حملات Fileless چیست؟ چگونه علیه سازمان ها به کار گرفته می شود؟

امنیت داده‌ها در برابر باج افزار؛ راهکارهای جامع سیمانتک

محافظت از داده‌ها و اطلاعات ارزشمند شما، امری حیاتی است. فایل‌های مشکوک می‌توانند به سیستم شما نفوذ کرده و خسارات جبران‌ناپذیری را به بار آورند. محیط Sandbox در آنتی ویروس سیمانتک با ارائه یک لایه دفاعی قدرتمند، از سیستم شما در برابر این تهدیدات محافظت می‌کند.

ارسال خودکار فایل‌ها به محیط Sandbox

ارسال خودکار فایل‌ها به محیط Sandbox در آنتی‌ویروس سیمانتک یکی از ویژگی‌های کلیدی برای تحلیل و بررسی تهدیدات ناشناخته است. این فرآیند به منظور شناسایی رفتارهای مشکوک یا بدافزارهای جدیدی که ممکن است توسط سیستم‌های تشخیص سنتی شناسایی نشوند، انجام می‌شود.

وقتی یک فایل مشکوک توسط آنتی‌ویروس تشخیص داده می‌شود، در وهله اول این فایل به محیط Sandbox ارسال می‌شود. محیط Sandbox در واقع یک فضای ایزوله و امن است که فایل مورد نظر در آن اجرا و تحلیل می‌شود. این محیط هیچ ارتباطی با سیستم اصلی ندارد، به طوری که در صورت وجود کد مخرب هیچ آسیبی به سیستم وارد نمی‌شود. مراحل کار به صورت زیر است:

تشخیص فایل مشکوک: آنتی‌ویروس سیمانتک از طریق اسکن‌های عادی یا مبتنی بر رفتار، فایل‌هایی را که به نظر مشکوک می‌آیند شناسایی می‌کند. این فایل‌ها می‌توانند ناشناخته یا مشابه تهدیدات جدید باشند.

ارسال به محیط Sandbox: فایل شناسایی شده به‌طور خودکار به محیط Sandbox که معمولاً در یک فضای ابری امن یا محیط ایزوله ایجاد شده است، ارسال می‌شود.

تحلیل و اجرا: در محیط Sandbox، فایل به‌طور کامل اجرا و رفتار آن بررسی می‌شود. فعالیت‌هایی مثل دسترسی به رجیستری، ارتباطات شبکه‌ای، تغییرات در فایل‌های سیستم و دیگر رفتارهای مشکوک بررسی می‌شوند.

گزارش و تصمیم‌گیری: پس از تحلیل، گزارش جامعی از رفتار فایل تهیه می‌شود. اگر رفتار فایل مخرب باشد، سیمانتک فایل را به عنوان یک تهدید شناسایی کرده و اقدام به قرنطینه یا حذف آن می‌کند. اگر بی‌خطر باشد، به فعالیت خود ادامه می‌دهد.

این تکنیک در جلوگیری از حملات Zero-Day و بدافزارهای ناشناخته بسیار مؤثر است. از آنجا که بدافزارها همیشه در حال تغییر و به‌روزرسانی هستند، استفاده از محیط‌های Sandbox یکی از بهترین راه‌حل‌ها برای مقابله با تهدیدات جدید و ناشناخته است.

ارسال دستی فایل‌ها به محیط Sandbox

ارسال دستی فایل‌ها به محیط Sandbox در آنتی‌ویروس سیمانتک یکی از رویکردهای مؤثر برای تحلیل تهدیدات خاص یا فایل‌های مشکوکی است که به‌صورت خودکار شناسایی نشده‌اند.

اگر فایل مشکوکی را در محیط خود تشخیص دادید، می‌توانید فایل‌ها را به‌طور دستی نیز برای تجزیه و تحلیل به محیط Sandbox ارسال کنید.

در ادامه متن برخی از محدودیت‌های مربوط به ارسال دستی فایل‌ها به محیط Sandbox آمده است:

روزانه حداکثر 100 ارسال برای یک دامنه مشتری مجاز است.
اگر نتایج محیط Sandbox برای یک فایل در دسترس باشد، نمی‌توانید همان فایل را برای 7 روز آینده به محیط Sandbox ارسال کنید.
حداکثر اندازه فایل برای ارسال 20 مگابایت است.
شما می‌توانید فایل Portable Executable یا یک فایل Non-Portable Executable را انتخاب کنید. اگر فایل از نوع Non-Portable Executable باشد، می‌توانید یا از اعتبارسنجی ویندوز (Windows credentials) استفاده کنید یا با روش OTP برای اتصال به دستگاه اقدام کنید.
هنگامی که یک فایل برای تحلیل به Sandbox ارسال می‌شود یک Incident مرتبط ایجاد می‌گردد. برای مشاهده جزئیات Incident، به صفحه Incidents and Alerts > Incidents در کنسول مراجعه کرده و سپس Incident مورد نظر را انتخاب کنید.

استفاده از دستور Get File برای ارسال فایل‌ها به محیط Sandbox

گاهی اوقات وقتی عملیات Submit to Sandbox بر روی یک فایل اجرا می‌شود، به Symantec Agent دستور داده می‌شود تا فایل‌ها را بازیابی کند. سپس Symantec Agent دستور Get File را اجرا می‌کند تا فایل را برای مطابقت Hash بازیابی کند.

یک ویژگی به نام Get File Command ID که با دستور Get File برای Sandboxing فایل مرتبط است، در پنل جزئیات رویداد مربوط به event type_id 12 قابل مشاهده است.

نمونه زیر نشان می‌دهد که چگونه از ویژگی Get File Command ID برای بررسی درخواست دستور Get File در زمان اجرای دستور Submit to Sandbox استفاده می‌شود.