در این نوشته به صورت اجمالی به اهمیت دیتاهای درون حافظه مموری، رویکرد جدید بدافزارها و اجرای کدهای مخرب به صورت File-Less، حملات Code Injection، Process Hollowing و بسیاری از موارد پیچیده تر پرداخته می شود.
حافظه RAM یا Random Access Memory گونهای از حافظه برای ذخیرهسازی دادههاست که اجازه میدهد فایلها در مدت زمانی کوتاه نوشته و خوانده شوند؛ بدون اینکه در این خواندن و نوشتن تقدم و تأخر زمانی اهمیتی داشته باشد. حافظه رم سرعت بالاتری در خواندن و نوشتن از سایر حافظهها، از جمله دیسک سخت دارد.
بدافزارهای File-Less، نوعی از بدافزارهای مخرب بوده که از ابزارهای Native و پیش فرض درون یک سیستم برای اجرای حملات سایبری استفاده می کند. بر خلاف بدافزارهای سنتی، بدافزارهای File-Less نیازی به نصب کد روی سیستم قربانی نداشته و به همین دلیل شناسایی آنها سخت تر می باشد.
یکی از تکنیک های مورد استفاده آنها استفاده از دستورات Built-in سیستم عامل ها بوده که برخی از آنها را میتوان در دو سایت زیر بررسی کرد.
بدافزارهای File-Less رویکرد جدیدی از بدافزارها را ارائه داده است اما در این میان بسیاری از بدافزارهای دیگر وجود دارند که با روش های مختلف و پیچیده بسیاری از مکانیزم های امنیتی را دور میزنند؛ در این بخش به برخی از جدیدترین و پیچیده ترین روش ها پرداخته می شود.
روت کیت خطرناکترین گونه بدافزاری است. روت کیتها همانند سایر گونههای بدافزاری، برنامههای کامپیوتری هستند که قدرت بالایی در اختفا دارند و قادر هستند در فایلها، تنظیمات رجیستری یا پردازهها پنهان شوند و به سرقت اطلاعات کاربران بپردازند. بهطور کلی، روت کیتها با هدف دسترسی از راه دور، کنترل سامانههای کامپیوتری یا شبکههای کامپیوتری و استخراج اطلاعات استفاده میشوند. بارزترین نشانه وجود روت کیت در یک سامانه کند شدن سرعت سامانه است که نشان میدهد عامل مخربی در پسزمینه مشغول فعالیت است.
هکرها ممکن است برای فرار از مکانیزم های دفاعی مانند آنتی ویروس و EDR و همچنین جهت ارتقا سطح دسترسی ، کدهای مخرب خود را به پروسس ها و برنامه های در حال اجرا تزریق کنند. اجرای کدهای مخرب در حافظه برنامه ها باعث می شود دستورات دلخواه برروی سیستم های قربانی اجرا شده و روند شناسایی آنها را سخت تر و دشوارتر کند.
از نمونه روش های Code Injection میتوان به موارد زیر اشاره کرد:
Dynamic-link Library Injection
یکی از روش های شناسایی بدافزارهای پیشرفته و فعالیت آنها، فارنزیک مموری می باشد. در فارنزیک مموری با جمع آوری شواهد و مدارک از RAM می توان به اطلاعاتی دسترسی پیدا کرد که در بقیه قسمت های سیستم وجود ندارند.
این اطلاعات شامل شناسایی رفتار بدافزارها، پروسس های مخفی، تزریق کدهای مخرب، اطلاعات نام کاربری استفاده شده و گذرواژه، کلیدهای خصوصی، رفتار کاربر در مرورگر و غیره می باشد.
