What is Fileless Malware?

Historicamente, a maior parte do malware era entregue na forma de arquivos, que eram baixados para um computador, gravados em sua memória e depois executados. Esse design tornou esses tipos de malware mais fáceis de detectar em determinadas soluções de segurança. O malware sem arquivo, entretanto, existe apenas na memória do computador infectado, não gravando nada no disco.

Tendências de ciberataque Solicite uma demo

Como funciona

A maioria dos malwares baseados em aplicativos e arquivos começa como um arquivo gravado no disco. Quando esse arquivo é executado, uma cópia é carregada na memória e os comandos do programa são executados. O malware sem arquivo ignora a etapa de gravação no disco, existindo apenas na memória.

Algumas das maneiras pelas quais isso pode ser feito incluem:

  • Vivendo fora da terra: muitas das ações executadas pelo malware podem ser realizadas com funcionalidades legítimas do sistema. O malware sem arquivo geralmente usa o PowerShell para acessar as funções internas da API do Windows que normalmente seriam usadas em arquivos executáveis maliciosos.
  • Documentos maliciosos: um documento do Microsoft Office pode incluir macros maliciosas que usam o PowerShell para executar comandos. Isso pode incluir o download e a execução de malware adicional sem gravá-lo no disco.
  • Exploração de vulnerabilidade: um aplicativo pode conter um buffer overflow ou outra vulnerabilidade de execução remota de código (RCE). Ao explorar esta vulnerabilidade, um invasor pode executar comandos maliciosos no processo vulnerável sem gravar nada no disco.
  • Sequestro de processo: depois que um arquivo é carregado na memória, seu espaço de memória pode ser modificado. O malware pode gravar código no espaço de memória de um processo existente e lançar sua funcionalidade maliciosa nesse processo.
  • malware baseado em registro: O registro do Windows contém informações de configuração para o SO do Windows, incluindo execuções automáticas. O malware sem arquivo pode definir uma execução automática que lança código malicioso por meio de LoLBins na inicialização do sistema ou quando um usuário faz login.

O que o malware sem arquivo pode fazer?

O malware sem arquivo pode fazer tudo o que uma variante de malware tradicional baseada em arquivo pode fazer. Isso inclui atuar como ladrão de informações, ransomware, kit de ferramentas de acesso remoto (RAT) e criptominerador.

A principal diferença entre malware sem arquivo e malware baseado em arquivo é como eles implementam seu código malicioso. O malware sem arquivo geralmente depende mais de recursos integrados do sistema operacional, em vez de implementar funcionalidades maliciosas em um executável independente.

Estágios de um ataque sem arquivo

Um ataque de malware sem arquivo é muito semelhante a um ataque de malware baseado em arquivo. Algumas das principais etapas incluem:

  1. Acesso inicial: O malware precisa de um meio de obter acesso aos sistemas de uma organização. O malware sem arquivo pode entregar um documento malicioso por meio de phishing ou explorar um aplicativo da web vulnerável.
  2. Execução: O malware sem arquivo pode executar código por vários meios. Por exemplo, um documento malicioso pode usar engenharia social para induzir o destinatário a ativar macros, permitindo que macros maliciosas executem comandos do PowerShell.
  3. Persistência: Depois que o malware obtém acesso a um sistema alvo, ele deseja manter esse acesso. Adicionar chaves de execução automática ao Registro do Windows é um meio comum de obter persistência e pode ser feito sem gravar código no disco.
  4. Objetivos: O malware é projetado para realizar alguma tarefa. O malware sem arquivo pode tentar roubar credenciais, criptografar arquivos, baixar malware adicional ou realizar alguma outra atividade maliciosa.

Detectando e protegendo contra ataques de malware sem arquivo

O malware sem arquivo foi projetado para ser mais difícil de detectar do que as variantes tradicionais de malware baseadas em arquivo. A razão para isso é que algumas soluções de Segurança de endpoint se concentram na verificação de arquivos em um sistema e não inspecionam processos em execução ativa em busca de códigos maliciosos ou atividades anômalas.

No entanto, mais difícil de detectar não é o mesmo que indetectável. Algumas das maneiras pelas quais uma organização pode se proteger contra ataques de malware sem arquivo incluem:

  • Funcionalidade de bloqueio: O malware sem arquivo muitas vezes “vive fora da terra”, usando funcionalidades integradas para atingir seus objetivos. Desabilitar ou monitorar aplicativos de alto risco — como o PowerShell — pode ajudar a prevenir e detectar ataques de malware sem arquivo.
  • Gerenciar macros: as macros do Microsoft Office são um método comum para malware sem arquivo obter acesso e execução inicial. Desativar macros pode ajudar a bloquear esse vetor de infecção.
  • Vulnerabilidade de patch: os invasores podem explorar vulnerabilidades, como buffer overflows, para executar código em aplicativos vulneráveis. A aplicação de patches e a implementação de patches virtuais com um Sistema de prevenção de intrusão (Intrusion Prevention System, IPS) (IPS) limita o risco de exploração de vulnerabilidade.
  • Autenticação segura: Os cibercriminosos utilizam cada vez mais credenciais comprometidas e soluções de acesso remoto, como RDP, para implantar e executar malware. A implementação da Autenticação multifatorial (MFA) e de uma política de segurança de confiança zero pode limitar o impacto potencial de uma conta comprometida.

Harmony Suite e plataforma XDR da Check Point

O malware sem arquivo é uma das várias ameaças que as organizações enfrentam. Para saber mais sobre o cenário atual de ameaças cibernéticas, confira o Relatório de tendências ciberataque semestrais de 2022 da Check Point.

Implementing defense in depth is essential to managing the risk of sophisticated malware and other leading cyber threats. Check Point Infinity XDR provides centralized visibility and threat management across an organization’s IT infrastructure, while Harmony Endpoint secures the endpoint.

Find out how Check Point can help improve your organization’s malware defenses. Sign in for a free demo of Harmony Endpoint today.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK