پایگاه دانش سیمانتک سیمانتک و چالش بزرگ امنیت سایبری و ظهور و گسترش حملات Fileless

سیمانتک و چالش بزرگ امنیت سایبری و ظهور و گسترش حملات Fileless

سیمانتک و چالش بزرگ امنیت سایبری و ظهور و گسترش حملات Fileless

تهدیدهای نامرئی در دنیای دیجیتال

با گسترش فناوری و پیچیده‌تر شدن شبکه‌های سازمانی، شیوه‌های حملات سایبری نیز تغییر کرده‌اند. یکی از خطرناک‌ترین این روش‌ها، حملات فایل‌لس یا Fileless Attacks هستند؛ حملاتی که بدون ذخیره هیچ فایل مخربی روی دیسک انجام می‌شوند و به همین دلیل بسیاری از فناوری‌های امنیتی سنتی قادر به شناسایی آن‌ها نیستند. شرکت سیمانتک (Symantec) به عنوان یکی از بزرگ‌ترین و معتبرترین شرکت‌های امنیت سایبری جهان، نقش مهمی در شناسایی، تحلیل و مقابله با این تهدیدهای نامرئی ایفا می‌کند. در این مقاله به بررسی مفهوم حملات فایل‌لس، روش کار آن‌ها، نمونه حملات، انواع تکنیک‌ها و نقش سیمانتک در مقابله با این نوع تهدیدها می‌پردازیم.

 

ظهور حملات Fileless و چرایی اهمیت آن‌ها

حملات فایل‌لس در سال‌های اخیر به یکی از اصلی‌ترین نگرانی‌های متخصصان امنیت تبدیل شده‌اند. برخلاف بدافزارهای سنتی که با ذخیره فایل و کدهای مخرب روی سیستم قابل شناسایی بودند، حملات فایل‌لس از حافظه، ابزارهای درون‌سیستمی و اسکریپت‌های داخلی سیستم‌عامل استفاده می‌کنند و همین موضوع شناسایی آن‌ها را دشوار می‌سازد. افزایش تعداد این حملات باعث شده که گزارش‌های امنیتی به‌ویژه گزارش‌های جامع سیمانتک، این تهدید را جزو اولویت‌های اصلی سازمان‌ها معرفی کنند. رشد سالانه این حملات نشان می‌دهد که مهاجمان به دنبال روش‌هایی هستند که حداقل ردپا را باقی بگذارند و مدت‌زمان بیشتری در سیستم قربانی فعال بمانند.

 

چگونه مهاجمان از روش Fileless استفاده می‌کنند؟

حملات فایل‌لس برخلاف بدافزارهای فایل‌محور، نیاز به نصب برنامه یا انتقال فایل اجرایی ندارند. مهاجمان معمولاً از ابزارهای داخلی سیستم‌عامل مانند PowerShell، WMI، NETSH و SC استفاده می‌کنند. این روش که با عنوان Living off the Land شناخته می‌شود یعنی «استفاده از همان ابزارهایی که در سیستم وجود دارد». مهاجم با اجرای اسکریپت یا کدهای مخرب در حافظه RAM، حمله را آغاز می‌کند و چون هیچ فایل اجرایی روی دیسک ذخیره نمی‌شود، آنتی‌ویروس‌های مبتنی بر امضای دیجیتال نمی‌توانند تهدید را شناسایی کنند. سیمانتک در گزارش‌های خود بارها اعلام کرده که این ابزارها با وجود کاربردهای مشروع، اکنون یکی از مهم‌ترین عناصر مورد استفاده مهاجمان حرفه‌ای هستند.

 

نقش PowerShell در اجرای حملات فایل‌لس

PowerShell در ابتدا برای مدیریت سیستم‌عامل ویندوز طراحی شده بود، اما به مرور زمان هدف مهاجمان هم قرار گرفت. این ابزار می‌تواند دستورات قدرتمندی را در حافظه اجرا کند و مهاجمان از آن برای اجرای اسکریپت‌های مخرب، دانلود کدهای بدون فایل و ایجاد دسترسی‌های غیرمجاز استفاده می‌کنند. سیمانتک بارها هشدار داده که PowerShell یکی از مهم‌ترین ابزارهای حملات فایل‌لس در سال‌های اخیر بوده است. مهاجمان با تغییر نام یا رمزنگاری اسکریپت‌ها، کار شناسایی را دشوارتر می‌سازند. این ابزار در بسیاری از حملات بزرگ مانند حمله به DNC نقش کلیدی داشته است.

 

WMI؛ کانالی مخفی برای اجرای کدهای مخرب

WMI یا Windows Management Instrumentation یکی دیگر از ابزارهای ویندوز است که برای مدیریت سیستم‌ها و اجرای دستورات استفاده می‌شود. مهاجمان از WMI برای پنهان‌سازی اسکریپت‌های مخرب و اجرای دوره‌ای آن‌ها استفاده می‌کنند. این روش باعث می‌شود حمله پس از هر بار ریستارت شدن سیستم دوباره فعال شود و در نتیجه ماندگاری طولانی‌تری داشته باشد. سیمانتک گزارش داده که استفاده از WMI برای پایداری حملات فایل‌لس به شدت افزایش یافته و بسیاری از سازمان‌ها حتی برای مدت طولانی متوجه حضور کدهای مخرب نمی‌شوند.

 

چرا حملات Fileless این‌قدر موفق هستند؟

دلایل متعددی وجود دارد که حملات فایل‌لس را به یکی از محبوب‌ترین روش‌های مهاجمان تبدیل کرده است. اول اینکه این حملات بسیار سخت شناسایی می‌شوند، زیرا هیچ فایل فیزیکی وجود ندارد تا اسکنرها آن را بررسی کنند. دوم اینکه مهاجمان از ابزارهای داخلی استفاده می‌کنند که معمولاً توسط سیستم‌های امنیتی قابل اعتماد در نظر گرفته می‌شوند. سوم اینکه اجرای کدها در حافظه RAM باعث می‌شود با خاموش و روشن شدن سیستم برخی ردپاهای سطحی پاک شوند. با این وجود، مهاجمان از تکنیک‌هایی مثل ذخیره اسکریپت در رجیستری برای پایداری دائمی استفاده می‌کنند. سیمانتک بارها اعلام کرده که این ترکیب از پنهان‌کاری و پایداری، خطر این حملات را چند برابر می‌کند.

 

نقش سیمانتک در شناسایی رشد حملات Fileless

بر اساس داده‌های Symantec، روزانه هزاران نمونه اسکریپت مخرب در رجیستری ویندوز شناسایی می‌شود. این شرکت اعلام کرده که تنها در بازه‌ای کوتاه بیش از ۵۰۰۰ اسکریپت مخرب در روز کشف کرده و همچنین روزانه حدود ۴۰۰۰ حمله مرتبط با بدافزارهای فایل‌لس مانند Trojan.Kotver را مسدود کرده است. این آمار نشان‌دهنده‌ی گستردگی واقعی این نوع حملات است. سیمانتک با استفاده از فناوری‌های رفتارشناسی (Behavioral Analysis) و تحلیل لحظه‌ای فرایندها تلاش می‌کند فرآیندهای مشکوک را قبل از اجرا یا در حین فعالیت شناسایی کند.

 

نمونه واقعی، حمله فایل‌لس به کمیته ملی دموکرات‌ها (DNC)

یکی از معروف‌ترین حملات فایل‌لس مربوط به حمله به کمیته ملی دموکرات‌های آمریکا در سال ۲۰۱۶ است. در این حمله مهاجمان از طریق ایمیل‌های فیشینگ قربانیان را فریب دادند و پس از کلیک کردن روی لینک آلوده، فرآیند حمله آغاز شد. PowerShell و WMI وظیفه اجرای کدهای مخرب را به عهده داشتند و مهاجمان بدون استفاده از بدافزار فیزیکی، موفق به استخراج اطلاعات حساس شدند. سیمانتک و دیگر شرکت‌های امنیتی این حمله را نمونه‌ای برجسته از موفقیت تکنیک‌های فایل‌لس دانستند.

 

حمله فایل‌لس به بانک‌ها و مؤسسات مالی در سال ۲۰۱۷

 در سال ۲۰۱۷ حمله‌ای پیچیده بیش از ۱۴۰ بانک و مؤسسه مالی در ۴۰ کشور را هدف قرار داد. مهاجمان از یک سرور آسیب‌پذیر وارد شدند و سپس با استفاده از PowerShell، اسکریپت‌ها را در رجیستری ذخیره و کدها را در حافظه اجرا کردند. آن‌ها با استفاده از ابزارهای داخلی ویندوز به دستگاه‌های ATM دسترسی پیدا کردند و حتی دستگاه‌ها را وادار کردند به صورت مستقیم پول نقد dispense کنند. سیمانتک این حمله را از پیچیده‌ترین حملات فایل‌لس دانسته که بدون ذخیره هیچ فایل مخربی توانست سیستم‌های حیاتی مالی را تحت کنترل بگیرد.

 

بررسی انواع حملات Fileless طبق دسته‌بندی‌های سیمانتک

 سیمانتک انواع حملات فایل‌لس را در چهار دسته اصلی معرفی می‌کند:

 ۱. تهدیدهای فقط-حافظه (Memory-Only)

 این بدافزارها کاملاً در حافظه اجرا می‌شوند و با ریستارت سیستم حذف می‌شوند. نمونه قدیمی آن کرم Code Red در سال ۲۰۰۱ بود. هرچند ساده به نظر می‌رسد، اما سرعت بالایی دارند.

 ۲. تکنیک‌های پایداری فایل‌لس (Fileless Persistence)

 در این حملات، حتی با ریستارت سیستم، حمله فعال باقی می‌ماند. اسکریپت‌ها در رجیستری یا WMI ذخیره شده و دوباره اجرا می‌شوند.

 ۳. حملات مبتنی بر ابزارهای دوگانه (Dual-Use Tools)

 مهاجمان از ابزارهای مشروع سیستم مانند PowerShell برای اهداف مخرب استفاده می‌کنند.

 ۴. تهدیدهای غیر-PE یا Non-PE

 این حملات شامل اسکریپت‌ها و ابزارهای داخلی مثل WScript هستند و به فایل اجرایی نیاز ندارند.

 

چگونه سیمانتک با حملات فایل‌لس مقابله می‌کند؟

سیمانتک با استفاده از فناوری‌های پیشرفته شناسایی رفتار، تحلیل هوشمندانه داده‌ها و نظارت لحظه‌ای بر فعالیت‌های سیستم، می‌تواند الگوهای مخرب را تشخیص دهد. ابزارهای سیمانتک قادرند فعالیت‌های غیرعادی PowerShell، ایجاد تغییرات مشکوک در رجیستری، ارتباطات غیرمعمول شبکه‌ای و اجرای کدهای ناشناس را شناسایی و مسدود کنند. سیمانتک تأکید دارد که تنها راه مقابله با تهدیدهای فایل‌لس، استفاده از فناوری‌های نسل جدید امنیتی است که رفتار برنامه‌ها را تحلیل می‌کنند نه فقط فایل‌ها را.

 

نقش آموزش و آگاهی کارکنان در کاهش خطر

سیمانتک همواره یکی از عوامل اصلی وقوع حملات فایل‌لس را فیشینگ معرفی می‌کند. بسیاری از حملات پس از کلیک کردن روی یک لینک آلوده آغاز می‌شوند. بنابراین آموزش کارکنان، شناسایی ایمیل‌های مشکوک و تقویت سیاست‌های امنیتی داخلی در کاهش این خطر بسیار مؤثر است. کارکنان باید بدانند که کوچک‌ترین اشتباه، می‌تواند زمینه اجرای یک حمله پیچیده فایل‌لس را فراهم کند.

 

بروزرسانی سیستم‌ها؛ مهم‌ترین سنگر در برابر حملات فایل‌لس

بسیاری از حملات فایل‌لس از آسیب‌پذیری‌های نرم‌افزاری استفاده می‌کنند؛ حفره‌هایی که با یک نسخه جدید نرم‌افزار یا سیستم‌عامل قابل رفع هستند. سیمانتک تأکید می‌کند که به‌روزرسانی مرتب سیستم‌عامل، مرورگرها و نرم‌افزارهای سازمانی، یکی از حیاتی‌ترین اقدامات برای کاهش سطح حمله است. بسیاری از سازمان‌ها به دلیل زیرساخت‌های قدیمی، بیشترین آسیب را از این حملات دریافت می‌کنند.

 

چرا سازمان‌ها باید نظارت مداوم و رفتارشناسی داشته باشند؟

فناوری‌های سنتی آنتی‌ویروس به دلیل تکیه بر امضای بدافزارها قادر به مقابله با حملات فایل‌لس نیستند. برای همین سیمانتک همواره توصیه می‌کند که سازمان‌ها از ابزارهای Behavior-Based Detection استفاده کنند. این ابزارها به‌جای بررسی فایل‌ها، رفتار برنامه‌ها را تحلیل می‌کنند. به‌عنوان مثال تشخیص استفاده غیرعادی از PowerShell یا ارتباطات شبکه‌ای که توسط یک فرآیند داخلی به‌وجود آمده می‌تواند نشانه واضح یک حمله فایل‌لس باشد.

 

آینده حملات Fileless و نقش سیمانتک در این مسیر

با توجه به روند رو به‌رشد حملات فایل‌لس، انتظار می‌رود مهاجمان از این تکنیک‌ها بیشتر استفاده کنند. سیمانتک با سرمایه‌گذاری در فناوری‌های هوش مصنوعی، یادگیری ماشین و تحلیل رفتاری در تلاش است تا نسل جدیدی از سیستم‌های دفاعی را توسعه دهد که بتوانند حتی پیچیده‌ترین حملات را شناسایی کنند. آینده امنیت سایبری بدون ابزارهایی مانند سیمانتک قابل تصور نیست، زیرا تهدیدات روزبه‌روز پیچیده‌تر و مخفیانه‌تر می‌شوند.

 

سیمانتک، پیشگام مقابله با تهدیدهای نامرئی

حملات فایل‌لس یکی از بزرگ‌ترین چالش‌های امنیت سایبری در عصر دیجیتال هستند. این حملات بدون ذخیره فایل روی دیسک، با بهره‌گیری از ابزارهای داخلی سیستم و با اجرای کدها در حافظه، توانسته‌اند بسیاری از ابزارهای امنیتی سنتی را دور بزنند. سیمانتک به‌عنوان یکی از رهبران اصلی صنعت امنیت سایبری، با ارائه راهکارهای پیشرفته مبتنی بر تحلیل رفتار، یادگیری ماشین و مانیتورینگ مداوم، نقش بسیار مهمی در مقابله با این تهدیدها دارد. سازمان‌ها برای حفظ امنیت خود باید به تکنولوژی‌های نوین امنیتی، آموزش کارکنان، به‌روزرسانی سیستم‌ها و استفاده از راهکارهای حرفه‌ای سیمانتک توجه ویژه داشته باشند. آینده امنیت سایبری به توانایی سازمان‌ها در شناسایی تهدیدهای نامرئی بستگی دارد و سیمانتک در این مسیر نقش کلیدی خود را ایفا می‌کند.

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد
    مطالب مرتبط