امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

بدافزار بدون فایل (Fileless Malware) چیست؟

امروزه یکی از تکنیک‌های که توسط مهاجمین بسیار مورد استفاده قرار میگیرد تکنیک Fileless Malware میباشد. دراصل Fileless Malware به بدافزارهای گفته میشود که برای اجرا سازی از کد و یا باینری خاصی بر روی Disk استفاده نمیکنند و محتوا خاصی را بر روی Disk اجرا سازی نمیکند که این محتوا دراصل کدهای مربوط بد بدافزار فرد مهاجم میباشد. Fileless Malware به شکل های متعددی میتواند صورت بگیرد و ما در این مقاله قصد داریم به تاریخچه و محبوبیت این تکنیک در بین هکرها بپردازیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

تکنیک Fileless جزوه تکنیک های قدیمی میباشد اما دلیل محبوبیت امروز آن در بین هکرها این است که توسط سیستم های امنیتی سنتی شناسایی نمیشود و یا به شکل سخت میشود آن را شناسایی کرد. این تکنیک در سال 2014 توسط بدافزار Powelike مورد استفاده قرار گرفت که سروصدا زیادی هم ایجاد کرد زیرا تماما تکنیک این بدافزار Fileless بوده است و هیچ اثری از خود بر روی Disk قرار نمیداده و صرفا با اجرا شدن در حافظه و نوشتن مقادیر در Registry فرآيند خود را جلو میبرده است.

نمونه های دیگری نیز از این تکنیک وجود دارد اما همانطور که میدانید دلیل محبوبیت این تکنیک دز میان هکرها نرخ شناسایی و تشخیص پایین آن در تجهیزات امنیتی میباشد.

بدافزارهای Fileless چگونه عمل میکنند؟

همانطور که در ابتدا مقاله اشاره کردیم درصورت آلوده شدن یک سیستم به بدافزار، بدافزار مورد نظر کد و یا باینری مخرب خود را بر روی Disk اجرا سازی میکند که این موضوع به این دلیل که یک کد و یا باینری مشکوک و ناشناخته بر روی سیستم اجرا سازی شده است میتواند سروصدا زیادی ایجاد کند. تکنیک Fileless به روش های متعددی این فرآيند را از Disk دور میکند. برای مثال فرد مهاجم به جای اینکه مستقیما از یک کد مشخص برای انجام فرآيند خاصی بر روی سیستم هدف استفاده کند، از نرم افزارهای قانونی درحال اجرا بر روی سيستم استفاده میکند از جمله نرم افزارهای هم که می‌توانیم برای این موضوع به آن اشاره کنیم PowerShell میباشد.

تکنیک های پیاده سازی Fileless Malware کدامند؟

توجه کنید که Fileless Malware ها درابتدا نیاز به دسترسی مستقیم بر روی سیستم دارند که بعد از آن به واسطه ابزارها و بسترهای از پیش نصب شده بر روی سیستم هدف آن را مورد حمله قرار بدهند. تکنیک های Fileless Malware چندین حالت مختلف را شامل میشوند که عبارتند از:

  • Exploit Kits
  • Hijacked Native Tools
  • Registry Resident Malware
  • Memory-Only Malware
  • Fileless Ransomware
  • Stolen Credentials

معرفی برخی تکنیک های پیاده سازی Fileless Malware

  • تکنیک اول - Exploit Kits

دراصل Exploit Kits مجموعه از Exploit های مختلف جهت شناسایی آسیب پذیری های موجود بر روی یک سیستم به واسطه Exploit های موجود در آن Exploit Kits میباشد. بعد از پیدا شدن آسیب پذیری به واسطه آن ممکن است که حمله Fileless Malware انجام پذیر باشد.

  • تکنیک دوم - Registry Resident Malware

این تکنیک دراصل به این شکل صورت میگیرد که یک تیکه کد مخرب در Registry سیستم ویندوز نوشته میشود. به نحوه کار یک Dropper توجه کنید، یک Dropper دراصل زمانی که بر روی سیستم هدف نصب میشود شروع به دانلود و قراردادن یک کد یا نرم افزار مخرب بروی سیستم میکند. زمانی که Dropper اینکار را انجام میدهد شناسایی آن به واسطه تجهیزات امنیتی ساده تر میشود اما بیاید نگاهمان را از حالت عادی Dropper خارج کنیم و به این شکل به آن نگاه کنیم که Dropper به جای دانلود و قرار دادن کد و یا نرم افزار مخرب بر روی سیستم به صورت مستقیم یک کد از طرف Dropper در Registry سیستم قرار بگیرد ! اکثر اوقات این فرآيند به جهت پیاده سازی تکنیک های Persistence مورد استفاده قرار میدهند.

  • تکنیک سوم - Memory-Only Malware

توجه کنید که تکنیک Memory-only دراصل همانطور که از نام آن هم پیداست در سطح Memory اجرا سازی میشود. نمونه از این تکنیک را میتوانیم به بدافزار Duqu اشاره کنیم که در دو نسخه ارائه میشود. نسخه اول Duqu به جهت پیاده سازی یک Backdoor و نسخه دوم به جهت پیاده سازی تکنیک های پیشرفته از جمله Exfiltration و Lateral Movies مورد استفاده قرار میگیرد.

  • تکنیک چهارم - Stolen Credentials

توجه کنید که این تکنیک به واسطه سرقت داده های حساس یک حساب کاربری صورت میگیرد و فرد مهاجم به واسطه ابزارهای مانند WMI و PowerShell که پیش فرض در سیستم وجود دارند و جزوه ابزارهای پر استفاده جهت پیاده سازی Fileless Malware میباشند استفاده میکنند.


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات