بدافزار بدون فایل (Fileless Malware) چیست و چه ویژگی هایی دارد؟

0 51

فهرست

امروزه یکی از چالش برانگیزترین تهدیدات سایبری، تهدیدهای بدون فایل و خاصا بدافزار بدون فایل (Fileless Malware) می باشند. به دلیل اینکه مکانیزهای امنیتی سنتی (و حتی در برخی موارد مدرن) قادر به شناسایی این نوع بدافزارها نیستند و برای شناسایی آن ها جرم شناسی عمیقی لازم است این بدافزارها به راحتی به یک سیستم نفوذ کرده و آن را آلوده می کنند. در این مقاله در مورد این نوع بدافزارها صحبت می کنیم.

Living off the Land

در امنیت سایبری (living-off-the-land / LotL) Living off the Land به رفتاری گفته می شود برای انجام یک عملیات از ابزارها و ویژگی هایی که در سیستم یا محیط هدف وجود دارد استفاده شود. برای مثال فرض کنید قصد داریم یک درب پشتی یا بکدور (Backdoor) روی سیستم هدف ایجاد کنید. یک راه این است که یک بدافزار که قابلیت دسترسی پایدار را ایجاد می کند روی سیستم هدف نصب کنید که طبیعتا این روش نیاز به ذخیره سازی یک فایل روی دیسک سیستم هدف دارد. راه دیگر این است که از ابزارهای پیش فرض و ویژگی های سیستم هدف استفاده کنید. برای مثال مایکروسافت به صورت پیش فرض پاورشل (PowerShell) را در سیستم عامل های ویندوز ارائه می دهد. به روش های مختلفی بدون ایجاد فایل روی سیستم هدف می توان از پاورشل برای ایجاد یک درب پشتی روی سیستم هدف استفاده کرد.
استفاده از این روش برای نفوذ قدرت زیادی به مهاجم می دهد. فرض کنید یک پیلود (Payload) ایجاد کرده ایم و قصد داریم روی سیستم هدف اجرا کنید. با تزریق این پیلود به یک برنامه مجاز روی سیستم مثل پاورشل نیازی به دسترسی به دیسک وجود ندارد و پیلود مستقیما در RAM اجرا می شود. این موضوع کار را برای آنتی ویروس ها بسیار مشکل می کند و عملا آنتی ویروس ها، رمز کردن فایل ها، مخصوصا آنتی ویروس هایی که از پایگاه داده ای از امضای بدافزارها استفاده می کنند (Signature-based) قادر به شناسایی آن نیستند.
تشخیص این نوع پیلودها نیاز به تحلیل سطح پایین و عملیات جرم شناسی بسیار عمیق دارد.
پیلود وقتی در RAM قرار میگیرد می تواند عملیات مختلفی از قبیل اکسپلویت آسیب پذیری روز صفر (Zero-Day)، از کار انداختن مکانیزم های امنیتی، ایجاد درب پشتی، ارتقاء دسترسی (Privilege Escalation) و… را انجام دهد.

بدافزار بدون فایل (Fileless Malware)

بدافزار بدون فایل (Fileless Malware) برخلاف بدافزارهای سنتی از یک فایل اجرایی استفاده نمی کنند و در عوض از ابزارهای پیش فرض موجود در سیستم عامل (LOLBins) برای انجام عملیات خود استفاده می کنند. این بدافزارها با این عمل رد پا و امضایی برای آنتی ویروس ها باقی نمی گذارند و آنتی ویروس را اغوا می کنند. بدافزارهای بدون فایل از رفتار LotL استفاده می کنند و از زمان ورود خود به سیستم تاز مان مرگشان داده ای روی دیسک نمی نویسند و بنابراین کمترین رد پا را برای بررسی از خود به جا می گذارند. بطور کلی محیط های فرار سیستم مثل RAM، رجیستری سیستم و Service Area در ویندوز ابرای ان نوع بدافزارها جذاب می باشند. یک بدافزار بدون فایل می تواند با کلیک کاربر روی یک لینک یا حتی مشاهده یک وب سایت، یک اکسپلویت کیت (Exploit Kit) فعال شده و سیستم را برای آسیب پذیری ها اسکن کرده و در نهایت با ورود پیلود به RAM به سیستم وارد شود.

Fileless Malware != Memory Resident Virus

تصور اشتباهی که بعضا پیش می آید این است که گاهی بدافزار بدون فایل را همان ویروس ساکن حافظه یا Memory Resident Virus می دانند. دلیل این سوءتفاهم هم این است که هر دو هنگام انجام عملیات عملی روی دیسک انجام نمی دهند. تفاوت عمده این دو در اجرا و پایداری آنها است. برای اجرای اکثر بدافزارها (شامل ویروس ها) ابتدا نیاز به نوشتن روی دیسک هست اما بدافزارهای بدون فایل از زمان ورود به سیستم تا زمان مرگ هیچ گونه رابطه ای با دیسک برقرار نمی کنند. ویروس های Memory Resident با استفاده از یک مدیا یا فایل به هاست منتقل می شوند که این موضوع باعث می شود در ابتدا عملیات نوشتن روی دیسک انجام شود. اما از طرف دیگر بدافزار بدون فایل می تواند مستقیما با بازدید یک وب سایت یا کلیک بر روی یک لینک مخرب مستقیما وارد RAM شود. تکنیک های مهندسی اجتماعی مخصوصا فیشینگ در این رابطه نقش مهمی را ایفا می کنند.

ابزارهای مورد استفاده برای بدافزارهای بدون فایل

بیشتر از ۱۵۰ ابزار در سیستم عامل ویندوز برای استفاده بدافزارهای بدون فایل موجودند. در این بخش دو عدد از معروف ترین آن ها را معرفی می کنیم که در یک حمله با بدافزار بدون فایل، اکثر ابزارهای دیگر نیز برای رسیدن به این دو مورد استفاده می شوند.

پاورشل – PowerShell

پاورشل یک چارچوب متن باز است که به طور پیش فرض روی سیستم عامل ویندوز نصب است. این ابزار قابلیت اجرای مستقمی کد از حافظه کوتاه مدت یا RAM را دارد. پاورشل امکان دسترسی به بسیاری از ویژگی ها و عملکردهای سیستم از جمله WMI، COM و ویژگی های مدیریتی را داراست. طبیعی است که این ویژگی ها برای یک بدافزار بدون فایل ویژگی های ایده آلی به شمار می آیند. برخی از حملاتی که از پاورشل استفاده کرده اند عبارتند از: Operation Power Kitty، Sodinokibi& Ursnif، Ramnit و…

Windows Management Instrumentation – WMI

WMI یک استاندارد برای دسترسی به امکانات مدیریتی در یک محیط سازمانی می باشد. از WMI برای مقاصد مختلفی از جمله دریافت اطلاعات ماشین های محلی و راه دور، تنظیمات امنیتی، غیرفعال کردن لاگ و… استفاده می شود. WMI به صورت پیش فرض روی سیستم عامل ویندوز نصب است و با مجوز سیستم اجرا می شود و بسیاری از عملیات سیستمی یک یا چند رخداد WMI را ایجاد می کنند. برخی از حملاتی که از WMI استفاده کرده اند عبارتند از: Stuxnet، Operation Soft Cell، Adobe Worm Faker و…

پیشگیری از بدافزار بدون فایل

قبلا مکررا از نکاتی در مورد پیشگیری از آلوده شدن توسط بدافزارها صحبت شده است. همانطور که قبلا اشاره کردیم اولین قدم برای مقابله با حملات سایبری ارتقاء سطح دانش می باشد. بهرحال ورود هر موجودیت بدخواه به سیستم نیازمند عمل کاربر است و اگر دانش کاربر نسبت به روش های فریب دهنده کافی باشد شانس بیشتری برای مقابله با چنین حملاتی را دارد. از طرف دیگر استفاده از مکانیزم های امنیتی مبتنی بر ناهنجاری مثل سیستم های تشخیص نفوذ مبتی بر ناهنجاری (Anomaly-based Intrusion Detection) که به جای امضا فایل از رفتار سیستم برای تشخیص استفاده می کنند می تواند مناسب باشد.

سخن پایانی

در این مقاله بطور مختصر در مورد بدافزار بدون فایل (Fileless Malware) صحبت کردیم و ویژگی ها و چالش هایی که برای امنیت یک سازمان ایجاد می کنند را مورد بررسی قرار دادیم. در آینده در این مورد بیشتر صحبت خواهیم کرد و یک نمونه به صورت عملی توسعه خواهیم داد.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
دوره‌های آکادمی ترجنس | courses.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence

ارسال یک پاسخ