البرامج الضارة عديمة الملفات: ما هي، وكيف تعمل، وكيفية الحماية منها

مغامرة عالمية » أسئلة عامة » البرامج الضارة عديمة الملفات: ما هي، وكيف تعمل، وكيفية الحماية منها

في السنوات الأخيرة برامج ضارة بدون ملفات أصبحت البرمجيات الخبيثة عديمة الملفات من أخطر المشاكل التي تواجه فرق تكنولوجيا المعلومات والأمن السيبراني. لا نتحدث هنا عن الفيروسات التقليدية التي يتم تنزيلها كمرفقات ويمكن إزالتها بفحص مكافحة الفيروسات، بل عن شيء أكثر خفاءً يتخفى داخل عمليات النظام نفسه.

يستغل هذا النوع من التهديدات الوضع الراهن. أدوات نظام التشغيل الشرعيةوخاصةً على نظام ويندوز، يمكنه تنفيذ التعليمات البرمجية الخبيثة مباشرةً في ذاكرة الوصول العشوائي (RAM). ولأنه لا يترك أثراً يُذكر على القرص، فإنه يستطيع التهرب من العديد من برامج مكافحة الفيروسات التقليدية، ويبقى نشطاً لفترة كافية لسرقة المعلومات، وتشفير الملفات، أو إنشاء أبواب خلفية دون أن يتم اكتشافه.

ما هو بالضبط البرامج الضارة التي لا تحتوي على ملفات؟

عندما نتحدث عن البرامج الضارة التي لا تحتوي على ملفات، فإننا نشير إلى شفرة خبيثة لا تعتمد على ملف تنفيذي تقليدي على القرص لكي يعمل. بدلاً من تثبيته مثل أي برنامج آخر، فإنه يعتمد على المكونات الموجودة بالفعل في النظام (البرامج النصية والخدمات ومفسرات الأوامر وما إلى ذلك) لتحميل وتنفيذ تعليماته مباشرة في الذاكرة.

من الناحية التقنية، عادةً ما يكون هذا النوع من البرامج الضارة ليتم حقنها في العمليات التي تعمل بالفعل أو يمكن تشغيلها باستخدام أوامر تُحمّل كل شيء في ذاكرة الوصول العشوائي (RAM). هذا يعني أنه بمجرد إيقاف تشغيل الكمبيوتر أو إعادة تشغيله، تختفي العديد من هذه البرامج الضارة، ولكن في هذه الأثناء يكون لديها متسع من الوقت لإحداث أضرار جسيمة.

بالمقارنة مع البرامج الضارة القائمة على الملفات، فإن هذه التهديدات أخف وزنًا، وأكثر سرية، وأصعب بكثير في التتبعلن تجد ملف .exe مشبوهًا على القرص، ولا بالضرورة برنامج تثبيت خبيث: تكمن المشكلة فيما يحدث داخل العمليات التي تبدو موثوقة.

شهد هذا النهج صعوداً هائلاً حوالي عام 2017، عندما بدأت الحملات في الجمع بين التقنيات غير المعتمدة على الملفات و برامج التجسس النقرية، والبرامج الإعلانية المتقدمة، وأدوات الوصول عن بعد (RATs)واليوم تم دمجها في جميع أنواع العمليات: من التجسس والهجمات المتقدمة المستمرة إلى برامج الفدية وتعدين العملات المشفرة.

كيف تعمل البرامج الضارة عديمة الملفات من الداخل

لفهم كيفية عملها، يجدر التذكير بأن معظم التطبيقات العادية يتم توزيعها على شكل ملف يُكتب على القرص ثم يُحمّل في الذاكرة عندما يقوم المستخدم بتشغيله. أما البرامج الضارة التي لا تحتوي على ملفات، من ناحية أخرى، فتتخطى الخطوة الأولى وتتجسد مباشرة في ذاكرة الوصول العشوائي باستخدام آليات نظام التشغيل نفسه.

تعتمد العديد من الحملات على فكرة "العيش على خيرات الأرض" (الذين يعيشون على الأرض): المهاجم إساءة استخدام الصلاحيات الإدارية المشروعة بدلاً من إدخال ملفات تنفيذية جديدة. في نظام ويندوز، يُعد PowerShell المثال الأبرز، ولكن يتم استغلال WMI وmshta وrundll32 وبرامج VBScript أو JScript النصية، بالإضافة إلى ملفات تنفيذية موثوقة أخرى (LoLBins).

السيناريو النموذجي هو: أن يفتح المستخدم مستندًا من مستندات Office يحتوي على محتوى ضار أو ينقر على رابط تصيد احتيالي؛ ومن ثم نص برمجي يستدعي PowerShell أو أداة أخرى لتنزيل أو فك تشفير أو حقن الشفرة اللازمة للمرحلة التالية في الذاكرة. كل هذا يمكن أن يحدث دون إنشاء ملف دائم على القرص الصلب.

وهناك أسلوب شائع آخر يتمثل في استغلال الفرص ثغرات تنفيذ التعليمات البرمجية عن بعدمثل ثغرات تجاوز سعة المخزن المؤقت في المتصفحات أو الإضافات أو تطبيقات الخادم. باستغلال هذه الثغرة، يستطيع المهاجم تنفيذ شيفرة خبيثة مباشرة داخل العملية المعرضة للخطر، ومن ثم تحميل باقي المكونات إلى الذاكرة.

بل إن بعض المتغيرات تلجأ إلى سجل ويندوز أو المهام المجدولة لتخزين البرامج النصية أو الأوامر التي تعيد تنشيط الهجوم عند بدء تشغيل النظام أو تسجيل دخول المستخدم. حتى إذا تم كتابة شيء ما في سجل النظام، فإن المنطق الخبيث الرئيسي يستمر في العمل في الذاكرة، مما يجعل من الصعب اكتشافه باستخدام الأدوات التي تركز فقط على نظام الملفات.

طرق العدوى والوصول الأولي

عادةً ما يكون الباب الأمامي كلاسيكيًا للغاية: رسائل البريد الإلكتروني الاحتيالية، والروابط الخبيثة، والوثائق المزورة لا تزال هذه التقنيات هي الأفضل في الوصول الأولي، على الرغم من استخدام تقنيات لا تعتمد على الملفات في الخلفية. يكمن السر في بذل كل جهد ممكن في جميع مراحل العملية لتقليل مساحة القرص المستخدمة.

يتم استخدامها في العديد من الحوادث مستندات مايكروسوفت أوفيس التي تحتوي على وحدات ماكرو عند تفعيلها، تستدعي هذه الماكروات PowerShell أو WMI لتنزيل وتنفيذ المرحلة التالية من الهجوم في الذاكرة. حتى بدون الماكروات، يستغل المهاجمون الثغرات الأمنية في Word وExcel. قارئات PDF أو محرك البرمجة النصية نفسه لتحقيق تنفيذ التعليمات البرمجية.

وهناك نهج آخر يتمثل في الاستفادة المباشرة ملفات تنفيذية تبدو غير ضارة يتلقى المستخدم هذا الملف التنفيذي عبر البريد الإلكتروني أو يقوم بتنزيله من الإنترنت. يستطيع هذا الملف استخراج وحدة خبيثة وتحميلها في الذاكرة باستخدام تقنيات مثل الانعكاس في بيئة .NET، دون حفظها فعليًا على القرص كملف منفصل.

وهناك أيضاً حملات تستهدف خوادم الويب أو التطبيقات المعرضة للإنترنت، حيث يتم استخدام الثغرة الأمنية لنشر أغلفة الويب ذات المكونات غير الملفيةومن الأمثلة الحديثة على ذلك استخدام Godzilla والأدوات المماثلة، حيث تنتقل التعليمات البرمجية الخبيثة داخل طلبات HTTP ويتم حقنها مباشرة في الذاكرة على الخادم المخترق.

وأخيرًا، يلجأ المهاجمون في كثير من الأحيان إلى بيانات اعتماد مسروقةإذا تمكنوا من الحصول على اسم المستخدم وكلمة المرور لحساب مسؤول أو حساب ذي امتيازات، فيمكنهم تسجيل الدخول عبر RDP أو قنوات أخرى وتشغيل برامج PowerShell النصية أو أوامر WMI أو الأدوات الإدارية يدويًا والتي تقوم بتحميل البرامج الضارة في الذاكرة دون ترك أي ملفات تنفيذية جديدة على النظام.

تقنيات محددة تستخدمها البرامج الضارة عديمة الملفات

أحد مفاتيح هذه الهجمات هو إعادة استخدام أدوات ويندوز الأصلية باعتبارها وسيلة لتنفيذ برامجهم النصية. وهذا يتسبب في اندماج النشاط الخبيث مع المهام الإدارية العادية، مما يعقد عملية التحليل والاستجابة.

من بين أكثر التقنيات شيوعًا نجد استخدام PowerShell كأداة تشغيل التعليمات البرمجية المضمنة مباشرةً من سطر الأوامر. على سبيل المثال، يتم تمرير نص برمجي مُشفر كمعامل، ويتم تعطيل سياسة التنفيذ، وإخفاء النافذة، وتنزيل حمولة مباشرة إلى الذاكرة، كل ذلك دون ترك ملف .ps1 أو أي ملف تنفيذي مشبوه مرئيًا.

ومن الأساليب الشائعة الأخرى تخزين البرامج النصية الخبيثة في اشتراكات أدوات إدارة ويندوز (WMI)بين الحين والآخر، يقوم WMI بتشغيل البرنامج النصي، والذي يمكنه تنفيذ التعليمات البرمجية من الذاكرة، والاتصال بخوادم القيادة والتحكم، أو إطلاق مراحل جديدة من العدوى.

وبالمثل، تستخدم العديد من المجموعات سجل ويندوز وجدولة المهام كمأوى لبرامجهم النصية وأوامرهم. بدلاً من وضع ملف تنفيذي في مجلد بدء التشغيل، يقومون بتعريف مفاتيح بدء التشغيل أو المهام المجدولة التي تشغل برامج PowerShell أو mshta أو rundll32 النصية مع التعليمات البرمجية المضمنة أو التي يتم تشغيلها أثناء التشغيل.

تُلاحظ هذه التقنيات أيضًا في الانعكاس في .NETحيث يحتوي ملف تنفيذي خفيف الوزن على تجميعات مشفرة أو مضغوطة يتم تحميلها مباشرة في الذاكرة باستخدام Reflection.Load، دون كتابتها كملفات .dll على القرص. وهذا يسمح بنشر برامج تجسس متطورة للغاية ضمن عملية واحدة تبدو طبيعية.

ما الذي يمكن أن يفعله الهجوم الذي لا يعتمد على الملفات؟

على الرغم من اسمها، فإن الهجوم الذي لا يعتمد على الملفات ليس محدود التأثير. في الواقع، يمكنه أن يؤدي إلى نفس وظائف البرامج الضارة التقليدية: سرقة المعلومات، تشفير البيانات، الحركة الجانبية، التجسس، تعدين العملات المشفرة، أو تثبيت أبواب خلفية دائمة.

تتصرف العديد من الحملات التي لا تحتوي على ملفات على النحو التالي: سارق بيانات الاعتماديتضمن ذلك التقاط كلمات المرور، أو رموز الجلسات، أو تجزئات المصادقة من ذاكرة العمليات الحساسة. وهذا يُسهّل رفع مستوى الصلاحيات، واختراق المزيد من الأنظمة، والحفاظ على وصول مطوّل دون اللجوء إلى ملفات تنفيذية إضافية.

ويركز آخرون على برامج الفدية بدون ملفاتحيث يتم تنفيذ جزء من منطق التشفير والاتصال مباشرةً في الذاكرة. على الرغم من أن مكون القرص قد يظهر في مرحلة ما لمعالجة عدد كبير من الملفات، إلا أن التحميل الأولي والتحكم في الهجوم يتمان بتقنيات لا تعتمد على الملفات لتجنب الكشف المبكر.

يمكن للمهاجمين أيضًا تثبيت برامج التجسس الخفية أو برامج التحكم عن بعد المتقدمة بمجرد تثبيتها، تستخدم هذه الأدوات قنوات لا تعتمد على الملفات لتلقي الأوامر، والتنقل عبر الشبكة، وتحديث الوحدات. ونظرًا لتكاملها مع عمليات النظام أو الخدمات الحيوية، يصعب القضاء على هذه الأدوات بشكل خاص.

أما على الصعيد الاقتصادي، فيتمثل الأثر في فقدان البيانات، وانقطاع الخدمة، والغرامات التنظيمية، والإضرار بالسمعةوبما أن هذه الاختراقات غالباً ما تمر دون اكتشاف لعدة أشهر، فإن حجم المعلومات المسربة ونطاق الاختراق يمكن أن يكون هائلاً.

مراحل هجوم البرمجيات الخبيثة عديمة الملفات

على الرغم من اختلاف الجوانب التقنية، فإن دورة حياة الهجوم الذي لا يستخدم ملفات تشبه إلى حد كبير دورة حياة أي اختراق متقدم. ما هي التغييرات؟ الآليات المستخدمة في كل مرحلة والطريقة التي يخفون بها أنفسهم.

في مرحلة الوصول الأولييحتاج المهاجم إلى موطئ قدم أولي: النقر على رابط تصيد احتيالي، أو فتح مستند يحتوي على وحدات ماكرو، أو استغلال خادم ضعيف، أو إعادة استخدام بيانات اعتماد مخترقة. ومن ثم، يكون الهدف هو تنفيذ التعليمات البرمجية داخل النظام المستهدف.

بمجرد تحقيق هذه الخطوة، تبدأ المرحلة التالية التنفيذ في الذاكرةهنا يأتي دور PowerShell وWMI وmshta وrundll32 وVBScript وJScript وغيرها من المفسرات لتحميل وتفعيل الحمولة دون إنشاء ملفات تنفيذية دائمة على القرص. عادةً ما يكون الكود مُشفرًا أو مُبهمًا، ولا يُفك تشفيره إلا في ذاكرة الوصول العشوائي (RAM).

ثم تبدأ المطاردة إصرارعلى الرغم من أن العديد من الحمولات التي لا تحتوي على ملفات تختفي عند إعادة تشغيل الكمبيوتر، إلا أن المهاجمين المتطورين يجمعون بين البرامج النصية الموجودة في ذاكرة الوصول العشوائي ومفاتيح التسجيل أو المهام المجدولة أو اشتراكات WMI التي تعيد تشغيل التعليمات البرمجية في كل مرة يتم فيها استيفاء شرط معين، مثل بدء تشغيل النظام أو تسجيل دخول المستخدم.

وأخيراً، الأهداف النهائية تشمل أفعال المهاجم: سرقة البيانات وتسريبها، وتشفير المعلومات، ونشر المزيد من البرمجيات الخبيثة، والتجسس المستمر، وتخريب الأنظمة الحيوية. ويتم كل ذلك مع الحرص على البقاء بعيدًا عن الأنظار قدر الإمكان لتجنب الإنذارات المبكرة والتحليل الجنائي الرقمي.

لماذا يصعب اكتشافه؟

تكمن المشكلة الكبيرة في البرامج الضارة التي لا تحتوي على ملفات في أن إنه يكسر نموذج الدفاع الكلاسيكي القائم على الملفات والتوقيعاتإذا لم يكن هناك ملف تنفيذي مشبوه لتحليله، فإن العديد من محركات مكافحة الفيروسات تظل عمياء عما يحدث داخل الذاكرة والعمليات المشروعة.

يشير عدم وجود ملفات على القرص إلى أن لا توجد أشياء للمسح الدوري بحثًا عن أنماط معروفة. علاوة على ذلك، من خلال الاستفادة من الملفات الثنائية الموقعة من قبل نظام التشغيل نفسه، مثل PowerShell.exe أو wscript.exe أو rundll32.exe، يتم إخفاء النشاط الضار خلف أسماء يثق بها المسؤول عادةً.

بالإضافة إلى ذلك، فإن العديد من المنتجات الموروثة لها رؤية محدودة للعمليات الجاريةيركزون على نظام الملفات وحركة مرور الشبكة، لكنهم بالكاد يفحصون استدعاءات واجهة برمجة التطبيقات الداخلية، أو معلمات سطر الأوامر، أو سلوك البرنامج النصي، أو أحداث السجل التي قد تكشف عن هجوم بدون ملفات.

يلجأ المهاجمون، إدراكًا منهم لهذه القيود، إلى تقنيات التمويه والتشفير وتجزئة التعليمات البرمجيةعلى سبيل المثال، يقومون بتقسيم نص برمجي خبيث إلى عدة أجزاء يتم تجميعها في الوقت الفعلي، أو يخفون التعليمات داخل الصور أو الموارد المضمنة أو السلاسل التي تبدو غير ضارة.

في البيئات التي نادراً ما يتم فيها إعادة تشغيل الأنظمة (الخوادم الحيوية، محطات الإنتاج، وما إلى ذلك)، يمكن للبرامج الضارة المقيمة في الذاكرة أن يظل نشطًا لأسابيع أو شهور دون أن يتم اكتشافك، خاصة إذا تحركت بحذر وقللت من حجم حركة المرور أو التصرفات اللافتة للنظر.

قيود الدفاعات التقليدية

كان رد الفعل الأولي للعديد من مقدمي الخدمات على هذا التهديد هو محاولة تقييد أو حظر أدوات مثل PowerShell أو وحدات ماكرو Office بشكل مباشرعلى الرغم من أنه يمكن أن يقلل من بعض العوامل، إلا أنه ليس حلاً واقعياً أو كاملاً في معظم المؤسسات.

أصبح PowerShell عنصر أساسي لإدارة نظام ويندوزأتمتة المهام، ونشر البرامج، وإدارة الخوادم. إن حظرها تمامًا سيؤدي إلى شلّ سير العمل في مجال تكنولوجيا المعلومات وإجبارنا على إعادة تنفيذ العديد من العمليات الداخلية.

علاوة على ذلك، من وجهة نظر المهاجم، هناك طرق متعددة لـ تجاوز سياسة الحظر البسيطةهناك تقنيات لتحميل محرك PowerShell من المكتبات (dll) باستخدام rundll32، وتحويل البرامج النصية إلى ملفات تنفيذية باستخدام أدوات مثل PS2EXE، واستخدام نسخ معدلة من PowerShell.exe، أو حتى تضمين برامج PowerShell النصية في صور PNG وتشغيلها باستخدام سطور أوامر مشوشة.

يحدث شيء مشابه مع وحدات الماكرو في Office: تعتمد عليهم العديد من الشركات لأتمتة التقارير والحسابات وعمليات الأعمال. قد يؤدي تعطيلها على مستوى النظام إلى تعطيل التطبيقات الداخلية، بينما يؤدي الاعتماد فقط على التحليل الثابت لرمز VBA غالبًا إلى معدل مرتفع من النتائج الإيجابية والسلبية الخاطئة يصعب إدارته.

بالإضافة إلى ذلك، تعتمد بعض المناهج على الكشف كخدمة قائم على الحوسبة السحابية تتطلب هذه البرامج اتصالاً مستمراً بالإنترنت، وأحياناً تعمل بتأخير كبير يمنع التنفيذ الأولي للبرمجيات الخبيثة. إذا تأخر قرار الحظر لثوانٍ أو دقائق، فقد يكون الضرر قد وقع بالفعل.

تحول التركيز: من الملفات إلى السلوك

بما أن الملف لم يعد العنصر الرئيسي، فإن حلول الدفاع الحديثة تركز على مراقبة سلوك العمليات بدلاً من مجرد فحص محتويات الملفات. الفكرة هي أنه على الرغم من وجود آلاف الأنواع المختلفة من البرامج الضارة، إلا أن أنماط النشاط الخبيث أقل تنوعاً بكثير.

يعتمد هذا النهج على محركات تحليل السلوك والتعلم الآلي التي تراقب باستمرار ما تفعله كل عملية: ما هي الأوامر التي تطلقها، وما هي موارد النظام التي تلمسها، وكيف تتواصل مع العالم الخارجي، وما هي التغييرات التي تحاول إدخالها في البيئة.

على سبيل المثال، يمكن اعتبار عملية مكتبية مشبوهة إذا ينفذ أمر PowerShell مُشفرًا مع وجود معايير لتعطيل سياسات الأمان وتنزيل التعليمات البرمجية من نطاق مشبوه. أو عملية تقوم، دون سبب واضح، بالوصول فجأة إلى مئات الملفات الحساسة أو تعديل مفاتيح التسجيل الهامة.

تجمع أحدث أجيال أنظمة EDR ومنصات XDR بيانات القياس عن بعد التفصيلية لنقاط النهاية والخوادم والشبكةوهم قادرون على إعادة بناء قصص كاملة (تسمى أحيانًا خطوط القصة) حول كيفية نشوء الحادث، والعمليات التي تم إجراؤها، والتغييرات التي طرأت على الآلة المتأثرة.

لا يقتصر دور محرك تحليل السلوك الجيد على اكتشاف التهديد فحسب، بل يمكنه أيضًا تخفيف أو عكس الإجراءات الضارة تلقائيًا: إنهاء العمليات المعنية، وعزل الكمبيوتر، واستعادة الملفات المشفرة، والتراجع عن التغييرات التي طرأت على سجل النظام، وقطع الاتصالات بمجالات القيادة والتحكم.

التقنيات ومصادر الأحداث الرئيسية في نظام التشغيل ويندوز

لتحليل التهديدات التي لا تعتمد على الملفات في نظام التشغيل ويندوز، من المفيد بشكل خاص الاستفادة من آليات القياس عن بعد لنظام التشغيل الأصلي، والتي هي موجودة بالفعل وتقدم الكثير من المعلومات حول ما يحدث وراء الكواليس.

من ناحية تتبع الأحداث لنظام Windows (ETW)ETW هو إطار عمل يسمح بتسجيل أحداث بالغة الدقة تتعلق بتنفيذ العمليات، واستدعاءات واجهة برمجة التطبيقات، والوصول إلى الذاكرة، وجوانب أخرى من النظام الداخلي. وتعتمد العديد من حلول EDR على ETW لاكتشاف السلوك غير الطبيعي في الوقت الفعلي.

قطعة رئيسية أخرى هي واجهة المسح الضوئي لمكافحة البرامج الضارة (AMSI)AMSI هي واجهة برمجة تطبيقات (API) صممتها مايكروسوفت لتمكين محركات الأمان من فحص البرامج النصية والمحتوى الديناميكي قبل تشغيلها مباشرةً، حتى لو كانت مشفرة. وتُعد AMSI مفيدة بشكل خاص مع PowerShell وVBScript وJScript ولغات البرمجة النصية الأخرى.

بالإضافة إلى ذلك، يتم تحليل المحركات الحديثة بشكل دوري المناطق الحساسة مثل سجل النظام، وجدولة المهام، واشتراكات WMI، أو سياسات تنفيذ البرامج النصيةغالباً ما تكون التغييرات المشبوهة في هذه المناطق علامة على أن هجوماً بدون ملفات قد رسخ وجوده.

يُستكمل كل هذا بأساليب استدلالية لا تأخذ في الاعتبار العملية الحالية فحسب، بل أيضًا سياق التنفيذ: من أين تأتي العملية الأصلية، وما هو نشاط الشبكة الذي لوحظ قبل وبعد ذلك، وما إذا كانت هناك حالات فشل غريبة أو انسدادات شاذة أو إشارات أخرى، مجتمعة، ترجح كفة الشك.

استراتيجيات عملية للكشف والوقاية

عملياً، تتضمن حماية النفس من هذه التهديدات الجمع بين التكنولوجيا والعمليات والتدريبلا يكفي تثبيت برنامج مكافحة الفيروسات ونسيانه؛ بل هناك حاجة إلى استراتيجية متعددة الطبقات تتكيف مع السلوك الحقيقي للبرامج الضارة التي لا تحتوي على ملفات.

على المستوى التقني، من الضروري نشر حلول EDR أو XDR مع إمكانيات تحليل السلوك ورؤية شاملة للعمليات. يجب أن تكون هذه الأدوات قادرة على تسجيل النشاط وربطه في الوقت الفعلي، ومنع السلوكيات الشاذة، وتوفير معلومات جنائية واضحة لفريق الأمن.

كما أنها مريحة تقييد استخدام PowerShell و WMI والمترجمات الأخرى إلى ما هو ضروري للغاية، وتطبيق قوائم التحكم في الوصول، وتوقيع البرامج النصية (توقيع التعليمات البرمجية) وسياسات التنفيذ التي تحد من التعليمات البرمجية التي يمكن تشغيلها وبأي امتيازات.

أما بالنسبة للمستخدم، فيظل التدريب أمراً بالغ الأهمية: فمن الضروري تعزيز الوعي بعمليات التصيد الاحتيالي والروابط المشبوهة والوثائق غير المتوقعةيُعدّ هذا الأمر بالغ الأهمية، لا سيما بالنسبة للموظفين الذين لديهم صلاحية الوصول إلى معلومات حساسة أو امتيازات رفيعة المستوى. إنّ تقليل عدد النقرات غير المقصودة يُقلّل بشكل كبير من مساحة الهجوم.

وأخيرًا، لا يمكن إغفال دورة تحديث البرامج والتصحيحاتتبدأ العديد من سلاسل الهجمات التي لا تعتمد على الملفات باستغلال ثغرات أمنية معروفة، والتي تتوفر لها بالفعل حلول أمنية. لذا، فإن تحديث المتصفحات والإضافات وتطبيقات المؤسسات وأنظمة التشغيل باستمرار يسد منافذ مهمة للمهاجمين.

الخدمات المُدارة واكتشاف التهديدات

في المؤسسات المتوسطة والكبيرة، حيث يكون حجم الأحداث هائلاً، يصعب على الفريق الداخلي الاطلاع على كل شيء. ولهذا السبب تزداد شعبيتها. خدمات المراقبة والاستجابة المُدارة (MDR/EMDR) ومراكز عمليات الأمن الخارجية (SOCs).

تجمع هذه الخدمات بين التكنولوجيا المتقدمة و فرق من المحللين تراقب على مدار الساعة طوال أيام الأسبوع تعتمد هذه التقنية على بيئات عملائها، حيث تربط الإشارات الضعيفة التي قد تمر دون ملاحظة لولاها. والفكرة هي اكتشاف السلوكيات النموذجية للبرمجيات الخبيثة عديمة الملفات قبل حدوث الضرر.

تعتمد العديد من مراكز عمليات الأمن السيبراني على أطر عمل مثل MITER ATT & CK لتصنيف تكتيكات الخصوم وتقنياتهم وإجراءاتهم (TTPs) وبناء قواعد محددة موجهة نحو التنفيذ في الذاكرة، وإساءة استخدام LoLBins، و WMI الخبيث، أو أنماط تسريب البيانات الخفية.

بالإضافة إلى المراقبة المستمرة، تشمل هذه الخدمات عادةً التحليل الجنائي، والاستجابة للحوادث، والاستشارات لتحسين بنية الأمان، وسد الثغرات المتكررة، وتعزيز الضوابط على نقاط النهاية والخوادم.

بالنسبة للعديد من الشركات، يعد الاستعانة بمصادر خارجية لجزء من هذه الوظيفة هو الطريقة الأكثر جدوى لمواكبة هذه التهديدات المعقدة، حيث لا يستطيع الجميع تحمل تكلفة فريق داخلي متخصص في البحث عن البرامج الضارة المتقدمة.

الحقيقة هي أن البرامج الضارة التي لا تحتوي على ملفات قد غيرت إلى الأبد الطريقة التي نفهم بها أمن نقاط النهاية: لم تعد الملفات المؤشر الرئيسي الوحيدولا يمكن إبعادها على أساس يومي إلا من خلال مزيج من الرؤية العميقة، وتحليل السلوك، وممارسات الإدارة الجيدة، وثقافة الأمن السيبراني الموسعة.