بدافزارهای fileless نوعی از فایل های مخرب هستند که به جای نصب شدن بر روی حافظه دیسک، بطور مستقیم در در حافظه RAM قربانی نوشته میشوند
این گونه از بدافزارها سال ها توسط محققان امنیت شناخته شده بودند. نسخه های اولیه از بدافزارهایی که fileless تلقی میشدند، قبل از انتقال خود به حافظه در ابتدا با استفاده از یک فایل کوچک باینری در حافظه دیسک، سیستم قربانی را آلوده میکردند. اما استفاده از روش های جدید در نسل بعدی از بدافزارهای fileless مانند Kovter, Powelike و XswKit ردی را بر روی حافظه دیسک برجا نمیگذارد. همین امر موجب سخت تر (و یا حتی غیر ممکن) شدن شناسایی آن ها میشود.
بدافزارهای fileless را میتوان بطور کلی در سه بخش دسته بندی کرد:
Memory resident:
این نوع از بدافزارهای fileless از فضای حافظه یک فایل قانونی ویندوز استفاده میکنند. آن ها کدهای خود را درون این فضای حافظه منتقل میکنند و تا زمانی که فراخوانی نشوند غیر فعال باقی میمانند. اگرچه اجرای بدافزار از طریق فضای حافظه یک فایل قانونی دیگر رخ میدهد، اما همچنان یک فایل باینری مربوط به بدافزار وظیفه ی آغاز اجرای آن را به عهده دارد. در نتیجه این نوع از بدافزارها بطور کامل fileless نیستند.
Rootkits:
برخی بدافزارهای fileless حضور خود را در پشت یک API در سطح کاربر یا کرنل پنهان میکنند. فایل بدافزار بر روی دیسک موجود است اما در حالت نامرئی !
Windows registry:
نسل بعدی از بدافزارهای fileless در رجیستری سیستم عامل ویندوز قرار میگیرند. نویسندگان بدافزارها از ویژگی هایی در ویندوز مانند Windows thumbnail cache که برای ذخیره تصاویر در Windows Explorer’s thumbnail view بکار میرود سواستفاده کرده اند. thumbnail cache بعنوان یک مکانیزم مداوم برای بدافزار عمل میکند. این نوع از بدافزارهای fileless همچنان باید از طریق یک فایل باینری ایستا به سیستم قربانی وارد شوند. اکثر آن ها از طریق ایمیل های اسپم منتشر میشوند. پس از این که فایل مخرب توسط کاربر اجرا شود بدافزار محموله مخرب خود را در یک فرم رمز شده در رجیستری ویندوز وارد میکند. سپس با حذف کردن فایل باینری، بدافزار اولیه خود را از روی دیسک پاک خواهد کرد.
در موردی دیگر کارشناسان کسپراسکی موفق شدند در حافظه RAM سرور دامین کنترلر یک بانک Meterpreter پیدا کنند. Meterpreter یک payload است که خود را در سایر پراسس های فعال تزریق میکند. کارشناسان کسپراسکی موفق شدند در رجیستری سرور مورد نظر اسکریپت های رمزشده PowerShell که مسئول بارگزاری Meterpreter در حافظه RAM بودند را شناسایی کنند. این اسکریپت ها با استفاده از قابلیت SC در ویندوز اجرا میشدند. همچنین مهاجمان از سرویس NETSH برای ایجاد proxy tunnel بین سایر سیستم های داخلی و کنترل از راه دور آن ها بهره بردند .استفاده از امکاناتی نظیر SC, NETSH و PowerShell نیازمند دسترسی administrator میباشد، که مهاجمان با استفاده از ابزار Mimikatz این دسترسی ها را برای خود فراهم کرده اند .
همچنین محققان FireEye نشان دادند که درب پشتی POSHSPY چگونه از قابلیت WMI ویندوز برای اجرای خود بصورت fileless بهره میبرد.
با وجود این که هم اکنون بسیاری از آنتی ویروس ها مبتنی بر پایش حافظه دیسک و فایل های موجود هستند به نظر میرسد در حال حاضر مقابله با این نوع بدافزارها برای کاربران کار سختی باشد. کارشناسان روش هایی همچون غیر فعال سازی امکانات ویندوز مانند PowerShell و همچنین مانیتور ترافیک شبکه را توصیه میکنند. بطور مثال وقتی Notepad شما در حال ارسال پکت های شبکه باشد حتما یک جای کار ایراد دارد !