Ataques de malware sin archivos, protección y detección

Fileless Malware puede ser un término nuevo para la mayoría, pero la industria de seguridad lo conoce desde hace años. A principios de este año, más de 140 empresas en todo el mundo recibieron este tipo de malware sin archivos, incluidos bancos, telecomunicaciones y organizaciones gubernamentales. Fileless Malware, como su nombre lo explica es un tipo de malware que no utiliza ningún archivo en el proceso. Sin embargo, algunas firmas de seguridad afirman que el ataque sin archivos deja un pequeño binario en el host comprometido para iniciar el ataque de malware. Dichos ataques han experimentado un aumento significativo en los últimos años y son más riesgosos que los ataques de malware tradicionales.

Fileless Malware ataca

Fileless Malware ataca también conocido como Ataques no maliciosos . Usan un conjunto de técnicas típicas para ingresar a sus sistemas sin utilizar ningún archivo de malware detectable. En los últimos años, los atacantes se han vuelto más inteligentes y han desarrollado muchas formas diferentes de lanzar el ataque.

El malware sin archivos infecta las computadoras sin dejar ningún archivo en el disco duro local, esquivando las herramientas tradicionales de seguridad y análisis forense.

Lo que es único de este ataque es el uso de un software sofisticado malicioso, que logró residir puramente en la memoria de una máquina comprometida, sin dejar rastro en el sistema de archivos de la máquina. El malware sin archivos permite a los atacantes evadir la detección de la mayoría de las soluciones de seguridad de punto final que se basan en el análisis de archivos estáticos (Anti-Virus). El último avance en malware Fileless muestra que el enfoque de los desarrolladores pasó de disfrazar las operaciones de red a evitar la detección durante la ejecución del movimiento lateral dentro de la infraestructura de la víctima, dice Microsoft.

El malware sin archivos reside en Memoria de acceso aleatorio de su sistema informático y ningún programa antivirus inspecciona la memoria directamente, por lo que es el modo más seguro para que los atacantes inmiscuirse en su PC y robar todos sus datos. Incluso los mejores programas antivirus a veces pasan por alto el malware que se ejecuta en la memoria.

Algunas de las recientes infecciones por malware sin archivos que han infectado sistemas informáticos en todo el mundo son: Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.

Cómo funciona Fileless Malware

El malware sin archivos cuando llega a la Memoria puede implementar las herramientas incorporadas de Windows administrativas nativas y del sistema como PowerShell , SC.exe y netsh.exe para ejecutar el código malicioso y obtener el acceso de administrador a su sistema, a fin de llevar a cabo los comandos y robar sus datos. Fileless Malware en algún momento también puede ocultarse en Rootkits o el Registro del sistema operativo Windows.

Una vez dentro, los atacantes usan el caché de miniaturas de Windows para ocultar el mecanismo de malware. Sin embargo, el malware aún necesita un binario estático para ingresar a la PC host y el correo electrónico es el medio más común utilizado para el mismo. Cuando el usuario hace clic en el archivo adjunto malicioso, escribe un archivo cifrado de carga útil en el Registro de Windows.

Fileless Malware también utiliza herramientas como Mimikatz y Metaspoilt para inyectar el codificar en la memoria de su PC y leer los datos almacenados allí. Estas herramientas ayudan a los atacantes a inmiscuirse más profundamente en su PC y robar todos sus datos.

Análisis del comportamiento y malware sin archivos

Como la mayoría de los programas antivirus habituales usan firmas para identificar un archivo de malware, el malware sin archivos es difícil de detectar. Por lo tanto, las empresas de seguridad utilizan análisis de comportamiento para detectar el malware. Esta nueva solución de seguridad está diseñada para abordar los ataques y el comportamiento previos de los usuarios y las computadoras. Cualquier comportamiento anormal que apunte a contenido malicioso se notifica con alertas.

Cuando ninguna solución de punto final puede detectar el malware sin archivos, el análisis de comportamiento detecta cualquier comportamiento anómalo, como actividad de inicio de sesión sospechosa, horas de trabajo inusuales o el uso de cualquier recurso atípico. Esta solución de seguridad captura los datos del evento durante las sesiones donde los usuarios usan cualquier aplicación, navegan en un sitio web, juegan, interactúan en las redes sociales, etc.

El malware sin archivos solo se volverá más inteligente y más común. Las técnicas y herramientas habituales basadas en firmas tendrán más dificultades para descubrir este tipo de malware complejo y orientado al sigilo, dice Microsoft.

Cómo protegerse y detectar malware sin archivos

Siga las precauciones básicas para proteger su computadora con Windows:

• Aplique todas las últimas actualizaciones de Windows, especialmente las actualizaciones de seguridad de su sistema operativo.
• Asegúrese de que todo su software instalado esté actualizado y actualizado a sus últimas versiones
• Use un buen producto de seguridad que pueda escanear su memoria de las computadoras y también bloquear páginas web maliciosas que pueden estar hospedando Exploits.
• Tenga cuidado antes de descargar cualquier archivo adjunto de correo electrónico. Esto es para evitar la descarga de la carga útil.
• Use un Firewall fuerte que le permita controlar efectivamente el tráfico de la red.

Si necesita leer más sobre este tema, diríjase a Microsoft y consulte también este documento técnico de McAfee.