در بسیاری از حملات مدرن سایبری، بهویژه حملات Fileless و تکنیکهایی مانند Process Injection (MITRE ATT&CK – T1055)، هیچ فایل مخربی روی دیسک ذخیره نمیشود. در این شرایط، روشهای سنتی مبتنی بر آنتیویروس یا بررسی فایلها کارایی کافی ندارند. اما حتی این نوع حملات نیز یک محدودیت جدی دارند: برای اجرا، ناچارند از حافظه (RAM) استفاده کنند.
زمانی که کد مخرب در حافظه اجرا میشود، مقادیری به شکل رشته (String) در RAM ظاهر میشوند. این رشتهها میتوانند شامل آدرسهای IP یا URLهای فرماندهی و کنترل (C2)، دستورات PowerShell یا CMD، دادههای کدگذاریشده مانند Base64، و یا نام توابع حساس سیستمعامل مانند VirtualAlloc و WriteProcessMemory باشند.
ابزارهای امنیتی پیشرفته مثل EDR و XDR با اسکن حافظهی پردازشها، بهدنبال رشتههایی میگردند که با رفتار طبیعی آن پردازش همخوانی ندارند. برای مثال، وجود دستورات PowerShell در حافظهی یک پردازش مرورگر میتواند نشانهای قوی از تزریق کد باشد.
نکتهی کلیدی این است که یک رشته بهتنهایی حمله را ثابت نمیکند؛ بلکه ترکیب رشتههای مشکوک با رفتار غیرعادی پردازش، تخصیص حافظه و زمان اجرا، تصویر کامل حمله را آشکار میسازد. این رویکرد، دید امنیتی را از «فایل» به «رفتار واقعی در حافظه» منتقل میکند.
#آکادمی_روزبه
