بررسی و تحلیل بدافزارهای Fileless

روش‌های نفوذ و ماندگار ماندن بدافزار بر روی دستگاه قربانی دائماً در حال تغییر است. ضمن اینکه در سال‌های اخیر نویسندگان بدافزار تکنیک‌های جدیدی را به‌منظور فرار از شناسایی شدن و حضور بی‌سـروصدا بر روی سیستم‌ها ابداع کرده و مورد استفاده قرار داده‌اند.

یکی از این تکنیک‌ها، استفاده از روشی موسوم به Fileless (بدون فایل) است. هدف، ماندگار کردن کد مخرب بدافزار بدون ذخیره آن به‌صورت فایل بر روی دیسک سخت است. با توجه به اینکه نرم‌افزارهای ضدویروس سنتی صرفاً اقدام به بررسی فایل‌ها در زمان نوشته شدن بر روی دیسک سخت و خوانده شدن از روی آن می‌کنند این روش می‌تواند براحتی این سد دفاعی را در هم بشکند.

ضمن اینکه با توجه به عدم وجود فایل مخرب بر روی دستگاه، تشخیص آلوده بودن آن حتی توسط مهندس تحلیلگر بدافزار نیز بسیار دشوار می‌شود.

نوع پیشرفته این بدافزارها پس از شناسایی نسخه دوم بدافزار Duqu که هدف آن جاسوسی از مذاکرات 1+5 بود توجه کارشناسان امنیتی را به خود جلب کرد. از آن زمان تا کنون چندین نمونه پیشرفته از بدافزارهای Fileless منتشر شده است.

شرکت مهندسی شبکه گستر در گزارشی به بررسی و تحلیل نمونه‌های پیشرفته بدافزارهای Fileless پرداخته است. این گزارش در اینجا قابل دریافت است.