بدافزار بدونفایل
بدافزار بدونفایل (به انگلیسی: Fileless malware) گونهای از نرمافزارهای مخرب مرتبط با رایانه است که منحصراً بهعنوان برنامه مبتنی بر حافظه رایانه یعنی در رَم وجود دارد.
این نوع از بدافزار، هیچ بخشی از فعالیت خود را روی هارد دیسک رایانه نمینویسد، به این معنی که در برابر استراتژیهای قانونی ضد رایانه موجود که شامل لیست سفید مبتنی بر فایل، تشخیص امضا، تأیید سختافزار، تجزیه و تحلیل الگو، مهر زمانی و غیره است، بسیار مقاوم است. و از طریق شواهد بسیار کمی که میتواند توسط کارشناسان دیجیتال فارنزیک برای شناسایی فعالیتهای غیرقانونی استفاده شود، ارائه میدهد.
از آنجایی که بدافزار از این نوع برای کار در حافظه طراحی شدهاست، عمر طولانی آن در سیستم تنها تا زمانی که سیستم راهاندازی مجدد شود وجود دارد.
تعریف[ویرایش]
بدافزار بدونفایل گاهی مترادف با بدافزار درون حافظه در نظر گرفته میشود، زیرا هر دو عملکردهای اصلی خود را بدون نوشتن دادهها روی دیسک در طول عمر عملیات خود انجام میدهند. این امر باعث شدهاست که برخی از مفسران ادعا کنند که این گونه متفاوت چیز جدیدی نیست و صرفاً یک «تعریف مجدد اصطلاح شناخته شده، ویروس ساکن حافظه» است،[۱] که شجرهنامه آن را میتوان به دههٔ ۱۹۸۰ با تولد ویروس Lehigh ردیابی کرد که توسط مبتکر این اصطلاح، فرد کوهن، توسعه یافت و با مقاله خود در مورد این موضوع تأثیرگذار شد.[۲]
اما این مترادف نادرست است. اگرچه محیط اجرای رفتاری فوق یکسان است، در هر دو مورد، یعنی هر دو نوع بدافزار در حافظه سیستم اجرا میشوند، تمایز اساسی روش شروع و تمدید است. بیشتر ناقل آلودگی بدافزار شامل مقداری نوشتن روی هارد دیسک است،[۳] به منظور اجرای آن، که منشأ آن میتواند به شکل پیوست فایل آلوده، دستگاه رسانه خارجی باشد. یواسبی، لوازم جانبی، تلفن همراه و غیره، مرورگر درایو بای، کانال جانبی و غیره.
هر یک از روشهای ذکر شده باید به شکلی با هارد دیسک سیستم میزبان تماس داشته باشد، به این معنی که حتی در هنگام استفاده از مخفیترین روشهای ضد پزشکی قانونی، نوعی از باقی ماندههای آلوده روی رسانه میزبان باقی میماند.
از طرف دیگر، بدافزار بدون فایل، از نقطه شروع تا پایان فرایند (معمولاً از طریق راهاندازی مجدد سیستم)، هدفش این است که هرگز محتوای آن روی دیسک نوشته نشود. هدف آن اقامت در مناطق سیستم فرار مانند رجیستری سیستم، فرآیندهای درون حافظه و مناطق خدماتی است.[۴]
تاریخچه[ویرایش]
بدافزار بدونفایل یک نوع تکاملی از نرمافزار مخرب است که مدل ثابتی از خود-بهبودی/تقویت با حرکت به سمت سناریوهای حمله متمرکز به وضوح تعریف شده به خود گرفتهاست، که ریشههای آن را میتوان به اقامتگاه حافظه پایان داد و ماندگار کرد. برنامههای ویروسی[۵] که پس از راهاندازی، در حافظه باقی میمانند و در انتظار وقفه سیستم قبل از دسترسی به جریان کنترل خود هستند. نمونههایی از آن در ویروسهایی مانند فرودو، The Dark Avenger , Number of the Beast دیده شد.[۶]
این تکنیکها از طریق ویروسهای ساکن حافظه موقت[۷] تکامل یافته و در نمونههای معروفی مانند: Anthrax, Monxla[۸] دیده میشوند و ماهیت واقعی «بدون فایل» خود را از طریق ویروسها/کرمهای شبکه تزریق شده در حافظه مانند کد رد و Slammer.
روشهای تکاملی مدرنتری در ویروسهایی مانند استاکسنت، دوکو ۲٫۰، پاورلینکس،[۹] Phasebot[۱۰] و غیره دیده شدهاست.
پیشرفتهای اخیر[ویرایش]
در ۸ فوریه ۲۰۱۷، تیم تحقیقات و تجزیه و تحلیل جهانی آزمایشگاه کسپرسکی گزارشی با عنوان «حملات بدون فایل علیه شبکههای سازمانی»[۱۱] منتشر کرد که شامل انواع این نوع بدافزار و آخرین نمونههای آن میشود که ۱۴۰ شبکه سازمانی را در سراسر جهان تحت تأثیر قرار میدهد. بانکها، شرکتهای مخابراتی و سازمانهای دولتی هدف اصلی هستند.
در این گزارش توضیح داده شدهاست که چگونه یک نوع بدافزار بدون فایل از اسکریپتهای پاورشل (واقع در سیستم رجیستری مایکروسافت ویندوز) برای حمله به ماشین هدف با استفاده از چارچوب حمله متداول به نام متاسپلویت با پشتیبانی از ابزارهای حمله مانند Mimikatz,[۱۲] و اهرم استفاده میکند. ابزارهای استاندارد ویندوز مانند 'SC' و 'NETSH' برای کمک به حرکت جانبی.
این بدافزار تنها پس از شناسایی کد متاسپلویت مترپرتر توسط یک بانک شناسایی شد که در حافظه فیزیکی روی کنترلکننده دامنه مرکزی (DC) اجرا میشود.[۱۳]
آزمایشگاههای کسپرسکی تنها شرکتی نیست که چنین روندهای نوظهوری را شناسایی کردهاست، اکثر شرکتهای اصلی ضد بدافزار امنیت فناوری اطلاعات با یافتههای مشابهی ارائه شدهاند: Symantec,[۱۴] Trend Micro ,[۱۵] McAfee Labs, Cybereason,[۱۶] و غیره.
دیجیتال فارنزیک[ویرایش]
ظهور بدافزارهایی که به صورت بدون فایل عمل میکنند، مشکل بزرگی را برای کارشناسان دیجیتال فارنزیک ایجاد میکند، که اتکای آنها به توانایی دستیابی به مصنوعات دیجیتال از صحنه جرم برای تضمین زنجیره بازداشت و تولید شواهد قابل قبول در دادگاه حیاتی است.
بسیاری از مدلهای شناختهشده فرایند دیجیتال فارنزیک مانند: کیسی ۲۰۰۴، DFRWS 2001، NIJ 2004، کوهن ۲۰۰۹،[۱۷] همگی یک مرحله بررسی و/یا تجزیه و تحلیل را در مدلهای مربوط خود تعبیه میکنند، به این معنی که شواهدی را میتوان به دست آورد/جمعآوری کرد/ با مکانیسمی حفظ شدهاست.
این مشکل زمانی آشکار میشود که رویههای عملیاتی استاندارد کارشناسان دیجیتال فارنزیک و نحوه برخورد آنها با رایانه در صحنه جرم مشخص میشود. روشهای سنتی محقق را به موارد زیر هدایت میکند:[۱۸]
- در هیچ شرایطی کامپیوتر را روشن نکنید
- مطمئن شوید که رایانه خاموش است - برخی از محافظهای صفحه ممکن است به این شکل ظاهر شوند که رایانه خاموش است، اما چراغهای فعالیت هارد دیسک و مانیتور ممکن است نشان دهند که دستگاه روشن است.
- باتری منبع تغذیه اصلی را از رایانههای لپ تاپ خارج کنید.
- برق و سایر دستگاهها را از پریزهای خود رایانه جدا کنید
بدافزارهای بدون فایل مدلهای پزشکی قانونی را زیر و رو میکنند، زیرا جمعآوری شواهد فقط میتواند در برابر تصویر حافظهای که از یک سیستم در حال اجرا زنده که قرار است بررسی شود، بهدست آمدهاست. با این حال، این روش میتواند به خودی خود تصویر حافظه میزبان به دستآمده را به خطر بیندازد و قابل قبول بودن قانونی را زیر سؤال ببرد، یا حداقل، شک منطقی کافی را القا کند که وزن شواهد ارائه شده ممکن است به شدت کاهش یابد، و احتمال اینکه اسب تروا یا هویت اشتباه ممکن است از دفاعیات موثرتر استفاده شود.
این امر این نوع بدافزار را برای دشمنانی که میخواهند جای پای خود را در شبکه ایمن کنند، ردیابی حرکت جانبی را دشوار میسازد و این کار را به شیوهای سریع و بیصدا انجام میدهند، بسیار جذاب میکند، زمانی که روشهای استاندارد تحقیقاتی دیجیتال فارنزیک برای تهدید آماده نیستند.[۱۹][۲۰][۲۱]
منابع[ویرایش]
- ↑ "Advanced volatile threat: New name for old malware technique?". CSO. CSO. Retrieved 20 February 2017.
- ↑ "Computer Viruses - Theory and Experiments". University of Michigan. Retrieved 20 February 2017.
- ↑ Sharma, S (2013). "Terminate and Stay Resident Viruses" (PDF). International Journal of Research in Information Technology. 1 (11): 201–210.[پیوند مرده]
- ↑ "A Disembodied Threat". Kaspersky Lab Business. Kaspersky Lab. Retrieved 20 February 2017.
- ↑ "The Art of Computer Virus Research and Defense: Memory-Resident Viruses". Archived from the original on 21 February 2017. Retrieved 20 February 2017.
- ↑ "The Number of the Beast". FireEye. Archived from the original on 22 February 2017. Retrieved 6 March 2022.
- ↑ "The Art of Computer Virus Research and Defense: Temporary Memory-Resident Viruses". Archived from the original on 21 February 2017. Retrieved 20 February 2017.
- ↑ "What is Monxla - Monxla Information and Removal". antivirus.downloadatoz.com. Archived from the original on 18 November 2011. Retrieved 6 March 2022.
- ↑ "Trojan.Poweliks". www.symantec.com (به انگلیسی).
- ↑ "Phasebot, the fileless malware sold in the underground". Security Affairs. 23 April 2015.
- ↑ "Fileless attacks against enterprise networks". Secure List. Secure List. Retrieved 20 February 2017.
- ↑ "mimikatz". GitHub wiki (به انگلیسی).
- ↑ "Fileless attacks against enterprise networks". Secure List. Secure List. Retrieved 20 February 2017.
- ↑ "Trojan.Poweliks". www.symantec.com (به انگلیسی). Symantec.
- ↑ "TROJ_PHASE.A - Threat Encyclopedia". www.trendmicro.com (به انگلیسی).
- ↑ www
.cybereason .com /fileless-malware-an-evolving-threat-on-the-horizon [پیوند مرده] - ↑
{{cite book}}
: Empty citation (help) - ↑ "ACPO: Good Practice Guide for Computer-Based Electronic Evidence" (PDF). The Crown Prosecution Service. Association of Chief Police Officers. Archived from the original (PDF) on 2 February 2017. Retrieved 20 February 2017.
- ↑ "POWELIKS Levels Up With New Autostart Mechanism". Trend Micro. Trend Micro. Retrieved 20 February 2017.
- ↑ "Anti-Forensic Malware Widens Cyber-Skills Gap". InfoSecurity Magazine. InfoSecurity Magazine. Retrieved 20 February 2017.
- ↑ "Without a Trace: Fileless Malware Spotted in the Wild". Trend Micro. Trend Micro. Retrieved 20 February 2017.