• تماس فوری: 88885116 - 021

بدافزار بدون فایل (Fileless Malware) چیست؟ روش کار، انواع حملات، شناسایی و پیشگیری

در این مقاله میخوانید
بدافزار بدون فایل

بدافزار بدون فایل (Fileless Malware) یکی از پیشرفته‌ترین تهدیدهای امنیت سایبری است که بدون ایجاد هیچ فایل مخربی روی هارد دیسک، مستقیماً در حافظه سیستم اجرا می‌شود. همین ویژگی باعث شده شناسایی آن برای آنتی‌ویروس‌های سنتی بسیار دشوار باشد. در این مقاله به‌طور کامل بررسی می‌کنیم Fileless Malware چیست، چگونه کار می‌کند، چه انواعی دارد و چطور می‌توان آن را شناسایی و متوقف کرد.

بدافزار بدون فایل چیست؟

بدافزار بدون فایل (Fileless Malware) نوعی بدافزار است که بدون ذخیره فایل روی هارد دیسک، در حافظه RAM اجرا می‌شود و با سوءاستفاده از برنامه‌های قانونی مانند PowerShell، از شناسایی آنتی‌ویروس‌های سنتی عبور می‌کند.

بدافزار بدون فایل به انگلیسی Fileless Malware در واقع نوعی کد مخرب است که به‌جای ذخیره شدن روی هارد دیسک، مستقیماً در حافظه (RAM) کامپیوتر اجرا می‌شود. این نوع بدافزار به‌جای استفاده از فایل‌های مخرب، از برنامه‌های قانونی و در ظاهر بی‌خطر برای آلوده‌سازی سیستم شما سوءاستفاده می‌کند. به آن «بدون فایل» گفته می‌شود، زیرا هنگام آلوده شدن سیستم، هیچ فایلی روی هارد دیسک دانلود یا ذخیره نمی‌شود.

همین ویژگی باعث می‌شود تحلیل بدافزارهای بدون فایل نسبت به شناسایی و از بین بردن ویروس‌ها و سایر انواع بدافزارهایی که مستقیماً روی هارد دیسک نصب می‌شوند، دشوارتر باشد. از آنجا که حملات بدافزار بدون فایل نیازی به فایل‌های مخرب ندارند، ابزارهای آنتی‌ویروس سنتی که با اسکن سخت‌افزار به‌دنبال تهدیدها می‌گردند، ممکن است این نوع حملات را به‌طور کامل نادیده بگیرند.

البته این به آن معنا نیست که شناسایی بدافزار بدون فایل غیرممکن است. بدافزارهای بدون فایل شامل کدی هستند که می‌توانند بسیاری از کارهایی را انجام دهند که ویروس‌های معمولی انجام می‌دهند؛ از جمله استخراج و ارسال غیرمجاز داده‌ها. چنین فعالیت‌های مخربی می‌توانند باعث فعال شدن اسکن‌های امنیتی شوند. در این مرحله، تیم‌های امنیتی می‌توانند اقدامات مقابله با بدافزار بدون فایل را آغاز کنند؛ اقداماتی که اغلب شامل بررسی خطوط فرمان برنامه‌های مورد اعتماد، مانند Microsoft Windows PowerShell (که برای خودکارسازی وظایف استفاده می‌شود)، است. به‌نوعی، اگرچه بدافزار بدون فایل می‌تواند اجرا شود، اما نمی‌تواند کاملاً پنهان بماند.

بدافزار بدون فایل (Fileless Malware) چگونه کار می‌کند؟

بدافزار بدون فایل با ورود مستقیم به حافظه (RAM) کامپیوتر شما عمل می‌کند. این یعنی کد مخرب هرگز وارد هارد دیسک نمی‌شود. شیوه‌ی ورود آن به سیستم، شباهت زیادی به روش‌های رایج نفوذ سایر بدافزارها دارد.

برای مثال، کاربر فریب می‌خورد و روی یک لینک یا پیوست کلیک می‌کند که هکر آن را در یک ایمیل فیشینگ قرار داده است. مهاجم ممکن است با استفاده از مهندسی اجتماعی، احساسات قربانی را دست‌کاری کند تا او را به کلیک روی لینک یا فایل پیوست ترغیب کند. پس از آن، بدافزار وارد سیستم می‌شود و شروع به گسترش از یک دستگاه به دستگاه دیگر می‌کند.

مهاجمان از بدافزار بدون فایل برای دسترسی به داده‌هایی استفاده می‌کنند که می‌توانند آن‌ها را سرقت کرده یا برای مختل کردن عملیات یک سازمان به‌کار ببرند. این نوع بدافزار با سوءاستفاده از برنامه‌هایی که مدیران سیستم معمولاً به آن‌ها اعتماد دارند—مانند اسکریپت‌های ویندوز یا PowerShell—خود را پنهان می‌کند. اغلب این برنامه‌ها در فهرست سفید (Whitelist) سازمان‌ها قرار دارند. بدافزار بدون فایل یک برنامه‌ی مستقل و مشکوک نیست که به‌صورت یک فایل جداگانه روی هارد دیسک وجود داشته باشد؛ بلکه یک برنامه‌ی مورد اعتماد را آلوده و خراب می‌کند و همین موضوع شناسایی آن را دشوارتر می‌سازد.

قوی‌ترین «ویژگی» بدافزار بدون فایل—حداقل از دید مهاجمان—این است که برای ورود به کامپیوتر شما نیازی به دور زدن آنتی‌ویروس‌ها ندارد. دلیلش این است که بدافزار بدون فایل خطوط فرمان (Command Lines) را تغییر می‌دهد؛ یعنی همان خطوط کدی که به برنامه‌ها می‌گویند چه کاری انجام دهند. یک آنتی‌ویروس معمولی ممکن است نتواند این تهدید را تشخیص دهد، زیرا هیچ فایل غیرعادی یا مشکوکی وجود ندارد که به آن نسبت داده شود.

انواع حملات بدافزار بدون فایل (Fileless Malware)

بدافزارهای بدون فایل انواع مختلفی دارند، اما اغلب در یکی از دو دسته‌ی اصلی زیر قرار می‌گیرند: تزریق کد در حافظه و دست‌کاری رجیستری ویندوز.

تزریق کد در حافظه (Memory Code Injection)

در روش تزریق کد در حافظه، کد مخربی که بدافزار بدون فایل را فعال می‌کند، داخل حافظه‌ی برنامه‌هایی به‌ظاهر سالم و قانونی پنهان می‌شود. معمولاً برنامه‌هایی که برای این نوع حمله استفاده می‌شوند، جزو برنامه‌های حیاتی و مهم سیستم هستند. بدافزار در دل این فرایندهای مجاز، کد خود را اجرا می‌کند.

در بسیاری از موارد، این نوع حملات از آسیب‌پذیری‌های موجود در برنامه‌هایی مانند Flash و Java یا مرورگرهای اینترنتی سوءاستفاده می‌کنند. همچنین بسیار رایج است که هکر از یک کمپین فیشینگ برای نفوذ به سیستم قربانی استفاده کند. پس از دسترسی، بدافزار کد خود را مستقیماً در حافظه‌ی کامپیوتر هدف اجرا می‌کند، نه از طریق یک برنامه‌ی مخرب که توسط مهاجم طراحی شده باشد.

دست‌کاری رجیستری ویندوز (Windows Registry Manipulation)

در روش دست‌کاری رجیستری ویندوز، مهاجم از یک لینک یا فایل مخرب استفاده می‌کند که از یک فرایند مورد اعتماد ویندوز سوءاستفاده می‌کند. برای مثال، پس از اینکه کاربر روی یک لینک کلیک می‌کند، همان فرایند قانونی ویندوز برای نوشتن و اجرای کد بدون فایل در رجیستری استفاده می‌شود.

مشابه بدافزارهای مبتنی بر تزریق کد در حافظه، در این روش نیز به‌جای اجرای یک برنامه‌ی مخرب مستقل، رجیستری ویندوز دست‌کاری می‌شود. همین موضوع باعث می‌شود این نوع بدافزار بدون فایل بتواند از دید ابزارهای شناسایی سنتی، مانند آنتی‌ویروس‌ها، پنهان بماند.

۵ حمله معروف بدافزار بدون فایل

بدافزارهای بدون فایل در سال‌های اخیر محبوبیت زیادی پیدا کرده‌اند؛ دلیل اصلی آن هم توانایی آن‌ها در دور زدن فناوری‌های سنتی آنتی‌ویروس است. این ویژگی باعث می‌شود انتشار آن‌ها برای مهاجمان آسان‌تر شود، زیرا مکانیزم‌های معمول امنیت سایبری ممکن است اصلاً متوجه وقوع حمله نشوند.

پنج نمونه از شناخته‌شده‌ترین حملات بدافزار بدون فایل عبارت‌اند از:

  • Frodo

  • Number of the Beast

  • The Dark Avenger

  • Poweliks

  • Duqu 2.0

چگونه حملات بدافزار بدون فایل (Fileless Malware) را شناسایی کنیم؟

هنگام بررسی روش‌های جلوگیری از حملات بدافزار بدون فایل، اولین نکته‌ای که باید به آن توجه داشت این است که آنتی‌ویروس‌های معمولی اغلب کارایی لازم را ندارند. علاوه بر این، روش‌هایی مانند Sandboxing و Whitelisting نیز معمولاً بی‌اثر هستند؛ زیرا این نوع بدافزارها امضای فایل مشخصی ندارند که این ابزارها بتوانند آن را شناسایی و خنثی کنند.

در ادامه، چند روش برای شناسایی حملات بدافزار بدون فایل معرفی شده است:

استفاده از شاخص‌های حمله (Indicators of Attack) به‌جای شاخص‌های نفوذ (Indicators of Compromise)

بررسی شاخص‌های حمله (IOA) یکی از مؤثرترین روش‌ها برای شناسایی بدافزار بدون فایل است. دلیل آن این است که در این روش، به‌جای تمرکز روی یک فایل مشخص که وارد سیستم شده، فعالیت‌ها و رفتارهای مرتبط با بدافزار بررسی می‌شود.

این رویکرد با تحلیل شاخص‌های نفوذ (IOC) تفاوت دارد؛ زیرا در IOC معمولاً به‌دنبال فایل‌های مشکوک می‌گردند، اما در IOA هدف، شناسایی رفتارهای غیرعادی سیستم است.

برخی نمونه‌های فعالیت مشکوک عبارت‌اند از:

  • اجرای غیرعادی کدها

  • حرکت جانبی (Lateral Movement) در شبکه

حرکت جانبی به حالتی گفته می‌شود که کد مخرب پس از نفوذ به شبکه، از یک بخش یا سیستم به بخش‌های دیگر منتقل می‌شود.

با بررسی این نشانه‌ها، تمرکز شما روی رفتار بدافزار قرار می‌گیرد، نه امضای فایل‌هایی که معمولاً برای شناسایی ویروس‌های سنتی استفاده می‌شوند.

استفاده از سرویس‌های Managed Threat Hunting

سرویس‌های Managed Threat Hunting بخش عمده‌ی کار شناسایی و مقابله با تهدیدها را از دوش شما برمی‌دارند. به‌جای اینکه خودتان به‌صورت دستی سیستم را برای یافتن بدافزار بدون فایل بررسی کنید، می‌توانید از یک شرکت متخصص و باتجربه کمک بگیرید تا این تهدیدها را شناسایی و مهار کند.

همچنین می‌توان از این سرویس‌ها برای پایش مداوم سیستم استفاده کرد. به این ترتیب، به‌محض وقوع هرگونه فعالیت مشکوک، تهدید شناسایی شده و اقدامات لازم برای مقابله با آن انجام می‌شود.

چگونه از حملات بدافزار بدون فایل (Fileless Malware) جلوگیری کنیم؟

جلوگیری از حملات بدافزار بدون فایل مستلزم تمرکز بر آسیب‌پذیری‌هایی است که این نوع بدافزارها معمولاً از آن‌ها سوءاستفاده می‌کنند. برای مثال، از آنجا که بدافزار بدون فایل اغلب از برنامه‌های مورد اعتماد استفاده می‌کند، شرکت‌های فعال در حوزه‌ی امنیت سایبری می‌توانند به‌دنبال برنامه‌هایی باشند که در محیط شما به‌صورت غیرعادی در حال اجرا هستند. چنین رفتارهایی می‌تواند نشانه‌ای از استفاده‌ی آن برنامه‌ها در یک حمله‌ی بدافزار بدون فایل باشد.

علاوه بر این، با استفاده از شاخص‌های حمله (IOA) نه‌تنها می‌توان بدافزار بدون فایل را شناسایی کرد، بلکه می‌توان از گسترش آن یا تکمیل زنجیره‌ی حمله نیز جلوگیری کرد. این رویکرد مبتنی بر رفتار، نقش مهمی در پیشگیری مؤثر از حملات بدافزار بدون فایل ایفا می‌کند.

جمع‌بندی

بدافزار بدون فایل (Fileless Malware) یکی از پیشرفته‌ترین و خطرناک‌ترین تهدیدهای امنیت سایبری امروز است که بدون ایجاد هیچ فایل مخربی روی هارد دیسک، مستقیماً در حافظه سیستم اجرا می‌شود. همین ویژگی باعث شده بسیاری از راهکارهای امنیتی سنتی، مانند آنتی‌ویروس‌های مبتنی بر امضای فایل، توانایی لازم برای شناسایی و مقابله با آن را نداشته باشند.

در این مقاله بررسی کردیم که Fileless Malware چگونه با سوءاستفاده از ابزارهای قانونی و مورد اعتماد مانند PowerShell، اسکریپت‌های ویندوز و رجیستری سیستم فعالیت می‌کند و با روش‌هایی مانند تزریق کد در حافظه و دست‌کاری رجیستری، از دید ابزارهای امنیتی پنهان می‌ماند. همچنین مشخص شد که تمرکز بر تحلیل رفتاری (IOA)، پایش مداوم و استفاده از راهکارهای پیشرفته مانند EDR/XDR نقش کلیدی در شناسایی و مهار این نوع حملات دارد.

در نهایت، برای سازمان‌ها و کسب‌وکارهایی که با داده‌های حساس سروکار دارند، تغییر رویکرد از امنیت سنتی به امنیت مبتنی بر رفتار یک ضرورت است. خرید EDR سازمانی و پیاده‌سازی آن در کنار آموزش کاربران، به‌روزرسانی مستمر سیستم‌ها و سیاست‌های امنیتی دقیق، می‌تواند به‌طور قابل‌توجهی ریسک حملات بدافزار بدون فایل را کاهش داده و سطح امنیت سایبری سازمان را ارتقا دهد.

سؤالات متداول درباره بدافزار بدون فایل

آیا آنتی‌ویروس‌های معمولی می‌توانند Fileless Malware را شناسایی کنند؟

در بسیاری از موارد خیر. چون بدافزار بدون فایل امضای فایلی ندارد، آنتی‌ویروس‌های سنتی که بر پایه اسکن فایل کار می‌کنند ممکن است نتوانند آن را تشخیص دهند. استفاده از EDR و تحلیل رفتاری مؤثرتر است.

بدافزار بدون فایل بیشتر روی کدام سیستم‌عامل‌ها فعال است؟

بیشترین حملات Fileless Malware روی ویندوز گزارش شده‌اند، زیرا ابزارهایی مانند PowerShell و Windows Script Host اهداف مناسبی برای این نوع حملات هستند.

تفاوت بدافزار بدون فایل با بدافزارهای سنتی چیست؟

بدافزارهای سنتی به‌صورت فایل روی هارد ذخیره می‌شوند، اما بدافزار بدون فایل در حافظه اجرا شده و از برنامه‌های قانونی سیستم سوءاستفاده می‌کند، به همین دلیل شناسایی آن سخت‌تر است.

آیا PowerShell ذاتاً خطرناک است؟

خیر. PowerShell یک ابزار قانونی و قدرتمند مدیریتی است، اما در صورت پیکربندی نادرست یا نبود نظارت امنیتی، می‌تواند توسط مهاجمان برای اجرای بدافزار بدون فایل مورد سوءاستفاده قرار گیرد.

بهترین راه جلوگیری از Fileless Malware چیست؟

بهترین راهکار، ترکیب تحلیل رفتاری (IOA)، استفاده از EDR/XDR، محدودسازی دسترسی PowerShell، آموزش کاربران درباره فیشینگ و به‌روزرسانی مداوم سیستم‌هاست.