حملات بدافزار بدون فایل (fileless attacks) چگونه کار میکند، چرا موثر هست، و برای یافتن و جلوگیری از تهدیدات چه کاری می توانید انجام دهید؟
وقتی در مورد بدافزار می شنوید، احتمال زیادی وجود دارد که به فایل های اجرایی یا فایل هایی با پسوندهایی مانند .DOCX یا .PDF فکر کنید که پس از باز شدن، کدهای مخرب را اجرا می کنند. اینها نمونههایی از حملات مبتنی بر فایل هستند – و اگرچه میتوانند بد باشند، اما در مقایسه با پسرعموهای بدون فایلشان چیزی نیستند!
همانطور که از نام آن پیداست، حملات بد افزار بدون فایل برای انجام کار به فایلهای اجرایی سنتی متکی نیستند، بلکه به اجرای درون حافظهای متکی هستند که به آنها کمک میکند از شناسایی توسط راهحلهای امنیتی مرسوم فرار کنند.
در این پست، موضوعاتی مانند نحوه عملکرد حملات بدابزار بدون فایل، چرایی موثر بودن آنها، و کارهایی که می توانید برای یافتن و مسدود کردن تهدیدات حملات بد ابزار بدون فایل انجام دهید را بررسی خواهیم کرد.
- مقاله مرتبط: آشنایی با انواع حملات سایبری + نحوه مقابله [54 حمله]
حملات بدافزار بدون فایل (fileless attacks) را بشناسید!
برخلاف حملات مبتنی بر فایل که بار را در هارد دیسک اجرا میکنند، حملات بد ابزار بدون فایل بار را در حافظه با دسترسی تصادفی (RAM) اجرا میکنند. اجرای کدهای مخرب مستقیماً در حافظه به جای هارد دیسک چندین مزیت دارد، مانند:
فرار از اقدامات امنیتی سنتی: حملات بدابزار بدون فایل، نرم افزار آنتی ویروس و تشخیص امضای فایل را دور میزند و شناسایی آنها را با استفاده از ابزارهای امنیتی معمولی دشوار می کند.
افزایش پتانسیل آسیب: از آنجایی که حملات بدون فایل می توانند مخفیانه تر و با دسترسی بیشتر به منابع سیستم عمل کنند، ممکن است بتوانند آسیب بیشتری به سیستم در معرض خطر نسبت به حملات مبتنی بر فایل وارد کنند.
اصلاح حملات مبتنی بر حافظه ممکن است دشوار باشد: از آنجایی که حملات بدون فایل فایلهایی ایجاد نمیکنند، حذف آنها از یک سیستم پس از شناسایی دشوارتر است. این می تواند ردیابی حمله به منبع و بازگرداندن سیستم به حالت امن را دشوار کند.
حملات بدافزار بدون فایل (fileless attacks) در مقابل حملات Living-off-the-land (LOTL)
اگر مقاله ما در مورد حملات LOTL را بخوانید، ممکن است گیج شوید: آیا حملات بدون فایل و حملات LOTL یکسان نیستند؟ خوب، بله و نه.
حملات LOTL در هر زمانی است که مهاجم از ابزارهای قانونی برای فرار از شناسایی، سرقت داده ها و موارد دیگر استفاده می کند، در حالی که حملات بدون فایل صرفاً به اجرای کد مستقیماً در حافظه اشاره دارد. در حالی که هر دو نوع حمله اغلب با هم همپوشانی دارند، اما یکی نیستند.
حملات بد ابزار بدون فایل را به عنوان زیرمجموعهای از حملات LOTL در نظر بگیرید. حملات بدون فایل اغلب از تکنیکهای LOTL برای اجرای بار در حافظه استفاده میکنند، اما همچنین میتوانند بدون استفاده از ابزار یا فرآیند قانونی سیستم این کار را انجام دهند.
به عنوان مثال، یک مهاجم میتواند از PowerShell برای دانلود و اجرای یک payload مخرب مستقیماً در حافظه، بدون نوشتن آن بر روی دیسک استفاده کند. در این مورد، حمله هم LOTL است (از آنجایی که PowerShell یک ابزار قانونی است) و هم بدون فایل (زیرا بارگذاری در حافظه اجرا می شود).
از سوی دیگر، مهاجمی که جاوا اسکریپت مخرب را به یک وب سایت تزریق می کند، می تواند از آسیب پذیری های مرورگر سوء استفاده کرده و بارهای بارگذاری را در حافظه اجرا کند. این حمله fileless attacks، کد را بدون نوشتن روی هارد دیسک اجرا می کند، اما به عنوان LOTL واجد شرایط نیست، زیرا از یک ابزار یا فرآیند سیستم قانونی استفاده نمی کند.
5 روش مختلف حملات بدافزار بدون فایل برای اجرای کد در حافظه
هنگامی که یک مهاجم از طریق فیشینگ یا سوء استفاده از آسیبپذیریها دسترسی پیدا میکند، میتواند کدهای مخرب را با استفاده از روشهای مختلفی در حافظه اجرا کند که برخی از آنها ممکن است با تکنیکهای LOTL همپوشانی داشته باشند.
در زیر پنج تکنیک رایج مورد استفاده در حملات بدون فایل آورده شده است:
PowerShell: یک برنامه نویسی قانونی که می تواند کدهای مخرب را مستقیماً در حافظه اجرا کند. همانطور که قبلا ذکر شد، این تکنیک با حملات LOTL همپوشانی دارد زیرا از یک ابزار سیستم داخلی استفاده می کند.
حفره فرآیند: حفره فرآیند یک تکنیک بدون فایل است که در آن مهاجمان یک فرآیند جدید را در حالت تعلیق ایجاد میکنند، محتوای حافظه آن را با کد مخرب جایگزین میکنند و سپس فرآیند را از سر میگیرند. کد مخرب در حافظه بدون نوشتن روی دیسک اجرا می شود.
تزریق انعکاسی DLL: در این حمله fileless attacks، مهاجمان یک کتابخانه پیوند پویا (DLL) مخرب را بدون نوشتن روی دیسک در حافظه یک فرآیند قانونی بارگذاری میکنند. DLL مستقیماً در حافظه اجرا می شود و توسط نرم افزارهای امنیتی سنتی شناسایی نمی شود.
جاوا اسکریپت و VBScript: مهاجمان fileless attacks می توانند از جاوا اسکریپت یا VBScript برای اجرای کدهای مخرب مستقیماً در حافظه در مرورگر وب یا سایر برنامه هایی که از این زبان های برنامه نویسی پشتیبانی می کنند استفاده کنند.
ماکروهای Microsoft Office: مهاجمان fileless attacks می توانند از ماکروهای مخرب تعبیه شده در اسناد مایکروسافت آفیس برای اجرای کد در حافظه هنگام باز شدن سند استفاده کنند. این روش از عملکرد ماکرو قانونی استفاده می کند و آن را به عنوان نمونه ای از تکنیک LOTL نیز تبدیل می کند.
توجه داشته باشید که حملات بدافزار بدون فایل اغلب به سوء استفاده از آسیب پذیری در اجزای سیستم در هر یک از این نمونه ها (مانند آفیس یا مرورگرهای وب) برای اجرای کد خود متکی هستند.
روش پیشگیری | شرح |
---|---|
نرم افزار و سیستم ها را بروز نگه دارید | به طور منظم سیستم عامل ها، برنامه ها و نرم افزارهای امنیتی خود را به روز کنید تا آسیب پذیری هایی را که می توانند توسط مهاجمان fileless attacks مورد سوء استفاده قرار گیرند، اصلاح کنید. |
به طور منظم گزارش های امنیتی را بررسی کنید | گزارشهای امنیتی را برای فعالیت غیرمعمول یا الگوهایی که میتواند نشاندهنده حمله بدون فایل باشد، مانند استفاده غیرمنتظره از PowerShell یا اتصالات شبکه بیش از حد، بررسی کنید. |
از تجزیه و تحلیل رفتاری استفاده کنید | از ابزارهای پیشرفته تشخیص تهدید استفاده کنید که از تجزیه و تحلیل رفتاری برای شناسایی و مسدود کردن حملات بدون فایل بر اساس الگوهای رفتاری منحصر به فرد آنها استفاده می کنند. |
استفاده ماکرو را محدود کنید | استفاده از ماکروهای مایکروسافت آفیس را با غیرفعال کردن آنها یا مجاز کردن فقط ماکروهای دارای امضای دیجیتال و قابل اعتماد محدود کنید. |
محافظت در برابر حملات بد ابزار بدون فایل
Malwarebytes Exploit Protection می تواند به طور موثر بسیاری از حملات بدابزار بدون فایل را با نظارت و تقویت رفتار برنامه ها، سخت کردن برنامه ها و اطمینان از حفاظت پیشرفته حافظه مسدود کند.
برای پیکربندی تنظیمات پیشرفته Exploit Protection، این مراحل را دنبال کنید:
به Configure > Policies in Nebula بروید.
یک خط مشی انتخاب کنید و به تنظیمات حفاظت > تنظیمات پیشرفته > تنظیمات ضد سوء استفاده بروید.
از تنظیمات حفاظت در یک خطمشی در Malwarebytes EDR بهرهبرداری کنید.
در اینجا مروری بر لایه های حفاظتی ارائه شده توسط Malwarebytes EDR Exploit Protection است:
سختسازی برنامه: با اعمال تدابیر امنیتی مانند DEP و ASLR و غیرفعال کردن مؤلفههای بالقوه آسیبپذیر مانند Internet Explorer VB Scripting، Application Hardening سطح حمله را کاهش میدهد و بدافزارهای بدون فایل را برای سوء استفاده از نقاط ضعف در برنامهها دشوارتر میکند.
حفاظت پیشرفته حافظه: این لایه با شناسایی و مسدود کردن تکنیکهایی مانند بایپس DEP، ربودن وصله حافظه و پیوتینگ پشته، بدافزار بدون فایل را از اجرای کد payload در حافظه جلوگیری میکند و در نتیجه حمله را قبل از ایجاد آسیب متوقف میکند.
Application Behavior Protection: این لایه همچنین اکسپلویت هایی را که به خرابی حافظه متکی نیستند، مانند فرارهای sandbox جاوا یا سوء استفاده از طراحی برنامه، شناسایی و مسدود می کند. گزینهها عبارتند از: محافظت از LoadLibrary مخرب، محافظت برای اسکریپتنویسی Internet Explorer VB، محافظت برای MessageBox Payload و محافظت در برابر سوء استفادههای ماکرو آفیس مختلف.
حفاظت از جاوا: این تنظیمات در برابر سوء استفاده هایی که معمولاً در برنامه های جاوا استفاده می شود محافظت می کند. با محافظت در برابر سوء استفادههای خاص جاوا، مانند اجرای دستورات جاوا مبتنی بر وب و بارهای جاوا مترپرتر، Java Protection میتواند به طور موثر از حملات بدون فایلی که از آسیبپذیریهای جاوا برای نفوذ به سیستمها و اجرای کدهای مخرب استفاده میکنند، جلوگیری کند.
مبارزه با تهدیدات حملات بدافزار بدون فایل(fileless attacks) : پیکربندی نظارت بر فعالیت مشکوک در Nebula
Malwarebytes Endpoint Detection and Response (EDR) یک راه حل موثر برای شناسایی و کاهش تهدیدات بدافزار بدون فایل با نظارت بر رفتارهای مخرب احتمالی در نقاط پایانی ارائه می دهد. ویژگی نظارت بر فعالیت مشکوک در Nebula از مدل های یادگیری ماشین و تجزیه و تحلیل مبتنی بر ابر برای شناسایی فعالیت های مشکوک استفاده می کند. در این بخش، نحوه پیکربندی Suspicious Activity Monitoring در Nebula را توضیح خواهیم داد.
برای فعال کردن نظارت بر فعالیت مشکوک در خطمشی خود:
- به کنسول Nebula خود وارد شوید.
- به Configure > Policies بروید.
- روی «جدید» کلیک کنید یا یک خط مشی موجود را انتخاب کنید.
- برگه «تشخیص و پاسخ نقطه پایانی» را انتخاب کنید.
- “Suspicious Activity Monitoring” را پیدا کنید و آن را برای سیستم عامل های مورد نظر فعال کنید.
تنظیمات پیشرفته گزینه های بیشتری را برای نظارت بر فعالیت ارائه می دهد. برای پیکربندی این تنظیمات:
- در همان برگه «تشخیص و پاسخ نقطه پایانی»، بخش «تنظیمات پیشرفته» را پیدا کنید.
- برای گسترش نظارت به سیستم عامل های سرور، «نظارت سیستم عامل سرور برای فعالیت مشکوک» را فعال کنید.
- «حالت تشخیص بسیار تهاجمی» را فعال کنید تا آستانه محدودتری برای علامت گذاری فرآیندها به عنوان مشکوک اعمال شود.
- بسته به ترجیح خود، «جمع آوری رویدادهای شبکه برای گنجاندن در جستجو» را روی روشن (پیش فرض) یا خاموش تغییر دهید. خاموش کردن آن باعث کاهش ترافیک ارسالی به ابر می شود.
جستجوی ضبط پرواز (Flight Recorder Search)
Flight Recorder Search تمام رویدادهای نقطه پایانی را در قابلیت جستجوی خود جمع آوری می کند. با پیکربندی نظارت بر فعالیت مشکوک در Malwarebytes EDR از طریق پلتفرم Nebula، میتوانید با نظارت بر فرآیندها، رجیستری، سیستم فایل و فعالیت شبکه در نقطه پایانی، به طور موثر با تهدیدات بدافزار بدون فایل مقابله کنید.
به حملات بدون فایل به سرعت و موثر پاسخ دهید
خدمات تشخیص و پاسخ مدیریت شده (MDR) گزینه جذابی را برای سازمانهایی که تخصص مدیریت راهحلهای EDR را ندارند، فراهم میکند. خدمات MDR دسترسی به تحلیلگران امنیتی با تجربه را ارائه می دهد که می توانند تهدیدات را به صورت 24 ساعته نظارت کنند و به آنها پاسخ دهند، حملات بدون فایل را به سرعت و به طور موثر شناسایی کرده و به آنها پاسخ دهند، و راه حل های EDR را تنظیم و بهینه سازی مداوم برای اطمینان از حداکثر محافظت ارائه می دهند. ما با ارائه خدمات امنیت سایت و همچنین برگزاری دوره آموزش امنیت سایت به شما کمک می کنیم تا با این تهدیدات سایبری مقابله کنید.
منابع تکمیلی:
[1]