نسل جدید بد افزار بدون هیچ فایل قابل شناسایی

هرچند روز به روز تکنولوژی‌های شرکت‌های امنیتی در حوزه سایبری برای مقابله با بدافزار‌ها به روز و بهینه می‌شود، در این میان، هکر‌ها و طراحان بدافزار نیز بیکار ننشسته و راه‌های جدید و ابتکاری برای عبور از سد نرم افزار‌های امنیتی می‌اندیشند. آخرین نسل از بدافزارهای طراحی شده به گونه‌ای است که هیچ فایلی برای شناسایی از خود بر جای نمی‌گذارند.

حوزه حملات سایبری روز به روز پیچیده‌تر می‌شود و همین امر شرکت‌های امنیتی را وارد یک بازی همیشگی می‌کند. تا همین چند وقت پیش، بدافزار‌ها از کد‌هایی تشکیل شده بودند که در فایل‌های باینری ذخیره شده و از طریق دستورالعمل‌ها و الگوریتم‌ها به عملیات تخریبی در سیستم کاربر مشغول می‌شدند. این موضوع کار را برای شرکت‌های امنیتی و در راستای شناسایی این بدافزار‌ها ساده می‌ساخت.

اما اکنون شرایط بسیار سخت و دشوار شده است، زیرا نسل جدیدی از بدافزار‌ها را شاهد هستیم که بدون ایجاد هیچ فایل و گذاشتن هیچ ردی از خود و تنها با استفاده از فضای حافظه RAM فعالیت و عملیات تخریبی می‌کنند.

بدافزارهای کلاسیک در برابر بد افزارهای پیشرفته

در روش مدرن شانس هکر‌ها و بدافزار‌ها برای ناشناخته ماندن بسیار افزایش یافته است، زیرا چنانچه هیچ ردی از خود در دیسک سخت کاربر باقی نگذارند، احتمال شناسایی آن‌ها بسیار کاهش می‌یابد. طبعا یافتن بدافزاری که فایل مخصوص خود را بر روی دیسک سخت دارد، بسیار دشوار‌تر از نمونه‌ای است که در حافظه پنهان شده است. تنها یک استثنا در این مورد وجود دارد و آن اینکه بدافزار از نوع Rootkit بوده و در واقع فایل آن بر دیسک وجود دارد؛ اما قابل رویت نیست.

این موضوع زمانی که بدافزارها از طریق کدهای اسکریپت رمزگذاری شده وارد سیستم قربانی می شوند، به مراتب وخیم تر است. اما از آن سوی یک نکته اساسی وجود دارد و آن این است بدافزاری که در حافظه مستقر میشود، زمان اندکی برای فعالیت خود دارد، زیرا با Shut Down شدن سیستم فعالیت وی به پایان خواهد رسید. در نتیجه یک راه اساسی برای رفع مزاحمت این بدافزارها Restart کردن سیستم است که البته راه حل چندان مناسبی نیست.

سوی دیگر قضیه این است که معمولا کاربران قبل از خاموش کردن سیستم، ساعت ها با آن به امورات روزمره خود می پردازند و در نتیجه بد فزار در این زمان فرصت کافی برای سرقت اطلاعات و حتی دانلود سایر بد افزارهای دیگر دارد.

نرم افزارهای امنیتی سنتی قادر به شناسایی بدافزارها در حافظه و دیسک سخت، تنها پس از آلوده شدن سیستم هستند. اگر بخشی از کد بدافزار به حد کافی جدید و پیچیده باشد، شانس زیادی برای آلوده کردن سیستم دارد.

این نکته ای بسیار اساسی است، زیرا اغلب نرم افزارهای امنیتی درگیر یک بازی موش و گربه هستند، در حالی که تکنولوژی جدید باید به سمت شناسایی رفتار کد چه در حافظه و چه در دیسک سخت باشد، و همچنین تا حد ممکن قبل از آلوده شدن سیستم به شکل کامل توسط بدافزار.