FileLess Malware چیست؟ آشنایی با بدافزارهای بدون فایل

شاید باج افزار ها در صدر اخبار سال 2017 قرار داشته باشند، ولی نوع دیگری از بدافزار ها وجود دارند که در ماه های گذشته بسیار توسعه یافته اند، بدافزار های بدون فایل!!!!! فریبنده و آب زیر کاه!!!! این تعریفی هست که می توان از بدافزار های بدون فایل داشت. که اخیرا بین هکر ها به شهرت و اقبال زیادی دست پیدا کرده اند. هنوز هم می توان سازمان هایی را یافت که از روش های قدیمی و مرسوم مانند آنتی ویروس استفاده میکنند، این روش ها در برابر حملات بدافزار های بدون فایل کاملا بی دفاع هستند. هر چند این گرایش جدید در بین محصولات امنیتی یک چالش عمیق را شکل داده است.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

File-less Malware چیست؟

این بدافزار ها نام های مختلفی دارند مانند "Non-Malware"، یا بدفزار های مبتنی بر RAM. این گونه جدید از بدافزار ها سیستم قربانی را آلوده می کنند ولی بر خلاف نمونه های پیشین هیچ گونه فایل اجرایی بر روی هارد دیسک قربانی بر جای نمی گذارند!!!! RAM و رجیستری شما مکان مورد علاقه این بدافزار هاست.بعضی از این بدافزار ها روی رم باقی می مانند، ولی تعداد آنها واقعا کم است، چون همانطور که حتما می دانید رم حافظی فرار است و با خاموش شدن کامپیوتر قربانی بدافزار نیز از حافظه پاک میشود.

به همین دلیل توسعه دهندگان این بدافزار سعی کردند نمونه های جدیدی از این بدافزار ها را طراحی کنند که درون رجیستری سیستم عامل قرار می گیرند. رجیستری ویندوز یک دیتابیس عزیم از تنظیمات سطح پایین برای سیستم عامل و نرم افزار های نصب شده می باشد. Kovter و Poweliks دو نمونه از این بدافزار ها هستند که از رجیستری به منظور آلوده کردن سیستم عامل استفاده می کنند، بدون اینکه فایل مخرب را روی هارد دیسک قرار دهند.

  • نکته: در اغلب موارد این بدافزار ها از PowerShell و WMI استفاده می کنند.

چگونه منتشر میشوند؟

  1. قربانی از یک صفحه آلوده دیدن می کند. (که شامل Exploit Kit است)
  2. Exploit kit وب سایت شروع به اسکن برای یافتن برنامه و پلاگین های آپدیت نشده می گردد، مانند: فلش، جاوا، ....
  3. Exploit Kit سعی در نفوذ به نقطه ضعف موجود در برنامه های آپدیت نشده میکند
  4. اگر موفقیت آمیز بود، Exploit Kit شروع به اجرای Payload درون حافظه Brower می نماید.
  5. تبریک!!! شما هک شدید :)

این داستان ادامه دارد.....


رضا جهان کهن
رضا جهان کهن

من رضا جهان کهن هستم، بنیان گذار استارت آپ امنیتی iTAC، و ارشد امنیت اطلاعات از دانشگاه شیراز دارم. با بیش از پنج سال سابقه کار عملی در حوزه های مختلف مانند برنامه نویسی وب و موبایل، طراحی و پیاده سازی شبکه، پژوهش گر و توسعه دهنده در زمینه امنیت اطلاعات و مشاوره آی تی در شرکت های داخلی و خارجی. علاقه مند به کار در حوزه های مرتبط به امنیت اطلاعات از جمله: توسعه نرم افزار های امنیتی، توسعه امن نرم افزار، تشخیص بد افزار، امینت شبکه، هوش مصنوعی

نظرات