Bodiless یکی از بدافزارهای بسیار خطرناک است که راههای مقابله با آن را در اینجا معرفی میکنیم.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، متداولترین راهی که بدافزار Bodiless از طریق آن به آلودگی یک سیستم میپردازد با استفاده از اکسپلویتهاست در یک ریسورس مخرب است. ریسورسها ممکن است با هدفهای مخرب یا با یک سایت رسمی به خطر افتادهباشند.
پیامهای فیشینگ هم روش معمولی برای فریب افراد با چنین ریسورس هایی است یا در صورتی که مجرمان بتوانند با وبسایتهای مشهور سازش کنند. در آن صورت دیگر نیازی به فریب اشخاص نخواهدبود و هنگام بازدید از سایت، کاربر درگیر این بدافزار خواهد شد. آنها همچنین ممکن است سایتهای پربازدید کارکنان یک شرکت را با هدف دسترسی به دستهای از اطلاعات خاص آنها مورد حمله قرار دهند یا حتی میتوانند یکسری از کارکنان یا شرکتها را از قبل انتخاب کنند و آنها را با استفاده از ایمیلهایی با محتوای فیشینگ به دام بیندازند. در هر صورت، اهداف این بدافزار کاربرانی با سیستمهای آسیبپذیر یا آسیبپذیریهایی است که در نرمافزارهای سیستم هنوز ناشناخته ماندهاند (حملات صفر روزه). کدهای مخرب در صورت وجود آسیبپذیری برای اجرای کدهای بیگانه در دستگاهها به کار برده میشود.
با صرفنظر از هدف نهایی حمله، اکسپلویت هاست توسط تزریق یک کد به یک فرایند در حال اجرا بر روی دستگاه آغاز میشود. در این حین، اجزای بدافزار دانلود شده و بهطور مستقیم (بدون اینکه هیچگونه تماسی با سیستم فایل داشتهباشد) در حافظه دستگاه راهاندازی میشود. هنگامی که درایو آلوده شد، دیگر هیچ کاری از دست کاربر ساخته نیست، مگر اینکه راهکارهای امنیتی کاربر با استفاده از مکانیزمهای پیشرفته آن را تشخیص دهد. البته این بدافزار بسیار قوی است و عموماً هیچگونه نشانهای از خود و از آن عملیاتی که در حال انجام آن است به جای نمیگذارد.
حرکت افقی بدافزار
اتفاقی که در مرحله بعد رخ میدهد کمی متفاوتتر است. اگر آلودگی سیستم هدف نهایی باشد، بدافزار اقدامات برنامهریزیشده را عملی میکند و با یک ریبوت مجدد (راهاندازی سیستم) دیگر، تمام اثرات خود را از بین میبرد.
سپس دوباره، ممکن است نقشه به گونهای باشد که نیاز به رفتن به زیرساختهای عمیقتر باشد که شامل دسترسی به دستگاههای مختلف و دادهها است. یکی از روشهای رایج با استفاده از آسیبپذیریها، اجرای کدهای خاص از راه دور (RCE) است که سیستم آسیبپذیر به بدافزار اجازه میدهد تا بهطور افقی به حرکت درآید یا که بهعنوان مثال، پس از عملیات موفق، بدافزار میتواند با استفاده از فرمان کنترل از راه دور PowerShell به اجرای RCE برای تصدیق رسمی بودن روش بپردازد.
تعقیب سایه
اثر filelessness در توانایی تشخیص کلی سیستم امنیتی داده میتواند نگرانکننده باشد. بدون هیچگونه نشانهای در سیستم درحال اجرا هستند و بسیاری از روشهای تشخیص روی آن بیفایده است.
سایه فریبنده
هیچچیز جادویی در مورد بدافزار bodiless وجود ندارد و البته برخی از اقدامات در برابر آن مؤثر است؛ اما بهعنوان یکی از بدافزارهای بسیار پیشرفته بدیهی است که نیاز به رویکردی جامع داشتهباشد. بهترین شیوه مقابله با این بدافزار استفاده از راهکار امنیتی چندلایه است که البته شما این امکانات قوی را در راهکارهای امنیتی کسپرسکی خواهیدیافت. اجازه دهید بهطور کاملاً مختصری عملکرد آن را برای شما شرح دهیم.
اعتبار URL و ضدفیشینگ
لینکهای مخرب توسط بدافزار bodiless به زیرساختهای شرکتها روانه میشوند و مهاجمان با استفاده از هر راهی قربانیان را به URL های مخرب هدایت میکنند.
از این رو، اولین مقابله در برابر این بدافزار جلوگیری از باز کردن اینگونه ریسورسها است. هنگامی هم که آنها از طریق ایمیل هجوم آوردند، آنتیاسپم کسپرسکی آنها را شناسایی و میگیرد. به عنوان مثال، URL ها در پیامهای دریافتی توسط پایگاه ابر دادههای ما بررسی میشوند و هرگونه URL مخرب توسط راهکارهای امنیتی کسپرسکی شناسایی و مسدود خواهدشد.
تشخیص آسیبپذیری و مدیریت پتچ
اکسپلویت آسیبپذیری در نرمافزار کاربران برای مجرمان مثل آب خوردن است. در واقع این عمل برای اکثر بدافزارها راحت است. آسیبپذیریهای بسیاری هرروزه کشف میشوند و بسیاری از آسیبپذیریهای وخیم وجود دارند که به اجرای هرگونه کد دلخواه در سیستمی که به آن حمله شدهاست، میپردازند.
نظارت بر روی آسیبپذیریهای نرمافزارها در سراسر زیرساختهای شرکتهای بزرگ، یکی از پیچیدهترین بخش امنیت است که البته نیازمند نظارتی خاص و ابزار اتوماسیون مناسب است. مجموعه سیستمهای مدیریت کسپرسکی هم شامل ارزیابی آسیبپذیری، هم ابزاری برای مدیریت پتچها بهصورت خودکار هم وضعیتی واضح از نرمافزارهای نصب شده و هم توانایی اعمال بهروزرسانی با قرار دادن اولویت بهصورت خودکار است. چنین راهکاری موجب صرفهجویی در زمان و راحتی کار متخصصان IT شرکتهای بزرگ و البته دقت بیشتر در این زمینه خواهدشد.
پیشگیری خودکار از اکسپلویت
با توجه به مواردی که در بالا شرح داده شد، حتی با وجود راهکار امنیتی چندلایه و پتچهای خودکار باز هم امنیت شرکتهای بزرگ بهطور کامل تضمین نخواهدشد. ممکن است برخی فرایندهای کسبوکار به تعویق انداختن پتج نیاز داشتهباشند، به عنوان مثال یک پنجره را به علت یک حمله ترک کنند.
در میان بسیاری از لایههای امنیتی دیگر، Kaspersky Endpoint Security و Kaspersky Security for Virtualization | Light Agent شامل تکنولوژی پیشگیری از اکسپلویتها (AEP) هستند که میتوانند اقدامات مشکوک مشخصه اکسپلویت را شناسایی و سریعاً آن را مسدود کنند. شایان ذکر است که AEP میتواند حتی اکسپلویتهای صفرروزه را که پیش از این ناشناخته بوده است را هم متوقف کند.
آنالیز رفتار توسط سیستم ناظر
بدافزار bodiless هیچگونه اثری را از خود بر سطح سیستم فایل نمیگذارد. تنها راه گرفتن این بدافزار تنها توسط endpoint امکانپذیر است، زیرا endpoint ها بر رفتار فرایندهای در حال اجرا در حافظه دستگاه نظارت دارند. Kaspersky Endpoint Security و Kaspersky Security for Virtualization | Light Agent شامل یک لایه امنیتی پیشرفته با نام سیستمناظر هستند که دقیقاً همانچیزی است که الگوهای مشکوک را از فعالیت برنامههای در حال اجرا تشخیص میدهد. به عنوان مثال، یک مرورگر وب تلاش میکند تا روندی عجیب را به سیستم تزریق کند. قرارگیری چند اقدامات مشکوک باعث میشود تا سیستم ناظر به صورت یک مدافع عمل کند و درصورت لزوم از اقدام آن جلوگیری به عملآورد.
کافی است بدانید تنها با یک روش میتوان از ترفندهای گوناگون مجرمان سایبری جان سالم به در برد. درست است که این بدافزار جزء پیشرفتهترین بدافزارهای شناختهشده محسوبمیشود، اما یک استراتژی امنیت سایبری قوی و واقعی میتواند بهطور مؤثری با آن مبارزه کند و در این مبارزه پیروز شود.
مرجع: کسپرسکی آنلاین