۰

بدافزار بدون فایل چیست

از میان تمام عواملی که یک تمامیت یک کسب‌وکار را تهدید می‌کنند، بدافزار‌های بدون فایل در صدر لیست خطرناک‌ترین چالش‌ها به حساب می‌آیند.
کد خبر: ۲۴۸۳۵۹
۰۸:۵۲ - ۱۸ دی ۱۳۹۹

شیعه نیوز: شناسایی از آن جهت دشوار است که یک بدافزار بدون فایل، همانطور که از نامش پیداست، برای آلوده کردن یک شبکه یا دستگاه متکی بر هیچ فایلی نیست. در عوض برنامه‌های به ظاهر معتبر، نقطه شروع کار بدافزار به حساب می‌آیند. برای مثال داستان رخنه امنیتی Equifax یکی از مثال‌های کلاسیک این است که یک بدافزار چطور می‌تواند خود را چیزی دیگر جای زده و در نهایت دستگاه هدف را به گروگان بگیرد.

یک آسیب‌پذیری تزریق فرمان در پرتال شکایت مشتریان بود که رخنه امنیتی Equifax را رقم زد. با به دست آوردن اطلاعات ورود به سه سرور، امکان ورود به ۴۸ سرور دیگر مهیا می‌شد که اطلاعات مشتریان را بدون هیچ رمزنگاری در خود ذخیره کرده بودند. همین کمبود رمزنگاری، ابعاد ماجرا را وخیم‌تر کرد. آسیب‌پذیری مورد اشاره، اما وقوع اتفاقی شیطانی‌تر از این هم را هم امکان‌پذیر کرد: اجرای کد به صورت از راه دور. بعدا مشخص شد که هکر‌ها برای ۷۶ روز به پرتال دسترسی داشته‌اند.

در سال ۲۰۱۸ میلادی، ۹۰ درصد از موسسات مالی گزارش کردند که هدف حمله بدافزار‌های بدون فایل بوده‌اند؛ بنابراین سوالی مهم پیش می‌آید: چه چیزی باعث می‌شود بدافزار‌های بدون فایل اینقدر مخفیانه کار کنند؟ و آیا راه فراری از آن‌ها هست؟

آناتومی بدافزار بدون فایل
بدافزار بدون فایل یک نرم‌افزار بدخواهانه است که با استفاده از اپلیکیشن‌ها، نرم‌افزار‌ها یا پروتکل‌هایی که پیشتر در یک سیستم وجود داشته باشند، به یافتن آسیب‌پذیری و سوء استفاده از آن می‌پردازد. این نوع از بدافزار‌ها درون رم سکنی می‌گذینند و می‌توانند خود را جای پروسه‌های مورد اعتماد درون یک سیستم عامل جا بزنند، پدیده‌ای که گاهی از آن تحت عنوان «زندگی بیرون از خشکی» گفته می‌شود.

ایده پشت چنین حمله‌ای مشخصا هوشمندانه است: هیچ سیستم امنیتی‌ای، فارغ از اینکه چقدر پیشرفته باشد، یک فایل با نرم‌افزار معتبر درون دیسک را اسکن نمی‌کند. البته باید این را نیز در نظر داشت که علی‌رغم نام‌گذاری‌اش، یک بدافزار بدون فایل ممکن است به استفاده از میان‌برها، فایل‌های اسکریپت یا پروسه‌های معتبر مانند Adobe.exe نیز پرداخته و کد‌های بدخواهانه را نصب کند؛ و هیچ راه حل سریعی برای مقابله وجود ندارد. رد پای به جا مانده از بدافزار بدون فایل آنقدر ناچیز است که ۹ بار از هر ۱۰ بار، از چشم‌ها دور می‌ماند. همین مخفی‌کاری هوشمندانه است که بدافزار بدون فایل را در برابر راهکار‌های امنیتی متداول مصون نگه می‌دارد و گرچه بدافزار‌ها معمولا تمام سیستم‌های عامل در جهان را هدف قرار می‌دهند، اکثر بدافزار‌های بدون فایل روی کامپیوتر‌های مبتنی بر ویندوز یافت می‌شوند.

این‌ها روش‌هایی است که هکر‌ها برای تزریق بدافزار بدون فایل خود به سیستم‌های هدف به کار می‌گیرند:

ایمیل‌های فیشینگ که شامل لینک‌های به ظاهر امن می‌شوند
وب‌سایت‌هایی که کاربر را دی‌دایرکت می‌کنند
برنامه‌های مورد اعتماد که به صورت گسترده استفاده می‌شوند
این سناریو‌ها نشان می‌دهند که اکثر حملات بدون فایل، با قصور خود کاربر عملی می‌شوند. کاربر یک ایمیل نامعتبر را باز یا روی یک لینک کلیک می‌کند و به یک وب‌سایت آلوده و بدخواهانه هدایت می‌شود.

یک مثال خوب، بستر PowerShell مایکروسافت است. به عنوان یکی از اجزای مهم زیست‌بوم‌های مدرن فناوری‌های اطلاعات، PowerShell وظایف تکراری را اتوماسیون می‌کند و دیگر نیازی به رسیدگی دستی به آن‌ها نیست. بدافزار بدون فایل می‌تواند اسکریپت‌های اصلی PowerShell را دستکاری کرده و ناشناس باقی بماند، چرا که فایر وال و برنامه‌های آنتی‌ویروس، روتین‌های PowerShell را بلاک نمی‌کنند. این ابزار برای بسیاری از سازمان‌ها حیاتی است و بنابراین نمی‌توان آن را متوقف کرد. ماکرو‌های موجود در ابزار‌های مایکروسافت آفیس و ویدیو پلیر ادوبی فلش هم همواره جزو اصلی‌ترین حاملان بدافزار‌های بدون فایل بوده‌اند.

بعد از رخنه چه به سر اطلاعات ربوده شده می‌آید؟
اطلاعات لو رفته معمولا برای کسب سود در دارک وب فروخته می‌شوند. رخنه‌گران خاص ضمنا می‌توانند کنترل مرورگر وب شما را به دست گرفته و شروع به نمایش تبلیغ، سرقت پسوورد‌ها و کار‌هایی از این دست بپردازند.

بدون وجود هیچ فایلی که به مقابله با آن بپردازید، سیستم‌های امنیتی هیچ دفاعی از خود ندارند و همه‌چیز شکلی دشوار به خود می‌گیرد. ابعاد حملات ضمنا می‌تواند گسترش یافته و لوکیشن‌ها یا شبکه‌های اشتراکی دیگر را نیز از طریق اینترنت در بر بگیرد.

در مجموع همین‌طور که بدافزار‌ها بیش از پیش به تکامل می‌رسند، ساخت ابزار‌های لازم برای مقابله با آن‌ها دشوار و دشوارتر می‌شود.

چطور از خود در برابر بدافزار بدون فایل محافظت کنیم؟
بسیاری از متد‌های تدافعی در برابر بدافزارها، تمرکز را از روی ابزار‌های امنیتی برداشته و آن را معطوف بر آسیب‌پذیری‌های انسانی می‌کنند. آنالیز رفتار سیستم و نرم‌افزار‌های تشخیص ویروس کارآمد هستند، اما تنها در سطح. تا جایی که ما می‌دانیم، حتی یک تعویق کوتاه در عرضه یک پچ امنیتی می‌تواند وقایعی فاجعه‌بار را به همراه آورد.

اما خبر خوب اینست که کاربران با چند کار ساده، قادر به مقابله با حملات بدافزاری هستند. با این روش‌ها می‌توانید از کامپیوترتان در برابر بدافزار‌های بدون فایل محافظت کنید:

استفاده از احراز هویت دو مرحله‌ای
خاموش کردن PowerShell و WMI زمانی که کاربردی ندارند
بازدید تنها از سایت‌های امن (به دنبال آیکن قفل سبز رنگ در مرورگرتان باشید)
تغییر موجز‌های دانلود در کامپیوتر و غیر فعال کردن قابلیت دانلود پی‌دی‌اف و فلش در مرورگر
توجه نشان دادن به ایمیل‌های فیشینگی که پیشنهاد‌های وسوسه‌برانگیز دارند
دریافت آخرین آپدیت‌های امنیتی

منبع: دیجیاتو

ارسال نظرات
نظرات حاوی عبارات توهین آمیز منتشر نخواهد شد
نام:
ایمیل:
* نظر: