بدافزار بدون فایل (Fileless Malware) چیست؟

Fileless Malware
مقالات نرم افزار

بدافزار بدون فایل (Fileless Malware) چیست؟

 

Fileless Malware امروزه یکی از تکنیک‌های که توسط مهاجمین بسیار مورد استفاده قرار میگیرد تکنیک Fileless Malware میباشد. دراصل Fileless Malware به بدافزارهای گفته میشود که برای اجرا سازی از کد و یا باینری خاصی بر روی Disk استفاده نمیکنند و محتوا خاصی را بر روی Disk اجرا سازی نمیکند که این محتوا دراصل کدهای مربوط بد بدافزار فرد مهاجم میباشد. Fileless Malware به شکل های متعددی میتواند صورت بگیرد و ما در این مقاله قصد داریم به تاریخچه و محبوبیت این تکنیک در بین هکرها بپردازیم.

تکنیک Fileless جزوه تکنیک های قدیمی میباشد اما دلیل محبوبیت امروز آن در بین هکرها این است که توسط سیستم های امنیتی سنتی شناسایی نمیشود و یا به شکل سخت میشود آن را شناسایی کرد. این تکنیک در سال 2014 توسط بدافزار Powelike مورد استفاده قرار گرفت.

 که سروصدا زیادی هم ایجاد کرد زیرا تماما تکنیک این بدافزار Fileless بوده است و هیچ اثری از خود بر روی Disk قرار نمیداده و صرفا با اجرا شدن در حافظه و نوشتن مقادیر در Registry فرآيند خود را جلو میبرده است.

نمونه های دیگری نیز از این تکنیک وجود دارد اما همانطور که میدانید دلیل محبوبیت این تکنیک دز میان هکرها نرخ شناسایی و تشخیص پایین آن در تجهیزات امنیتی میباشد.در ادامه این مقاله از تدریس24 همراه ما باشید.

بدافزارهای Fileless چگونه عمل میکنند؟

 

همانطور که در ابتدا مقاله اشاره کردیم درصورت آلوده شدن یک سیستم به بدافزار، بدافزار مورد نظر کد و یا باینری مخرب خود را بر روی Disk اجرا سازی میکند که این موضوع به این دلیل که یک کد و یا باینری مشکوک و ناشناخته بر روی سیستم اجرا سازی شده است میتواند سروصدا زیادی ایجاد کند. تکنیک Fileless به روش های متعددی این فرآيند را از Disk دور میکند.

برای مثال فرد مهاجم به جای اینکه مستقیما از یک کد مشخص برای انجام فرآيند خاصی بر روی سیستم هدف استفاده کند، از نرم افزارهای قانونی درحال اجرا بر روی سيستم استفاده میکند از جمله نرم افزارهای هم که می‌توانیم برای این موضوع به آن اشاره کنیم PowerShell میباشد.

Fileless Malware
تکنیک های پیاده سازی Fileless Malware کدامند؟

توجه کنید که Fileless Malware ها درابتدا نیاز به دسترسی مستقیم بر روی سیستم دارند که بعد از آن به واسطه ابزارها و بسترهای از پیش نصب شده بر روی سیستم هدف آن را مورد حمله قرار بدهند. تکنیک های Fileless Malware چندین حالت مختلف را شامل میشوند که عبارتند از:

Exploit Kits

Hijacked Native Tools

Registry Resident Malware

Memory-Only Malware

Fileless Ransomware

Stolen Credentials

معرفی برخی تکنیک های پیاده سازی Fileless Malware

تکنیک اول – Exploit Kits

دراصل Exploit Kits مجموعه از Exploit های مختلف جهت شناسایی آسیب پذیری های موجود بر روی یک سیستم به واسطه Exploit های موجود در آن Exploit Kits میباشد. بعد از پیدا شدن آسیب پذیری به واسطه آن ممکن است که حمله Fileless Malware انجام پذیر باشد.

تکنیک دوم – Registry Resident Malware

این تکنیک دراصل به این شکل صورت میگیرد که یک تیکه کد مخرب در Registry سیستم ویندوز نوشته میشود. به نحوه کار یک Dropper توجه کنید، یک Dropper دراصل زمانی که بر روی سیستم هدف نصب میشود شروع به دانلود و قراردادن یک کد یا نرم افزار مخرب بروی سیستم میکند. زمانی که Dropper اینکار را انجام میدهد شناسایی آن به واسطه تجهیزات امنیتی ساده تر میشود.

 اما بیاید نگاهمان را از حالت عادی Dropper خارج کنیم و به این شکل به آن نگاه کنیم که Dropper به جای دانلود و قرار دادن کد و یا نرم افزار مخرب بر روی سیستم به صورت مستقیم یک کد از طرف Dropper در Registry سیستم قرار بگیرد ! اکثر اوقات این فرآيند به جهت پیاده سازی تکنیک های Persistence مورد استفاده قرار میدهند.

تکنیک سوم – Memory-Only Malware

Fileless Malwareتوجه کنید که تکنیک Memory-only دراصل همانطور که از نام آن هم پیداست در سطح Memory اجرا سازی میشود. نمونه از این تکنیک را میتوانیم به بدافزار Duqu اشاره کنیم که در دو نسخه ارائه میشود. نسخه اول Duqu به جهت پیاده سازی یک Backdoor و نسخه دوم به جهت پیاده سازی تکنیک های پیشرفته از جمله Exfiltration و Lateral Movies مورد استفاده قرار میگیرد.

تکنیک چهارم – Stolen Credentials

توجه کنید که این تکنیک به واسطه سرقت داده های حساس یک حساب کاربری صورت میگیرد و فرد مهاجم به واسطه ابزارهای مانند WMI و PowerShell که پیش فرض در سیستم وجود دارند و جزوه ابزارهای پر استفاده جهت پیاده سازی Fileless Malware میباشند استفاده میکنند.

نحوه حفاظت کامپیوتر از آلودگی بدون فایل

در اوایل ارایه این بدافزار بدون فایل، سبب شد که کامپیوترها به‌کندی کار کنند، زیرا از رم برای اجرای حمله استفاده می‌کردند. بنابراین پیدا کردن آن‌ها به‌سادگی صورت می‌گرفت.

اما مجرمین سایبری به سرعت تاکتیک‌هایشان را بهبود بخشیدند و این بدافزار را جوری برنامه‌نویسی کردند که آلودگی بدون فایل، قابل‌شناسایی نباشد.بنابراین بهترین راه برای حفاظت شما از آلودگی بدافزار بدون فایل این است که قبل از اتفاق افتادن این آلودگی، از بروز آن جلوگیری کنید.این جمله به نظر صحیح است، اما چگونه این کار را انجام دهیم؟

سطح ۱: اپلیکیشن ها و سیستم‌عامل را به‌روزرسانی کنید

Fileless Malware بسیاری از افراد به‌روزرسانی‌ها را به دلایلی مثل موارد زیر نادیده می‌گیرند:

“سبب مصرف بیشتر رم کامپیوتر من می‌شود”

یا

“شاید منجر به کند شدن کامپیوتر من شود”

یا حتی:شاید باعث بروز مشکلات عدم سازگاری با سیستم‌عامل یا بقیه اپلیکیشن ها شود.”اما به این نکته توجه کنید که ما اکنون در ۲۰ سال پیش زندگی نمی‌کنیم و آپدیت‌های امنیتی برای سیستم ما حیاتی هستند.

بروز نگه‌داشتن اپلیکیشن ها و سیستم‌عامل سبب کاهش ۸۵ درصدی حملات “هدف‌گیری” می‌شود (حملات سایبری که آسیب‌پذیری خاصی را روی کامپیوتر شما هدف می‌گیرند).اگر از به‌روزرسانی دستی نرم‌افزارها متنفر هستید می‌توانید به‌وسیله نرم‌افزاری که این کار را به‌صورت اتوماتیک انجام می‌دهد اقدام کنید.

سطح ۲: بستن صفحاتی که کیت بهره‌وری دارند.

Fileless Malware آلودگی هنگامی شروع می‌شود که شما وارد سایتی می‌شوید که کیت بهره‌وری را در خود جای داده است. اما اگر از یک محصول امنیتی فعال استفاده کنید، می‌تواند صفحه را به محض ورود به آن ببندد، بنابراین کیت بهره‌وری نمی‌تواند به اپلیکیشنهای کامپیوتر شما برسد (در این مورد مرورگر شما).

اما چگونه این کار صورت می‌گیرد؟

از طریق دانستن اینکه این سایت به مجرمین سایبری تعلق دارد. حمله‌کنندگان، برای زیرساخت‌هایشان سرمایه‌گذاری زیادی می‌کنند، بنابراین آن را به ندرت تغییر می‌دهند (زیرا زمان و پول زیادی برای این کار نیاز است.). بنابراین این روش کشف برای امنیت آنلاین شما بسیار حائز اهمیت است.

سطح ۳: بستن پی‌لود ارسالی

هنگامی که یک کیت بهره‌وری آسیب‌پذیری‌ای را در سیستم شما شناسایی کرد، به‌صورت اتوماتیک به سرور تحت اداره هکرها متصل می‌شود و شروع به دانلود پی‌لود و قرار دادن آن در رم می‌کند. اما اگر شما کاملاً حفاظت شده باشید و محصول امنیتی شما متوجه شود که کیت بهره‌وری در حال اتصال به سرور مخرب است، این محصول، دانلود پی لود را قطع می‌کند.

دوباره آلودگی بدون فایل قبل از وقوع متوقف می‌شود. حتی باج‌افزار هم نمی‌تواند کمکی بکند!

سطح ۴: قطع ارتباط بین کامپیوتر شما و سرور حمله‌کننده

فرض کنید پیلود از طریق آسیب‌پذیری روز صفر (Zero Day، آسیب‌پذیری در نرم‌افزار به دلیل اینکه سازندگانش اطلاعی درباره آن آسیب‌پذیری ندارند) موفق به ورود به سیستم شما شده باشد.سطح بعدی حفاظت اطمینان می‌دهد که محصول امنیتی فعال، ارتباط بین کامپیوتر شما و سرور تحت کنترل آن‌ها را بلاک کند.

به این وسیله، حمله‌کنندگان موفق به دریافت داده‌های جمع‌ آوری‌ شده از کامپیوتر شما نخواهند بود، بنابراین تلاش برای جمع‌آوری داده بیهوده خواهد شد. علاوه بر این مجرمین سایبری موفق به آلوده ساختن کامپیوتر شما با بدافزارهای دیگر نخواهند بود.این روش دیگری است که برای حفاظت از بدافزار بدون فایل می‌توانید استفاده کنید.

محصولات آنتی‌ویروس رایج، قادر به ارایه این نوع حفاظت نخواهند بود، اما راه حل هایی وجود دارند که قادر به این کار هستند. البته رایگان نیستند، اما داشتن امنیت چندلایه‌ای بسیار ارزشمند است. افرادی که قربانی حملات باج افزارها بودند، می‌توانند این موضوع را تصدیق کنند.

دیدگاه خود را اینجا قرار دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اعضا

‫بروز رسانی

سمیرا مردانی's بروزسانی مشخصات انجام شد 1 سال, ماه 2 قبل

محمد جواد محمدی's بروزسانی مشخصات انجام شد 1 سال, ماه 2 قبل

مریم نوری's بروزسانی مشخصات انجام شد 1 سال, ماه 2 قبل

محمد امین طاهری's بروزسانی مشخصات انجام شد 1 سال, ماه 2 قبل

نگار حجتی's بروزسانی مشخصات انجام شد 1 سال, ماه 2 قبل

فیلدهای نمایش داده شده را انتخاب کنید. دیگران مخفی خواهند شد. برای تنظیم مجدد سفارش ، بکشید و رها کنید.
  • عکس
  • شناسه محصول
  • امتیاز
  • قیمت
  • در انبار
  • موجودی
  • افزودن به سبد خرید
  • توضیحات
  • محتوا
  • عرض
  • اندازه
  • تنظیمات بیشتر
  • ویژگی ها
  • ویژگی های سفارشی
  • زمینه های دلخواه
برای پنهان کردن نوار مقایسه ، بیرون را کلیک کنید
مقایسه
مقایسه ×
Let's Compare! Continue shopping