- بواسطة x32x01 ||
الـ Fileless PE Malware ده يا هندسة 
ده نوع جديد وجامد جداً ، بيستهدف الأنظمة بس بأسلوب مبتكر ومش زي الفيروسات التقليدية.
الميزة اللي بتخليه خطير إنه مش بيشتغل عن طريق ملف exe او DLL مثلا ، ومش بيسيب أي ملفات على الجهاز ، وده بيخلي اكتشافه شبه مستحيل بالنسبة لأدوات الحماية العادية.
الهجوم ده بيبدأ عادةً عن طريق الـ Phishing (التصيّد)، أو Malvertising (الإعلانات الضارة)، أو استغلال ثغرات في برامج زي Microsoft Office. يعني ممكن نخلي الضحية يفتح لينك بريء
ويبدأ الهجوم مباشرة 
والكود بيتنفذ في الذاكرة ، بدون أي ملفات exe أو أي حاجة ملفتة للنظر.
الPowerShell برضه بتلعب دور كبير في الموضوع ده، لأنها أداة متوفرة في كل نسخ ويندوز ، وبنقدر نخلي Fileless PE Malware يستخدمها في تنفيذ الكود الخبيث جوه الذاكرة بشكل مباشر، وهنا بننفذ كود مشفر بـ Base64 بسرعة في الذاكرة، وده بيسهل علينا الهجوم من غير ما يسيب أثر واضح على النظام ، وطبعا الـ Antivirus التقليدي مش هيقدر يعرفه ولا يشم ريحته حتى
.
الفكرة البرمجية دي انا بعتبرها نواة جديدة لكوارث فيروسية
وتهديدات لسلامة البيانات والانظمة
لأن من السهل دمج أكواد فيروسات قوية مع الفيروس ده لتكوين تهديد مرعب للشبكات والانظمة وقواعد البيانات .
ده نوع جديد وجامد جداً ، بيستهدف الأنظمة بس بأسلوب مبتكر ومش زي الفيروسات التقليدية.
الميزة اللي بتخليه خطير إنه مش بيشتغل عن طريق ملف exe او DLL مثلا ، ومش بيسيب أي ملفات على الجهاز ، وده بيخلي اكتشافه شبه مستحيل بالنسبة لأدوات الحماية العادية.
طيب تعالى نشوف ازاي نقدر ننفذ الـ Fileless PE Malware ده :
الـ Fileless PE Malware بنستخدم فيه تقنية إسمها Memory Injection (حقن الذاكرة) ، يعني بدل ما نسيب ملف EXE أو DLL على الجهاز ، بندخل الكود بتاعه مباشرة في الذاكرة (RAM) ، وبنشتغل هنا على برامج زي PowerShell أو WMI (إدارة الأجهزة في ويندوز).الهجوم ده بيبدأ عادةً عن طريق الـ Phishing (التصيّد)، أو Malvertising (الإعلانات الضارة)، أو استغلال ثغرات في برامج زي Microsoft Office. يعني ممكن نخلي الضحية يفتح لينك بريء
ويبدأ الهجوم مباشرة والكود بيتنفذ في الذاكرة ، بدون أي ملفات exe أو أي حاجة ملفتة للنظر.الPowerShell برضه بتلعب دور كبير في الموضوع ده، لأنها أداة متوفرة في كل نسخ ويندوز ، وبنقدر نخلي Fileless PE Malware يستخدمها في تنفيذ الكود الخبيث جوه الذاكرة بشكل مباشر، وهنا بننفذ كود مشفر بـ Base64 بسرعة في الذاكرة، وده بيسهل علينا الهجوم من غير ما يسيب أثر واضح على النظام ، وطبعا الـ Antivirus التقليدي مش هيقدر يعرفه ولا يشم ريحته حتى
الـ WMI أو Windows Management Instrumentation (إدارة الأجهزة في ويندوز):
دي أداة إدارة في نظام الويندوز ، وكمان بنستغلها لتشغيل أكواد في الذاكرة من غير ملفات exe أو DLL وده بيتم عن طريق حاجات زي Event Subscriptions (الاشتراكات في الأحداث) واستعلامات WMI، وده بيسمح بالانتشار بشكل خفي جدًا في النظام.طيب ايه هو هيكل الـ PE في الهجوم:
الـ Portable Executable (PE) ده عبارة عن تنسيق ملفات اللي ويندوز بيشغل عليه البرامج. هنا بقى بنستغل ملفات زي DLLs وEXE علشان نحط الأكواد الخبيثة في الذاكرة من غير أي دليل. وبنستخدم أدوات النظام زي PowerShell وWMI لتفعيل الأكواد دي، فتلاقي الدنيا كلها شغالة والفيروس مستخبي جوه النظام.الهجمات المركبة باستخدام Fileless PE Malware:
الـ Fileless PE Malware بيبقى جزء من هجوم مركب ومعقد جدا ً ، زي مثلا هجوم Emotet اللي بيستخدم ثغرات Microsoft Office ، وبيحقن الأكواد في الذاكرة باستخدام PowerShell ، وبعد كده يستخدم WMI لتنفيذ أوامر الاستغلال وبينتشر في الأنظمة ، وطبعا بيتم عمل Privilege Escalation (تصعيد الامتيازات) عشان يوصل لموارد أكتر.تحديات اكتشاف الـ Fileless PE Malware :
التحدي الأكبر إن الكود بيتنفذ في الذاكرة من غير ما يسيب ملفات. أدوات الحماية التقليدية زي Static Analysis (التحليل الثابت) وSignature-Based Detection (الكشف بالتوقيع) مش بيقدروا يمسكوه للأسف.الفكرة البرمجية دي انا بعتبرها نواة جديدة لكوارث فيروسية
وتهديدات لسلامة البيانات والانظمةلأن من السهل دمج أكواد فيروسات قوية مع الفيروس ده لتكوين تهديد مرعب للشبكات والانظمة وقواعد البيانات .