هجمات البرمجيات الخبيثة بدون ملفات ، الحماية والكشف

قد يكون Fileless Malware(Fileless Malware) مصطلحًا جديدًا لمعظم الأشخاص ولكن صناعة الأمان تعرفه منذ سنوات. في العام الماضي ، أصيب أكثر من 140 شركة في جميع أنحاء العالم بهذا البرنامج الضار Fileless -(Fileless Malware –) بما في ذلك البنوك وشركات الاتصالات والمنظمات الحكومية. يعد برنامج Fileless Malware(Fileless Malware) ، كما يوضح الاسم ، نوعًا من البرامج الضارة التي لا تلمس القرص أو تستخدم أي ملفات في العملية. يتم تحميله في سياق عملية شرعية. ومع ذلك ، تدعي بعض شركات الأمن أن الهجوم الخالي من الملفات يترك ثنائيًا صغيرًا في المضيف المخترق لبدء هجوم البرامج الضارة. شهدت مثل هذه الهجمات ارتفاعًا كبيرًا في السنوات القليلة الماضية وهي أكثر خطورة من هجمات البرامج الضارة التقليدية.

البرمجيات الخبيثة المليئة بالملفات

هجمات البرمجيات الخبيثة بدون ملفات

(Fileless Malware)تُعرف أيضًا هجمات البرامج الضارة الخالية من الملفات باسم هجمات البرامج غير الضارة(Non-Malware attacks) . يستخدمون مجموعة نموذجية من التقنيات للوصول إلى أنظمتك دون استخدام أي ملف برامج ضارة يمكن اكتشافها. في السنوات القليلة الماضية ، أصبح المهاجمون أكثر ذكاءً وطوروا العديد من الطرق المختلفة لشن الهجوم.

تصيب(Fileless) البرمجيات الخبيثة الخالية من الملفات أجهزة الكمبيوتر دون ترك أي ملف على القرص الصلب المحلي ، متجنبة أدوات الأمن والطب الشرعي التقليدية.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

توجد البرامج الضارة التي لا تحتوي على ملفات في ذاكرة الوصول العشوائي(Random Access Memory) لنظام الكمبيوتر الخاص بك ، ولا يقوم أي برنامج مكافحة فيروسات بفحص الذاكرة مباشرة - لذلك فهو الوضع الأكثر أمانًا للمهاجمين للتطفل على جهاز الكمبيوتر الخاص بك وسرقة جميع بياناتك. حتى أفضل برامج مكافحة الفيروسات تفوت أحيانًا البرامج الضارة التي تعمل في الذاكرة.

بعض الإصابات الأخيرة بالبرامج الضارة الخالية(Fileless Malware) من الملفات التي أصابت أنظمة الكمبيوتر في جميع أنحاء العالم هي - Kovter و USB Thief و PowerSniff و Poweliks و PhaseBot و Duqu2 وما إلى ذلك.

كيف يعمل Fileless Malware

يمكن للبرامج الضارة التي لا تحتوي على ملفات عند وصولها إلى الذاكرة(Memory) أن تنشر أدوات مدمجة في نظام التشغيل Windows(Windows) والإدارية مثل PowerShell و SC.exe و netsh.exe لتشغيل الكود الضار والحصول على وصول المسؤول إلى نظامك ، وذلك لتحمله خارج الأوامر وسرقة بياناتك. قد تختفي أيضًا البرامج الضارة الخالية من الملفات في وقت ما في (Fileless Malware)الجذور الخفية(Rootkits)(Rootkits) أو سجل(Registry) نظام التشغيل Windows.

بمجرد الدخول ، يستخدم المهاجمون ذاكرة التخزين المؤقت لـ Windows Thumbnail لإخفاء آلية البرامج الضارة. ومع ذلك ، لا تزال البرامج الضارة بحاجة إلى برنامج ثنائي ثابت للدخول إلى الكمبيوتر المضيف ، والبريد الإلكتروني هو الوسيط الأكثر شيوعًا المستخدم لنفسه. عندما ينقر المستخدم على المرفق الضار ، فإنه يكتب ملف حمولة مشفر في سجل Windows(Windows Registry) .

من المعروف أيضًا أن Fileless Malware(Fileless Malware) تستخدم أدوات مثل Mimikatz و Metaspoilt لحقن الشفرة في ذاكرة جهاز الكمبيوتر وقراءة البيانات المخزنة هناك. تساعد هذه الأدوات المهاجمين على التطفل بشكل أعمق على جهاز الكمبيوتر الخاص بك وسرقة جميع بياناتك.

التحليلات السلوكية والبرامج الضارة المفلسة(Fileless)

نظرًا لأن معظم برامج مكافحة الفيروسات العادية تستخدم التوقيعات لتحديد ملف البرامج الضارة ، فمن الصعب اكتشاف البرامج الضارة المليئة بالملفات. وبالتالي ، تستخدم شركات الأمان التحليلات السلوكية لاكتشاف البرامج الضارة. تم تصميم حل الأمان الجديد هذا لمعالجة الهجمات السابقة وسلوك المستخدمين وأجهزة الكمبيوتر. يتم بعد ذلك إخطار أي سلوك غير طبيعي يشير إلى محتوى ضار بتنبيهات.

عندما لا يتمكن حل نقطة النهاية من اكتشاف البرامج الضارة الخالية من الملفات ، تكتشف التحليلات السلوكية أي سلوك غير طبيعي مثل نشاط تسجيل الدخول المشبوه أو ساعات العمل غير المعتادة أو استخدام أي مورد غير نمطي. يلتقط حل الأمان هذا بيانات الحدث أثناء الجلسات التي يستخدم فيها المستخدمون أي تطبيق ، ويتصفحون موقع ويب ، ويلعبون الألعاب ، ويتفاعلون على وسائل التواصل الاجتماعي ، وما إلى ذلك.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

كيفية الحماية من البرامج الضارة الخالية من الملفات واكتشافها(Fileless Malware)

اتبع الاحتياطات الأساسية لتأمين جهاز الكمبيوتر الخاص بك الذي يعمل بنظام Windows(precautions to secure your Windows computer) :

  • قم بتطبيق(Apply) جميع تحديثات Windows الأخيرة -(Windows Updates –) وخاصة تحديثات الأمان لنظام التشغيل الخاص بك.
  • تأكد(Make) من أن جميع البرامج المثبتة لديك مصححة ومحدثة إلى أحدث إصداراتها
  • استخدم منتج أمان جيد يمكنه فحص ذاكرة الكمبيوتر بكفاءة وكذلك حظر صفحات الويب الضارة التي قد تستضيف برامج إكسبلويت(Exploits) . يجب أن توفر مراقبة السلوك(Behavior) ومسح الذاكرة وحماية (Memory)قطاع التمهيد(Boot Sector) .
  • كن حذرًا قبل تنزيل أي مرفقات بريد إلكتروني(downloading any email attachments) . هذا لتجنب تنزيل الحمولة.
  • استخدم جدار حماية(Firewall) قويًا يتيح لك التحكم بفعالية في حركة مرور الشبكة(Network) .

اقرأ التالي(Read next) : ما هي هجمات العيش خارج الأرض(Living Off The Land attacks) ؟



رهف السيد

About the author

أنا مهندس برمجيات بخبرة تزيد عن 10 سنوات في بناء وصيانة أجهزة Apple Mac وأجهزة iOS ومتصفحات Google Chrome. تشمل تجربتي تطوير منتجات البرامج وصيانتها وتشغيلها من البداية أو المساهمة في مشاريع مفتوحة المصدر. لقد أتيحت لي أيضًا الفرصة للعمل في مجموعة متنوعة من مشاريع الأجهزة - من إصلاح الشاشات المكسورة في المستشفيات إلى تصميم وتنفيذ ميزات جديدة لجهاز iPhone. في أوقات فراغي ، أستمتع بلعب ألعاب الفيديو المفضلة ، أو قراءة الكتب ، أو طهي العشاء مع عائلتي ، أو قضاء الوقت مع الأصدقاء.


Related posts