بدافزار بدون‌فایل، تهدیدی غیرقابل‌شناسایی

بدافزار بدون‌فایل، تهدیدی غیرقابل‌شناسایی نام بدافزار بدون ‌فایل بر این اساس انتخاب شده است که بر خلاف دیگر انواع بدافزارها که در آن‌ها از فایل‌های مخرب برای آلوده کردن سیستم میزبان استفاده می‌شود، این بدافزارها معمولاً از هیچ فایلی استفاده نمی‌کنند؛ بلکه کد بدافزار در RAM یا رجیستری مستقر می‌شود یا از طریق استفاده از اسکریپت‌های دقیقی مانند PowerShell منتشر می‌گردد و میزبان را آلوده می‌سازد.

بدافزارهای بدون‌فایل که جزو تهدیدات موقت پیشرفته (AVT) به شمار می‌روند، بدون این که فایلی را روی هارد محلی بنویسند می‌توانند از آسیب‌پذیری‌های سیستم یا برنامه کاربردی سوءاستفاده کنند. این بدافزارها قادرند شمار نامحدودی از بردارهای حمله با احتمال شناسایی اندک را در کنار هم به کار گیرند تا از راه دور، سیستم‌های هدف را کنترل کنند و داده‌ها را از سیستم‌ها استخراج نمایند. بدافزارهای بدون‌فایل همچنین می‌توانند این بردارهای حمله را با دیگر اکسپلویت‌ها ترکیب کنند تا چند بدافزار مختلف را روی سیستم‌ها بارگذاری نمایند و همزمان، با استفاده از شیوه‌های ضدشناسایی نظیر ابزارهای ضدجرم‌شناسی قانونی (anti-forensic)، ردپای خود را پاک کنند و کاملاً نامرئی باقی بمانند. از آنجا که در بدافزارهای بدون‌فایل، هیچ فایلی برای آلوده کردن سیستم وجود ندارد، آنتی‌ویروس‌ها قادر به تولید امضا بر اساس ویژگی‌های فایل بدافزار نیستند. مشکل دیگر این است که بدافزار بدون‌فایل از فرمان‌های خود سیستم برای اجرای حمله استفاده می‌کند؛ برای مثال، استفاده از فرمان netsh برای ایجاد اتصال به شبکه، اختصاص یک آدرس IP ثابت برای اتصال به این شبکه و پیکربندی آن برای استفاده از یک آدرس پروکسی IP خاص، یکی از فرمان‌های داخلی و کاملاً عادی در ویندوز است که می¬تواند توسط بدافزار برای انتقال اطلاعات سرقت شده، بکارگرفته شود. با وجود افزایش استفاده از بدافزارهای بدون‌فایل در سراسر جهان، این بدافزارها هنوز به اندازه دیگر حملات، متداول نشده‌اند. در عین حال، استفاده از این شیوه به شدت رو به افزایش است و هدف اصلی این حملات معمولاً مؤسسات مالی هستند؛ احتمالاً به این دلیل که این حملات، مخفیانه هستند و حداقل میزان ردپا را به جا می‌گذارند. اما باید توجه داشت که بدافزارهای بدون‌فایل بسیار انعطاف‌پذیر هستند و می‌توانند با دیگر حمله‌ها ترکیب شوند و بدافزارهای متعدد دیگری را بارگذاری کنند.