Blog

    Te encuentras en: 
  1. Blog
  2. Conceptos básicos sobre los ataques de malware sin archivos
ataques de malware sin archivos
Blog

Conceptos básicos sobre los ataques de malware sin archivos

Los ataques de malware sin archivos no necesitan que un usuario instale y ejecute programas maliciosos en la máquina de destino. En su lugar, los atacantes utilizan con fines maliciosos herramientas perfectamente legítimas integradas en el sistema operativo como por ejemplo Windows PowerShell, Microsoft Office, WMI, Microsoft .NET Framework o el Registro de Windows.

También pueden aprovechar vulnerabilidades de día cero (o antiguas y no corregidas) en los sistemas operativos, o en otras aplicaciones instaladas en el ordenador.

Podríamos decir que Windows se vuelve contra sí mismo.

Básicamente, los programas antimalware emplean estos métodos para detectar software malicioso.

  • Base de datos de firmas: El método, tradicional utilizado por los antivirus para la detección de malware,
  • Heurística: basa su comportamiento en diferentes criterios que determinarán si un archivo es malicioso, como por ejemplo, que modifique el registro o se establezca una conexión remota con otro dispositivo.
  • Sistema de prevención de intrusiones de host: una capa de seguridad adicional que brinda un control completo sobre el comportamiento de las aplicaciones.
  • Detección basada en la nube: se instala un pequeño programa cliente en el dispositivo del usuario que, a su vez, se conecta a los servicios del proveedor de seguridad.

Pero sin un archivo que actúe como una fuente de infección, los escáneres de virus difícilmente pueden detectar ataques sin archivos, y los sistemas de detección basados únicamente ​​en firmas de malware todavía menos.

Y, debido a que muchas soluciones de seguridad confían en las utilidades que forman parte del sistema operativo, la actividad maliciosa puede pasar desapercibida fácilmente, ya que un análisis de comportamiento asumirá que las acciones llevadas a cabo por estos programas son legítimas.

Ejemplo de malware sin archivos

El malware sin archivos nunca reside en el disco duro, si no que se inyecta directamente en la RAM donde se activa inmediatamente.

La memoria RAM, básicamente es una forma de memoria temporal que al apagar o reiniciar el sistema vuelve a quedarse en blanco.

Entonces, ¿la buena noticia es que si reiniciamos la máquina podemos detener el ataque?

No necesariamente.

En la mayoría de los casos, los villanos más experimentados suelen establecer algún mecanismo de persistencia para que su malware no se volatilice en cada reinicio.

  • Para mantener la persistencia del software malicioso en la máquina del usuario, la carga útil elimina el malware de su ubicación original y lo coloca en una carpeta.
  • También puede crear una clave en el registro que ejecutará el software malicioso, cada vez que el ordenador se reinicie.

Si bien estas tareas programadas pueden ser identificables si se sabe lo que se busca, no siempre es así.

Qué técnicas utilizan los piratas informáticos para perpetrar este tipo de ataque.

Si bien los villanos no necesitan instalar código para lanzar un ataque de malware sin archivos, aún tienen que obtener acceso al objetivo para poder modificar las herramientas nativas del sistema operativo.

Los atacantes pueden inyectar código malicioso a través de aplicaciones legítimas como JavaScript o también utilizando herramientas de Microsoft Office.

La carga útil maliciosa también puede pasar de contrabando a través de descargas infectadas, enlaces web maliciosos, correos electrónicos de phishing o ransomware sin archivos.

Aprovechar alguna vulnerabilidad grave en el sistema operativo, o cargar el malware en memoria a través de paquetes de red es otra forma de infección.

También pueden emplear kits de exploits.

Ejemplo muy básico mediante ataque de phishing.

  1. Los ciberdelincuentes envían un correo electrónico de phishing que contiene un enlace a un sitio web malicioso.
  2. El usuario hace clic en el enlace que lo dirige al sitio web en cuestión.
  3. El sitio web infectado carga una aplicación que contiene el código malicioso.
  4. El código malicioso abre la herramienta Windows PowerShel.
  5. PowerShell descarga y ejecuta automáticamente un script desde un servidor de comando y control (C&C)
  6. Una vez que se han ejecutado todos los comandos, JavaScript cierra la ventana de PowerShell y no queda ni rastro de que se haya ejecutado nada.

Evitar ataques de malware sin archivos

No existen a primera vista indicios ni comportamientos extraños por parte del sistema del usuario, que puedan facilitar la detección de un ataque de malware sin archivos.

Sin embargo, hay algunas cosas a tener en cuenta.

La primera línea de defensa contra las intrusiones de red y cualquier tipo de malware comienza con mantener siempre el sistema operativo y el software actualizados.

Microsoft ha sido muy diligente bloqueando la explotación de PowerShell y WMI, por lo que garantizar que las máquinas con Windows estén actualizadas debería ser una prioridad tanto para los usuarios domésticos como para las empresas.

  • No abrir archivos adjuntos que nos hayan llegado por correo si la fuente no es de confianza.
  • Deshabilitar la ejecución de macros de manera automática en Office, ya que es un mecanismo común de propagación. Las macros se pueden deshabilitar globalmente vía Directivas de Grupo.
  • Utilizar soluciones de seguridad que analicen el tráfico de red.
  • Emplear soluciones de seguridad que analicen el comportamiento sospechoso en la memoria.
  • Mantener el sistema operativo y las aplicaciones con sus actualizaciones de seguridad al día.
  • Deshabilitar ActiveX en Internet Explorer.
  • Desactivar la capacidad de que los PDF se carguen en los navegadores y no habilitar JavaScript en los lectores de PDF.
  • En caso de tener varios terminales (ordenadores) vigilar las actividades en la red.

Aplicando estas medidas, no seremos invulnerables, pero se lo pondremos un poco más difícil a los perpetradores.

Temas:

Avisos de seguridad

Air VPN - The air to breathe the real Internet

Otros artículos

windows 11 ofrece proteccion automatica contra el phishing

Windows 11 ofrece proteccion automatica contra el phishing

Desde su última actualización llevada a cabo en septiem...
Cómo usar un telefono Android sin una cuenta de Google

¿Se puede usar un telefono con Android sin una cuenta de Google?

Durante la configuración inicial, casi todos los teléfo...
Algunos teléfonos Android pueden ser pirateados simplemente conociendo su número

Algunos teléfonos Android pueden ser pirateados simplemente conociendo su número

Google ha emitido una advertencia de que algunos teléfo...
Malos hábitos que pueden afectar nuestra seguridad y privacidad

Malos hábitos que pueden afectar nuestra seguridad y privacidad

Existen innumerables formas en las que podemos meternos...
Mejorar la seguridad en WordPress

Mejorar la seguridad de un sitio hecho con WordPress

WordPress es un software de código abierto, fácil de im...
Internet de las cosas

Riesgos de seguridad en el Internet de las cosas

Si bien la mayoría de personas son conscientes de la im...
Principales riesgos al pagar con PayPal en Internet

Principales estafas relacionadas con PayPal

Aunque todas las transacciones y los detalles financier...

Información

Blog - Artículos actualizados

Los peligros de las aplicaciones de citas

¿Se pueden piratear teléfonos móviles mediante estaciones de carga públicas?

Que es el Malware y las diferentes formas que adopta

Riesgos de seguridad del trabajo remoto

Cómo saber si alguien ha accedido a tu cuenta de Outlook u Hotmail

¿Es seguro utilizar Adobe Flash Player en 2024?

Temas

Privacidad Malware Estafas Internet Amenazas Redes Ingeniería social Seguridad informática Windows Redes sociales Antivirus gratuitos Contraseñas Teléfonos móviles Vulnerabilidades