Blog

    Te encuentras en: 
  1. Blog
  2. Conceptos básicos sobre los ataques de malware sin archivos
ataques de malware sin archivos
Blog

Conceptos básicos sobre los ataques de malware sin archivos

Los ataques de malware sin archivos no necesitan que un usuario instale y ejecute programas maliciosos en la máquina de destino. En su lugar, los atacantes utilizan con fines maliciosos herramientas perfectamente legítimas integradas en el sistema operativo como por ejemplo Windows PowerShell, Microsoft Office, WMI, Microsoft .NET Framework o el Registro de Windows.

También pueden aprovechar vulnerabilidades de día cero (o antiguas y no corregidas) en los sistemas operativos, o en otras aplicaciones instaladas en el ordenador.

Podríamos decir que Windows se vuelve contra sí mismo.

Básicamente, los programas antimalware emplean estos métodos para detectar software malicioso.

  • Base de datos de firmas: El método, tradicional utilizado por los antivirus para la detección de malware,
  • Heurística: basa su comportamiento en diferentes criterios que determinarán si un archivo es malicioso, como por ejemplo, que modifique el registro o se establezca una conexión remota con otro dispositivo.
  • Sistema de prevención de intrusiones de host: una capa de seguridad adicional que brinda un control completo sobre el comportamiento de las aplicaciones.
  • Detección basada en la nube: se instala un pequeño programa cliente en el dispositivo del usuario que, a su vez, se conecta a los servicios del proveedor de seguridad.

Pero sin un archivo que actúe como una fuente de infección, los escáneres de virus difícilmente pueden detectar ataques sin archivos, y los sistemas de detección basados únicamente ​​en firmas de malware todavía menos.

Y, debido a que muchas soluciones de seguridad confían en las utilidades que forman parte del sistema operativo, la actividad maliciosa puede pasar desapercibida fácilmente, ya que un análisis de comportamiento asumirá que las acciones llevadas a cabo por estos programas son legítimas.

Ejemplo de malware sin archivos

El malware sin archivos nunca reside en el disco duro, si no que se inyecta directamente en la RAM donde se activa inmediatamente.

La memoria RAM, básicamente es una forma de memoria temporal que al apagar o reiniciar el sistema vuelve a quedarse en blanco.

Entonces, ¿la buena noticia es que si reiniciamos la máquina podemos detener el ataque?

No necesariamente.

En la mayoría de los casos, los villanos más experimentados suelen establecer algún mecanismo de persistencia para que su malware no se volatilice en cada reinicio.

  • Para mantener la persistencia del software malicioso en la máquina del usuario, la carga útil elimina el malware de su ubicación original y lo coloca en una carpeta.
  • También puede crear una clave en el registro que ejecutará el software malicioso, cada vez que el ordenador se reinicie.

Si bien estas tareas programadas pueden ser identificables si se sabe lo que se busca, no siempre es así.

Qué técnicas utilizan los piratas informáticos para perpetrar este tipo de ataque.

Si bien los villanos no necesitan instalar código para lanzar un ataque de malware sin archivos, aún tienen que obtener acceso al objetivo para poder modificar las herramientas nativas del sistema operativo.

Los atacantes pueden inyectar código malicioso a través de aplicaciones legítimas como JavaScript o también utilizando herramientas de Microsoft Office.

La carga útil maliciosa también puede pasar de contrabando a través de descargas infectadas, enlaces web maliciosos, correos electrónicos de phishing o ransomware sin archivos.

Aprovechar alguna vulnerabilidad grave en el sistema operativo, o cargar el malware en memoria a través de paquetes de red es otra forma de infección.

También pueden emplear kits de exploits.

Ejemplo muy básico mediante ataque de phishing.

  1. Los ciberdelincuentes envían un correo electrónico de phishing que contiene un enlace a un sitio web malicioso.
  2. El usuario hace clic en el enlace que lo dirige al sitio web en cuestión.
  3. El sitio web infectado carga una aplicación que contiene el código malicioso.
  4. El código malicioso abre la herramienta Windows PowerShel.
  5. PowerShell descarga y ejecuta automáticamente un script desde un servidor de comando y control (C&C)
  6. Una vez que se han ejecutado todos los comandos, JavaScript cierra la ventana de PowerShell y no queda ni rastro de que se haya ejecutado nada.

Evitar ataques de malware sin archivos

No existen a primera vista indicios ni comportamientos extraños por parte del sistema del usuario, que puedan facilitar la detección de un ataque de malware sin archivos.

Sin embargo, hay algunas cosas a tener en cuenta.

La primera línea de defensa contra las intrusiones de red y cualquier tipo de malware comienza con mantener siempre el sistema operativo y el software actualizados.

Microsoft ha sido muy diligente bloqueando la explotación de PowerShell y WMI, por lo que garantizar que las máquinas con Windows estén actualizadas debería ser una prioridad tanto para los usuarios domésticos como para las empresas.

  • No abrir archivos adjuntos que nos hayan llegado por correo si la fuente no es de confianza.
  • Deshabilitar la ejecución de macros de manera automática en Office, ya que es un mecanismo común de propagación. Las macros se pueden deshabilitar globalmente vía Directivas de Grupo.
  • Utilizar soluciones de seguridad que analicen el tráfico de red.
  • Emplear soluciones de seguridad que analicen el comportamiento sospechoso en la memoria.
  • Mantener el sistema operativo y las aplicaciones con sus actualizaciones de seguridad al día.
  • Deshabilitar ActiveX en Internet Explorer.
  • Desactivar la capacidad de que los PDF se carguen en los navegadores y no habilitar JavaScript en los lectores de PDF.
  • En caso de tener varios terminales (ordenadores) vigilar las actividades en la red.

Aplicando estas medidas, no seremos invulnerables, pero se lo pondremos un poco más difícil a los perpetradores.

Temas:

Avisos de seguridad

Air VPN - The air to breathe the real Internet

Archivos del blog

Otros artículos

¿Vas a comprar un ordenador usado? Comprueba de que sea seguro

¿Vas a comprar un ordenador usado? Comprueba de que sea seguro

¿Por qué pagar un pastón por un ordenador nuevo cuando ...
El correo electrónico sigue siendo el vector de ataque número uno

El correo electrónico sigue siendo el vector de ataque número uno

Si bien la inserción de enlaces maliciosos y malware en...
dispositivos de vigilancia para bebés

Consejos de seguridad para dispositivos de vigilancia para bebés

Hay dos tipos de monitores para bebés: los que funciona...
Thunderbird: un cliente de correo de los creadores de Firefox

Thunderbird: un cliente de correo de los creadores de Firefox

Thunderbird es un cliente de correo de los creadores de...
Qué es UPnP y por qué no es demasiado seguro

Qué es UPnP y por qué no es demasiado seguro

Universal Plug and Play (UPnP) es un protocolo que perm...
navegar por sitios web para adultos de forma segura

Cómo navegar por sitios web para adultos de forma segura

Consumir pornografía, es un hábito más común de lo que ...
Mejorar la seguridad en WordPress

Mejorar la seguridad de un sitio hecho con WordPress

WordPress es un software de código abierto, fácil de im...

Blog - Artículos actualizados

Qué es el clickbait y por qué deberías evitarlo

Ransomware:qué es y cómo evitarlo

Cómo intentar recuperarse de un ataque de ransomware

El papel de la IA en los ataques de ingeniería social

Que es el modo incógnito o privado del navegador

Conceptos básicos de un ataque de sniffing

Temas

Privacidad Malware Estafas Internet Amenazas Redes Ingeniería social Seguridad informática Redes sociales Windows Antivirus gratuitos Contraseñas Teléfonos móviles Vulnerabilidades Android Navegadores web Seguridad de sitios web Anonimato Linux Wifi Spyware Antivirus Utilidades Correo electrónico Adware Copias de seguridad Internet de las cosas Cifrado Herramientas Aplicaciones Inteligencia artificial Software gratuito Software de código abierto Software libre AntiMalware