يواجه المهاجمون الذين يعملون عبر لوحات مفاتيح افتراضية تحدياً يتمثل في عدم ترك أي ملفات قابلة للاكتشاف، سواء كانت ملفات تنفيذية (.exe)، أو مكتبات ربط ديناميكي (.dll)، أو آثار على القرص. يقتصر الأمر على نبضة كهربائية في الذاكرة، وأمر واحد يُنفّذ عبر أداة نظام شرعية، مما يؤدي إلى انهيار دفاعات مؤسسة كاملة من الداخل. هذا السيناريو الذي يُعرف بـ"البرمجيات الخالية من الملفات" (Fileless Malware)، ليس من نسج الخيال العلمي، بل هو واقع يختبئ داخل الذاكرة ويستغل أدوات النظام الرسمية لشن الهجمات. فما مدى خطورة هذا النوع من البرمجيات؟ وكيف يمكن الحماية منه ومواجهته؟
المشهد التقني ببصمة درامية
يقول الدكتور محمد محسن رمضان، رئيس وحدة الذكاء الاصطناعي والأمن السيبراني بمركز العرب للأبحاث والدراسات، في تصريحات لـ"العربية.نت" و"الحدث.نت": البرمجيات الخالية من الملفات لا تأتي بعلامة تعريفية، إنها تتنكر بملابس مدنية. بدلاً من تحميل ملفات ضارة على الأقراص، تقوم بحقن أوامر وشفرات مباشرة في ذاكرة النظام أو تستدعي وظائف نظامية مشروعة (مثل PowerShell، WMI، mshta) لتنفيذ المهام الضارة. النتيجة؟ حلول الحماية التقليدية ترصدها، لكنها لا تتمكن من الإمساك بها لأنها لا ترى شيئًا على القرص. فقط عملية شرعية تعمل وكأن شيئًا لم يحدث.
كيف يبدأ الهجوم
أشار الدكتور محسن رمضان إلى أن بداية الهجوم تكون بخطوات قصيرة لكنها قاتلة. الخطوة الأولى، التي يطلق عليها "النفوذ الأولي"، تتمثل في رسالة بريد إلكتروني مخادعة، من خلال استغلال ثغرة في متصفح أو مستند مُصمَّم بدقة. الخطوة الثانية تتمثل في تشغيل الأداة الشرعية، سكربت PowerShell أو WMI، حيث يُضغط على زر التشغيل داخل نظام موثوق. أما الخطوة الثالثة فهي الحقن في الذاكرة، حيث تُحمّل الشفرة وتُنفَّذ في ذاكرة الوصول العشوائي (RAM) داخل عملية نظامية. الخطوة الرابعة تتمثل في التحكم والهيمنة، من خلال إنشاء قناة خفية مع خوادم التحكم (C2)، ونقل بيانات حساسة، وأحيانًا التمويه لإعادة الهجوم لاحقاً. كل ذلك يحدث بسرعة البرق، وغالباً دون أي أثر قابل للاستدلال عبر مسح الملفات التقليدي.
لماذا يعتبر هذا النوع أخطر من سابقه؟
أوضح الخبير التكنولوجي أن هذا النوع يعد الأخطر لعدة أسباب. أولها، عدم وجود أثر على القرص الصلب، مما يعني عدم وجود ملفات، وبالتالي لا توقيع ولا إنذار. ثانياً، استخدام أدوات موثوقة، حيث تُنفَّذ الأوامر عبر مكونات النظام نفسها، مما يجعلها تبدو كنشاط مشروع. ثالثاً، صعوبة الاستدلال الجنائي، فجمع قرائن الذاكرة وتحليلها أكثر تعقيداً ويتطلب خبراء متخصصين وأدوات متقدمة. رابعاً، مرونة الهجوم، حيث يمكن للمهاجمين تحوير تكتيكاتهم بسرعة لإخفاء مسارات الاتصال وبياناتهم. خامساً، سيناريوهات واقعية تضرب فيها الذاكرة، فقد أظهرت الهجمات التي استهدفت بنى حكومية، مؤسسات مالية، ومراكز بيانات نفس النمط: لا ملفات مُحملة، استخدام PowerShell كسائق للشفرة، وتنقل بيانات حساسة عبر قنوات مشفرة، كل ذلك بهدف التجسس، سرقة بيانات، أو خلق نافذة للنفاذ المستقبلي.
خارطة دفاع عملية.. كيف نرد الضربة؟
من ناحيته، يقول مساعد أول وزير الداخلية المصري الأسبق، اللواء أبوبكر عبدالكريم، في تصريحات خاصة لـ"العربية.نت" و"الحدث.نت": لا يكفي الآن الاعتماد على مضاد فيروسات قديم. فالمواجهة تتطلب استراتيجية هجومية -دفاعية متعددة الطبقات، تعتمد على سبعة عناصر. أولها، رؤية في الذاكرة (Memory Visibility) برصد الأنماط المشبوهة في عمليات الذاكرة وتحليل القيم المؤقتة فوراً. وثانيها، نشر حلول EDR متقدمة بقدرات رصد سلوكي لا تعتمد على التوقيعات فقط، ولكن تلتقط تلاعبات في العمليات وأفعال غير معتادة للأدوات الشرعية.
تابع: ثالثها تقنين أدوات النظام، بتقييد استخدام PowerShell وWMI عبر سياسات تنفيذ مقيدة (Constrained Mode)، وتفعيل تسجيل كامل للسكربتات (Script Block Logging)، رابعها مبدأ الأقل امتيازاً بمنع الحسابات من تشغيل أدوات حساسة أو تنفيذ أوامر على مستوى النظام إلا عند الضرورة المطلقة. خامسها مراقبة الشبكة لاكتشاف C2، من خلال أنماط الاتصال غير الطبيعية أو الاتصال بخوادم خارجية مشبوهة يجب أن تثير إنذاراً فورياً. سادسها تحليل ما بعد الحادث، بالاحتفاظ بصور ذاكرة (memory snapshots) عند الشك لتحليل جنائي دقيق، سابعها تدريب محاكاة الهجمات، بتدريبات دورية لفرق الاستجابة للحوادث لتجهيزها للتعامل مع هجمات لا تترك أثراً.
رسالة تحذير للمؤسسات وصانعي القرار
أشار اللواء عبدالكريم إلى أن البرمجيات الخالية من الملفات تُعلّمنا درساً واضحاً: الزمن الذي كنا نثق فيه بأدوات الحماية التقليدية قد انتهى. فالعدو أصبح يتقن فن الاختفاء داخل شريان النظام ذاته. إذا لم نستبق الهجوم برؤى في الذاكرة، وسياسات صارمة، وأتمتة ذكية للرصد والاستجابة، فستصبح المواد الحيوية — بيانات المواطنين، أسرار الشركات، بنى تحتية للدولة — مجرد أهداف سهلة.
