Fileless malware چیست و چه خطری برای سازمان ها دارد؟
باج افزارهای Fileless malware، باج افزارهایی هستند که از ابزارهای تعبیه شده در سیستم های کامپیوتری برای اجرای حملات سایبری استفاده می کنند. به عبارت دیگر با استفاده از آسیب پذیریِ نرم افزارهای نصب شده، فرایند حملات را تسهیل می کنند. یکی از نکات قابل توجه در این نوع بدافزار این است که برای اجرای کد مخرب بر روی سیستم قربانی، به هیچ مهاجمی نیاز نیست. بنابراین باید گفت Fileless malwareها بسیار خطرناک بوده و شناسایی آن ها بسیار دشوار است.
با توجه به اهمیت بالای Fileless malwareها، در این مطلب به مفاهیم اولیه، مراحل حمله و همچنین تکنیک های رایج توسط مهاجمان سایبری پرداخته و سپس به نکاتی در خصوص شناسایی این نوع تهدیدات اشاره خواهیم کرد.
بدافزار بدون فایل (Fileless Malware) چیست و چگونه کار می کند؟
بدافزارهای Fileless تهدیدی هستند که بر روی دیسک قرار نمی گیرند. به طور کلی زمانی که یک بدافزار به صورت فیزیکی بر روی SSD یا هارد درایو قرار می گیرد، توسط نرم افزارهای امنیتی، به سادگی قابل شناسایی می باشد. در ضمن، محققان امنیتی می توانند آنها را مورد بررسی قرار داده و به وجود آن ها پی ببرند.
قطعا هیچ مهاجمی تمایل ندارد بدافزار مورد نظرش مورد تجزیه و تحلیل قرار گیرد. بنابراین بهترین روش برای جلوگیری از تجزیه وتحلیل و موثر ماندن بدافزارها، برای مهاجمان سایبری این است که آن ها بر روی دیسک قرار نگیرند. بر اساس همین ایده بود که باج افزارهای Fileless به وجود آمدند.
Fileless Malware در کجا قرار می گیرد؟
حال برای شما این سوال مطرح می شود که اگر بدافزار بدون فایل بر روی دیسک نیست، پس در کجا قرار دارد؟! با یک پاسخ کوتاه باید گفت “در داخل حافظه”. مهاجمان سایبری سال های زیادی را با تکنیک های مختلف صرف کرده اند تا بدافزار مورد نظر خود را وارد حافظه کنند.
بدافزارهای Frodo و Dark Avenger دو نمونه ابتدایی از بدافزارهای Fileless هستند که در سال 1989 به وجود آمدند. بدافزار Dark Avenger نوعی حمله است که برای آلوده سازی فایل های اجرایی در هر بار استفاده بر روی سیستم آلوده به کار برده می شد. حتی فایل های کپی شده را نیز آلوده می کردند.
امروزه Fileless malwareها به قدری پیشرفته شده اند که کدهای وارد شده در داخل حافظه، قادر به اجرا و دانلود کدهای جدیدتر می باشند. بدافزارهای Fileless به هیچ فایلی نیاز ندارند، اما باید محیطی که مورد هدف قرار می دهند را اصلاح کنند. و این یک روش بسیار پیشرفته برای استفاده از بدافزارهای Fileless می باشد.
استفاده از این تکنیک، نرم افزارهای امنیتی را گمراه کرده و آنها دیگر نمی توانند به سادگی تشخیص دهند Fileless malware در حال اجرای کدام کد است، زیرا اتفاقات زیادی در حافظه رخ می دهد. راهکارهای امنیتی نیز نمی توانند تشخیص دهند که آیا فعالیتی مخرب در حال اجرا است یا خیر. همین موارد است که از بدافزارهای fileless، حملاتی کاملا موثر ساخته است.
چرا از Fileless malwareها به ندرت استفاده می شود؟
حال که به موثر بودن این بدافزارها پی بردیم، این سوال برای مان ایجاد می شود که چرا حملات مبتنی بر بدافزارهای fileless به وفور دیده نمی شوند؟
البته در سال های اخیر، استفاده از بدافزارهای بدون فایل، رواج بیشتری داشته، اما یکی از معایب آن ها برای مهاجمان سایبری، این است که در مقایسه با بدافزارهای معمولی، بسیار پیچیده تر می باشند. بنابراین مهاجمان سایبری به مهارت و تخصص بالاتری نیاز دارند. به همین دلیل است که معمولا حملات سایبری مبتنی بر بدافزارهای Fileless با حمایت گروه های فوق حرفه ای صورت می گیرد.
حتی بدافزارهای Fileless برای دستیابی به قابلیت ها و ویژگی هایی که بدافزارهای معمولی دارند، به مهارت بالاتری نیاز دارند. تنها چالش این دسته از بدافزارها، فضای محدود در حافظه ی سیستم است. علاوه بر این که اجرای Fileless malwareها بسیار دشوار بوده، مهاجمین سایبری می بایست به فضایی در حافظه دسترسی داشته باشند. در ضمن سرعت عمل Fileless malwareها باید بسیار بالا باشد، زیرا با reboot شدن سیستم، حذف می شوند. در نتیجه، برای اجرایFileless malwareها به مجموعه ای از شرایط مناسب و ایده آل نیاز است.
مراحل حملات سایبری مبتنی بر Fileless malware
مراحل اجرای بدافزارهای Fileless نیز مانند سایر malwareها به قرار زیر است:
- مرحله 1: دسترسی به سیستم قربانی توسط مهاجمان سایبری
- مرحله 2: دستیابی به اطلاعات ورود به سیستم در محیط در معرض خطر
- مرحله 3: مهاجمان سایبری یک backdoor ایجاد می کنند تا مجبور نباشند مراحل ابتدایی را دوباره تکرار کنند.
- مرحله 4: در این مرحله داده ها با کپی شدن در یک مکان و سپس فشرده سازی برای استخراج آماده می شوند.
رایج ترین تکنیکِ fileless malware چیست؟
مهاجمان سایبری که قصد استفاده از Fileless malware را دارند، می بایست به منظور اصلاح ابزارها، به سیستم مورد نظر دسترسی داشته باشند. در حال حاضر، دسترسی به اطلاعات ورود به سیستم (stolen credentials) رایج ترین تکنیک برای این کار است.
هنگامی که یک fileless malware به سیستم مورد نظر دسترسی پیدا کند، می تواند اقدام به راه اندازی سایر بدافزارهای معمولی نیز نماید. تکنیک های زیر، زمانی که با fileless malware ترکیب می شوند، میزان بالاتری از موفقیت را خواهند داشت:
- Exploit kits
- Hijacked native tools
- Registry resident malware
- Memory-only malware
- Ransomware
معرفی فایروال فورتی گیت 200F
چگونه می توان یک fileless malware را شناسایی کرد؟
بهترین راهکار برای شناسایی و مقابله با حملات مبتنی بر بدافزارهای fileless، در اختیار داشتن رویکردی کاملا جامع به همراه وضعیت امنیتی چندلایه می باشد. و بهترین اقدامی که هر سازمان می تواند در راستای شناسایی تهدیدات fileless malware در پیش گیرد، راهکاری است که شامل indicators of attack (IOAs) و indicators of compromise (IOCs) باشد.
با توجه به اینکه بدافزارهای fileless از ابزارهای تعبیه شده در داخل سیستم ها برای تسهیل حملات سایبری استفاده می کنند و مسیر ردیابی خود را مسدود می کنند، تیم های امنیت می بایست کاملا آگاه و هوشیار بوده و نسبت به روش های مختلفی که مهاجمان سایبری در راستای حملات fileless malware به کار می برند، آشنایی کامل داشته باشند. این تمامی چیزی است که برای نظارت بر عملکرد مهاجمان سایبری که قصد دارند فعالیت خود را در حافظه ی سیستم ها پنهان کنند، نیاز است.