x32x01
  • بواسطة x32x01 ||
الـ Fileless PE Malware ده يا هندسة 👇
ده نوع جديد وجامد جداً ، بيستهدف الأنظمة بس بأسلوب مبتكر ومش زي الفيروسات التقليدية.

الميزة اللي بتخليه خطير إنه مش بيشتغل عن طريق ملف exe او DLL مثلا ، ومش بيسيب أي ملفات على الجهاز ، وده بيخلي اكتشافه شبه مستحيل بالنسبة لأدوات الحماية العادية.

طيب تعالى نشوف ازاي نقدر ننفذ الـ Fileless PE Malware ده :​

الـ Fileless PE Malware بنستخدم فيه تقنية إسمها Memory Injection (حقن الذاكرة) ، يعني بدل ما نسيب ملف EXE أو DLL على الجهاز ، بندخل الكود بتاعه مباشرة في الذاكرة (RAM) ، وبنشتغل هنا على برامج زي PowerShell أو WMI (إدارة الأجهزة في ويندوز).

الهجوم ده بيبدأ عادةً عن طريق الـ Phishing (التصيّد)، أو Malvertising (الإعلانات الضارة)، أو استغلال ثغرات في برامج زي Microsoft Office. يعني ممكن نخلي الضحية يفتح لينك بريء 🤷‍♂️ ويبدأ الهجوم مباشرة 😳والكود بيتنفذ في الذاكرة ، بدون أي ملفات exe أو أي حاجة ملفتة للنظر.

الPowerShell برضه بتلعب دور كبير في الموضوع ده، لأنها أداة متوفرة في كل نسخ ويندوز ، وبنقدر نخلي Fileless PE Malware يستخدمها في تنفيذ الكود الخبيث جوه الذاكرة بشكل مباشر، وهنا بننفذ كود مشفر بـ Base64 بسرعة في الذاكرة، وده بيسهل علينا الهجوم من غير ما يسيب أثر واضح على النظام ، وطبعا الـ Antivirus التقليدي مش هيقدر يعرفه ولا يشم ريحته حتى🤷‍♂️

الـ WMI أو Windows Management Instrumentation (إدارة الأجهزة في ويندوز):​

دي أداة إدارة في نظام الويندوز ، وكمان بنستغلها لتشغيل أكواد في الذاكرة من غير ملفات exe أو DLL وده بيتم عن طريق حاجات زي Event Subscriptions (الاشتراكات في الأحداث) واستعلامات WMI، وده بيسمح بالانتشار بشكل خفي جدًا في النظام.

طيب ايه هو هيكل الـ PE في الهجوم:​

الـ Portable Executable (PE) ده عبارة عن تنسيق ملفات اللي ويندوز بيشغل عليه البرامج. هنا بقى بنستغل ملفات زي DLLs وEXE علشان نحط الأكواد الخبيثة في الذاكرة من غير أي دليل. وبنستخدم أدوات النظام زي PowerShell وWMI لتفعيل الأكواد دي، فتلاقي الدنيا كلها شغالة والفيروس مستخبي جوه النظام.

الهجمات المركبة باستخدام Fileless PE Malware:​

الـ Fileless PE Malware بيبقى جزء من هجوم مركب ومعقد جدا ً ، زي مثلا هجوم Emotet اللي بيستخدم ثغرات Microsoft Office ، وبيحقن الأكواد في الذاكرة باستخدام PowerShell ، وبعد كده يستخدم WMI لتنفيذ أوامر الاستغلال وبينتشر في الأنظمة ، وطبعا بيتم عمل Privilege Escalation (تصعيد الامتيازات) عشان يوصل لموارد أكتر.

تحديات اكتشاف الـ Fileless PE Malware :​

التحدي الأكبر إن الكود بيتنفذ في الذاكرة من غير ما يسيب ملفات. أدوات الحماية التقليدية زي Static Analysis (التحليل الثابت) وSignature-Based Detection (الكشف بالتوقيع) مش بيقدروا يمسكوه للأسف 🤷‍♂️.

الفكرة البرمجية دي انا بعتبرها نواة جديدة لكوارث فيروسية 🤦‍♂️وتهديدات لسلامة البيانات والانظمة
لأن من السهل دمج أكواد فيروسات قوية مع الفيروس ده لتكوين تهديد مرعب للشبكات والانظمة وقواعد البيانات .
 

المشاركات المتشابهة

x32x01
الردود
0
المشاهدات
7
x32x01
x32x01
x32x01
الردود
0
المشاهدات
2
x32x01
x32x01
x32x01
الردود
0
المشاهدات
10
x32x01
x32x01
x32x01
الردود
0
المشاهدات
16
x32x01
x32x01
x32x01
الردود
0
المشاهدات
17
x32x01
x32x01
الوسوم : الوسوم
fileless pe malware فيروس بلا ملف

الدخول أو التسجيل السريع

نسيت كلمة مرورك؟

آخر المشاركات

أحدث المنتجات

إحصائيات المنتدى

المواضيع
1,530
المشاركات
1,716
أعضاء أكتب كود
191
أخر عضو
Ahmed123132
عودة
أعلى