شیعه نیوز: شناسایی از آن جهت دشوار است که یک بدافزار بدون فایل، همانطور که از نامش پیداست، برای آلوده کردن یک شبکه یا دستگاه متکی بر هیچ فایلی نیست. در عوض برنامههای به ظاهر معتبر، نقطه شروع کار بدافزار به حساب میآیند. برای مثال داستان رخنه امنیتی Equifax یکی از مثالهای کلاسیک این است که یک بدافزار چطور میتواند خود را چیزی دیگر جای زده و در نهایت دستگاه هدف را به گروگان بگیرد.
یک آسیبپذیری تزریق فرمان در پرتال شکایت مشتریان بود که رخنه امنیتی Equifax را رقم زد. با به دست آوردن اطلاعات ورود به سه سرور، امکان ورود به ۴۸ سرور دیگر مهیا میشد که اطلاعات مشتریان را بدون هیچ رمزنگاری در خود ذخیره کرده بودند. همین کمبود رمزنگاری، ابعاد ماجرا را وخیمتر کرد. آسیبپذیری مورد اشاره، اما وقوع اتفاقی شیطانیتر از این هم را هم امکانپذیر کرد: اجرای کد به صورت از راه دور. بعدا مشخص شد که هکرها برای ۷۶ روز به پرتال دسترسی داشتهاند.
در سال ۲۰۱۸ میلادی، ۹۰ درصد از موسسات مالی گزارش کردند که هدف حمله بدافزارهای بدون فایل بودهاند؛ بنابراین سوالی مهم پیش میآید: چه چیزی باعث میشود بدافزارهای بدون فایل اینقدر مخفیانه کار کنند؟ و آیا راه فراری از آنها هست؟
آناتومی بدافزار بدون فایل
بدافزار بدون فایل یک نرمافزار بدخواهانه است که با استفاده از اپلیکیشنها، نرمافزارها یا پروتکلهایی که پیشتر در یک سیستم وجود داشته باشند، به یافتن آسیبپذیری و سوء استفاده از آن میپردازد. این نوع از بدافزارها درون رم سکنی میگذینند و میتوانند خود را جای پروسههای مورد اعتماد درون یک سیستم عامل جا بزنند، پدیدهای که گاهی از آن تحت عنوان «زندگی بیرون از خشکی» گفته میشود.
ایده پشت چنین حملهای مشخصا هوشمندانه است: هیچ سیستم امنیتیای، فارغ از اینکه چقدر پیشرفته باشد، یک فایل با نرمافزار معتبر درون دیسک را اسکن نمیکند. البته باید این را نیز در نظر داشت که علیرغم نامگذاریاش، یک بدافزار بدون فایل ممکن است به استفاده از میانبرها، فایلهای اسکریپت یا پروسههای معتبر مانند Adobe.exe نیز پرداخته و کدهای بدخواهانه را نصب کند؛ و هیچ راه حل سریعی برای مقابله وجود ندارد. رد پای به جا مانده از بدافزار بدون فایل آنقدر ناچیز است که ۹ بار از هر ۱۰ بار، از چشمها دور میماند. همین مخفیکاری هوشمندانه است که بدافزار بدون فایل را در برابر راهکارهای امنیتی متداول مصون نگه میدارد و گرچه بدافزارها معمولا تمام سیستمهای عامل در جهان را هدف قرار میدهند، اکثر بدافزارهای بدون فایل روی کامپیوترهای مبتنی بر ویندوز یافت میشوند.
اینها روشهایی است که هکرها برای تزریق بدافزار بدون فایل خود به سیستمهای هدف به کار میگیرند:
ایمیلهای فیشینگ که شامل لینکهای به ظاهر امن میشوند
وبسایتهایی که کاربر را دیدایرکت میکنند
برنامههای مورد اعتماد که به صورت گسترده استفاده میشوند
این سناریوها نشان میدهند که اکثر حملات بدون فایل، با قصور خود کاربر عملی میشوند. کاربر یک ایمیل نامعتبر را باز یا روی یک لینک کلیک میکند و به یک وبسایت آلوده و بدخواهانه هدایت میشود.
یک مثال خوب، بستر PowerShell مایکروسافت است. به عنوان یکی از اجزای مهم زیستبومهای مدرن فناوریهای اطلاعات، PowerShell وظایف تکراری را اتوماسیون میکند و دیگر نیازی به رسیدگی دستی به آنها نیست. بدافزار بدون فایل میتواند اسکریپتهای اصلی PowerShell را دستکاری کرده و ناشناس باقی بماند، چرا که فایر وال و برنامههای آنتیویروس، روتینهای PowerShell را بلاک نمیکنند. این ابزار برای بسیاری از سازمانها حیاتی است و بنابراین نمیتوان آن را متوقف کرد. ماکروهای موجود در ابزارهای مایکروسافت آفیس و ویدیو پلیر ادوبی فلش هم همواره جزو اصلیترین حاملان بدافزارهای بدون فایل بودهاند.
بعد از رخنه چه به سر اطلاعات ربوده شده میآید؟
اطلاعات لو رفته معمولا برای کسب سود در دارک وب فروخته میشوند. رخنهگران خاص ضمنا میتوانند کنترل مرورگر وب شما را به دست گرفته و شروع به نمایش تبلیغ، سرقت پسووردها و کارهایی از این دست بپردازند.
بدون وجود هیچ فایلی که به مقابله با آن بپردازید، سیستمهای امنیتی هیچ دفاعی از خود ندارند و همهچیز شکلی دشوار به خود میگیرد. ابعاد حملات ضمنا میتواند گسترش یافته و لوکیشنها یا شبکههای اشتراکی دیگر را نیز از طریق اینترنت در بر بگیرد.
در مجموع همینطور که بدافزارها بیش از پیش به تکامل میرسند، ساخت ابزارهای لازم برای مقابله با آنها دشوار و دشوارتر میشود.
چطور از خود در برابر بدافزار بدون فایل محافظت کنیم؟
بسیاری از متدهای تدافعی در برابر بدافزارها، تمرکز را از روی ابزارهای امنیتی برداشته و آن را معطوف بر آسیبپذیریهای انسانی میکنند. آنالیز رفتار سیستم و نرمافزارهای تشخیص ویروس کارآمد هستند، اما تنها در سطح. تا جایی که ما میدانیم، حتی یک تعویق کوتاه در عرضه یک پچ امنیتی میتواند وقایعی فاجعهبار را به همراه آورد.
اما خبر خوب اینست که کاربران با چند کار ساده، قادر به مقابله با حملات بدافزاری هستند. با این روشها میتوانید از کامپیوترتان در برابر بدافزارهای بدون فایل محافظت کنید:
استفاده از احراز هویت دو مرحلهای
خاموش کردن PowerShell و WMI زمانی که کاربردی ندارند
بازدید تنها از سایتهای امن (به دنبال آیکن قفل سبز رنگ در مرورگرتان باشید)
تغییر موجزهای دانلود در کامپیوتر و غیر فعال کردن قابلیت دانلود پیدیاف و فلش در مرورگر
توجه نشان دادن به ایمیلهای فیشینگی که پیشنهادهای وسوسهبرانگیز دارند
دریافت آخرین آپدیتهای امنیتی
منبع: دیجیاتو