fileless attacks یا بدافزار بدون فایل چیست؟ + نحوه مقابله

حملات بدافزار بدون فایل (fileless attacks) چگونه کار می‌کند، چرا موثر هست، و برای یافتن و جلوگیری از تهدیدات چه کاری می توانید انجام دهید؟

وقتی در مورد بدافزار می شنوید، احتمال زیادی وجود دارد که به فایل های اجرایی یا فایل هایی با پسوندهایی مانند .DOCX یا .PDF فکر کنید که پس از باز شدن، کدهای مخرب را اجرا می کنند. اینها نمونه‌هایی از حملات مبتنی بر فایل هستند – و اگرچه می‌توانند بد باشند، اما در مقایسه با پسرعموهای بدون فایل‌شان چیزی نیستند!

همانطور که از نام آن پیداست، حملات بد افزار بدون فایل برای انجام کار به فایل‌های اجرایی سنتی متکی نیستند، بلکه به اجرای درون حافظه‌ای متکی هستند که به آن‌ها کمک می‌کند از شناسایی توسط راه‌حل‌های امنیتی مرسوم فرار کنند.

در این پست، موضوعاتی مانند نحوه عملکرد حملات بدابزار بدون فایل، چرایی موثر بودن آنها، و کارهایی که می توانید برای یافتن و مسدود کردن تهدیدات حملات بد ابزار بدون فایل انجام دهید را بررسی خواهیم کرد.

 

• مقاله مرتبط: آشنایی با انواع حملات سایبری + نحوه مقابله [54 حمله]

 

 

حملات بدافزار بدون فایل (fileless attacks) را بشناسید!

برخلاف حملات مبتنی بر فایل که بار را در هارد دیسک اجرا می‌کنند، حملات بد ابزار بدون فایل بار را در حافظه با دسترسی تصادفی (RAM) اجرا می‌کنند. اجرای کدهای مخرب مستقیماً در حافظه به جای هارد دیسک چندین مزیت دارد، مانند:

فرار از اقدامات امنیتی سنتی: حملات بدابزار بدون فایل، نرم افزار آنتی ویروس و تشخیص امضای فایل را دور می‌زند و شناسایی آنها را با استفاده از ابزارهای امنیتی معمولی دشوار می کند.

افزایش پتانسیل آسیب: از آنجایی که حملات بدون فایل می توانند مخفیانه تر و با دسترسی بیشتر به منابع سیستم عمل کنند، ممکن است بتوانند آسیب بیشتری به سیستم در معرض خطر نسبت به حملات مبتنی بر فایل وارد کنند.

اصلاح حملات مبتنی بر حافظه ممکن است دشوار باشد: از آنجایی که حملات بدون فایل فایل‌هایی ایجاد نمی‌کنند، حذف آنها از یک سیستم پس از شناسایی دشوارتر است. این می تواند ردیابی حمله به منبع و بازگرداندن سیستم به حالت امن را دشوار کند.

 

حملات بدافزار بدون فایل (fileless attacks) در مقابل حملات Living-off-the-land (LOTL)

اگر مقاله ما در مورد حملات LOTL را بخوانید، ممکن است گیج شوید: آیا حملات بدون فایل و حملات LOTL یکسان نیستند؟ خوب، بله و نه.

حملات LOTL در هر زمانی است که مهاجم از ابزارهای قانونی برای فرار از شناسایی، سرقت داده ها و موارد دیگر استفاده می کند، در حالی که حملات بدون فایل صرفاً به اجرای کد مستقیماً در حافظه اشاره دارد. در حالی که هر دو نوع حمله اغلب با هم همپوشانی دارند، اما یکی نیستند.

حملات بد ابزار بدون فایل را به عنوان زیرمجموعه‌ای از حملات LOTL در نظر بگیرید. حملات بدون فایل اغلب از تکنیک‌های LOTL برای اجرای بار در حافظه استفاده می‌کنند، اما همچنین می‌توانند بدون استفاده از ابزار یا فرآیند قانونی سیستم این کار را انجام دهند.

به عنوان مثال، یک مهاجم می‌تواند از PowerShell برای دانلود و اجرای یک payload مخرب مستقیماً در حافظه، بدون نوشتن آن بر روی دیسک استفاده کند. در این مورد، حمله هم LOTL است (از آنجایی که PowerShell یک ابزار قانونی است) و هم بدون فایل (زیرا بارگذاری در حافظه اجرا می شود).

از سوی دیگر، مهاجمی که جاوا اسکریپت مخرب را به یک وب سایت تزریق می کند، می تواند از آسیب پذیری های مرورگر سوء استفاده کرده و بارهای بارگذاری را در حافظه اجرا کند. این حمله fileless attacks، کد را بدون نوشتن روی هارد دیسک اجرا می کند، اما به عنوان LOTL واجد شرایط نیست، زیرا از یک ابزار یا فرآیند سیستم قانونی استفاده نمی کند.

 

5 روش مختلف حملات بدافزار بدون فایل برای اجرای کد در حافظه

هنگامی که یک مهاجم از طریق فیشینگ یا سوء استفاده از آسیب‌پذیری‌ها دسترسی پیدا می‌کند، می‌تواند کدهای مخرب را با استفاده از روش‌های مختلفی در حافظه اجرا کند که برخی از آنها ممکن است با تکنیک‌های LOTL همپوشانی داشته باشند.

در زیر پنج تکنیک رایج مورد استفاده در حملات بدون فایل آورده شده است:

PowerShell: یک برنامه نویسی قانونی که می تواند کدهای مخرب را مستقیماً در حافظه اجرا کند. همانطور که قبلا ذکر شد، این تکنیک با حملات LOTL همپوشانی دارد زیرا از یک ابزار سیستم داخلی استفاده می کند.

حفره فرآیند: حفره فرآیند یک تکنیک بدون فایل است که در آن مهاجمان یک فرآیند جدید را در حالت تعلیق ایجاد می‌کنند، محتوای حافظه آن را با کد مخرب جایگزین می‌کنند و سپس فرآیند را از سر می‌گیرند. کد مخرب در حافظه بدون نوشتن روی دیسک اجرا می شود.

تزریق انعکاسی DLL: در این حمله fileless attacks، مهاجمان یک کتابخانه پیوند پویا (DLL) مخرب را بدون نوشتن روی دیسک در حافظه یک فرآیند قانونی بارگذاری می‌کنند. DLL مستقیماً در حافظه اجرا می شود و توسط نرم افزارهای امنیتی سنتی شناسایی نمی شود.

جاوا اسکریپت و VBScript: مهاجمان fileless attacks می توانند از جاوا اسکریپت یا VBScript برای اجرای کدهای مخرب مستقیماً در حافظه در مرورگر وب یا سایر برنامه هایی که از این زبان های برنامه نویسی پشتیبانی می کنند استفاده کنند.

ماکروهای Microsoft Office: مهاجمان fileless attacks می توانند از ماکروهای مخرب تعبیه شده در اسناد مایکروسافت آفیس برای اجرای کد در حافظه هنگام باز شدن سند استفاده کنند. این روش از عملکرد ماکرو قانونی استفاده می کند و آن را به عنوان نمونه ای از تکنیک LOTL نیز تبدیل می کند.

توجه داشته باشید که حملات بدافزار بدون فایل اغلب به سوء استفاده از آسیب پذیری در اجزای سیستم در هر یک از این نمونه ها (مانند آفیس یا مرورگرهای وب) برای اجرای کد خود متکی هستند.

 

روش پیشگیری	شرح
نرم افزار و سیستم ها را بروز نگه دارید	به طور منظم سیستم عامل ها، برنامه ها و نرم افزارهای امنیتی خود را به روز کنید تا آسیب پذیری هایی را که می توانند توسط مهاجمان fileless attacks مورد سوء استفاده قرار گیرند، اصلاح کنید.
به طور منظم گزارش های امنیتی را بررسی کنید	گزارش‌های امنیتی را برای فعالیت غیرمعمول یا الگوهایی که می‌تواند نشان‌دهنده حمله بدون فایل باشد، مانند استفاده غیرمنتظره از PowerShell یا اتصالات شبکه بیش از حد، بررسی کنید.
از تجزیه و تحلیل رفتاری استفاده کنید	از ابزارهای پیشرفته تشخیص تهدید استفاده کنید که از تجزیه و تحلیل رفتاری برای شناسایی و مسدود کردن حملات بدون فایل بر اساس الگوهای رفتاری منحصر به فرد آنها استفاده می کنند.
استفاده ماکرو را محدود کنید	استفاده از ماکروهای مایکروسافت آفیس را با غیرفعال کردن آنها یا مجاز کردن فقط ماکروهای دارای امضای دیجیتال و قابل اعتماد محدود کنید.

 

 

 

محافظت در برابر حملات بد ابزار بدون فایل

Malwarebytes Exploit Protection می تواند به طور موثر بسیاری از حملات بدابزار بدون فایل را با نظارت و تقویت رفتار برنامه ها، سخت کردن برنامه ها و اطمینان از حفاظت پیشرفته حافظه مسدود کند.

برای پیکربندی تنظیمات پیشرفته Exploit Protection، این مراحل را دنبال کنید:

به Configure > Policies in Nebula بروید.

یک خط مشی انتخاب کنید و به تنظیمات حفاظت > تنظیمات پیشرفته > تنظیمات ضد سوء استفاده بروید.

از تنظیمات حفاظت در یک خط‌مشی در Malwarebytes EDR بهره‌برداری کنید.

 

 

در اینجا مروری بر لایه های حفاظتی ارائه شده توسط Malwarebytes EDR Exploit Protection است:

 

سخت‌سازی برنامه: با اعمال تدابیر امنیتی مانند DEP و ASLR و غیرفعال کردن مؤلفه‌های بالقوه آسیب‌پذیر مانند Internet Explorer VB Scripting، Application Hardening سطح حمله را کاهش می‌دهد و بدافزارهای بدون فایل را برای سوء استفاده از نقاط ضعف در برنامه‌ها دشوارتر می‌کند.

 

حفاظت پیشرفته حافظه: این لایه با شناسایی و مسدود کردن تکنیک‌هایی مانند بای‌پس DEP، ربودن وصله حافظه و پیوتینگ پشته، بدافزار بدون فایل را از اجرای کد payload در حافظه جلوگیری می‌کند و در نتیجه حمله را قبل از ایجاد آسیب متوقف می‌کند.

Application Behavior Protection: این لایه همچنین اکسپلویت هایی را که به خرابی حافظه متکی نیستند، مانند فرارهای sandbox جاوا یا سوء استفاده از طراحی برنامه، شناسایی و مسدود می کند. گزینه‌ها عبارتند از: محافظت از LoadLibrary مخرب، محافظت برای اسکریپت‌نویسی Internet Explorer VB، محافظت برای MessageBox Payload و محافظت در برابر سوء استفاده‌های ماکرو آفیس مختلف.

 

حفاظت از جاوا: این تنظیمات در برابر سوء استفاده هایی که معمولاً در برنامه های جاوا استفاده می شود محافظت می کند. با محافظت در برابر سوء استفاده‌های خاص جاوا، مانند اجرای دستورات جاوا مبتنی بر وب و بارهای جاوا مترپرتر، Java Protection می‌تواند به طور موثر از حملات بدون فایلی که از آسیب‌پذیری‌های جاوا برای نفوذ به سیستم‌ها و اجرای کدهای مخرب استفاده می‌کنند، جلوگیری کند.

 

 

مبارزه با تهدیدات حملات بدافزار بدون فایل(fileless attacks) : پیکربندی نظارت بر فعالیت مشکوک در Nebula

Malwarebytes Endpoint Detection and Response (EDR) یک راه حل موثر برای شناسایی و کاهش تهدیدات بدافزار بدون فایل با نظارت بر رفتارهای مخرب احتمالی در نقاط پایانی ارائه می دهد. ویژگی نظارت بر فعالیت مشکوک در Nebula از مدل های یادگیری ماشین و تجزیه و تحلیل مبتنی بر ابر برای شناسایی فعالیت های مشکوک استفاده می کند. در این بخش، نحوه پیکربندی Suspicious Activity Monitoring در Nebula را توضیح خواهیم داد.

برای فعال کردن نظارت بر فعالیت مشکوک در خط‌مشی خود:

1. به کنسول Nebula خود وارد شوید.
2. به Configure > Policies بروید.
3. روی «جدید» کلیک کنید یا یک خط مشی موجود را انتخاب کنید.
4. برگه «تشخیص و پاسخ نقطه پایانی» را انتخاب کنید.
5. “Suspicious Activity Monitoring” را پیدا کنید و آن را برای سیستم عامل های مورد نظر فعال کنید.

 

 

تنظیمات پیشرفته گزینه های بیشتری را برای نظارت بر فعالیت ارائه می دهد. برای پیکربندی این تنظیمات:

• در همان برگه «تشخیص و پاسخ نقطه پایانی»، بخش «تنظیمات پیشرفته» را پیدا کنید.
• برای گسترش نظارت به سیستم عامل های سرور، «نظارت سیستم عامل سرور برای فعالیت مشکوک» را فعال کنید.
• «حالت تشخیص بسیار تهاجمی» را فعال کنید تا آستانه محدودتری برای علامت گذاری فرآیندها به عنوان مشکوک اعمال شود.
• بسته به ترجیح خود، «جمع آوری رویدادهای شبکه برای گنجاندن در جستجو» را روی روشن (پیش فرض) یا خاموش تغییر دهید. خاموش کردن آن باعث کاهش ترافیک ارسالی به ابر می شود.

 

جستجوی ضبط پرواز (Flight Recorder Search)

Flight Recorder Search تمام رویدادهای نقطه پایانی را در قابلیت جستجوی خود جمع آوری می کند. با پیکربندی نظارت بر فعالیت مشکوک در Malwarebytes EDR از طریق پلتفرم Nebula، می‌توانید با نظارت بر فرآیندها، رجیستری، سیستم فایل و فعالیت شبکه در نقطه پایانی، به طور موثر با تهدیدات بدافزار بدون فایل مقابله کنید.

 

به حملات بدون فایل به سرعت و موثر پاسخ دهید

خدمات تشخیص و پاسخ مدیریت شده (MDR) گزینه جذابی را برای سازمان‌هایی که تخصص مدیریت راه‌حل‌های EDR را ندارند، فراهم می‌کند. خدمات MDR دسترسی به تحلیلگران امنیتی با تجربه را ارائه می دهد که می توانند تهدیدات را به صورت 24 ساعته نظارت کنند و به آنها پاسخ دهند، حملات بدون فایل را به سرعت و به طور موثر شناسایی کرده و به آنها پاسخ دهند، و راه حل های EDR را تنظیم و بهینه سازی مداوم برای اطمینان از حداکثر محافظت ارائه می دهند. ما با ارائه خدمات امنیت سایت و همچنین برگزاری دوره آموزش امنیت سایت به شما کمک می کنیم تا با این تهدیدات سایبری مقابله کنید.

 

منابع تکمیلی:

[1]