کمیته رکن چهارم – بر اساس گزارشی که آیبیام آن را منتشر کرده است در ۵۷ درصد حملات سایبری سال ۲۰۱۸، از فایلها و پروسههای معتبری همچون PowerShell برای اجرای کدهای مخرب بهره گرفته شده است.
در فرایند آلودهسازی دستگاه، نیاز به برنامه یا نرمافزاری برای فراخوانی و اجرای کدهای مخرب مورد نظر مهاجم است. تا همین چندی پیش مهاجمان خود اقدام به توسعه فایلهای اجرایی برای این منظور میکردند. فایلهایی که در مدتی نه چندان طولانی بهعنوان بدافزار توسط محصولات ضدویروس شناسایی میشدند.
اما از چند سال گذشته، بهتدریج مهاجمان به استفاده و بهرهگیری از پروسههایی نظیر PowerShell برای اجرای کدهای مخرب خود که در برخی موارد در فایلهای در ظاهر بیخطر ذخیره میشوند روی آوردهاند.
PowerShell یکی از پروسههای Windows است که مدیران و راهبران شبکه را قادر به استخراج و تحلیل انواع دادههای سیستمی میکند. اما در عین حال زبان اسکریپتنویسی و موتور اجرایی آن نیز به افراد بدخواه امکان میدهد که انواع امور مخرب – از سرقت رمزهای عبور گرفته تا استخراج ارز رمز – را بهسادگی به اجرا درآورند.
با توجه به اینکه در بسیاری موارد، بدافزار بر روی دیسک ذخیره نشده و کدهای مخرب در حافظه توسط یک پروسه معتبر فراخوانی میشوند، این نوع حملات به بدون فایل یا Fileless معروف شدهاند. حملاتی که محصولات ضدویروس موسوم به مبتنی بر امضا از شناسایی آن عاجز هستند.
در گزارش آیبیام اشاره شده که این شرکت به نمونههایی برخورد کرده که در آن PowerShell تنها پروسه اجراکننده بوده است.
این یافتهها یادآور این نکته است که مقابله مؤثر با بدافزارها و تهدیدات امروزی مستلزم بکارگیری راهکارهای پیشرفته امنیت نقاط پایانی از جمله محصولات ضدویروس مجهز به قابلیتهای هوش مصنوعی و رفتارشناسی است.
گزارش آیبیام در اینجا قابل دریافت و مطالعه است.
