Todo lo que debes saber sobre el malware sin archivos

Introducción

El malware sin archivos (fileless) es una técnica maliciosa que utiliza software existente. También hace uso de aplicaciones legítimas, archivos del sistema operativo y los protocolos autorizados de la máquina de la víctima para lograr sus objetivos.

El malware sin archivos no deja huella porque no es un ataque basado en archivos que requieren la descarga de archivos ejecutables en el sistema infectado. Más bien, este ataque está basado en la memoria, y es por eso que detectarlo es una tarea desalentadora.

Según el Informe de amenazas de seguridad de Internet de Symantec de 2019, el malware sin archivos está creciendo rápidamente. Ahora es una de las amenazas de infiltración digital más importantes para las organizaciones.

En este artículo, veremos qué es el malware sin archivos, sus tipos, cómo funciona, así como las técnicas de prevención utilizadas para deshacerte de él.

¿Cuáles son los tipos comunes de ataques de malware sin archivos?

Los ataques de malware sin archivos se dividen en tres categorías principales:

  1. Técnicas basadas en secuencias de comandos: es posible que esto no sea completamente sin archivos. Sin embargo, su detección puede ser difícil. Ejemplos de estos ataques incluyen Operation Cobalt Kitty y el ransomware SamSam.
  2. Inyección de código de memoria: esta técnica se utiliza para ocultar código malicioso en la memoria de programas de software legítimos. Algunos procesos son críticos para la funcionalidad adecuada de Windows. El malware sin archivos se disemina y se reinyecta en estos procesos para ayudar a los ciberdelincuentes a cumplir sus objetivos maliciosos.
  3. Manipulación del registro de Windows: mediante esta técnica, los atacantes de malware utilizan un enlace o un archivo malicioso. Cuando se hace clic en él, se involucran procesos de Windows para escribir y ejecutar código de malware sin archivos en el registro de Windows. Poweliks y Kovter son ejemplos de este tipo de ataque.

¿Cuál es la diferencia entre el malware sin archivos y el malware tradicional?

En el pasado, el malware era simplemente un archivo ejecutable escrito para realizar actos maliciosos en la computadora de la víctima.

Había una solución fácil: los vendedores de antivirus crearían firmas para estos archivos para detectar partes estáticas de este código malicioso en el disco. En 2017, surgió el malware sin archivos, y así comenzó la nueva era de detección y prevención de malware.

Ya no podíamos confiar simplemente en las firmas para bloquear el malware porque la carga maliciosa ya no residía en el disco duro de la víctima.

De acuerdo con el State of Endpoint Security Risk Report publicado por el Instituto Ponemon, los malwares sin archivos son amenazas evasivas. Estas se distinguen del malware tradicional al limitar sus actividades maliciosas únicamente en la memoria de la computadora de la víctima.  De esta manera evitan dejar efectos en el sistema de archivos.

¿Cómo evade la detección el malware sin archivos?

Los ataques de malware sin archivos se consideran de naturaleza evasiva por varias razones.

Primero, como se dijo anteriormente, el malware sin archivos ataca a software legítimo y archivos del sistema operativo. Lo anterior mediante la ejecución de actividades sospechosas mientras las aplicaciones permitidas continúan ejecutándose.

En segundo lugar, el malware sin archivos reside en la memoria, no en el disco. En tercer lugar, no deja ninguna de las huellas tradicionales de una firma que ayudaría a los productos antivirus a detectarlo.

El malware sin archivos aprovecha principalmente las herramientas integradas de Windows, como Windows Management Instrumentation (WMI) y PowerShell para evitar la detección.

El enfoque de seguridad de lista blanca, que solo permite la instalación de aplicaciones legítimas, también es inútil contra ataques sin archivos. Esto se debe a que estos ataques aprovechan las aplicaciones confiables que ya están en la lista aprobada.

¿Por qué los hackers usan PowerShell para ataques sin archivos?

Una de las razones más importantes por las que los hackers usan PowerShell para ataques sin archivos es que les brinda acceso rápido a las funciones del sistema operativo. Asimismo, es aceptado como una herramienta confiable y legítima. Otras razones que podemos mencionar son:

  • PowerShell es un programa incorporado en Windows.
  • Los scripts de PowerShell son fáciles de ofuscar y difíciles de detectar con los productos de seguridad tradicionales.

¿Qué técnicas utilizan los hackers para penetrar en tu red?

Ya hemos hablado sobre algunas técnicas que los hackers utilizan para penetrar en tus redes, por ejemplo, a través de PowerShell o WMI. Sin embargo, hay varias otras formas en que se puede inyectar malware sin archivos en tu computadora. ejemplos:

Aquí está la cadena potencial que los hackers pueden usar para comprometer tus datos.

  1. Los cibercriminales te envían un mensaje de spam que incluye un enlace a un sitio web malicioso.
  2. Haces clic en el enlace.
  3. El sitio web infectado carga un reproductor Flash.
  4. Flash Player abre la herramienta Windows PowerShell.
  5. PowerShell descargará y ejecutará un script desde un servidor de comando y control (C&C)
  6. El script de PowerShell encuentra y envía tus datos a los ciberdelincuentes.

¿Cómo puedo defenderme de los ataques de malware sin archivos?

Aunque la defensa contra ataques de malware sin archivos es una tarea desalentadora debido a su naturaleza evasiva, se han desarrollado varias técnicas. A continuación, se presentan algunas medidas de seguridad proactivas que pueden ayudar a protegerte contra el malware sin archivos.

Detección y respuesta de punto final (Endpoint Detection and Response – EDR)

Necesitamos adoptar un enfoque más activo para la seguridad de nuestra red. Esto implica tener una solución de seguridad de punto final de próxima generación, que registrará toda la actividad del sistema.

Los detectores de amenazas monitorean todas las actividades en los sistemas de información. Incluso si calc.exe se ha visto comprometido, podrán ver que hay actividad sospechosa del sistema en este ejecutable. Luego se pueden crear reglas personalizadas para buscar y detener cualquier amenaza.

Más importante aún, el EDR debe realizar un monitoreo en tiempo real del tráfico de red entrante y saliente. Debe monitorear correos electrónicos de phishing y tareas no deseadas en operaciones como PowerShell y WMI.

Soluciones antimalware

Muchas soluciones antimalware también intentan ayudar en este esfuerzo. Lo hacen creando un enfoque dinámico basado en la detección de la actividad del sistema en lugar de solo detecciones estáticas.

Parches y actualizaciones 

Mantén siempre tus aplicaciones de software y sistemas operativos actualizados con parches de seguridad y las últimas actualizaciones. Las aplicaciones no parchadas y desactualizadas pueden proporcionar puertas traseras a actores hostiles.

Análisis de la memoria

Dado que el malware sin archivos reside en la memoria, tus soluciones de seguridad también deberían ser capaces de realizar análisis y protección de memoria.

Monitoreo del comportamiento

El malware sin archivos a menudo se basa en la vulnerabilidad humana, lo que significa que el análisis y la detección del comportamiento del sistema y del usuario serán la clave para las medidas de seguridad.

Usando un User Behavior Analytics (UBA), puedes encontrar amenazas ocultas y aumentar la precisión de tus operaciones de seguridad, asimismo acortas los plazos de investigación. Hoy en día, muchas funciones de seguridad, como McAfee Enterprise Security Manager, ofrecen funciones de monitoreo de comportamiento.

Integración

Dado que el malware sin archivos es evasivo y sofisticado, debes implementar seguridad multicapa. Esto significa que tu solución de seguridad debe permitir la integración de otras herramientas de seguridad para fortalecer tu defensa de ciberseguridad contra este malware.

Formación de los empleados

Debes capacitar a tus empleados sobre cómo identificar actividades sospechosas, ya sean correos electrónicos sospechosos o enlaces web. La creación de “pruebas de phishing” internas es una necesidad constante, y te sorprenderás de cuántos de tus empleados reprobarán estas pruebas.

Conclusión

En este artículo hemos analizado el malware sin archivos, sus tipos, operaciones y técnicas de prevención.

Puedes ver que los ataques de malware sin archivos son evasivos y de naturaleza muy sofisticada. Estos no necesitan instalarse en el disco duro como otros malware comunes. En cambio, el malware sin archivos se almacena en la memoria y utiliza aplicaciones legítimas y procesos del sistema operativo para perpetrar actividades maliciosas.

Hay varias técnicas disponibles para defenderte de este ataque, por ejemplo, la instalación de soluciones EDR de próxima generación y programas antimalware. Otras opciones son las técnicas de análisis de comportamiento, las mejores prácticas contra el phishing, el análisis de memoria y los parches y actualizaciones.