Análisis de malware

Destacado malware: malware sin archivos

30 de diciembre de por Imam Fakhar

Introducción

El malware sin archivos es una técnica maliciosa que utiliza software existente, aplicaciones legítimas, archivos del sistema operativo y protocolos autorizados de la máquina de la víctima para lograr sus objetivos. El malware sin archivos no deja huella porque no es un ataque basado en archivos que requiera la descarga de archivos ejecutables en el sistema infectado. Más bien, este ataque se basa en la memoria y es por eso que detectarlo es una tarea desalentadora.

Según el Informe sobre amenazas a la seguridad en Internet de de Symantec, el malware sin archivos está creciendo rápidamente. Ahora es una de las amenazas de infiltración digital más importantes para las organizaciones.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

En este artículo, veremos qué es el malware sin archivos, sus tipos comunes y cómo funciona, así como las técnicas de prevención utilizadas para deshacernos de él.

¿Cuáles son los tipos comunes de ataques de malware sin archivos?

Los ataques de malware sin archivos se dividen en tres categorías principales:

1. Técnicas basadas en scripts: es posible que esto no sea completamente sin archivos. Sin embargo, su detección puede resultar difícil. Ejemplos de estos ataques incluyen Operation Cobalt Kitty y SamSam ransomware
2. Inyección de código en memoria: esta técnica se utiliza para ocultar código malicioso en la memoria de programas de software legítimos. Algunos procesos son críticos para el funcionamiento adecuado de Windows. El malware sin archivos se difunde y se reinyecta en estos procesos para ayudar a los piratas informáticos a lograr sus objetivos maliciosos.
3. Manipulación del registro de Windows: al utilizar esta técnica, los atacantes de malware utilizan un enlace o archivo malicioso (cuando se hace clic en él) que involucra procesos de Windows para escribir y ejecutar código de malware sin archivos en el registro de Windows. Poweliks y Kovter son ejemplos de este tipo de ataques

¿Cuál es la diferencia entre el malware sin archivos y el malware tradicional?

En el pasado, el malware era simplemente un archivo ejecutable escrito para realizar actos maliciosos en la computadora de la víctima. Había una solución fácil: los proveedores de antivirus crearían firmas para estos archivos con el fin de detectar partes estáticas de este código malicioso en el disco. En surgió el malware sin archivos y así comenzó la nueva era de la detección y prevención de malware. Ya no podíamos confiar simplemente en firmas para bloquear el malware porque la carga maliciosa ya no residía en el disco duro de la víctima.

Según el Informe sobre el estado de los riesgos de seguridad de los terminales publicado por Ponemon Institute, los malware sin archivos son amenazas evasivas que se distinguen del malware tradicional al limitar sus actividades maliciosas únicamente en la memoria de la computadora de la víctima y evitar dejar cualquier artefacto en el sistema de archivos. .

¿Cómo evita el malware sin archivos la detección?

Los ataques de malware sin archivos se consideran de naturaleza evasiva por varias razones. En primer lugar, como se dijo anteriormente, los ataques de malware sin archivos se aprovechan del software y los archivos del sistema operativo legítimos mediante la ejecución de actividades sospechosas mientras las aplicaciones permitidas continúan ejecutándose. En segundo lugar, el malware sin archivos reside en la memoria, no en el disco. En tercer lugar, no deja ninguna de las huellas tradicionales de una firma que ayudaría a los productos antivirus a detectarla. El malware sin archivos aprovecha principalmente las herramientas integradas de Windows, como Windows Management Instrumentation (WMI) y PowerShell, para evitar la detección.

El enfoque de seguridad de la lista blanca, que sólo permite la instalación de aplicaciones legítimas, tampoco sirve contra ataques sin archivos. Esto se debe a que estos ataques se aprovechan de aplicaciones confiables que ya están en la lista aprobada.

¿Por qué los piratas informáticos utilizan PowerShell para ataques sin archivos?

Una de las razones más importantes por las que los piratas informáticos utilizan PowerShell para ataques sin archivos es que les brinda acceso rápido a las funciones del sistema operativo y se acepta como una herramienta legítima y confiable. Otras razones incluyen:

• PowerShell es un programa integrado en Windows
• Los scripts de PowerShell son fáciles de ofuscar y difíciles de detectar con productos de seguridad tradicionales.

¿Qué técnicas utilizan los piratas informáticos para penetrar su red?

Ya hemos arrojado luz sobre algunas técnicas que utilizan los piratas informáticos para penetrar en sus redes, como a través de PowerShell o WMI. Sin embargo, existen otras formas de inyectar malware sin archivos en su computadora. Incluyen:

• Los atacantes suelen crear sitios web fraudulentos que parecen legítimos pero que en realidad son maliciosos.
• Los atacantes inyectan código malicioso a través de aplicaciones legítimas predeterminadas, como JavaScript o herramientas de Microsoft Office.
• La carga útil maliciosa también puede inyectarse a través de descargas infectadas, enlaces sospechosos y correos electrónicos de phishing que parecen confiables.

Aquí está la cadena potencial que los piratas informáticos pueden utilizar para comprometer sus datos.

1. Los ciberdelincuentes le envían un mensaje de spam que incluye un enlace a un sitio web malicioso
2. Haces clic en el enlace
3. El sitio web infectado carga un reproductor Flash
4. Flash Player abre aún más la herramienta Windows PowerShell
5. PowerShell descargará y ejecutará un script desde un servidor de comando y control (CC).
6. El script de PowerShell encuentra y envía sus datos a los actores de amenazas

¿Cómo puedo defenderme de los ataques de malware sin archivos?

Aunque defenderse de los ataques de malware sin archivos es una tarea desalentadora debido a su naturaleza evasiva, se han desarrollado varias técnicas. A continuación se presentan algunas medidas de seguridad proactivas que pueden ayudar a proteger contra el malware sin archivos.

Detección y respuesta de terminales (EDR)

Necesitamos adoptar un enfoque más activo con respecto a la seguridad de nuestra red. Esto implica tener una solución de seguridad de endpoints de próxima generación, que registrará toda la actividad del sistema. Los cazadores de amenazas monitorean todas las actividades en los sistemas de información. Incluso si calc.exe se ha visto comprometido, podrán ver que hay actividad sospechosa en el sistema bajo este ejecutable. Luego se pueden crear reglas personalizadas para buscar y detener cualquier amenaza.

Más importante aún, el EDR debe realizar un monitoreo en tiempo real del tráfico de red entrante y saliente, correos electrónicos de phishing y tareas no deseadas en operaciones como PowerShell y WMI.

Soluciones antimalware

Muchas soluciones antimalware también intentan ayudar en este esfuerzo. Para ello, crean un enfoque basado en la detección dinámica de la actividad del sistema en lugar de solo detecciones estáticas.

Parches y actualizaciones

Mantenga siempre actualizadas sus aplicaciones de software y sistemas operativos con parches de seguridad y las últimas actualizaciones. Las aplicaciones sin parches y desactualizadas pueden proporcionar puertas traseras a actores hostiles.

Análisis de memoria

Dado que el malware sin archivos reside en la memoria, sus soluciones de seguridad también deberían ser capaces de realizar análisis y protección de la memoria.

Monitoreo de comportamiento

El malware sin archivos a menudo depende de la vulnerabilidad humana, lo que significa que el análisis y la detección del comportamiento del sistema y del usuario serán clave para las medidas de seguridad. Al utilizar User Behavior Analytics (UBA), puede encontrar amenazas ocultas y aumentar la precisión de sus operaciones de seguridad mientras acorta los plazos de investigación. Hoy en día, muchas soluciones de seguridad, como McAfee Enterprise Security Manager, ofrecen funciones de supervisión del comportamiento.

Integración

Dado que el malware sin archivos es evasivo y sofisticado, es necesario implementar seguridad en múltiples capas. Esto significa que su solución de seguridad debe permitir la integración de otras herramientas de seguridad para fortalecer su defensa de ciberseguridad contra el malware sin archivos.

Formación de los empleados

Capacite a sus empleados sobre cómo identificar actividades sospechosas, ya sean correos electrónicos o enlaces web sospechosos. La creación de “pruebas de phishing” internas es una necesidad constante y se sorprenderá de cuántos de sus empleados no aprobarán estas pruebas.

Conclusión

Este artículo analiza el malware sin archivos, sus tipos, operaciones y técnicas de prevención. Puede ver que los ataques de malware sin archivos son evasivos y de naturaleza muy sofisticada, ya que no es necesario instalarlos en el disco duro como otros malware comunes. En cambio, el malware sin archivos se almacena en la memoria y utiliza aplicaciones y procesos del sistema operativo legítimos para perpetrar actividades maliciosas.

Hay varias técnicas disponibles para defenderse de este ataque, que incluyen la instalación de la solución EDR de próxima generación, un programa antimalware, técnicas de análisis de comportamiento, mejores prácticas antiphishing , análisis de memoria y parches y actualizaciones.

Fuentes

1. ¿Qué es el malware sin archivos y cómo funciona? , Norton
2. ¿Qué es el malware sin archivos? , McAfee
3. Cómo detener el malware sin archivos: una inmersión profunda para empresas , revisión de soluciones de seguridad para endpoints
4. Cómo protegerse contra ataques de malware sin archivos , Minerva
5. Malware sin archivos 101: comprensión de los ataques que no son de malware , Cybereason
6. ¿Qué es el malware sin archivos? , Negro carbón VMware
7. ¿Qué es un ataque sin archivos? Cómo los piratas informáticos invaden los sistemas sin instalar software , CSO