מה זה Fileless Malware?
Fileless Malware או איומים ללא קובץ היא קטגוריה של תוכנות זדוניות שאינן משתמשות בקובצי הרצה קלאסיים
(Executable Files) או בקובצי סקריפטים נפרדים בדיסק.
במקום זאת, הקוד הזדוני נטען ישירות לזיכרון (RAM) ומנצל משאבים קיימים במערכת או בתוכנה לגיטימית.
מתקפות אלו נקראות לעיתים גם “Living off the Land” – משום שהן נשענות על כלים קיימים במערכת
(כגון PowerShell או WMI בווינדוס) כדי לבצע פעולות זדוניות.
Fileless Malware מייצגת את הדור החדש של איומי הסייבר, שבו התוקפים מנצלים תהליכים וכלים לגיטימיים
הקיימים במערכת ההפעלה על מנת לבצע פעולות זדוניות.
עיקר הקושי טמון בעובדה שלא נוצרים קבצים זדוניים פיזיים בדיסק,
מה שמקשה על מוצרי אבטחה קלאסיים לזהות ולחסום את המתקפה.
בכדי להתמודד עם איומים אלו, על ארגונים ומנהלי מערכות לנקוט שילוב של גישות הגנה:
הקשחת מערכות והגבלת גישה לכלים פנימיים, הטמעת פתרונות EDR/XDR מתקדמים, שמירה על עדכוני אבטחה שוטפים,
ושיפור מודעות המשתמשים.
למרות המורכבות הגבוהה, יישום אמצעי אבטחה מתאימים והיכרות מעמיקה עם התנהגויות החשודות
מפחיתים את הסיכון באופן משמעותי ומקטינים את נזקיהן של מתקפות Fileless לטווח הארוך.
מדוע Fileless?
הסיבה המרכזית למעבר למתקפות Fileless היא העלייה ביכולות זיהוי וחסימה של אנטי-וירוסים
ופתרונות אבטחה מבוססי חתימות או התנהגות.
תוכנות זדוניות מסורתיות מסתמכות על קבצים בינאריים (כגון .exe או .dll) או סקריפטים שנשמרים בדיסק
ולכן ניתן לנתח אותם, לחסום אותם ולזהות אותם באמצעות סריקות סטטיות והתנהגותיות.
אולם כאשר אין קובץ זדוני בדיסק, אלא רק קוד זמני בזיכרון,
קשה הרבה יותר לזכור ולתעד את הנוכחות הזדונית ולהטמיע הגנה כנגדה.
אופן הפעולה של Fileless Malware
חדירה למערכת
הנדסה חברתית (Phishing): אחת הדרכים הנפוצות להחדרת קוד זדוני היא באמצעות הודעות דוא”ל המכילות
קישורים או קבצים מצורפים (כגון מסמכי וורד או אקסל עם מקרו).
המקרו או הסקריפט מפעילים קוד שנטען ישירות לזיכרון, ללא יצירת קובץ זדוני על הדיסק.
ניצול חולשות אבטחה: ניצול פירצות בתוכנות לגיטימיות (דפדפנים, שרתי דואר, יישומי צד שלישי)
מאפשר הטענת קוד ישירות למרחב הזיכרון של התהליך הנפגע, ואז ביצוע פעולות זדוניות.
שימוש בכלים מובנים של מערכת ההפעלה
PowerShell: כלי עוצמתי זה פופולרי מאוד בקרב האקרים הודות ליכולות הסקריפטינג המשוכללות שלו.
מאחר שהוא כלי מערכת לגיטימי החתום בידי מיקרוסופט, פתרונות אבטחה מתקשים לחסום אותו מראש.
WMI (Windows Management Instrumentation): רכיב מרכזי במערכת ההפעלה שאחראי לניהול ואוטומציה.
הוא מספק גישה לתהליכים, לשירותים ולהגדרות מערכת באופן שיכול לשמש גם למתקפות זדוניות.
פקודות מערכת נוספות: כמו regsvr32, mshta, rundll32 וכו’ שהן תוכנות לגיטימיות המשולבות בווינדוס,
אך מאפשרות להריץ סקריפטים או להזריק קוד.
שמירה והתבססות בזיכרון
לאחר הטענת הקוד הזדוני, הוא יכול להישאר פעיל בזיכרון עד לכיבוי המערכת או הפעלה מחדש.
לעיתים התוקפים יפעילו מנגנוני הישרדות (Persistence) המנצלים משימות מתוזמנות,
ערכי רישום או שירותים, אך יימנעו מאחסון של קובץ זדוני בדיסק עצמו.
ביצוע הפעולות הזדוניות
ריגול (Information Stealing): תהליך זדוני הלוכד הקשות מקלדת, מידע רגיש או סיסמאות.
הצפנת קבצים (Ransomware): גם כופרות למדו לנצל התנהגות Fileless כדי לפעול בצינורות פנימיים
של המערכת ולחמוק מזיהוי.
תקיפות מתמשכות (APT): תוקפים ממשיכים לשמר גישה למערכת לאורך זמן, מנצלים משאבי מערכת,
גונבים מידע או מכינים “דריסת רגל” למתקפה גדולה יותר.
יתרונות התוקף בקמפייני Fileless
קושי בזיהוי:
היעדר קבצים פיזיים מקשה על מערכות הגנה שמתבססות על חתימות.
התחזות לכלים לגיטימיים:
שימוש בכלים מובנים (PowerShell, WMI) מאפשר לתוקף להסתוות כתהליך רגיל.
ניידות גבוהה:
קל להתאים ולשנות את הסקריפטים או הפקודות בהתבסס על הזיכרון ללא צורך
לבנות מחדש קובץ הרצה.
אתגרי הגנה וזיהוי Fileless Malware
פתרונות אנטי-וירוס מסורתיים:
רבים מהם נשענים על חתימות או על בדיקת קבצים בדיסק,
ולכן הם אינם יעילים דיים כנגד איומים ללא קבצים.
פתרונות EDR/XDR (Endpoint Detection and Response):
פתרונות אלה יכולים לסייע, אך עדיין עליהם לזהות התנהגות חריגה בתהליכים לגיטימיים,
המשמשים גם לעבודות תקינות.
איתור “חריגות” כאלו דורש היכרות מעמיקה עם הגדרות נורמליות של כל סביבה.
זיהוי מבוסס התנהגות (Behavioral Detection):
הפתרון היעיל יותר מול Fileless הוא זיהוי התנהגות חשודה
(לדוגמה, סקריפט PowerShell שמוריד קובץ מהרשת או קורא ערכים חשודים ברישום).
אולם גם כאן, האקרים מיומנים משתמשים בשיטות מתוחכמות להסתיר את ההתנהגות
(למשל, הצפנה או פיצול פקודות).
הגנה ומניעה של Fileless Malware
הקשחת מערכות והגבלות גישה
הגבלה והרשאות מופחתות לכלים כמו PowerShell ו-WMI –
יש להעניק גישה מלאה רק למשתמשים המתבקשים לכך לצורך תפעול ותחזוקה אמיתית.
הקשחת מדיניות Group Policy למניעת הרצת סקריפטים באופן פרוץ.
עדכוני אבטחה שוטפים
יש להתקין תמיד את עדכוני האבטחה למערכות ההפעלה ולתוכנות צד שלישי.
ניצול חולשות מוכרות הוא ערוץ נפוץ לחדירת קוד זדוני.
פתרונות EDR/XDR מתקדמים
שימוש בכלים שיודעים לנתח התנהגות תהליכים (Runtime Monitoring) ולאתר אנומליות,
שינויים לא צפויים בשירותי מערכת או בזיכרון.
ניטור מאובטח של פעילות רשת – זיהוי תקשורת חשודה המבקשת להוריד Payload
נוסף או לשלוח מידע רגיש החוצה.
חינוך ותודעת משתמשים
Phishing והנדסה חברתית הם כלי נפוץ מאוד להפצת Fileless Malware,
ולכן חשוב להגביר מודעות בארגון, להדריך משתמשים לבדוק זהות שולחים,
לא לפתוח קבצים מצורפים בלתי צפויים וכדומה.
סימולציות ותרגולים בארגון להגברת מוכנות המשתמשים לסיכוני סייבר.
סגמנטציה של הרשת (Network Segmentation)
חלוקת הרשת לאזורים (סגמנטים) לפי רמות אבטחה מאפשרת לצמצם התפשטות של נוזקה,
גם אם חדרה לאזור מסוים.
הגבלת הרשאות הדדיות בין אזורים מבטיחה שלא כל הרשת תיפרץ בקלות.
כלים משלימים
הצפנה ומעקב אחר לוגים: מעקב שוטף אחר נתוני לוגים ובדיקה אחר התנהגויות חריגות
מסייעים בזיהוי פעילות זדונית עוד בשלב מוקדם.
אמצעי זיהוי מתקדמים: כגון Sandbox דינמי שמריץ את התהליכים בסביבה מבודדת ומזהה שימוש
חריג ב-API של מערכת ההפעלה, או בדיקת Complete Memory Dump להימצאות של קוד חשוד.
דוגמאות בולטות לאיומי Fileless Malware
פושעי סייבר המשתמשים ב-PowerShell:
במתקפות רבות בשנים האחרונות הופיעו סקריפטים מתוחכמים, לעיתים מוצפנים,
שהועברו בשורה אחת (One-Liner) שנשלחה בתור פקודת PowerShell.
תקיפת FIN7:
אחת מקבוצות הפשע הסייברי המוכרות, שניצלה Fileless Malware באמצעים
כגון PowerShell ו-WMI כדי להשיג גישה לנתוני כרטיסי אשראי בעשרות ארגונים,
בעיקר בתחום האירוח והמזון.
Memory Scraping Ransomware:
גם כופרות מתקיימות בצורה Fileless לפני הרצת ההצפנה,
וכך פוגעות בארגונים גדולים מבלי להותיר קבצי נוזקה מפורשים בדיסק.
