امنیت به زبان ساده: بدافزار بدون فایل چیست؟

از میان تمام عواملی که یک تمامیت یک کسب‌وکار را تهدید می‌کنند، بدافزارهای بدون فایل در صدر لیست خطرناک‌ترین چالش‌ها به حساب می‌آیند، چرا که معمولا از چشم حتی ابزارهای آنتی‌ویروس نیز دور می‌مانند.

خبر را برای من بخوان

به گزارش موبوایران، از میان تمام عواملی که یک تمامیت یک کسب‌وکار را تهدید می‌کنند، بدافزارهای بدون فایل در صدر لیست خطرناک‌ترین چالش‌ها به حساب می‌آیند، چرا که معمولا از چشم حتی ابزارهای آنتی‌ویروس نیز دور می‌مانند.

شناسایی از آن جهت دشوار است که یک بدافزار بدون فایل، همانطور که از نامش پیداست، برای آلوده کردن یک شبکه یا دستگاه متکی بر هیچ فایلی نیست. در عوض برنامه‌های به ظاهر معتبر، نقطه شروع کار بدافزار به حساب می‌آیند. برای مثال داستان رخنه امنیتی Equifax یکی از مثال‌های کلاسیک اینست که یک بدافزار چطور می‌تواند خود را چیزی دیگر جای زده و در نهایت دستگاه هدف را به گروگان بگیرد.

یک آسیب‌پذیری تزریق فرمان در پرتال شکایت مشتریان بود که رخنه امنیتی Equifax را رقم زد. با به دست آوردن اطلاعات ورود به سه سرور، امکان ورود به ۴۸ سرور دیگر مهیا می‌شد که اطلاعات مشتریان را بدون هیچ‌ رمزنگاری در خود ذخیره کرده بودند. همین کمبود رمزنگاری، ابعاد ماجرا را وخیم‌تر کرد. آسیب‌پذیری مورد اشاره اما وقوع اتفاقی شیطانی‌تر از این هم را هم امکان‌پذیر کرد: اجرای کد به صورت از راه دور. بعدا مشخص شد که هکرها برای ۷۶ روز به پرتال دسترسی داشته‌اند.

در سال ۲۰۱۸ میلادی، ۹۰ درصد از موسسات مالی گزارش کردند که هدف حمله بدافزارهای بدون فایل بوده‌اند. بنابراین سوالی مهم پیش می‌آید: چه چیزی باعث می‌شود بدافزارهای بدون فایل اینقدر مخفیانه کار کنند؟ و آیا راه فراری از آن‌ها هست؟

آناتومی بدافزار بدون فایل

بدافزار بدون فایل یک نرم‌افزار بدخواهانه است که با استفاده از اپلیکیشن‌ها، نرم‌افزارها یا پروتکل‌هایی که پیشتر در یک سیستم وجود داشته باشند، به یافتن آسیب‌پذیری و سوء استفاده از آن می‌پردازد. این نوع از بدافزارها درون رم سکنی می‌گذینند و می‌توانند خود را جای پروسه‌های مورد اعتماد درون یک سیستم عامل جا بزنند، پدیده‌ای که گاهی از آن تحت عنوان «زندگی بیرون از خشکی» گفته می‌شود.

ایده پشت چنین حمله‌ای مشخصا هوشمندانه است: هیچ سیستم امنیتی‌ای‌، فارغ از اینکه چقدر پیشرفته باشد، یک فایل با نرم‌افزار معتبر درون دیسک را اسکن نمی‌کند. البته باید این را نیز در نظر داشت که علی‌رغم نام‌گذاری‌اش، یک بدافزار بدون فایل ممکن است به استفاده از میان‌برها، فایل‌های اسکریپت یا پروسه‌های معتبر مانند Adobe.exe نیز پرداخته و کدهای بدخواهانه را نصب کند.

و هیچ راه حل سریعی برای مقابله وجود ندارد. رد پای به جا مانده از بدافزار بدون فایل آنقدر ناچیز است که ۹ بار از هر ۱۰ بار، از چشم‌ها دور می‌ماند. همین مخفی‌کاری هوشمندانه است که بدافزار بدون فایل را در برابر راهکارهای امنیتی متداول مصون نگه می‌دارد و گرچه بدافزارها معمولا تمام سیستم‌های عامل در جهان را هدف قرار می‌دهند، اکثر بدافزارهای بدون فایل روی کامپیوترهای مبتنی بر ویندوز یافت می‌شوند.

این‌ها روش‌هایی است که هکرها برای تزریق بدافزار بدون فایل خود به سیستم‌های هدف به کار می‌گیرند:

ایمیل‌های فیشینگ که شامل لینک‌های به ظاهر امن می‌شوند

وب‌سایت‌هایی که کاربر را دی‌دایرکت می‌کنند

برنامه‌های مورد اعتماد که به صورت گسترده استفاده می‌شوند

این سناریوها نشان می‌دهند که اکثر حملات بدون فایل، با قصور خود کاربر عملی می‌شوند. کاربر یک ایمیل نامعتبر را باز یا روی یک لینک کلیک می‌کند و به یک وب‌سایت آلوده و بدخواهانه هدایت می‌شود.

یک مثال خوب، بستر PowerShell مایکروسافت است. به عنوان یکی از اجزای مهم زیست‌بوم‌های مدرن فناوری‌های اطلاعات، PowerShell وظایف تکراری را اتوماسیون می‌کند و دیگر نیازی به رسیدگی دستی به آن‌ها نیست. بدافزار بدون فایل می‌تواند اسکریپت‌های اصلی PowerShell را دستکاری کرده و ناشناس باقی بماند، چرا که فایر وال و برنامه‌های آنتی‌ویروس، روتین‌های PowerShell را بلاک نمی‌کنند. این ابزار برای بسیاری از سازمان‌ها حیاتی است و بنابراین نمی‌توان آن را متوقف کرد. ماکروهای موجود در ابزارهای مایکروسافت آفیس و ویدیو پلیر ادوبی فلش هم همواره جزو اصلی‌ترین حاملان بدافزارهای بدون فایل بوده‌اند.

بعد از رخنه چه به سر اطلاعات ربوده شده می‌آید؟

اطلاعات لو رفته معمولا برای کسب سود در دارک وب فروخته می‌شوند. رخنه‌گران خاص ضمنا می‌توانند کنترل مرورگر وب شما را به دست گرفته و شروع به نمایش تبلیغ، سرقت پسووردها و کارهایی از این دست بپردازند.

بدون وجود هیچ فایلی که به مقابله با آن بپردازید، سیستم‌های امنیتی هیچ دفاعی از خود ندارند و همه‌چیز شکلی دشوار به خود می‌گیرد. ابعاد حملات ضمنا می‌تواند گسترش یافته و لوکیشن‌ها یا شبکه‌های اشتراکی دیگر را نیز از طریق اینترنت در بر بگیرد.

در مجموع همین‌طور که بدافزارها بیش از پیش به تکامل می‌رسند، ساخت ابزارهای لازم برای مقابله با آن‌ها دشوار و دشوارتر می‌شود.

چطور از خود در برابر بدافزار بدون فایل محافظت کنیم؟

بسیاری از متدهای تدافعی در برابر بدافزارها، تمرکز را از روی ابزارهای امنیتی برداشته و آن را معطوف بر آسیب‌پذیری‌های انسانی می‌کنند. آنالیز رفتار سیستم و نرم‌افزارهای تشخیص ویروس کارآمد هستند، اما تنها در سطح. تا جایی که ما می‌دانیم، حتی یک تعویق کوتاه در عرضه یک پچ امنیتی می‌تواند وقایعی فاجعه‌بار را به همراه آورد.

اما خبر خوب اینست که کاربران با چند کار ساده، قادر به مقابله با حملات بدافزاری هستند. با این روش‌ها می‌توانید از کامپیوترتان در برابر بدافزارهای بدون فایل محافظت کنید:

استفاده از احراز هویت دو مرحله‌ای

خاموش کردن PowerShell و WMI زمانی که کاربردی ندارند

بازدید تنها از سایت‌های امن (به دنبال آیکن قفل سبز رنگ در مرورگرتان باشید)

تغییر موجزهای دانلود در کامپیوتر و غیر فعال کردن قابلیت دانلود پی‌دی‌اف و فلش در مرورگر

توجه نشان دادن به ایمیل‌های فیشینگی که پیشنهادهای وسوسه‌برانگیز دارند

دریافت آخرین آپدیت‌های امنیتی