تحديد الملفات الخالية من الملفات: دليل كامل لكشف البرامج الضارة وإيقافها في الذاكرة

آخر تحديث: 16/11/2025
نبذة عن الكاتب: دانيال تيراسا

  • تعيش البرامج الضارة التي لا تحتوي على ملفات في الذاكرة وتسيء استخدام الأدوات المشروعة (PowerShell وWMI وLoLBins)، مما يجعل من الصعب اكتشافها استنادًا إلى الملفات.
  • والمفتاح هنا هو مراقبة السلوكيات: علاقات العملية، وسطور الأوامر، والسجل، وWMI والشبكة، مع الاستجابة الفورية في نقطة النهاية.
  • يجمع الدفاع الطبقي بين تقييد المترجم وإدارة الماكرو والتصحيح والمصادقة المتعددة العوامل والمصادقة الإلكترونية/المصادقة متعددة العوامل (EDR/XDR) مع القياس عن بعد الغني ومركز العمليات الأمنية (SOC) المتوفر على مدار الساعة طوال أيام الأسبوع.
تحديد الملفات الخالية من الملفات

أصبحت الهجمات التي تُنفَّذ دون ترك أثر على القرص الصلب مصدر إزعاج كبير للعديد من فرق الأمن، لأنها تُنفَّذ بالكامل في الذاكرة وتستغل عمليات النظام المشروعة. ومن هنا تأتي أهمية معرفة كيفية التعرف على الملفات التي لا تحتوي على ملفات والدفاع عن أنفسهم ضدهم.

بعيدًا عن العناوين الرئيسية والاتجاهات السائدة، فإن فهم آلية عملها، وأسباب صعوبتها، والعلامات التي تُمكّننا من اكتشافها، يُحدث الفرق بين احتواء الحادثة والندم على الاختراق. في السطور التالية، نُحلل المشكلة ونقترح: حلول.

ما هي البرمجيات الخبيثة الخالية من الملفات ولماذا هي مهمة؟

 

لا تعد البرامج الضارة الخالية من الملفات عائلة محددة، بل هي طريقة عمل: تجنب كتابة الملفات القابلة للتنفيذ على القرص يستخدم المهاجم خدمات وملفات ثنائية موجودة مسبقًا في النظام لتنفيذ برمجيات خبيثة. بدلًا من ترك ملف سهل الفحص، يستغل المهاجم أدوات موثوقة ويحمّل منطقه مباشرةً في ذاكرة الوصول العشوائي (RAM).

غالبًا ما يتم تضمين هذا النهج في فلسفة "العيش من الأرض": حيث يستغل المهاجمون أدوات أصلية مثل PowerShell وWMI وmshta وrundll32 أو محركات النصوص البرمجية مثل VBScript وJScript لتحقيق أهدافها بأقل قدر من الضوضاء.

ومن بين ميزاته الأكثر تمثيلا نجد: التنفيذ في الذاكرة المتقلبة، وجود قدر ضئيل أو معدوم من الثبات على القرص، واستخدام مكونات موقعة بواسطة النظام وقدرة عالية على التهرب من محركات تعتمد على التوقيع.

على الرغم من اختفاء العديد من الحمولات بعد إعادة التشغيل، فلا تنخدع: يمكن للخصوم إثبات المثابرة من خلال الاستفادة من مفاتيح التسجيل، أو اشتراكات WMI، أو المهام المجدولة، كل ذلك دون ترك ملفات ثنائية مشبوهة على القرص.

صعوبات في اكتشاف البرامج الضارة التي لا تحتوي على ملفات

لماذا نجد صعوبة كبيرة في التعرف على الملفات الخالية من الملفات؟

الحاجز الأول واضح: لا توجد ملفات شاذة للتفتيشتتمتع برامج مكافحة الفيروسات التقليدية التي تعتمد على التوقيعات وتحليل الملفات بمساحة صغيرة للمناورة عندما يكون التنفيذ موجودًا في العمليات الصالحة والمنطق الخبيث موجودًا في الذاكرة.

أما الأمر الثاني فهو أكثر دهاءً: حيث يقوم المهاجمون بتمويه أنفسهم خلف عمليات نظام التشغيل المشروعةإذا تم استخدام PowerShell أو WMI يوميًا للإدارة، فكيف يمكنك التمييز بين الاستخدام العادي والاستخدام الضار دون سياق وقياس السلوك؟

علاوة على ذلك، ليس من الممكن حظر الأدوات المهمة بشكل عشوائي. قد يؤدي تعطيل وحدات ماكرو PowerShell أو Office بشكل عام إلى تعطيل العمليات و لا يمنع الانتهاكات بشكل كامللأن هناك العديد من مسارات التنفيذ البديلة والتقنيات للالتفاف على الكتل البسيطة.

وفوق كل ذلك، فإن الكشف السحابي أو من جانب الخادم متأخرٌ جدًا لمنع المشاكل. فبدون رؤية محلية آنية للمشكلة... أسطر الأوامر وعلاقات العمليات وأحداث السجللا يمكن للوكيل التخفيف من التدفق الخبيث الذي لا يترك أي أثر على القرص.

محتوى حصري - اضغط هنا  ما هي الحسابات التي لا تحتاج إلى كلمة مرور وكيف تساهم في تغيير الأمن الرقمي؟

كيف يعمل الهجوم الخالي من الملفات من البداية إلى النهاية

عادةً ما يتم الوصول الأولي باستخدام نفس المتجهات كما هو الحال دائمًا: التصيد الاحتيالي باستخدام مستندات المكتب التي تطلب تمكين المحتوى النشط، أو الروابط إلى المواقع المخترقة، أو استغلال الثغرات الأمنية في التطبيقات المكشوفة، أو إساءة استخدام بيانات الاعتماد المسربة للوصول عبر RDP أو خدمات أخرى.

بمجرد دخوله، يسعى الخصم إلى التنفيذ دون لمس القرص. للقيام بذلك، يربط وظائف النظام معًا: وحدات الماكرو أو DDE في المستندات التي تقوم بتشغيل الأوامر، أو استغلال الفيضانات لـ RCE، أو استدعاء الثنائيات الموثوقة التي تسمح بتحميل وتنفيذ التعليمات البرمجية في الذاكرة.

إذا كانت العملية تتطلب الاستمرارية، فيمكن تنفيذ الاستمرارية دون نشر ملفات قابلة للتنفيذ جديدة: إدخالات بدء التشغيل في السجلاشتراكات WMI التي تتفاعل مع أحداث النظام أو المهام المجدولة التي تقوم بتشغيل البرامج النصية في ظل ظروف معينة.

مع تحديد التنفيذ، فإن الهدف يملي الخطوات التالية: التحرك جانبيًا، استخراج البياناتيشمل ذلك سرقة بيانات الاعتماد، ونشر برامج الوصول عن بُعد، وتعدين العملات المشفرة، أو تفعيل تشفير الملفات في حالة برامج الفدية. ويتم كل ذلك، كلما أمكن، بالاستفادة من الوظائف المتاحة.

يعد إزالة الأدلة جزءًا من الخطة: من خلال عدم كتابة ثنائيات مشبوهة، يقلل المهاجم بشكل كبير من القطع الأثرية التي يجب تحليلها. مزج نشاطهم بين الأحداث العادية من النظام وحذف الآثار المؤقتة عندما يكون ذلك ممكنا.

تحديد الملفات الخالية من الملفات

التقنيات والأدوات التي يستخدمونها عادةً

الكتالوج واسع، ولكنه غالبًا ما يدور حول الأدوات المساعدة الأصلية والمسارات الموثوقة. هذه بعض من أكثرها شيوعًا، والهدف منها دائمًا تعظيم التنفيذ في الذاكرة وطمس الأثر:

  • بوويرشيلبرمجة نصية قوية، وإمكانية الوصول إلى واجهات برمجة تطبيقات Windows، وأتمتة. تعدد استخداماته يجعله خيارًا مثاليًا للإدارة والهجمات الهجومية.
  • WMI (أداة إدارة Windows)إنه يسمح لك بالاستعلام عن أحداث النظام والرد عليها، بالإضافة إلى تنفيذ إجراءات عن بعد ومحلية؛ وهو مفيد لـ المثابرة والتنظيم.
  • VBScript و JScript: محركات موجودة في العديد من البيئات تعمل على تسهيل تنفيذ المنطق من خلال مكونات النظام.
  • mshta وrundll32 والملفات الثنائية الموثوقة الأخرى:LoLBins المعروفة والتي، عند ربطها بشكل صحيح، يمكنها تنفيذ التعليمات البرمجية دون إسقاط القطع الأثرية واضح على القرص.
  • المستندات ذات المحتوى النشطيمكن أن تعمل وحدات الماكرو أو DDE في Office، بالإضافة إلى برامج قراءة ملفات PDF ذات الميزات المتقدمة، كنقطة انطلاق لبدء تشغيل الأوامر في الذاكرة.
  • سجل ويندوز: مفاتيح التمهيد الذاتي أو التخزين المشفر/المخفي للحمولات التي يتم تنشيطها بواسطة مكونات النظام.
  • الضبط والحقن في العمليات:تعديل مساحة الذاكرة للعمليات الجارية لـ منطق خبيث المضيف ضمن ملف قابل للتنفيذ شرعي.
  • مجموعات التشغيل: اكتشاف نقاط الضعف في نظام الضحية ونشر استغلالات مصممة خصيصًا لتحقيق التنفيذ دون لمس القرص.

التحدي الذي تواجهه الشركات (ولماذا لا يكفي مجرد حظر كل شيء)

النهج البسيط يقترح إجراءً جذريًا: حظر PowerShell، ومنع وحدات الماكرو، ومنع الملفات الثنائية مثل rundll32. لكن الواقع أكثر تعقيدًا: العديد من هذه الأدوات ضرورية. للعمليات اليومية لتكنولوجيا المعلومات والأتمتة الإدارية.

محتوى حصري - اضغط هنا  كيف أعرف ما إذا كان تطبيق Whatsapp الخاص بي يتجسس علي

بالإضافة إلى ذلك، يبحث المهاجمون عن الثغرات: تشغيل محرك النصوص بطرق أخرى، استخدم نسخًا بديلةيمكنك تجميع المنطق في صور أو اللجوء إلى خوارزميات LoLBins الأقل مراقبة. يؤدي الحظر الشامل في النهاية إلى خلق احتكاك دون توفير حماية كاملة.

التحليل المُعتمد على جانب الخادم أو السحابة فقط لا يحل المشكلة أيضًا. فبدون بيانات قياس عن بُعد غنية لنقاط النهاية، وبدون الاستجابة في الوكيل نفسهالقرار يأتي متأخرا والوقاية غير ممكنة لأننا مضطرون إلى انتظار الحكم الخارجي.

وفي الوقت نفسه، أشارت تقارير السوق منذ فترة طويلة إلى نمو كبير للغاية في هذا المجال، مع وجود قمم حيث تضاعفت محاولات إساءة استخدام PowerShell تقريبًا في فترات قصيرة، مما يؤكد أنها تكتيك متكرر ومربح للأعداء.

هجوم المتري

الكشف الحديث: من الملف إلى السلوك

المفتاح ليس من ينفذ، بل كيف ولماذا. مراقبة سلوك العملية وعلاقاتها إنه حاسم: سطر الأوامر، وراثة العملية، واستدعاءات واجهة برمجة التطبيقات الحساسة، والاتصالات الصادرة، وتعديلات التسجيل، وأحداث WMI.

يقلل هذا النهج بشكل كبير من سطح التهرب: حتى لو تغيرت الثنائيات المعنية، أنماط الهجوم تتكرر (البرامج النصية التي يتم تنزيلها وتنفيذها في الذاكرة، وإساءة استخدام LoLBins، واستدعاء المترجمين، وما إلى ذلك). تحليل هذا البرنامج النصي، وليس "هوية" الملف، يُحسّن الكشف.

تعمل منصات EDR/XDR الفعالة على ربط الإشارات لإعادة بناء تاريخ الحادث بالكامل، وتحديد السبب الجذري بدلاً من إلقاء اللوم على العملية التي "ظهرت"، فإن هذه الرواية تربط المرفقات، والماكرو، والمترجمين، والحمولات، والمثابرة للتخفيف من التدفق بأكمله، وليس مجرد جزء معزول.

تطبيق الأطر مثل MITER ATT & CK يساعد في رسم خريطة للتكتيكات والتقنيات الملاحظة (TTPs) وتوجيه البحث عن التهديدات نحو السلوكيات ذات الاهتمام: التنفيذ، والمثابرة، والتهرب من الدفاع، والوصول إلى بيانات الاعتماد، والاكتشاف، والحركة الجانبية والتسرب.

أخيرًا، يجب أن يكون تنسيق استجابة نقطة النهاية فوريًا: عزل الجهاز، العمليات النهائية المشاركة في عكس التغييرات في السجل أو جدول المهام وحظر الاتصالات الصادرة المشبوهة دون انتظار التأكيدات الخارجية.

القياس عن بعد المفيد: ما الذي يجب النظر إليه وكيفية تحديد الأولويات

لزيادة احتمالية الكشف دون إثقال النظام، يُنصح بإعطاء الأولوية للإشارات عالية القيمة. بعض المصادر وعناصر التحكم تُوفر السياق. حاسمة لعدم وجود ملفات هي:

  • سجل PowerShell التفصيلي والمترجمين الآخرين: سجل كتلة البرنامج النصي، وسجل الأوامر، والوحدات المحملة، وأحداث AMSI، عند توفرها.
  • مستودع WMIجرد وتنبيه بشأن إنشاء أو تعديل مرشحات الأحداث والمستهلكين والروابط، وخاصة في المساحات الحساسة.
  • الأحداث الأمنية وSysmon: ارتباط العملية، وسلامة الصورة، وتحميل الذاكرة، وحقنها، وإنشاء المهام المجدولة.
  • أحمر: اتصالات خارجية شاذة، ومنارات، وأنماط تنزيل الحمولة، واستخدام قنوات سرية للتسلل.

تساعد الأتمتة على فصل الغث عن السمين: قواعد الكشف القائمة على السلوك، وقوائم السماح الإدارة الشرعية وتعمل الإثراء بمعلومات استخبارات التهديدات على الحد من الإيجابيات الخاطئة وتسريع الاستجابة.

الوقاية والحد من السطح

لا يكفي إجراء واحد، لكن الدفاع متعدد الطبقات يقلل المخاطر بشكل كبير. على الجانب الوقائي، تبرز عدة خطوط عمل. ناقلات المحاصيل وتجعل الحياة أكثر صعوبة على الخصم:

  • إدارة الماكرو: قم بتعطيله افتراضيًا والسماح به فقط عندما يكون ضروريًا للغاية وموقعًا؛ عناصر تحكم دقيقة عبر سياسات المجموعة.
  • تقييد المترجمين الفوريين وLoLBins:تطبيق AppLocker/WDAC أو ما يعادله، والتحكم في البرامج النصية وقوالب التنفيذ باستخدام التسجيل الشامل.
  • التصحيحات والتخفيفات:إغلاق الثغرات القابلة للاستغلال وتفعيل حماية الذاكرة التي تحد من RCE والحقن.
  • مصادقة قويةمبادئ MFA والثقة الصفرية للحد من إساءة استخدام بيانات الاعتماد تقليل الحركة الجانبية.
  • التوعية والمحاكاةتدريب عملي على التصيد الاحتيالي، والمستندات ذات المحتوى النشط، وعلامات التنفيذ الشاذ.
محتوى حصري - اضغط هنا  كيف تحمي حساب Shopee الخاص بك من المتسللين؟

يتم استكمال هذه التدابير بحلول تعمل على تحليل حركة المرور والذاكرة لتحديد السلوك الضار في الوقت الفعلي، بالإضافة إلى سياسات التجزئة وامتيازات ضئيلة لاحتواء التأثير عندما يفلت شيء ما.

الخدمات والأساليب التي تعمل

في البيئات التي تحتوي على العديد من نقاط النهاية والخطورة العالية، يتم توفير خدمات الكشف والاستجابة المُدارة مع مراقبة على مدار الساعة طوال أيام الأسبوع لقد أثبتت هذه التقنيات فعاليتها في تسريع احتواء الحوادث. يوفر الجمع بين مركز العمليات الأمنية (SOC) وEMDR/MDR وEDR/XDR رؤيةً خبيرةً، وقياسًا عن بُعد ثريًا، وقدرات استجابة منسقة.

لقد استوعب المزودون الأكثر فعالية التحول إلى السلوك: وكلاء خفيفو الوزن ربط النشاط على مستوى النواةإنهم يقومون بإعادة بناء سجلات الهجمات الكاملة ويطبقون التخفيف التلقائي عندما يكتشفون سلاسل ضارة، مع القدرة على التراجع عن التغييرات.

بالتوازي مع ذلك، تعمل مجموعات حماية نقاط النهاية ومنصات XDR على دمج الرؤية المركزية وإدارة التهديدات عبر محطات العمل والخوادم والهويات والبريد الإلكتروني والسحابة؛ والهدف هو تفكيك سلسلة الهجوم بغض النظر عما إذا كانت الملفات متضمنة أم لا.

مؤشرات عملية لصيد التهديدات

إذا كان عليك تحديد أولويات فرضيات البحث، فركز على الجمع بين الإشارات: عملية مكتبية تطلق مترجمًا بمعلمات غير عادية، إنشاء اشتراك WMI بعد فتح مستند، تتبع التعديلات على مفاتيح بدء التشغيل اتصالات بمجالات ذات سمعة سيئة.

هناك نهج فعال آخر يتمثل في الاعتماد على البيانات الأساسية من بيئتك: ما هو الوضع الطبيعي على خوادمك ومحطات عملك؟ أي انحراف (ملفات ثنائية موقعة حديثًا تظهر كأصول للمترجمين، ارتفاعات مفاجئة في الأداء (من البرامج النصية، وسلاسل الأوامر مع التعتيم) تستحق التحقيق.

أخيرًا، لا تنس الذاكرة: إذا كان لديك أدوات تقوم بفحص المناطق قيد التشغيل أو التقاط لقطات، النتائج في RAM يمكن أن تكون بمثابة الدليل النهائي على النشاط بدون ملفات، خاصةً عندما لا توجد أي آثار في نظام الملفات.

إن الجمع بين هذه التكتيكات والتقنيات والضوابط لا يزيل التهديد، لكنه يضعك في وضع أفضل لاكتشافه في الوقت المناسب. قطع السلسلة وتقليل التأثير.

عند تطبيق كل هذا بحكمة - القياس عن بُعد الغني بنقاط النهاية، والارتباط السلوكي، والاستجابة الآلية، والتحصين الانتقائي - يفقد أسلوب عدم استخدام الملفات الكثير من مزاياه. ورغم أنه سيستمر في التطور، التركيز على السلوكيات بدلاً من الملفات، فإنه يوفر أساسًا قويًا لدفاعك ليتطور معه.