ve yönetilen müdahale hizmetleri (MDR/EMDR) ve harici güvenlik operasyon merkezleri (SOC'ler).
Bu hizmetler, gelişmiş teknolojiyi şu unsurlarla birleştirir: Analist ekipleri 7/24 izleme yapıyor. Müşterilerinin ortamlarını inceleyerek, aksi takdirde fark edilmeyecek olan zayıf sinyalleri ilişkilendiriyorlar. Amaç, hasar oluşmadan önce dosyasız kötü amaçlı yazılımların tipik davranışlarını tespit etmektir.
Birçok SOC, aşağıdaki gibi çerçevelere dayanmaktadır: GÖNYE ATT & CK Düşmanların taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) kataloglamak ve bellek içi yürütme, LoLBins kötüye kullanımı, kötü amaçlı WMI veya gizli veri sızdırma modellerine yönelik özel kurallar oluşturmak.
Sürekli izlemenin yanı sıra, bu hizmetler tipik olarak şunları içerir: adli analiz, olay müdahalesi ve danışmanlık Güvenlik mimarisini iyileştirmek, tekrarlayan açıkları kapatmak ve uç noktalar ile sunucular üzerindeki kontrolleri güçlendirmek.
Birçok şirket için, bu işlevin bir kısmını dış kaynaklara devretmek, bu tür karmaşık tehditlere ayak uydurmanın en uygun yoludur; çünkü herkes gelişmiş kötü amaçlı yazılımları avlamada uzmanlaşmış bir iç ekibe sahip olmayı karşılayamaz.
Gerçek şu ki, dosyasız kötü amaçlı yazılımlar uç nokta güvenliğini anlama biçimimizi sonsuza dek değiştirdi: Dosyalar artık tek önemli gösterge değil.Ve ancak derinlemesine görünürlük, davranışsal analiz, iyi yönetim uygulamaları ve genişletilmiş bir siber güvenlik kültürünün birleşimi, bunu günlük olarak kontrol altında tutabilir.
