الدرس الثامن : تحليل الfile-less malwares من الذاكره

بسم الله الرحمن الرحيم

درسنا اليوم عن الmalwares التي تبدا عملها وتنهيه وهي داخل الذاكره وهذا النوع من اخطر انواع الmawlares حيث يمكن لهذا النوع تخطي برامج anti-viruses وحتى التحليل الجنائي الرقمي forensics اذا لم يكن المحلل على درايه بكيفيه تحليل هذا النوع و كيفيه التعامل مع هذا الهجوم بسبب طبيعه عملها اي خطا في التعامل مع الجهاز المصاب يمكن ان يدمر جميع الدلائل على الاصابه وسنتكلم عن الطرق الخاطئه  ايضا في هذا الدرس.

 

اولا ما هي file-less malwares ؟

هي الmalwares يتم استخدماها بشكل كبير من قبل state sponsored hackers واعني بهذا ختراق اجهزه دوله ما من قبل دوله اخرى لسرقه المعلومات ولهذا يجب ان تكون العملية سرية ولا يتم كشفها . هذا النوع من الmalwares التي تقوم باصابه الاجهزه عن طريق استغلال ثغرات موجوده في برامج اخرى لتتمكن من حقن نفسها في ذاكره الجهاز ثم تعمل من هناك بدون اي وصول لملفات الجهاز وبهذا لا يمكن كشفها  عن طريق تتبع التغيرات على ملفات النظام واغلبها يقوم بعمل process injection لتنقل نفسها الى process موجوده في الجهاز فيصبح البحث عنها كالبحث عن ابره في كومه قش لانه لا يوجد اي دليل على وجودها وال process موجوده من الاصل وليست malware عندها يجب الدخول بشكل متعمق للبحث والكشف عنها خاصه اذا كانت غير مكتشفه من قبل فيجب على المحلل ان يبذل جهد اكبر للكشف عنها .

 

 

ثانيا الطرق التي يتم استخدامها لنشر file-less malwares :

1) Exploit Kits : حيث تقوم منظمات اجرامية متخصصه بعمل نظام كامل لنشر الmalwares عن طريق استغلال جهل المستخدمين ومثال عليها المواقع المشبوهة والمواقع الاباحية حيث يتم حقن الروابط الخبيثه داخل هذا المواقع فتقوم اما بفتح popup او تعمل عن طريق iframe لاستغلال الثغرات المجوده داخل المتصفح و الصوره المدرجه ادناه تمثل الخطوات التي يمر بها المستخدم عند اختراقه .

2) Network Scanning and exploiting : حيث تقوم المنظمات الاجرامية بتجهيز سيرفرات تقوم بعمل network scan لل IPs المستخدمه من قبل دوله معينه او شركه معينه بحثا عن services تعمل على سيرفرات الضحية يوجد لها ثغره يمكن استغلالها ومثال على هذا الثغره التي تم اكتشافها في بروتكول SMB المستخدم من قبل انظمه الوندوز وتم اختراق الكثير من الاجهزه حول العالم ونشر البرامج الخبيثه عن طريقه ومنها file-less malwares التي تبقى مختبئه ترسل المعلومات للمخترقين بدون احداث ضجه مثل ال ransomware الذي يقوم بتشفير ملفات الضحية للحصول على المال .

3) الانتشار عن طريق Spams : يتم الانتشار عن طريق الEmails المزيفه ويقع الكثير ضحية هذا الهجوم لجهل المستخدم بمخاطر فتح الملفات مثل PDF و DOC وغيرها التي تحوي على  malwares يتم تفعيلها عند تصفح الملف.

 

 

كيف يتم التعامل مع هذا النوع من الmawlares ؟

يجب التعامل بحذر مع هذا النوع لان اي خطأ يمكن ينهي عمله وتضيع العينة وبهذا يكون المخترق قد حمى نفسه ولن يتم اكتشافه فالكثير من مدراء ال  IT  او حتى Security professionals في الشركات لا يكونون على علم بهذا النوع فيقومون باعطاء امر باطفاء الجهاز المصاب او فصله عن الشبكه قبل اخذ العينات اللازمه من النظام للكشف عن malware . ولهذا يجب اخذ نسخه من ذاكره الجهاز قبل عمل اي شيئ وبما ان الانظمه حاليا اغلبها virtual machines يتم اخذ نسخه عن الذاكره بدون الدخول الى النظام وهذا افضل الخيارات.

 

 

كيف يتم الكشف عن هذا النوع ؟

بالعاده يتم اكتشاف وجود هذا النوع اما عن طريق ال :

  1. network traffic الصادره عن الجهاز المصاب لخارج الشبكه: فمهما قام المخترق باخفاء اثاره يجب على البرنامج المصاب الاتصال ب Command & Control server الذي ياخذ منه الاوامر ويرسل له المعلومات المسروقه وحتى تستطيع الشركات الكشف عن هذه الاثار يجب عليهم ان يستخدمو Intrusion Detection System وايضا يجب اخذ جميع معلومات ال network session التي تمر بال firewall وارسالها الى SIEM Solution حتى يقوم  بتحليلها و استخدام threat intelligence feeds لكشف الاتصالات مع الIP المعروف انه للمخترقين .
  2.  network traffic الصادره عن الجهاز المصاب للشبكه الداخلية : بهدف اصابة اجهزه اخرى على الشبكه ولهذا في الشركات الكبيره يتم استخدام honeypots التي تزرع في كل جزء من الشبكه وتقوم بانتظار اي اتصال للservices التي تعمل عليها فتقوم باظهار Alert لانه لا يجب على اي احد الاتصال بها وثم تقوم بارسال كافه المعلومات لل SIEM solutions اذا كان موجود الذي يقوم باظهار Alerts لل security analyst .
  3. Advanced Threat protection : وهي البرامج التي تحمي الاجهزه عن طريق اعطائها معلومات عن التحركات التي تم الكشف عنها للمخترقين ويمكن ان تستخدم الذكاء الاصطناعي للكشف عن التحركات الغريبه التي يقوم بها ال Malware وهنا لا نتكلم عن Endpoint Security العاديه لان اغلبها يتم تخطيه و اذا تم اختراق الجهاز باستخدام صلاحيات SYSTEM او Root فيمكن حذفها او تعطيلها .

 

 

كيف يمكن اخذ نسخه عن ذاكره الجهاز المصاب ؟

  1. باستخدام برامج ال Memory imaging ومنها : DumpIT و FTK Imager
  2. باستخدام Vmware : حيث يقوم ال Vmware بتخزين محتويات الذاكره للنظام الذي يعمل في ملف *.vmem .

 

شرح الفيديو