O malware sem arquivo é uma maneira popular de os cibercriminosos se infiltrarem nos sistemas sem serem notados. Também conhecido como não malware, pegada zero ou ataque de macro, ele difere do malware tradicional porque não precisa instalar software malicioso para infectar o computador da vítima.
Em vez disso, ele explora as vulnerabilidades existentes no dispositivo: o malware se aninha na RAM do computador e usa ferramentas de sistema comuns para injetar código malicioso em processos normalmente seguros e confiáveis, como javaw.exe ou iexplore.exe .
Técnicas de ataque e como funciona o malware sem arquivo
Existem muitas técnicas que os cibercriminosos podem usar para lançar um ataque de malware sem arquivo. Por exemplo, por meio de banners publicitários maliciosos, os chamados "malvertising". Quando os usuários clicam no anúncio, eles são redirecionados para um site malicioso que parece legítimo e carrega o Flash, que infelizmente tem vulnerabilidades. O Flash usa a ferramenta Windows PowerShell para executar comandos da linha de comando durante a execução na RAM. O PowerShell então baixa e executa código malicioso de um botnet ou outro servidor comprometido, após o qual o código procura dados para enviar ao invasor.
Como o malware sem arquivo não requer nenhum download de arquivo, é muito difícil detectá-lo, bloqueá-lo e removê-lo. Ele não possui código ou assinatura identificável que permita que programas antivírus tradicionais o detectem. Ele também não tem um comportamento específico, portanto, os scanners heurísticos não podem detectá-lo. Além disso, como o malware explora as vulnerabilidades de aplicativos aprovados já existentes no sistema, ele também pode anular a proteção fornecida pela lista de permissões de aplicativos, um processo que garante que apenas aplicativos aprovados sejam instalados em um computador.
Sinais de malware sem arquivo
No entanto, reiniciar o computador pode interromper uma violação de segurança de malware sem arquivo. Isso ocorre porque a RAM só retém seus dados quando o computador está ligado. Depois que ele desliga, a infecção não está mais ativa. No entanto, os invasores ainda podem usar essa vulnerabilidade para roubar dados do computador ou instalar outras formas de malware para adicionar persistência à vulnerabilidade. Por exemplo, um hacker pode configurar scripts para serem executados na reinicialização do sistema para continuar o ataque.
Embora não haja novos arquivos instalados ou um comportamento típico que torne óbvio um ataque de malware sem arquivo, há alguns sinais de alerta a serem observados. Um deles são padrões e rastros de rede incomuns, como o computador se conectando a servidores botnet. Deve-se procurar sinais de brechas de segurança na memória do sistema, bem como outros artefatos que códigos maliciosos possam ter deixado em seu rastro.
Práticas recomendadas de proteção contra malware sem arquivo
Aqui estão algumas medidas que as empresas podem tomar para evitar a infecção por Fileless Malware ou limitar os danos em caso de infecção:
- Sem funções e aplicativos desnecessários: Serviços e funções de programa que não são usados devem ser desativados. Além disso, as empresas devem desinstalar aplicativos que não são usados ou não são necessários para o trabalho.
- Privilégios de economia: as organizações devem limitar os privilégios dos usuários administrativos e conceder aos usuários apenas as permissões necessárias para realizar seus trabalhos.
- Atualizações regulares de software: Todo software deve estar sempre atualizado e atualizado regularmente.
- Monitoramento de tráfego de rede: o tráfego de rede deve ser monitorado e os logs de atividade verificados quanto a anomalias.
- Proteção de endpoint: as organizações devem garantir a proteção de endpoint e proteger cada um desses dispositivos, incluindo dispositivos remotos e móveis, para proteger sua rede.
- PowerShell: as práticas recomendadas para usar e proteger o PowerShell também devem ser consideradas.
- Higienização de senha: as senhas devem ser alteradas depois que uma infecção por malware sem arquivo for identificada e limpa com sucesso.
- Treinamento de funcionários: o treinamento completo de segurança do usuário final também pode ajudar bastante na prevenção de infecções por malware sem arquivo.
O malware sem arquivo está prontamente disponível para os criminosos porque geralmente já está incluído nos kits de exploração. Além disso, alguns hackers também estão oferecendo ataques de malware sem arquivo como serviço. O malware depende de dissimulação em vez de persistência, embora sua flexibilidade para emparelhar com outro malware permita que ele faça as duas coisas. As organizações devem, portanto, implementar uma estratégia de segurança que inclua uma abordagem multicamadas de melhores práticas, soluções de segurança e treinamento de funcionários para combater essas ameaças com eficácia.
[asterisco=6]