علیرضا تقی خانی
علیرضا تقی خانی
خواندن ۲ دقیقه·۱ سال پیش

چرا مموری بهشت بدافزارها شده است..!؟

در این نوشته به صورت اجمالی به اهمیت دیتاهای درون حافظه مموری، رویکرد جدید بدافزارها و اجرای کدهای مخرب به صورت File-Less، حملات Code Injection، Process Hollowing و بسیاری از موارد پیچیده تر پرداخته می شود.

مروری بر حافظه مموری(RAM)

حافظه ‌RAM یا Random Access Memory گونه‌ای از حافظه برای ذخیره‌سازی داده‌هاست که اجازه می‌دهد فایل‌ها در مدت زمانی کوتاه نوشته و خوانده شوند؛ بدون اینکه در این خواندن و نوشتن تقدم و تأخر زمانی اهمیتی داشته باشد.‌ حافظه رم سرعت بالاتری در خواندن و نوشتن از سایر حافظه‌ها‌، از جمله دیسک سخت دارد.

RAM
RAM

بدافزارهای File-Less

بدافزارهای File-Less، نوعی از بدافزارهای مخرب بوده که از ابزارهای Native و پیش فرض درون یک سیستم برای اجرای حملات سایبری استفاده می کند. بر خلاف بدافزارهای سنتی، بدافزارهای File-Less نیازی به نصب کد روی سیستم قربانی نداشته و به همین دلیل شناسایی آنها سخت تر می باشد.

یکی از تکنیک های مورد استفاده آنها استفاده از دستورات Built-in سیستم عامل ها بوده که برخی از آنها را میتوان در دو سایت زیر بررسی کرد.

وب سایت LOLBAS(دستورات ویندوزی)

https://lolbas-project.github.io/


وب سایت GTFOBins(دستورات لینوکسی)

https://gtfobins.github.io/


بدافزارهای پیچیده

بدافزارهای File-Less رویکرد جدیدی از بدافزارها را ارائه داده است اما در این میان بسیاری از بدافزارهای دیگر وجود دارند که با روش های مختلف و پیچیده بسیاری از مکانیزم های امنیتی را دور میزنند؛ در این بخش به برخی از جدیدترین و پیچیده ترین روش ها پرداخته می شود.


بدافزار های Rootkit

روت کیت خطرناک‌ترین گونه بدافزاری است. روت کیت‌ها همانند سایر گونه‌های بدافزاری، برنامه‌های کامپیوتری هستند که قدرت بالایی در اختفا دارند و قادر هستند در فایل‌ها، تنظیمات رجیستری یا پردازه‌ها پنهان شوند و به سرقت اطلاعات کاربران بپردازند. به‌طور کلی، روت کیت‌ها با هدف دسترسی از راه دور، کنترل سامانه‌های کامپیوتری یا شبکه‌های کامپیوتری و استخراج اطلاعات استفاده می‌شوند. بارزترین نشانه وجود روت کیت در یک سامانه کند شدن سرعت سامانه است که نشان می‌دهد عامل مخربی در پس‌زمینه مشغول فعالیت است.


حملات Code Injection

هکرها ممکن است برای فرار از مکانیزم های دفاعی مانند آنتی ویروس و EDR و همچنین جهت ارتقا سطح دسترسی ، کدهای مخرب خود را به پروسس ها و برنامه های در حال اجرا تزریق کنند. اجرای کدهای مخرب در حافظه برنامه ها باعث می شود دستورات دلخواه برروی سیستم های قربانی اجرا شده و روند شناسایی آنها را سخت تر و دشوارتر کند.

از نمونه روش های Code Injection میتوان به موارد زیر اشاره کرد:

Process Hollowing

Process Doppelgänging

Dynamic-link Library Injection

Portable Executable Injection

Thread Execution Hijacking

Asynchronous Procedure Call

راهکاری با نام مموری فارنزیک

یکی از روش های شناسایی بدافزارهای پیشرفته و فعالیت آنها، فارنزیک مموری می باشد. در فارنزیک مموری با جمع آوری شواهد و مدارک از RAM می توان به اطلاعاتی دسترسی پیدا کرد که در بقیه قسمت های سیستم وجود ندارند.

این اطلاعات شامل شناسایی رفتار بدافزارها، پروسس های مخفی، تزریق کدهای مخرب، اطلاعات نام کاربری استفاده شده و گذرواژه، کلیدهای خصوصی، رفتار کاربر در مرورگر و غیره می باشد.

فارنزیکمموری
شاید از این پست‌ها خوشتان بیاید