بدافزار بدون‌فایل

بدافزار بدون‌فایل (به انگلیسی: Fileless malware) گونه‌ای از نرم‌افزارهای مخرب مرتبط با رایانه است که منحصراً به‌عنوان برنامه مبتنی بر حافظه رایانه یعنی در رَم وجود دارد.

این نوع از بدافزار، هیچ بخشی از فعالیت خود را روی هارد دیسک رایانه نمی‌نویسد، به این معنی که در برابر استراتژی‌های قانونی ضد رایانه موجود که شامل لیست سفید مبتنی بر فایل، تشخیص امضا، تأیید سخت‌افزار، تجزیه و تحلیل الگو، مهر زمانی و غیره است، بسیار مقاوم است. و از طریق شواهد بسیار کمی که می‌تواند توسط کارشناسان دیجیتال فارنزیک برای شناسایی فعالیت‌های غیرقانونی استفاده شود، ارائه می‌دهد.

از آنجایی که بدافزار از این نوع برای کار در حافظه طراحی شده‌است، عمر طولانی آن در سیستم تنها تا زمانی که سیستم راه‌اندازی مجدد شود وجود دارد.

تعریف[ویرایش]

بدافزار بدون‌فایل گاهی مترادف با بدافزار درون حافظه در نظر گرفته می‌شود، زیرا هر دو عملکردهای اصلی خود را بدون نوشتن داده‌ها روی دیسک در طول عمر عملیات خود انجام می‌دهند. این امر باعث شده‌است که برخی از مفسران ادعا کنند که این گونه متفاوت چیز جدیدی نیست و صرفاً یک «تعریف مجدد اصطلاح شناخته شده، ویروس ساکن حافظه» است،^[۱] که شجره‌نامه آن را می‌توان به دههٔ ۱۹۸۰ با تولد ویروس Lehigh ردیابی کرد که توسط مبتکر این اصطلاح، فرد کوهن، توسعه یافت و با مقاله خود در مورد این موضوع تأثیرگذار شد.^[۲]

اما این مترادف نادرست است. اگرچه محیط اجرای رفتاری فوق یکسان است، در هر دو مورد، یعنی هر دو نوع بدافزار در حافظه سیستم اجرا می‌شوند، تمایز اساسی روش شروع و تمدید است. بیشتر ناقل آلودگی بدافزار شامل مقداری نوشتن روی هارد دیسک است،^[۳] به منظور اجرای آن، که منشأ آن می‌تواند به شکل پیوست فایل آلوده، دستگاه رسانه خارجی باشد. یواس‌بی، لوازم جانبی، تلفن همراه و غیره، مرورگر درایو بای، کانال جانبی و غیره.

هر یک از روش‌های ذکر شده باید به شکلی با هارد دیسک سیستم میزبان تماس داشته باشد، به این معنی که حتی در هنگام استفاده از مخفی‌ترین روش‌های ضد پزشکی قانونی، نوعی از باقی مانده‌های آلوده روی رسانه میزبان باقی می‌ماند.

از طرف دیگر، بدافزار بدون فایل، از نقطه شروع تا پایان فرایند (معمولاً از طریق راه‌اندازی مجدد سیستم)، هدفش این است که هرگز محتوای آن روی دیسک نوشته نشود. هدف آن اقامت در مناطق سیستم فرار مانند رجیستری سیستم، فرآیندهای درون حافظه و مناطق خدماتی است.^[۴]

تاریخچه[ویرایش]

بدافزار بدون‌فایل یک نوع تکاملی از نرم‌افزار مخرب است که مدل ثابتی از خود-بهبودی/تقویت با حرکت به سمت سناریوهای حمله متمرکز به وضوح تعریف شده به خود گرفته‌است، که ریشه‌های آن را می‌توان به اقامتگاه حافظه پایان داد و ماندگار کرد. برنامه‌های ویروسی^[۵] که پس از راه‌اندازی، در حافظه باقی می‌مانند و در انتظار وقفه سیستم قبل از دسترسی به جریان کنترل خود هستند. نمونه‌هایی از آن در ویروس‌هایی مانند فرودو، The Dark Avenger , Number of the Beast دیده شد.^[۶]

این تکنیک‌ها از طریق ویروس‌های ساکن حافظه موقت^[۷] تکامل یافته و در نمونه‌های معروفی مانند: Anthrax, Monxla^[۸] دیده می‌شوند و ماهیت واقعی «بدون فایل» خود را از طریق ویروس‌ها/کرم‌های شبکه تزریق شده در حافظه مانند کد رد و Slammer.

روش‌های تکاملی مدرن‌تری در ویروس‌هایی مانند استاکس‌نت، دوکو ۲٫۰، پاورلینکس،^[۹] Phasebot^[۱۰] و غیره دیده شده‌است.

پیشرفت‌های اخیر[ویرایش]

در ۸ فوریه ۲۰۱۷، تیم تحقیقات و تجزیه و تحلیل جهانی آزمایشگاه کسپرسکی گزارشی با عنوان «حملات بدون فایل علیه شبکه‌های سازمانی»^[۱۱] منتشر کرد که شامل انواع این نوع بدافزار و آخرین نمونه‌های آن می‌شود که ۱۴۰ شبکه سازمانی را در سراسر جهان تحت تأثیر قرار می‌دهد. بانک‌ها، شرکت‌های مخابراتی و سازمان‌های دولتی هدف اصلی هستند.

در این گزارش توضیح داده شده‌است که چگونه یک نوع بدافزار بدون فایل از اسکریپت‌های پاورشل (واقع در سیستم رجیستری مایکروسافت ویندوز) برای حمله به ماشین هدف با استفاده از چارچوب حمله متداول به نام متاسپلویت با پشتیبانی از ابزارهای حمله مانند Mimikatz,^[۱۲] و اهرم استفاده می‌کند. ابزارهای استاندارد ویندوز مانند 'SC' و 'NETSH' برای کمک به حرکت جانبی.

این بدافزار تنها پس از شناسایی کد متاسپلویت مترپرتر توسط یک بانک شناسایی شد که در حافظه فیزیکی روی کنترل‌کننده دامنه مرکزی (DC) اجرا می‌شود.^[۱۳]

آزمایشگاه‌های کسپرسکی تنها شرکتی نیست که چنین روندهای نوظهوری را شناسایی کرده‌است، اکثر شرکت‌های اصلی ضد بدافزار امنیت فناوری اطلاعات با یافته‌های مشابهی ارائه شده‌اند: Symantec,^[۱۴] Trend Micro ,^[۱۵] McAfee Labs, Cybereason,^[۱۶] و غیره.

دیجیتال فارنزیک[ویرایش]

ظهور بدافزارهایی که به صورت بدون فایل عمل می‌کنند، مشکل بزرگی را برای کارشناسان دیجیتال فارنزیک ایجاد می‌کند، که اتکای آنها به توانایی دستیابی به مصنوعات دیجیتال از صحنه جرم برای تضمین زنجیره بازداشت و تولید شواهد قابل قبول در دادگاه حیاتی است.

بسیاری از مدل‌های شناخته‌شده فرایند دیجیتال فارنزیک مانند: کیسی ۲۰۰۴، DFRWS 2001، NIJ 2004، کوهن ۲۰۰۹،^[۱۷] همگی یک مرحله بررسی و/یا تجزیه و تحلیل را در مدل‌های مربوط خود تعبیه می‌کنند، به این معنی که شواهدی را می‌توان به دست آورد/جمع‌آوری کرد/ با مکانیسمی حفظ شده‌است.

این مشکل زمانی آشکار می‌شود که رویه‌های عملیاتی استاندارد کارشناسان دیجیتال فارنزیک و نحوه برخورد آنها با رایانه در صحنه جرم مشخص می‌شود. روش‌های سنتی محقق را به موارد زیر هدایت می‌کند:^[۱۸]

در هیچ شرایطی کامپیوتر را روشن نکنید
مطمئن شوید که رایانه خاموش است - برخی از محافظ‌های صفحه ممکن است به این شکل ظاهر شوند که رایانه خاموش است، اما چراغ‌های فعالیت هارد دیسک و مانیتور ممکن است نشان دهند که دستگاه روشن است.
باتری منبع تغذیه اصلی را از رایانه‌های لپ تاپ خارج کنید.
برق و سایر دستگاه‌ها را از پریزهای خود رایانه جدا کنید

بدافزارهای بدون فایل مدل‌های پزشکی قانونی را زیر و رو می‌کنند، زیرا جمع‌آوری شواهد فقط می‌تواند در برابر تصویر حافظه‌ای که از یک سیستم در حال اجرا زنده که قرار است بررسی شود، به‌دست آمده‌است. با این حال، این روش می‌تواند به خودی خود تصویر حافظه میزبان به دست‌آمده را به خطر بیندازد و قابل قبول بودن قانونی را زیر سؤال ببرد، یا حداقل، شک منطقی کافی را القا کند که وزن شواهد ارائه شده ممکن است به شدت کاهش یابد، و احتمال اینکه اسب تروا یا هویت اشتباه ممکن است از دفاعیات موثرتر استفاده شود.

این امر این نوع بدافزار را برای دشمنانی که می‌خواهند جای پای خود را در شبکه ایمن کنند، ردیابی حرکت جانبی را دشوار می‌سازد و این کار را به شیوه‌ای سریع و بی‌صدا انجام می‌دهند، بسیار جذاب می‌کند، زمانی که روش‌های استاندارد تحقیقاتی دیجیتال فارنزیک برای تهدید آماده نیستند.^[۱۹]^[۲۰]^[۲۱]

منابع[ویرایش]

↑ "Advanced volatile threat: New name for old malware technique?". CSO. CSO. Retrieved 20 February 2017.
↑ "Computer Viruses - Theory and Experiments". University of Michigan. Retrieved 20 February 2017.
↑ Sharma, S (2013). "Terminate and Stay Resident Viruses" (PDF). International Journal of Research in Information Technology. 1 (11): 201–210.^{^{[پیوند مرده]}}
↑ "A Disembodied Threat". Kaspersky Lab Business. Kaspersky Lab. Retrieved 20 February 2017.
↑ "The Art of Computer Virus Research and Defense: Memory-Resident Viruses". Archived from the original on 21 February 2017. Retrieved 20 February 2017.
↑ "The Number of the Beast". FireEye. Archived from the original on 22 February 2017. Retrieved 6 March 2022.
↑ "The Art of Computer Virus Research and Defense: Temporary Memory-Resident Viruses". Archived from the original on 21 February 2017. Retrieved 20 February 2017.
↑ "What is Monxla - Monxla Information and Removal". antivirus.downloadatoz.com. Archived from the original on 18 November 2011. Retrieved 6 March 2022.
↑ "Trojan.Poweliks". www.symantec.com (به انگلیسی).
↑ "Phasebot, the fileless malware sold in the underground". Security Affairs. 23 April 2015.
↑ "Fileless attacks against enterprise networks". Secure List. Secure List. Retrieved 20 February 2017.
↑ "mimikatz". GitHub wiki (به انگلیسی).
↑ "Fileless attacks against enterprise networks". Secure List. Secure List. Retrieved 20 February 2017.
↑ "Trojan.Poweliks". www.symantec.com (به انگلیسی). Symantec.
↑ "TROJ_PHASE.A - Threat Encyclopedia". www.trendmicro.com (به انگلیسی).
↑ www.cybereason.com/fileless-malware-an-evolving-threat-on-the-horizon ^{^{[پیوند مرده]}}
↑ {{cite book}}: Empty citation (help)
↑ "ACPO: Good Practice Guide for Computer-Based Electronic Evidence" (PDF). The Crown Prosecution Service. Association of Chief Police Officers. Archived from the original (PDF) on 2 February 2017. Retrieved 20 February 2017.
↑ "POWELIKS Levels Up With New Autostart Mechanism". Trend Micro. Trend Micro. Retrieved 20 February 2017.
↑ "Anti-Forensic Malware Widens Cyber-Skills Gap". InfoSecurity Magazine. InfoSecurity Magazine. Retrieved 20 February 2017.
↑ "Without a Trace: Fileless Malware Spotted in the Wild". Trend Micro. Trend Micro. Retrieved 20 February 2017.

[1] "Advanced volatile threat: New name for old malware technique?". CSO. CSO. Retrieved 20 February 2017.

[2] "Computer Viruses - Theory and Experiments". University of Michigan. Retrieved 20 February 2017.

[3] Sharma, S (2013). "Terminate and Stay Resident Viruses" (PDF). International Journal of Research in Information Technology. 1 (11): 201–210.^{^{[پیوند مرده]}}

[4] "A Disembodied Threat". Kaspersky Lab Business. Kaspersky Lab. Retrieved 20 February 2017.

[5] "The Art of Computer Virus Research and Defense: Memory-Resident Viruses". Archived from the original on 21 February 2017. Retrieved 20 February 2017.

[6] "The Number of the Beast". FireEye. Archived from the original on 22 February 2017. Retrieved 6 March 2022.

[7] "The Art of Computer Virus Research and Defense: Temporary Memory-Resident Viruses". Archived from the original on 21 February 2017. Retrieved 20 February 2017.

[8] "What is Monxla - Monxla Information and Removal". antivirus.downloadatoz.com. Archived from the original on 18 November 2011. Retrieved 6 March 2022.

[9] "Trojan.Poweliks". www.symantec.com (به انگلیسی).

[10] "Phasebot, the fileless malware sold in the underground". Security Affairs. 23 April 2015.

[11] "Fileless attacks against enterprise networks". Secure List. Secure List. Retrieved 20 February 2017.

[12] "mimikatz". GitHub wiki (به انگلیسی).

[13] "Fileless attacks against enterprise networks". Secure List. Secure List. Retrieved 20 February 2017.

[14] "Trojan.Poweliks". www.symantec.com (به انگلیسی). Symantec.

[15] "TROJ_PHASE.A - Threat Encyclopedia". www.trendmicro.com (به انگلیسی).

[16] www.cybereason.com/fileless-malware-an-evolving-threat-on-the-horizon ^{^{[پیوند مرده]}}

[17] {{cite book}}: Empty citation (help)

[18] "ACPO: Good Practice Guide for Computer-Based Electronic Evidence" (PDF). The Crown Prosecution Service. Association of Chief Police Officers. Archived from the original (PDF) on 2 February 2017. Retrieved 20 February 2017.

[19] "POWELIKS Levels Up With New Autostart Mechanism". Trend Micro. Trend Micro. Retrieved 20 February 2017.

[20] "Anti-Forensic Malware Widens Cyber-Skills Gap". InfoSecurity Magazine. InfoSecurity Magazine. Retrieved 20 February 2017.

[21] "Without a Trace: Fileless Malware Spotted in the Wild". Trend Micro. Trend Micro. Retrieved 20 February 2017.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]

[۱۱]

[۱۲]

[۱۳]

[۱۴]

[۱۵]

[۱۶]

[۱۷]

[۱۸]

[۱۹]

[۲۰]

[۲۱]