Conceptos básicos sobre los ataques de malware sin archivos

Los ataques de malware sin archivos no necesitan que un usuario instale y ejecute programas maliciosos en la máquina de destino.En su lugar, los atacantes utilizan con fines maliciosos herramientas perfectamente legítimas integradas en el sistema operativo como por ejemplo PowerShell,  Microsoft Office, WMI,  Microsoft .NET Framework o el Registro de Windows.

También pueden aprovechar vulnerabilidades de día cero en los sistemas operativos, o en otras aplicaciones instaladas en el ordenador.

Podríamos decir que Windows se vuelve contra sí mismo.

Básicamente los programas antimalware utilizan estos métodos para detectar software malicioso.

• Base de datos de firmas: El método, tradicional utilizado por los antivirus para la detección de malware,
• Heurística: basa su comportamiento en diferentes criterios que determinarán si un archivo es malicioso, como por ejemplo, que modifique el registro o se establezca una conexión remota con otro dispositivo.
• Sistema de prevención de intrusiones de host: una capa de seguridad que brinda un control completo sobre el comportamiento de las aplicaciones.

Pero sin un archivo que actúe como fuente de infección, los escáneres de virus dificilmente pueden detectar ataques sin archivos, y los sistemas de detección basados únicamente ​​en firmas de malware todavía menos.

Y, debido a que muchas soluciones de seguridad confían en las utilidades que forman parte del sistema operativo, la actividad maliciosa puede pasar desapercibida fácilmente, ya que un análisis de comportamiento asumirá que las acciones llevadas a cabo por estos programas son legítimas.

El malware sin archivos nunca reside en el disco duro, si no que se inyecta directamente en la RAM donde se activa inmediatamente.

La memoría RAM, básicamente es una forma de memoria temporal, que al apagar o reiniciar el sistema vuelve a quedarse en blanco.

Entonces, la buena noticia es que si reiniciamos la máquina, podemos detener el ataque.

Esto obliga, en la mayoría de los casos, a que los villanos más experimentados establezcan algún mecanismo de persistencia para que su malware no se volatilice.

Para mantener la persistencia del software malicioso en el host del usuario, la carga útil elimina el malware de su ubicación original y lo coloca en una carpeta.

También crea una clave en el registro que ejecutará el software malicioso, cada vez que el ordenador se reinicie.

Estas tareas programadas pueden ser identificables si se sabe lo que se busca.

Pero no siempre es así.

Qué técnicas utilizan los piratas informáticos para penetrar en una red.

Los atacantes pueden inyectar código malicioso a través de aplicaciones legítimas como JavaScript o herramientas de Microsoft Office.

La carga útil maliciosa también se puede inyectar a través de descargas infectadas, enlaces maliciosos y correos electrónicos de phishing.

Aprovechar alguna vulnerabilidad grave en el sistema operativo, o cargar el malware en memoria a través de paquetes de red es otra forma de infección.

Por ejemplo.

1. Los ciberdelincuentes envían un corréo electrónico de phishing que contiene un enlace a un sitio web malicioso.
2. El usuario hace clic en el enlace que lo dirige al sitio web en cuestión.
3. El sitio web infectado carga una aplicación que contiene el código malicioso.
4. El código mailicioso abre la herramienta Windows PowerShel.
5. PowerShell descarga y ejecuta automáticamente un script desde un servidor de comando y control (C&C)
6. El script ejecutado por PowerShell busca y envía los datos almacenados en la máquina de la víctima a los piratas informáticos.

Evitar ataques de malware sin archivos

No existen a primera vista indicios ni comportamientos extraños por parte del sistema del usuario, que puedan facilitar la detección de un ataque de malware sin archivos.

Sin embargo, hay algunas cosas a tener en cuenta.

La defensa contra cualquier tipo de malware comienza con mantener el sistema operativo y el software actualizados.

Microsoft ha sido muy diligente bloqueando la explotación de PowerShell y WMI, por lo que garantizar que las máquinas con Windows estén actualizadas debería ser una prioridad tanto para los usuarios domésticos como para las empresas.

• No abrir archivos adjuntos que nos hayan llegado por correo si la fuente no es de confianza.
• Deshabilitar la ejecución de macros de manera automática en Office, ya que es un mecanismo común de propagación.Las macros se pueden deshabilitar globalmente vía Directivas de Grupo.
• Utilizar soluciones de seguridad que analicen el tráfico de red.
• Utilizar soluciones de seguridad que analicen el comportamiento sospechoso en la memoria.
• Mantener el sistema operativo y las aplicaciones con sus actualizaciones de seguridad al día.
• Deshabilitar ActiveX en Internet Explorer.
• Desactivar la capacidad de que los PDF se carguen en los navegadores y no habilitar JavaScript en los lectores de PDF.
• En caso de tener varíos terminales (ordenadores) vigilar las actividades en la red.

El monitoreo de la memoria del sistema de terminales, aunque puede producir una cantidad abrumadora de datos, es una herramienta de seguridad que las empresas deberían considerar para evitar en gran medida los ataques de malware sin archivos.