از میان تمام عواملی که تمامیت یک کسب و کار را تهدید می کنند، بد افزارهای بدون فایل در صدر لیست خطرناک ترین چالش ها به حساب می آیند، چرا که معمولا از چشم حتی ابزارهای آنتی ویروس نیز دور می مانند.
شناسایی از آن جهت دشوار است که یک بد افزار بدون فایل، همانطور که از نامش پیداست، برای آلوده کردن یک شبکه یا دستگاه متکی بر هیچ فایلی نیست. در عوض برنامه های به ظاهر معتبر، نقطه شروع کار بد افزار به حساب می آیند. برای مثال داستان رخنه امنیتی Equifax یکی از مثال های کلاسیک اینست که یک بد افزار چطور می تواند خود را چیزی دیگر جا زده و در نهایت دستگاه هدف را به گروگان بگیرد.
یک آسیب پذیری تزریق فرمان در پرتال شکایت مشتریان بود که رخنه امنیتی Equifax را رقم زد. با به دست آوردن اطلاعات ورود به سه سرور، امکان ورود به ۴۸ سرور دیگر مهیا می شد که اطلاعات مشتریان را بدون هیچ رمزنگاری در خود ذخیره کرده بودند. همین کمبود رمزنگاری، ابعاد ماجرا را وخیم تر کرد. آسیب پذیری مورد اشاره اما وقوع اتفاقی شیطانی تر از این را هم امکان پذیر کرد: اجرای کد به صورت از راه دور. بعدا مشخص شد که هکرها برای ۷۶ روز به پرتال دسترسی داشته اند.
در سال ۲۰۱۸ میلادی، ۹۰ درصد از موسسات مالی گزارش کردند که هدف حمله بد افزارهای بدون فایل بوده اند. بنابراین سوالی مهم پیش می آید: چه چیزی باعث می شود بد افزارهای بدون فایل اینقدر مخفیانه کار کنند؟ و آیا راه فراری از آن ها هست؟
آناتومی بد افزار بدون فایل
بد افزار بدون فایل یک نرم افزار بد خواهانه است که با استفاده از اپلیکیشن ها، نرم افزارها یا پروتکل هایی که پیشتر در یک سیستم وجود داشته باشند، به یافتن آسیب پذیری و سوء استفاده از آن می پردازد. این نوع از بد افزارها درون رم ساکن می شوند و می توانند خود را جای پروسه های مورد اعتماد درون یک سیستم عامل جا بزنند، پدیده ای که گاهی از آن تحت عنوان «زندگی بیرون از خشکی» گفته می شود.
ایده پشت چنین حمله ای مشخصا هوشمندانه است: هیچ سیستم امنیتی ای ، فارغ از اینکه چقدر پیشرفته باشد، یک فایل با نرم افزار معتبر درون دیسک را اسکن نمی کند. البته باید این را نیز در نظر داشت که علی رغم نام گذاری اش، یک بد افزار بدون فایل ممکن است به استفاده از میان برها، فایل های اسکریپت یا پروسه های معتبر مانند Adobe.exe نیز پرداخته و کدهای بد خواهانه را نصب کند و هیچ راه حل سریعی برای مقابله وجود ندارد. رد پای به جا مانده از بد افزار بدون فایل آنقدر ناچیز است که ۹ بار از هر ۱۰ بار، از چشم ها دور می ماند. همین مخفی کاری هوشمندانه است که بد افزار بدون فایل را در برابر راهکارهای امنیتی متداول مصون نگه می دارد و گرچه بد افزارها معمولا تمام سیستم های عامل در جهان را هدف قرار می دهند، اکثر بد افزارهای بدون فایل روی کامپیوترهای مبتنی بر ویندوز یافت می شوند.
این ها روش هایی است که هکرها برای تزریق بد افزار بدون فایل خود به سیستم های هدف به کار می گیرند:
- ایمیل های فیشینگ که شامل لینک های به ظاهر امن می شوند
- وب سایت هایی که کاربر را دی دایرکت می کنند
- برنامه های مورد اعتماد که به صورت گسترده استفاده می شوند
این سناریوها نشان می دهند که اکثر حملات بدون فایل، با قصور خود کاربر عملی می شوند. کاربر یک ایمیل نامعتبر را باز یا روی یک لینک کلیک می کند و به یک وب سایت آلوده و بد خواهانه هدایت می شود.
یک مثال خوب، بستر PowerShell مایکروسافت است. به عنوان یکی از اجزای مهم زیست بوم های مدرن فناوری های اطلاعات، PowerShell وظایف تکراری را اتوماسیون می کند و دیگر نیازی به رسیدگی دستی به آن ها نیست. بد افزار بدون فایل می تواند اسکریپت های اصلی PowerShell را دستکاری کرده و ناشناس باقی بماند، چرا که فایر وال و برنامه های آنتی ویروس، روتین های PowerShell را بلاک نمی کنند. این ابزار برای بسیاری از سازمان ها حیاتی است و بنابراین نمی توان آن را متوقف کرد. ماکروهای موجود در ابزارهای مایکروسافت آفیس و ویدیو پلیر ادوبی فلش هم همواره جزو اصلی ترین حاملان بد افزارهای بدون فایل بوده اند.
بعد از رخنه چه به سر اطلاعات ربوده شده می آید؟
اطلاعات لو رفته معمولا برای کسب سود در دارک وب فروخته می شوند. رخنه گران خاص ضمنا می توانند کنترل مرورگر وب شما را به دست گرفته و شروع به نمایش تبلیغ، سرقت پسوردها و کارهایی از این دست بپردازند.
بدون وجود هیچ فایلی که به مقابله با آن بپردازید، سیستم های امنیتی هیچ دفاعی از خود ندارند و همه چیز شکلی دشوار به خود می گیرد. ابعاد حملات ضمنا می تواند گسترش یافته و لوکیشن ها یا شبکه های اشتراکی دیگر را نیز از طریق اینترنت در بر بگیرد.
در مجموع همین طور که بد افزارها بیش از پیش به تکامل می رسند، ساخت ابزارهای لازم برای مقابله با آن ها دشوار و دشوارتر می شود.
چطور از خود در برابر بد افزار بدون فایل محافظت کنیم؟
بسیاری از متدهای تدافعی در برابر بد افزارها، تمرکز را از روی ابزارهای امنیتی برداشته و آن را معطوف بر آسیب پذیری های انسانی می کنند. آنالیز رفتار سیستم و نرم افزارهای تشخیص ویروس کارآمد هستند، اما تنها در سطح. تا جایی که ما می دانیم، حتی یک تعویق کوتاه در عرضه یک پچ امنیتی می تواند وقایعی فاجعه بار را به همراه آورد.
اما خبر خوب اینست که کاربران با چند کار ساده، قادر به مقابله با حملات بد افزاری هستند. با این روش ها می توانید از کامپیوترتان در برابر بد افزارهای بدون فایل محافظت کنید:
- استفاده از احراز هویت دو مرحله ای
- خاموش کردن PowerShell و WMI زمانی که کاربردی ندارند
- بازدید تنها از سایت های امن (به دنبال آیکن قفل سبز رنگ در مرورگرتان باشید)
- تغییر مجوزهای دانلود در کامپیوتر و غیر فعال کردن قابلیت دانلود پی دی اف و فلش در مرورگر
- توجه نشان دادن به ایمیل های فیشینگی که پیشنهادهای وسوسه برانگیز دارند
- دریافت آخرین آپدیت های امنیتی
منبع: دیجیاتو.