Il malware senza file è un modo popolare utilizzato dai criminali informatici per infiltrarsi nei sistemi senza essere notato. Conosciuto anche come non-malware, zero-footprint o attacco macro, differisce dal malware tradizionale in quanto non ha bisogno di installare software dannoso per infettare il computer di una vittima.
Invece, sfrutta le vulnerabilità esistenti sul dispositivo: il malware si annida nella RAM del computer e utilizza strumenti di sistema comuni per iniettare codice dannoso in processi normalmente sicuri e affidabili, come javaw.exe o iexplore.exe .
Tecniche di attacco e funzionamento del malware senza file
Esistono molte tecniche che i criminali informatici possono utilizzare per lanciare un attacco malware senza file. Ad esempio, attraverso banner pubblicitari dannosi, il cosiddetto "malvertising". Quando gli utenti fanno clic sull'annuncio, vengono reindirizzati a un sito Web dannoso che sembra legittimo e carica Flash, che purtroppo presenta delle vulnerabilità. Flash utilizza lo strumento Windows PowerShell per eseguire i comandi dalla riga di comando durante l'esecuzione nella RAM. PowerShell quindi scarica ed esegue il codice dannoso da una botnet o da un altro server compromesso, dopodiché il codice cerca i dati da inviare all'aggressore.
Poiché il malware senza file non richiede alcun download di file, è abbastanza difficile da rilevare, bloccare e rimuovere. Non ha codice o firma identificabile che consenta ai programmi antivirus tradizionali di rilevarlo. Inoltre non ha un comportamento specifico, quindi gli scanner euristici non possono rilevarlo. Inoltre, poiché il malware sfrutta le vulnerabilità delle applicazioni approvate già presenti nel sistema, può anche eludere la protezione fornita dal whitelisting delle applicazioni, un processo che garantisce che solo le applicazioni approvate siano installate su un computer.
Segni di malware senza file
Tuttavia, il riavvio del computer può arrestare una violazione della sicurezza del malware senza file. Questo perché la RAM conserva i suoi dati solo quando il computer è acceso. Una volta che si spegne, l'infezione non è più attiva. Tuttavia, gli aggressori possono ancora sfruttare questa vulnerabilità per rubare dati dal computer o installare altre forme di malware per aggiungere persistenza alla vulnerabilità. Ad esempio, un hacker può impostare script da eseguire al riavvio del sistema per continuare l'attacco.
Anche se non ci sono nuovi file installati o un tipico comportamento rivelatore che renderebbe ovvio un attacco di malware senza file, ci sono alcuni segnali di avvertimento a cui prestare attenzione. Uno di questi è costituito da schemi e tracce di rete insoliti, come il computer che si connette ai server botnet. Si dovrebbero cercare segni di violazioni della sicurezza nella memoria di sistema, così come altri artefatti che il codice dannoso potrebbe aver lasciato sulla propria scia.
Best practice per la protezione da malware senza file
Ecco alcuni passaggi che le aziende possono adottare per evitare l'infezione da Fileless Malware o limitare i danni in caso di infezione:
- Nessuna funzione e applicazione non necessarie: i servizi e le funzioni del programma che non vengono utilizzati devono essere disattivati. Inoltre, le aziende dovrebbero disinstallare le applicazioni che non vengono utilizzate o non sono necessarie per il lavoro.
- Privilegi di riserva: le organizzazioni dovrebbero limitare i privilegi per gli utenti amministratori e concedere agli utenti solo il numero di autorizzazioni necessario per svolgere il proprio lavoro.
- Aggiornamenti regolari del software: tutto il software deve essere sempre aggiornato e aggiornato regolarmente.
- Monitoraggio del traffico di rete: il traffico di rete deve essere monitorato e i registri delle attività devono essere controllati per eventuali anomalie.
- Protezione degli endpoint: le organizzazioni devono assicurarsi di disporre della protezione degli endpoint e proteggere ciascuno di questi dispositivi, inclusi i dispositivi remoti e mobili, per proteggere la propria rete.
- PowerShell: dovrebbero essere prese in considerazione anche le best practice per l'utilizzo e la protezione di PowerShell.
- Igiene delle password: le password devono essere modificate dopo che un'infezione da malware senza file è stata identificata e ripulita con successo.
- Formazione dei dipendenti: anche un'accurata formazione sulla sicurezza degli utenti finali può fare molto per prevenire le infezioni da malware senza file.
Il malware senza file è prontamente disponibile per i criminali perché spesso è già incluso nei kit di exploit. Inoltre, alcuni hacker offrono anche attacchi malware fileless as-a-service. Il malware si basa sulla furtività piuttosto che sulla persistenza, sebbene la sua flessibilità nell'accoppiarsi con altri malware gli consenta di fare entrambe le cose. Le organizzazioni dovrebbero quindi implementare una strategia di sicurezza che includa un approccio a più livelli di best practice, soluzioni di sicurezza e formazione dei dipendenti per combattere efficacemente queste minacce.
[stellaboxid=6]