كيفية اكتشاف البرامج الضارة التي لا تحتوي على ملفات وحماية مؤسستك

  • يتم تشغيل البرامج الضارة التي لا تحتوي على ملفات بشكل أساسي في الذاكرة وتستغل العمليات المشروعة، وبالتالي تتجاوز العديد من برامج مكافحة الفيروسات القائمة على التوقيع.
  • يعد PowerShell وWMI وسجل Windows والمستندات التي تحتوي على وحدات الماكرو من الأدوات والناقلات المفضلة لنشر هذه الأنواع من التهديدات وصيانتها.
  • يتطلب الاكتشاف الفعال مراقبة سلوك العملية، وأحداث WMI، واستخدام البرنامج النصي، والتسجيل المتقدم، ومن الناحية المثالية من خلال حلول EDR.
  • تجمع الوقاية بين التدريب وتقييد وحدات الماكرو والبرامج النصية والتحديث المستمر وحلول الأمان القادرة على تحليل الذاكرة وحركة المرور على الشبكة.
Lorena Figueredo

14 دقيقة

كيفية اكتشاف البرامج الضارة التي لا تحتوي على ملفات

El البرامج الضارة المليئة بالملفات لقد أصبح هذا الفيروس من أخطر المشاكل التي تواجه فرق الأمن ومسؤولي الأنظمة. فعلى عكس البرامج الضارة التقليدية، لا يعتمد هذا الفيروس على الملفات القابلة للتنفيذ المخزنة على القرص، بل فهو يعيش تقريبا بالكامل في الذاكرة. ويستغل هذا البرنامج عمليات وأدوات نظامية مشروعة. هذا يعني أن العديد من برامج مكافحة الفيروسات التقليدية، التي لا تزال تركز بشكل أساسي على فحص الملفات على القرص، لن تكتشفه.

ولجعل الأمور أسوأ، يقوم المهاجمون بدمج البرامج الضارة التي لا تحتوي على ملفات مع الهندسة الاجتماعية والاستغلال وأدوات الإدارة مثل PowerShell أو WMI أو نصوص Office. النتيجة: نوع من الهجمات الخفية للغاية، مثالي لحملات التجسس، وسرقة بيانات الاعتماد، وبرامج الفدية، أو التنقل الجانبي المطول داخل شبكة الشركة، وغالبًا ما يكاد لا يترك أي أثر جنائي.

ما هو البرمجيات الخبيثة الخالية من الملفات بالضبط؟

عندما نتحدث عن برامج ضارة بدون ملفات نحن نشير إلى الكود الخبيث الذي لا تحتاج إلى إضافة ملفات قابلة للتنفيذ جديدة إلى نظام الملفات للعمل. عادةً، يقوم المهاجم بحقن حمولته في العمليات التي تعمل بالفعل أو يستفيد من أدوات البرمجة النصية والأتمتة لنظام التشغيل نفسه لتنفيذ منطقه في ذاكرة الوصول العشوائي (RAM) للكمبيوتر.

بدلاً من إسقاط ملف .exe ضار نموذجي، هذا النوع من التهديدات يركز على إفساد التطبيقات الموثوقة. (PowerShell، WMI، المتصفحات، تطبيقات Office، إلخ) أو عن طريق إساءة استخدام الوظائف المضمنة في المستندات (وحدات الماكرو، DDE، ثغرات في قارئات PDF). بهذه الطريقة، يتم تنفيذ الشيفرة الخبيثة من خلال عمليات تبدو مشروعة تمامًا للعديد من حلول الأمان.

إحدى النتائج المباشرة هي أن لا يوجد "ملف نادر" للمسح الضوئي لا يوجد توقيع واضح للمقارنة به. يُحمّل الكود في الذاكرة، ويُنفّذ، ويؤدي وظيفته (سرقة البيانات، ونشر ثغرات أمنية، وتشفير الملفات، ونقل البيانات عبر الشبكة...)، وغالبًا ما يختفي عند إعادة التشغيل، إلا إذا أنشأ المهاجم آلية ثبات.

من المهم توضيح أن ليس كل الهجمات التي لا تستخدم ملفات تترك أثرًا كاملًا على القرص. أحيانًا يكون هناك مستند أو نص برمجي أو ثغرة أمنية أولية، ولكن يتم تنفيذ السلوك الرئيسي (الجزء الخطير). مباشرة من الذاكرة وحاول إزالة أو تقليل الآثار الموجودة في نظام الملفات.

تمثيل الهجوم بدون ملفات

السمات المميزة ولماذا يصعب اكتشافها

أحد الخصائص المميزة للبرامج الضارة الخالية من الملفات هو التنفيذ في الذاكرة فقطمما يعقد الأمور اكتشاف العمليات المخفية وبرامج الروتكتيتم حقن الحمولة الخبيثة في العمليات الحالية أو تفسيرها من نص برمجي، وتبقى في ذاكرة الوصول العشوائي (RAM) أثناء تشغيل الكمبيوتر. العديد من آليات الكشف القائمة على الأقراص لا تلاحظ ببساطة ما يحدث.

ومن الميزات المهمة الأخرى أنه، بشكل عام، لديه استمرار محدود إذا لم يتم ابتكار أي خدعة إضافيةلأن ذاكرة الوصول العشوائي (RAM) سريعة التأثر، فإن إعادة تشغيل النظام تُلغي هذا الجزء من الهجوم. يدرك مُجرمو التهديد هذا، لذا غالبًا ما يُكملون الجزء الخالي من الملفات بتقنيات مثل استخدام سجل ويندوز، أو المهام المجدولة، أو اشتراكات WMI لضمان استمرارية الوصول.

علاوة على ذلك، يعتمد هذا النوع من الهجوم على مفهوم "العيش خارج الأرض"الاستفادة من الأدوات المضمنة بالفعل في النظام - مثل PowerShell وWMI و.NET وأدوات Windows المُوقّعة من Microsoft - بدلاً من إدخال ملفات ثنائية خارجية. هذا يعني أن المهاجم يمتزج مع الإدارة الشرعية من البيئة، وهو أمر من المثالي في شبكات الشركات الكبيرة أن يمر دون أن يلاحظه أحد لعدة أشهر.

كل هذا يجعل الحلول مبنية على التوقيعات والقوائم البيضاء دورها محدود نوعًا ما. إذا صُمم برنامج مكافحة الفيروسات لتحديد الملفات التنفيذية المشبوهة أو حظر البرامج غير المصرح بها، ولكن تم تنفيذ الهجوم داخل PowerShell أو Word أو إحدى عمليات النظام، فإن مساحة المناورة تقل بشكل كبير.

وأخيرا، فإن القطع الأثرية الجنائية غالبًا ما تكون الآثار التي تتركها البرامج الضارة التي لا تحتوي على ملفات قليلة أو خفية للغاية. أحيانًا يكون ذلك مجرد مفتاح تسجيل غريب، أو اشتراك WMI في غير مكانه، أو أوامر غير مألوفة في سجلات PowerShell. بدون سياسة تسجيل صارمة ومراقبة نشطة، تضيع هذه الإشارات في غياهب النسيان.

متجهات الإدخال والعملية النموذجية للهجوم بدون ملفات

على الرغم من أن الجزء "بدون ملفات" يركز على الذاكرة، إلا أن الهجوم يبدأ دائمًا تقريبًا بنفس الطريقة مثل أي تدخل آخرمن خلال ناقل أولي يفتح الباب أمام الخصم. ولا تزال أكثر الطرق شيوعًا هي البريد الإلكتروني والويب، مصحوبة بالهندسة الاجتماعية أو استغلال الثغرات الأمنية.

من الطبيعي جدًا أن يتلقى الضحية مستند Office مع وحدات الماكرو, ملف PDF يحتوي على JavaScript ضار أو رابط في رسالة تصيد احتيالي يؤدي إلى موقع ويب مخترق. عند فتح المستند أو النقر عليه، يُنفّذ ماكرو أو يستغل ثغرة أمنية ويُطلق نص PowerShell أو أمر WMI الذي يقوم بتنزيل الحمولة الضارة وتنفيذها مباشرة في الذاكرة.

في سيناريوهات أخرى، يستغل المهاجم بيانات اعتماد مسروقة للوصول إلى جهاز كمبيوتر، ومنه تنفيذ نصوص إدارية تُحمّل البرامج الضارة إلى الذاكرة دون حفظ ملف exe على القرص. هناك أيضًا حالات خالية تمامًا من الملفات، حيث يُستغل ثغرة في الشبكة - على سبيل المثال، في بروتوكول SMB - مما يسمح بحقن برنامج خبيث مباشرةً في نواة النظام أو عمليات النظام.

بمجرد الدخول، يمر التدفق النموذجي بمراحل عديدة: الوصول الأولي، تأسيس الاستمرارية (إذا لزم الأمر)، وسرقة البيانات أو نقلها بشكل جانبي، وأخيرًا استخراج أو تنفيذ حمولة أخرى (مثل برامج الفدية). في كل مرحلة من هذه المراحل، يمكن دمج التقنيات الخالية من الملفات مع أنواع أخرى من البرامج الضارة لإنشاء حملات شديدة التعقيد.

بعض عائلات التهديدات تعرضت لانتهاكات جسيمة قذائف الويب على الخوادم حيث تحمل طلبات HTTP مكونات ضارة تُحقن في الذاكرة دون كتابة أي شيء على القرص. كما لوحظت هجمات على المؤسسات المالية استُخدم فيها PowerShell للتلاعب بالعمليات المشروعة وسرقة المعلومات دون ترك ملفات تنفيذية مشبوهة يمكن لبرامج مكافحة الفيروسات اكتشافها بسهولة.

أمان البرامج الضارة بدون ملفات

الأدوات والتقنيات الأكثر استخدامًا في الهجمات الخالية من الملفات

في نظام Windows البيئي، يلجأ المهاجمون باستمرار إلى بوويرشيل بفضل قوتها ومرونتها، تُعدّ لغة برمجة متكاملة للغاية، مع إمكانية الوصول إلى .NET وWMI وسجل النظام وخدمات الشبكة والملفات، وجميع أركان النظام تقريبًا. ببضعة أسطر فقط من التعليمات البرمجية، يمكنك تنزيل التعليمات البرمجية من الإنترنت وتنفيذها في الذاكرة ومحو جميع الآثار المرئية.

قطعة رئيسية أخرى هي WMI (أداة إدارة Windows)إلى جانب نظيرتها القياسية، CIM، تتيح هذه الواجهات للمستخدمين الاستعلام عن العديد من عناصر النظام وتعديلها، وتنفيذ إجراءات استجابةً لأحداث محددة، وإدارة المعدات عن بُعد. يستخدمها المهاجمون لمرحلة ما بعد الاستغلال وللاستمرار، باستخدام مرشحات الأحداث ومستهلكيها الذين ينفذون الأوامر عند استيفاء شروط معينة.

El الإطار. NET يعمل .NET Core (أو .NET Core) كإطار تقني تعتمد عليه العديد من هذه التقنيات. ومن خلال مكتباته، يمكن للبرامج الضارة التفاعل مع WMI وCOM وDCOM ومكونات أخرى، تمامًا كما يفعل مسؤول النظام باستخدام نصوص برمجية مشروعة.

كما يسلط الضوء على إساءة استخدام سجل ويندوز كمستودع للأكواد وآلية تشغيل. في هذه الهجمات، يُمكن للملف التنفيذي الأولي أن يُدمّر نفسه تلقائيًا بعد كتابة حمولته في السجل، فيبقى الجزء الخبيث قائمًا دون ملف واضح، ثم يُفعّل لاحقًا من مفاتيح مُحددة عند استيفاء شروط مُحددة.

إلى جانب كل هذا، يستخدم المهاجمون أدوات مساعدة موقعة من قبل Microsoft مثل rundll32 وmshta وملفات النظام الثنائية الأخرى التي تسمح بتنفيذ البرامج النصية أو ملفات DLL. ولأن هذه المكونات موثوقة، فإن حظرها بشكل شامل سيؤثر بشكل خطير على العمليات التجارية الاعتيادية، مما يضع إجراءات الأمان في موقف حرج.

أنواع البرامج الضارة والحملات التي تستغل التقنيات الخالية من الملفات

ضمن فئة الملفات الخالية من الملفات، نجد العديد من أساليب الهجوم التي تستغل هذه القدرة على العمل في الذاكرة أو الاعتماد على موارد النظام المحدودة. ومن أشهرها: البرامج الضارة المقيمة في الذاكرةيستخدم هذا الكود ذاكرة عملية ويندوز شرعية لاستضافة كوده. يمكن أن يظل هذا الكود خاملاً حتى يتحقق شرط معين، وعندها يتم تنشيطه دون ترك أي أثر على القرص.

البديل الآخر هو البرامج الضارة التي تعتمد على سجل Windowsهنا، تُخزَّن الحمولة الخبيثة كبيانات سجل، وتُنفَّذ بواسطة نصوص برمجية أو عمليات تقرأ هذا المحتوى وتُشغِّله عند بدء تشغيل النظام أو عند وقوع حدث مُحدَّد. ربما يكون الملف التنفيذي الذي بدأ كل شيء قد اختفى منذ زمن، مما يُصعِّب التحقيق الجنائي.

استخدام بيانات اعتماد مسروقة هذا النهج مناسب تمامًا. بمجرد وصول المهاجم إلى الشبكة باستخدام حساب مستخدم شرعي، يمكنه تشغيل نصوص برمجية في الذاكرة، ووضع مقتطفات برمجية في سجل النظام أو اشتراكات WMI، والتنقل عبر الشبكة متخفيًا في صورة حركة مرور إدارية عادية. في البيئات الكبيرة، يُعد تمييز هذا عن عمليات تكنولوجيا المعلومات الشرعية أمرًا صعبًا للغاية.

المتغيرات من برامج الفدية بدون ملفاتفي هذه الحالات، يتم تشغيل الحمولة التي تُشفّر البيانات مباشرةً من الذاكرة، ويتم تنفيذها أحيانًا بواسطة PowerShell أو أداة نظام أخرى. عادةً ما يتم الكشف عن هذه العملية فقط بعد تشفير الملفات، لأنه حتى ذلك الحين، كانت العمليات المرئية الوحيدة هي تلك التي تبدو موثوقة.

كما تظهر أيضًا ما يسمى مجموعات الاستغلالهذه مجموعات أدوات تكتشف الثغرات الأمنية في جهاز الضحية بعد اختراق أولي - غالبًا عبر رابط خبيث - وتنشئ ثغرات مخصصة. بمجرد دخولها، تُحمّل برمجياتها الخبيثة برمجيًا إلى الذاكرة وتعتمد على نصوص برمجية للحفاظ على التحكم ورفع الصلاحيات.

التأثير على الشركات والقيود المفروضة على الدفاعات التقليدية

بالنسبة للمنظمات، فإن المشكلة الكبيرة مع البرامج الضارة التي لا تحتوي على ملفات هي إن حظر الملفات القابلة للتنفيذ المشبوهة ليس كافياً للحفاظ على سلامتك، لا يمكنك ببساطة تعطيل PowerShell، أو حظر جميع المستندات التي تحتوي على وحدات ماكرو، أو منع استخدام WMI دون تعطيل العمليات الشرعية للإدارة، أو أتمتة المهام، أو الإنتاجية اليومية.

في الوقت نفسه، تُعتبر برامج مكافحة الفيروسات التي تُركز على توقيعات الملفات والقوائم البيضاء برامج عمياء تقريبًا. يستخدم نفس أجزاء النظام. وأن أدوات تكنولوجيا المعلومات يجب أن تعمل. في كثير من الأحيان، لا توجد حتى تجزئة غريبة لتحميلها إلى سحابة المزوّد للحصول على حكم: فالكود قد نُفّذ مُسبقًا من الذاكرة.

لقد مرت محاولات الاستجابة من قبل العديد من الشركات المصنعة كتل أو بقع جزئية هذه الإجراءات، التي لا تحل المشكلة تمامًا، تشمل الحد من استخدام PowerShell، وتعزيز وحدات ماكرو Office، وتطبيق عناصر تحكم سحابية تعتمد على الاتصال المستمر. مع ذلك، تعلم المهاجمون تجاوز هذه العوائق، على سبيل المثال، عن طريق تحميل PowerShell عبر مكتبات DLL، أو تشويش النصوص البرمجية، أو تجميع الشيفرة البرمجية في صور وتنسيقات بيانات أخرى.

علاوة على ذلك، أدى الضغط التجاري نفسه إلى ظهور بعض الحلول التي تعد بالحماية بدون ملفات، ولكن الأساليب التي تتبعها لا تفي بالغرض، مثل تحليل كود الماكرو بشكل ثابت أو يقتصرون على سمعة البرامج النصية المعروفة. بما أن الخصوم يستطيعون تنويع أدواتهم كما يشاؤون، فإن النهج القائم على التوقيع أو القواعد الثابتة يصبح عتيقًا بسرعة.

بالإضافة إلى ذلك، تضيف العديد من آليات الكشف القائمة على جانب الخادم أو السحابة زمن الاستجابةإذا كان على الوكيل في نقطة النهاية انتظار القرار البعيد للتصرف، فإن الوقاية في الوقت الفعلي تصبح أكثر تعقيدًا، خاصة في الهجمات السريعة للغاية مثل أنواع معينة من برامج الفدية أو ديدان الشبكة.

كيفية اكتشاف البرامج الضارة التي لا تحتوي على ملفات: التركيز على السلوك

الدرس الرئيسي من كل هذه الحالات واضح: الطريقة الأكثر فعالية لتحديد موقع البرامج الضارة التي لا تحتوي على ملفات هي مراقبة ما تفعله العملياتليس الأمر يتعلق كثيرًا بالملفات الموجودة على القرص، على سبيل المثال مع مستكشف عملية ذ VirusTotalوعلى الرغم من وجود الآلاف من المتغيرات المختلفة، فإن مجموعة السلوكيات المشبوهة في النهاية محدودة للغاية مقارنة بالثنائيات الخبيثة المحتملة.

الحلول الحديثة مثل منصات سلوكية مدعومة بالذكاء الاصطناعي والاستجابة للحوادث (EDR) إنهم يراقبون مكالمات النظام، وحجج سطر الأوامر، والوصول إلى السجل، واتصالات الشبكة، وإنشاء العمليات الفرعية، وتعديلات البرامج النصية، وما إلى ذلك. ومن هناك، يقومون ببناء نوع من "التاريخ" لكل سلسلة تنفيذ، مما يسمح لهم بتحديد متى تصبح العملية المشروعة جذرًا للنشاط الشاذ.

يمثل بعض المصنعين هذا على أنه الجدول الزمني للأحداث يوضح هذا، على سبيل المثال، كيف يفتح المستخدم مستند Outlook، وكيف يُفعّل هذا المستند ماكرو يُشغّل PowerShell بحجج مُضلّلة، وكيف يحاول PowerShell تنزيل حمولة من الإنترنت وتنفيذها. على الرغم من عدم وجود ملفات exe مشبوهة على القرص، فإن ارتباط التدفق يجعل الهجوم واضحًا.

يتميز هذا النهج المرتكز على السلوك بأنه مستقل عن المتجهلا يهم إن كان مصدر الاختراق ثغرة في برنامج فلاش، أو ماكرو في برنامج وورد، أو رابط في بريد إلكتروني. إذا كانت النتيجة عملية تبدأ بتشفير البيانات، أو حقن الشيفرة البرمجية، أو التواصل مع خادم الأوامر والتحكم، فيمكن للنظام اكتشافها وحظرها.

جنبا إلى جنب مع قدرات التراجع أو الانعكاس من التغييرات الضارة، وهذا لا يسمح بإيقاف الهجوم فحسب، بل يسمح أيضًا إصلاح Windows بعد الإصابة الخطيرةيشمل ذلك استعادة الملفات المشفرة، وإلغاء تغييرات السجل، وإنهاء العمليات المتصلة بالشبكة الخبيثة. من منظور استمرارية الأعمال، يُعد هذا الفرق هائلاً مقارنةً ببرنامج مكافحة الفيروسات الذي يُنبهك فقط عند فوات الأوان.

استراتيجيات عملية للكشف عن الملفات الخالية من الملفات في بيئات Windows

بالإضافة إلى وجود حل نقطة نهاية متقدم، هناك عدد من التدابير الفنية التي تساعد بشكل كبير اكتشاف أدلة البرامج الضارة بدون ملفات في البنية التحتية. الأول هو اعتماد سياسة تسجيل صارمة، خاصةً فيما يتعلق بـ PowerShell وWMI.

تسمح الإصدارات الحديثة من PowerShell سجل بالتفصيل الأوامر التي تم تنفيذهاوتسلسلات النصوص البرمجية، واستخدام بعض المعلمات الخطيرة مثل تجاوز سياسة التنفيذ. تحليل هذه السجلات بحثًا عن أنماط مشبوهة - كالتنزيلات من نطاقات غريبة، والأحمال في الذاكرة، والتعتيم الواضح - يمكن أن يكشف عن حملات قد تمر دون أن تُلاحظ.

خط دفاع آخر يتكون من فحص مستودع WMI بشكل دوري أبحث عن اشتراكات أو فلاتر للأحداث غير العادية. من خلال أوامر لتشخيص المشاكل يتيح لك PowerShell إدراج فئات مثل __EventFilter، أو CommandLineEventConsumer، أو __FilterToConsumerBinding والتحقق من العناصر التي لا تتناسب مع المهام الإدارية المشروعة.

ومن الجدير بالمراجعة أيضًا المهام المجدولة ومفاتيح تسجيل التمهيدخاصةً تلك التي تُشغّل نصوصًا برمجية أو مُفسّرات مثل PowerShell أو cscript أو wscript. تستخدم العديد من الهجمات التي لا تعتمد على ملفات هذه الآليات لاسترجاع شفرتها البرمجية من الذاكرة أو سجل النظام أو خادم بعيد في كل مرة يبدأ فيها النظام أو يُسجّل دخول المستخدم.

في الحالات الأكثر تقدما، يوصى بما يلي: الاعتماد على أدوات مثل Sysmon يمكن لـ Sysinternals إنشاء أحداث مفصلة للغاية حول إنشاء العمليات، واتصالات الشبكة، وتعديلات السجل، وما إلى ذلك، وتصديرها إلى نظام إدارة معلومات الأمن والأحداث (SIEM) أو منصة تحليلات مركزية. ومن هناك، يمكن إنشاء قواعد للتنبيه بشأن السلوكيات النموذجية للحملات المعروفة، أو أدوات مساعدة مثل كاشف الروتكيت للكشف عن القطع الأثرية المستمرة.

أفضل الممارسات لمنع الإصابة بالبرامج الضارة التي لا تحتوي على ملفات

وفي مجال الوقاية يبقى الركيزة الأولى هي التقليل من ناقلات العدوى الكلاسيكية: منع المستخدم من تشغيل مستندات خطيرة، وجعل استغلال الثغرات الأمنية أمرًا صعبًا، والحد من الحركة الجانبية في حالة حدوث خرق.

إنه أمر إلزامي تقريبًا تعطيل أو تقييد وحدات الماكرو في Office كلما أمكن، يُفضل استخدام كائنات نهج المجموعة (GPOs). يجب السماح باستخدام وحدات الماكرو فقط عند الحاجة الفعلية، وإذا أمكن، توقيعها رقميًا. وينطبق المبدأ نفسه على المحتوى النشط الآخر، مثل عناصر تحكم DDE أو ActiveX في المستندات.

ومن المهم أيضا أن يكون لديك حلول أمن الشبكات تراقب حركة المرور بحثًا عن الثغرات الأمنية، ومجموعات الثغرات، والسلوكيات غير الطبيعية. تستطيع أنظمة منع التطفل (IPS) وتقنيات مثل منع هجمات الشبكة اعتراض العديد من الهجمات قبل وصول الحمولات الخالية من الملفات إلى نقطة النهاية.

على مستوى نقطة النهاية، من المهم نشر أدوات قادرة على تحليل الذاكرة للسلوك الخبيثليس فقط للملفات على القرص. تستطيع محركات فحص ذاكرة الوصول العشوائي المتقدمة تحديد الأنماط الشائعة لحقن الشيفرة البرمجية، أو شيفرة shellcode، أو حمولات برامج الفدية، أو الثغرات الأمنية المخفية في عمليات النظام.

أخيرًا، لا شيء من هذا يعمل بدون النظافة الأساسية الجيدةتطبيق تصحيحات الأمان بشكل منتظم، والحفاظ على تحديث التطبيقات وأنظمة التشغيل، وتقسيم الشبكة لمنع الحركة الجانبية، وتنفيذ المصادقة المتعددة العوامل، والتحكم بشكل صارم في الحسابات ذات الامتيازات العالية.

إن الجمع بين كل ما سبق، إلى جانب ثقافة السلامة الحقيقية -التدريب المستمرإن محاكاة التصيد الاحتيالي وإجراءات الاستجابة الواضحة للحوادث هي ما يصنع الفارق بين المؤسسة التي تكتشف هجومًا بدون ملفات في مراحله المبكرة والمؤسسة التي تكتشف ذلك فقط عندما تكون خوادمها مشفرة بالفعل أو عندما يتم استخراج بياناتها.

الأمان في Windows 11
المادة ذات الصلة:
أهم الأسرار لتحسين الأمان في Windows 11