تکنیک های پیاده سازی Fileless Malware کدامند؟

توجه کنید که Fileless Malware ها درابتدا نیاز به دسترسی مستقیم بر روی سیستم دارند که بعد از آن به واسطه ابزارها و بسترهای از پیش نصب شده بر روی سیستم هدف آن را مورد حمله قرار بدهند. تکنیک های Fileless Malware چندین حالت مختلف را شامل میشوند که عبارتند از:

Exploit Kits

Hijacked Native Tools

Registry Resident Malware

Memory-Only Malware

Fileless Ransomware

Stolen Credentials

معرفی برخی تکنیک های پیاده سازی Fileless Malware

تکنیک اول – Exploit Kits

دراصل Exploit Kits مجموعه از Exploit های مختلف جهت شناسایی آسیب پذیری های موجود بر روی یک سیستم به واسطه Exploit های موجود در آن Exploit Kits میباشد. بعد از پیدا شدن آسیب پذیری به واسطه آن ممکن است که حمله Fileless Malware انجام پذیر باشد.

تکنیک دوم – Registry Resident Malware

این تکنیک دراصل به این شکل صورت میگیرد که یک تیکه کد مخرب در Registry سیستم ویندوز نوشته میشود. به نحوه کار یک Dropper توجه کنید، یک Dropper دراصل زمانی که بر روی سیستم هدف نصب میشود شروع به دانلود و قراردادن یک کد یا نرم افزار مخرب بروی سیستم میکند. زمانی که Dropper اینکار را انجام میدهد شناسایی آن به واسطه تجهیزات امنیتی ساده تر میشود.

 اما بیاید نگاهمان را از حالت عادی Dropper خارج کنیم و به این شکل به آن نگاه کنیم که Dropper به جای دانلود و قرار دادن کد و یا نرم افزار مخرب بر روی سیستم به صورت مستقیم یک کد از طرف Dropper در Registry سیستم قرار بگیرد ! اکثر اوقات این فرآيند به جهت پیاده سازی تکنیک های Persistence مورد استفاده قرار میدهند.

تکنیک سوم – Memory-Only Malware

Fileless Malwareتوجه کنید که تکنیک Memory-only دراصل همانطور که از نام آن هم پیداست در سطح Memory اجرا سازی میشود. نمونه از این تکنیک را میتوانیم به بدافزار Duqu اشاره کنیم که در دو نسخه ارائه میشود. نسخه اول Duqu به جهت پیاده سازی یک Backdoor و نسخه دوم به جهت پیاده سازی تکنیک های پیشرفته از جمله Exfiltration و Lateral Movies مورد استفاده قرار میگیرد.

تکنیک چهارم – Stolen Credentials

توجه کنید که این تکنیک به واسطه سرقت داده های حساس یک حساب کاربری صورت میگیرد و فرد مهاجم به واسطه ابزارهای مانند WMI و PowerShell که پیش فرض در سیستم وجود دارند و جزوه ابزارهای پر استفاده جهت پیاده سازی Fileless Malware میباشند استفاده میکنند.

نحوه حفاظت کامپیوتر از آلودگی بدون فایل

در اوایل ارایه این بدافزار بدون فایل، سبب شد که کامپیوترها به‌کندی کار کنند، زیرا از رم برای اجرای حمله استفاده می‌کردند. بنابراین پیدا کردن آن‌ها به‌سادگی صورت می‌گرفت.

اما مجرمین سایبری به سرعت تاکتیک‌هایشان را بهبود بخشیدند و این بدافزار را جوری برنامه‌نویسی کردند که آلودگی بدون فایل، قابل‌شناسایی نباشد.بنابراین بهترین راه برای حفاظت شما از آلودگی بدافزار بدون فایل این است که قبل از اتفاق افتادن این آلودگی، از بروز آن جلوگیری کنید.این جمله به نظر صحیح است، اما چگونه این کار را انجام دهیم؟

سطح ۱: اپلیکیشن ها و سیستم‌عامل را به‌روزرسانی کنید

Fileless Malware بسیاری از افراد به‌روزرسانی‌ها را به دلایلی مثل موارد زیر نادیده می‌گیرند:

“سبب مصرف بیشتر رم کامپیوتر من می‌شود”

یا

“شاید منجر به کند شدن کامپیوتر من شود”

یا حتی:شاید باعث بروز مشکلات عدم سازگاری با سیستم‌عامل یا بقیه اپلیکیشن ها شود.”اما به این نکته توجه کنید که ما اکنون در ۲۰ سال پیش زندگی نمی‌کنیم و آپدیت‌های امنیتی برای سیستم ما حیاتی هستند.

بروز نگه‌داشتن اپلیکیشن ها و سیستم‌عامل سبب کاهش ۸۵ درصدی حملات “هدف‌گیری” می‌شود (حملات سایبری که آسیب‌پذیری خاصی را روی کامپیوتر شما هدف می‌گیرند).اگر از به‌روزرسانی دستی نرم‌افزارها متنفر هستید می‌توانید به‌وسیله نرم‌افزاری که این کار را به‌صورت اتوماتیک انجام می‌دهد اقدام کنید.

سطح ۲: بستن صفحاتی که کیت بهره‌وری دارند.

Fileless Malware آلودگی هنگامی شروع می‌شود که شما وارد سایتی می‌شوید که کیت بهره‌وری را در خود جای داده است. اما اگر از یک محصول امنیتی فعال استفاده کنید، می‌تواند صفحه را به محض ورود به آن ببندد، بنابراین کیت بهره‌وری نمی‌تواند به اپلیکیشنهای کامپیوتر شما برسد (در این مورد مرورگر شما).

اما چگونه این کار صورت می‌گیرد؟

از طریق دانستن اینکه این سایت به مجرمین سایبری تعلق دارد. حمله‌کنندگان، برای زیرساخت‌هایشان سرمایه‌گذاری زیادی می‌کنند، بنابراین آن را به ندرت تغییر می‌دهند (زیرا زمان و پول زیادی برای این کار نیاز است.). بنابراین این روش کشف برای امنیت آنلاین شما بسیار حائز اهمیت است.

سطح ۳: بستن پی‌لود ارسالی

هنگامی که یک کیت بهره‌وری آسیب‌پذیری‌ای را در سیستم شما شناسایی کرد، به‌صورت اتوماتیک به سرور تحت اداره هکرها متصل می‌شود و شروع به دانلود پی‌لود و قرار دادن آن در رم می‌کند. اما اگر شما کاملاً حفاظت شده باشید و محصول امنیتی شما متوجه شود که کیت بهره‌وری در حال اتصال به سرور مخرب است، این محصول، دانلود پی لود را قطع می‌کند.

دوباره آلودگی بدون فایل قبل از وقوع متوقف می‌شود. حتی باج‌افزار هم نمی‌تواند کمکی بکند!

سطح ۴: قطع ارتباط بین کامپیوتر شما و سرور حمله‌کننده

فرض کنید پیلود از طریق آسیب‌پذیری روز صفر (Zero Day، آسیب‌پذیری در نرم‌افزار به دلیل اینکه سازندگانش اطلاعی درباره آن آسیب‌پذیری ندارند) موفق به ورود به سیستم شما شده باشد.سطح بعدی حفاظت اطمینان می‌دهد که محصول امنیتی فعال، ارتباط بین کامپیوتر شما و سرور تحت کنترل آن‌ها را بلاک کند.

به این وسیله، حمله‌کنندگان موفق به دریافت داده‌های جمع‌ آوری‌ شده از کامپیوتر شما نخواهند بود، بنابراین تلاش برای جمع‌آوری داده بیهوده خواهد شد. علاوه بر این مجرمین سایبری موفق به آلوده ساختن کامپیوتر شما با بدافزارهای دیگر نخواهند بود.این روش دیگری است که برای حفاظت از بدافزار بدون فایل می‌توانید استفاده کنید.

محصولات آنتی‌ویروس رایج، قادر به ارایه این نوع حفاظت نخواهند بود، اما راه حل هایی وجود دارند که قادر به این کار هستند. البته رایگان نیستند، اما داشتن امنیت چندلایه‌ای بسیار ارزشمند است. افرادی که قربانی حملات باج افزارها بودند، می‌توانند این موضوع را تصدیق کنند.