Cómo funciona
La mayoría de las aplicaciones y el malware basado en archivos comienzan como un archivo que se escribe en el disco. Cuando se ejecuta ese archivo, se carga una copia en la memoria y se ejecutan los comandos del programa. El malware sin archivos omite el paso de escribirse en el disco y existe únicamente en la memoria.
Algunas de las formas en que esto se puede lograr incluyen:
- Vivir de la tierra: muchas de las acciones que realiza el malware se pueden lograr con funciones legítimas del sistema. El malware sin archivos suele utilizar PowerShell para acceder a las funciones API integradas de Windows que normalmente se utilizarían en archivos ejecutables maliciosos.
- Documentos maliciosos: Un documento de Microsoft Office puede incluir macros maliciosas que utilizan PowerShell para ejecutar comandos. Esto podría incluir descargar y ejecutar malware adicional sin escribirlo en el disco.
- Explotación de vulnerabilidad: una aplicación puede contener un desbordamiento de búfer u otra vulnerabilidad de ejecución remota de código (RCE). Al explotar esta vulnerabilidad, un atacante puede ejecutar comandos maliciosos dentro del proceso vulnerable sin escribir nada en el disco.
- Secuestro de proceso: Una vez que un archivo se carga en la memoria, su espacio de memoria se puede modificar. El malware puede escribir código en el espacio de memoria de un proceso existente e iniciar su funcionalidad maliciosa dentro de ese proceso.
- malware basado en el registro: el registro de Windows contiene información de configuración para el SO de Windows, incluidas las ejecuciones automáticas. El malware sin archivos puede definir una ejecución automática que lanza código malicioso a través de LoLBins al iniciar el sistema o cuando un usuario inicia sesión.
¿Qué puede hacer el malware sin archivos?
El malware sin archivos puede hacer cualquier cosa que una variante tradicional de malware basada en archivos puede hacer. Esto incluye actuar como ladrón de información, ransomware, kit de herramientas de acceso remoto (RAT) y criptominero.
La principal diferencia entre el malware sin archivos y el malware basado en archivos es cómo implementan su código malicioso. El malware sin archivos suele depender más de funciones integradas del sistema operativo que de implementar funciones maliciosas en un ejecutable independiente.
Etapas de un ataque sin archivos
Un ataque de malware sin archivos se parece mucho a un ataque de malware basado en archivos. Algunas de las etapas clave incluyen:
- Acceso inicial: el malware necesita un medio para obtener acceso a los sistemas de una organización. El malware sin archivos puede entregar un documento malicioso mediante phishing o explotar una aplicación web vulnerable.
- Ejecución: el malware sin archivos puede lograr la ejecución del código a través de varios medios. Por ejemplo, un documento malintencionado puede usar ingeniería social para engañar al destinatario para que habilite macros, permitiendo que las macros maliciosas ejecuten comandos de PowerShell.
- Persistencia: una vez que el malware obtiene acceso a un sistema de destino, quiere mantener ese acceso. Agregar claves de autorun al Registro de Windows es un medio común de lograr persistencia y se puede lograr sin escribir código en el disco.
- Objetivos: El malware está diseñado para realizar alguna tarea. El malware sin archivos puede intentar robar credenciales, cifrar archivos, descargar malware adicional o realizar alguna otra actividad maliciosa.
Detección y protección contra ataques de malware sin archivos
El malware sin archivos está diseñado para ser más difícil de detectar que las variantes tradicionales de malware basadas en archivos. La razón de esto es que algunas soluciones de seguridad de terminales se centran en escanear archivos en un sistema y no inspeccionan los procesos en ejecución activa en busca de códigos maliciosos o actividades anómalas.
Sin embargo, más difícil de detectar no es lo mismo que indetectable. Algunas de las formas en que una organización puede protegerse contra ataques de malware sin archivos incluyen:
- Funcionalidad de bloqueo: el malware sin archivos a menudo "vive de la tierra" y utiliza funciones integradas para lograr sus objetivos. Deshabilitar o monitorear aplicaciones de alto riesgo, como PowerShell, puede ayudar a prevenir y detectar ataques de malware sin archivos.
- Administrar macros: las macros de Microsoft Office son un método común para que el malware sin archivos logre el acceso y la ejecución iniciales. Deshabilitar macros puede ayudar a bloquear este vector de infección.
- Vulnerabilidad del parche: los atacantes pueden aprovechar vulnerabilidades como los desbordamientos del búfer para ejecutar código dentro de la aplicación vulnerable. La aplicación de parches y la implementación de parches virtuales con un sistema de prevención de intrusiones (IPS) limita el riesgo de explotación de vulnerabilidades.
- Autenticación segura: los ciberdelincuentes utilizan cada vez más credenciales comprometidas y soluciones de acceso remoto, como RDP, para implementar y ejecutar malware. La implementación de autenticación de múltiples factores (MFA) y una política de seguridad de confianza cero puede limitar el impacto potencial de una cuenta comprometida.
Harmony Suite y plataforma XDR de Check Point
El malware sin archivos es una de las varias amenazas a las que se enfrentan las organizaciones. Para obtener más información sobre el panorama actual de ciberamenazas, consulte el Informe de tendencias ciberataque de mitad de año de 2022 de Check Point.
Implementing defense in depth is essential to managing the risk of sophisticated malware and other leading cyber threats. Check Point Infinity XDR provides centralized visibility and threat management across an organization’s IT infrastructure, while Harmony Endpoint secures the endpoint.
Find out how Check Point can help improve your organization’s malware defenses. Sign in for a free demo of Harmony Endpoint today.