حملات بدافزار بدون فایل، حفاظت و شناسایی

بدافزار بدون فایل(Fileless Malware) ممکن است برای اکثر افراد یک اصطلاح جدید باشد، اما صنعت امنیت سال هاست که آن را می شناسد. سال گذشته بیش از 140 شرکت در سراسر جهان با این بدافزار بدون فایل مورد حمله قرار گرفتند -(Fileless Malware –) از جمله بانک‌ها، مخابرات و سازمان‌های دولتی. بدافزار بدون فایل(Fileless Malware) ، همانطور که از نامش توضیح می‌دهد، نوعی بدافزار است که دیسک را لمس نمی‌کند یا از هیچ فایلی در فرآیند استفاده نمی‌کند. در چارچوب یک فرآیند مشروع بارگذاری می شود. با این حال، برخی از شرکت‌های امنیتی ادعا می‌کنند که حمله بدون فایل یک باینری کوچک در میزبان در معرض خطر برای شروع حمله بدافزار باقی می‌گذارد. چنین حملاتی در چند سال اخیر افزایش قابل توجهی داشته اند و از حملات بدافزار سنتی خطرناک تر هستند.

بدافزار بدون فایل

حملات بدافزار بدون فایل

حملات بدافزار بدون فایل که به عنوان حملات (Fileless Malware)غیر(Non-Malware attacks) بدافزاری نیز شناخته می‌شود . آنها از مجموعه ای معمولی از تکنیک ها برای ورود به سیستم شما بدون استفاده از هیچ فایل بدافزار قابل شناسایی استفاده می کنند. در چند سال گذشته، مهاجمان باهوش‌تر شده‌اند و راه‌های مختلفی را برای حمله ایجاد کرده‌اند.

بدافزار(Fileless) بدون فایل کامپیوترها را آلوده می‌کند و هیچ فایلی روی هارد دیسک محلی باقی نمی‌گذارد و از ابزارهای سنتی امنیتی و پزشکی قانونی کنار می‌زند.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

بدافزار بدون فایل در حافظه دسترسی تصادفی(Random Access Memory) سیستم رایانه شما قرار دارد و هیچ برنامه آنتی ویروسی حافظه را مستقیماً بررسی نمی کند - بنابراین امن ترین حالت برای مهاجمان است که به رایانه شما نفوذ کنند و تمام داده های شما را سرقت کنند. حتی بهترین برنامه های آنتی ویروس گاهی اوقات بدافزاری را که در حافظه اجرا می شود از دست می دهند.

برخی از آلودگی‌های اخیر بدافزار بدون فایل(Fileless Malware) که سیستم‌های کامپیوتری را در سراسر جهان آلوده کرده‌اند عبارتند از: Kovter ، USB Thief ، PowerSniff ، Poweliks ، PhaseBot ، Duqu2 و غیره.

بدافزار بدون فایل چگونه کار می کند

بدافزار بدون فایل زمانی که به حافظه(Memory) می‌رسد می‌تواند ابزارهای داخلی و مدیریتی ویندوز داخلی شما مانند (Windows)PowerShell ، SC.exe ، و netsh.exe را برای اجرای کدهای مخرب و دسترسی ادمین به سیستم شما، به گونه‌ای که حمل می‌کند، مستقر کند. دستورات را حذف کنید و اطلاعات شما را بدزدید. بدافزار بدون فایل گاهی اوقات ممکن است در (Fileless Malware)Rootkits یا رجیستری(Registry) سیستم عامل ویندوز نیز پنهان شود.

پس از ورود، مهاجمان از حافظه پنهان Windows Thumbnail برای مخفی کردن مکانیسم بدافزار استفاده می کنند. با این حال، بدافزار هنوز برای ورود به کامپیوتر میزبان به یک باینری ثابت نیاز دارد و ایمیل رایج‌ترین رسانه‌ای است که برای آن استفاده می‌شود. هنگامی که کاربر روی پیوست مخرب کلیک می کند، یک فایل payload رمزگذاری شده در رجیستری ویندوز(Windows Registry) می نویسد .

بدافزار(Fileless Malware) بدون فایل همچنین به استفاده از ابزارهایی مانند Mimikatz و Metaspoilt برای تزریق کد به حافظه رایانه شخصی شما و خواندن داده های ذخیره شده در آنجا معروف است. این ابزارها به مهاجمان کمک می کند تا به عمق رایانه شما نفوذ کنند و تمام داده های شما را بدزدند.

تجزیه و تحلیل رفتار و بدافزار بدون(Fileless) فایل

از آنجایی که اکثر برنامه های آنتی ویروس معمولی از امضا برای شناسایی یک فایل بدافزار استفاده می کنند، شناسایی بدافزار بدون فایل دشوار است. بنابراین، شرکت های امنیتی از تجزیه و تحلیل رفتاری برای شناسایی بدافزار استفاده می کنند. این راه حل امنیتی جدید برای مقابله با حملات و رفتار قبلی کاربران و رایانه ها طراحی شده است. هر گونه رفتار غیرعادی که به محتوای مخرب اشاره می کند، سپس با هشدار اطلاع رسانی می شود.

هنگامی که هیچ راه حل نقطه پایانی نمی تواند بدافزار بدون فایل را شناسایی کند، تجزیه و تحلیل رفتاری هرگونه رفتار غیرعادی مانند فعالیت مشکوک ورود به سیستم، ساعات کاری غیرمعمول یا استفاده از هر منبع غیر معمول را شناسایی می کند. این راه حل امنیتی داده های رویداد را در طول جلساتی که کاربران از هر برنامه ای استفاده می کنند، وب سایت را مرور می کنند، بازی می کنند، با رسانه های اجتماعی تعامل می کنند و غیره می گیرد.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

نحوه محافظت و شناسایی بدافزارهای بدون فایل(Fileless Malware)

اقدامات احتیاطی اولیه را برای ایمن کردن رایانه ویندوز خود(precautions to secure your Windows computer) دنبال کنید :

  • (Apply)تمام آخرین به روز رسانی های ویندوز -(Windows Updates –) به خصوص به روز رسانی های امنیتی را برای سیستم عامل خود اعمال کنید.
  • اطمینان(Make) حاصل کنید که تمام نرم افزارهای نصب شده شما وصله شده و به آخرین نسخه خود به روز شده است
  • از یک محصول امنیتی خوب استفاده کنید که بتواند حافظه رایانه شما را به طور موثر اسکن کند و همچنین صفحات وب مخربی را که ممکن است میزبان Exploit(Exploits) باشند را مسدود کند . باید نظارت بر رفتار(Behavior) ، اسکن حافظه و محافظت از (Memory)بخش راه‌اندازی(Boot Sector) را ارائه دهد .
  • قبل از دانلود هرگونه پیوست ایمیل(downloading any email attachments) مراقب باشید . این برای جلوگیری از بارگیری بار است.
  • از یک فایروال(Firewall) قوی استفاده کنید که به شما امکان می دهد ترافیک شبکه(Network) را به طور موثر کنترل کنید.

در ادامه بخوانید(Read next) : حملات Living Off The Land(Living Off The Land attacks) چیست؟



رشید طباطبائی

About the author

من یک مهندس نرم افزار با تجربه در Xbox Explorer، Microsoft Excel و Windows 8.1 Explorer هستم. در اوقات فراغت دوست دارم بازی های ویدیویی انجام دهم و تلویزیون تماشا کنم. من از دانشگاه یوتا مدرک دارم و در حال حاضر به عنوان مهندس نرم افزار برای یک شرکت بین المللی کار می کنم.


Related posts