Malware sem arquivo é um tipo de atividade maliciosa que utiliza ferramentas nativas e legítimas incorporadas a um sistema para executar um ataque cibernético. Ao contrário do malware tradicional , que normalmente exige o download e a instalação de um arquivo, o malware sem arquivo opera na memória ou manipula ferramentas nativas, dificultando sua detecção e remoção. A exploração de ferramentas legítimas é frequentemente chamada de ” living off the land” (LOTL).
Técnicas comuns de malware sem arquivo
Embora os invasores não precisem instalar código para iniciar um ataque de malware sem arquivo, eles ainda precisam obter acesso ao ambiente para que possam modificar suas ferramentas nativas de acordo com seus propósitos. Os invasores podem obter acesso usando:
- Kits de exploração
- Malware residente no registro
- Malware somente de memória
- Ransomware sem arquivo
Kits de exploração
Exploits são trechos de código, sequências de comandos ou coleções de dados, e kits de exploit são coleções de exploits. Os invasores usam essas ferramentas para explorar vulnerabilidades conhecidas em um sistema operacional ou aplicativo instalado.
Exploits são uma maneira eficiente de lançar um ataque de malware sem arquivo, pois podem ser injetados diretamente na memória sem exigir que nada seja gravado em disco. Os invasores podem usá-los para automatizar os comprometimentos iniciais em larga escala.
Os kits de exploração geralmente incluem exploits para diversas vulnerabilidades e um console de gerenciamento que o invasor pode usar para controlar o sistema. Em alguns casos, o kit de exploração inclui a capacidade de escanear o sistema alvo em busca de vulnerabilidades e, em seguida, criar e lançar um exploit personalizado imediatamente.
Malware residente no registro
Malware residente no registro é aquele que se instala no registro do Windows para permanecer persistente e evitar a detecção. Em um ataque de malware tradicional, os sistemas Windows podem ser infectados por meio do uso de um programa dropper que baixa um arquivo malicioso. Esse arquivo malicioso permanece ativo no sistema alvo, o que o torna vulnerável à detecção por software antivírus (AV). Malware sem arquivo também pode usar um programa dropper, mas ele não baixa um arquivo malicioso. Em vez disso, o próprio programa dropper grava o código malicioso diretamente no registro do Windows.
O código malicioso pode ser programado para ser iniciado sempre que o sistema operacional for iniciado, e não há nenhum arquivo malicioso para descobrir — o código malicioso fica oculto em arquivos nativos não sujeitos à detecção de antivírus.
A variante mais antiga desse tipo de ataque é o Poweliks, mas muitas outras surgiram desde então, incluindo o Kovter e o GootKit. Malwares que modificam chaves de registro têm grande probabilidade de permanecer ativos sem serem detectados por longos períodos.
Malware somente de memória
Malwares que atuam somente na memória residem apenas na memória. Um exemplo de malware que atua somente na memória é o worm Duqu, que pode permanecer indetectável por residir exclusivamente na memória. O Duqu 2.0 está disponível em duas versões: a primeira é um backdoor que permite ao adversário se estabelecer em uma organização. O adversário pode então usar a segunda versão do Duqu 2.0, que oferece recursos adicionais, como reconhecimento, movimentação lateral e exfiltração de dados. O Duqu 2.0 foi usado para violar com sucesso empresas do setor de telecomunicações e pelo menos um conhecido fornecedor de software de segurança.
Ransomware sem arquivo
Os adversários não se limitam a um único tipo de ataque. Eles utilizam qualquer tecnologia que os ajude a capturar sua carga útil. Hoje, os invasores de ransomware utilizam técnicas sem arquivo para incorporar código malicioso em documentos. Eles conseguem isso usando linguagens de script nativas, como macros, ou gravando o código malicioso diretamente na memória por meio de um exploit. O ransomware então sequestra ferramentas nativas, como o PowerShell, para criptografar arquivos reféns sem nunca ter gravado uma única linha no disco.
Estágios de um ataque sem arquivo
A seguir estão os estágios de um ataque de malware sem arquivo:
Etapa 1: Obtenha acesso
Técnica: Explorar remotamente uma vulnerabilidade e usar scripts da web para acesso remoto (por exemplo, China Chopper)
O invasor obtém acesso remoto ao sistema da vítima para estabelecer uma base para seu ataque.
Etapa 2: Roubar credenciais
Técnica: Variedade de técnicas (ex.: Mimikatz)
Usando o acesso obtido na etapa anterior, o invasor agora tenta obter credenciais para o ambiente comprometido, permitindo que ele se mova facilmente para outros sistemas naquele ambiente.
Etapa 3: Manter a persistência
Técnica: Modifique o registro para criar um backdoor (por exemplo, ignorar Sticky Keys)
Agora, o invasor configura um backdoor que lhe permitirá retornar a esse ambiente sem precisar repetir os passos iniciais do ataque.
Etapa 4: Exfiltração de dados
Técnica: Use o sistema de arquivos e o utilitário de compactação integrado para coletar dados e, em seguida, use o FTP para fazer upload dos dados
Na etapa final, o invasor coleta os dados e os prepara para exfiltração, copiando-os em um local e compactando-os usando ferramentas de sistema facilmente disponíveis, como o Compact. O invasor então remove os dados do ambiente da vítima, enviando-os via FTP.
Como detectar malware sem arquivo
Se antivírus legados, listas de permissões, sandboxing e até mesmo métodos de aprendizado de máquina não conseguem proteger contra ataques sem arquivo, o que resta? As organizações podem se proteger adotando uma abordagem integrada que combina vários métodos.
Confie em indicadores de ataque em vez de apenas indicadores de comprometimento
Indicadores de Ataque (IOAs) permitem que as organizações adotem uma abordagem proativa para prevenir ataques sem arquivo. Em vez de se concentrar em como um ataque foi executado, os IOAs procuram sinais de que um ataque possa estar em andamento. Não importa se uma ação foi iniciada a partir de um arquivo no disco rígido ou de uma técnica sem arquivo. O que importa é a ação executada, como ela se relaciona com outras ações, sua posição em uma sequência e suas ações dependentes. Esses indicadores revelam as verdadeiras intenções e objetivos por trás dos comportamentos e dos eventos ao seu redor.
IOAs incluem sinais como execução de código, movimento lateral e ações que parecem ter a intenção de encobrir sua verdadeira intenção. Eles buscam sequências de eventos que até mesmo malwares sem arquivo devem executar para cumprir sua missão.
E como os IOAs examinam a intenção, o contexto e as sequências, eles podem até mesmo detectar e bloquear atividades maliciosas realizadas usando uma conta legítima, o que geralmente acontece quando um invasor usa credenciais roubadas.
Empregar caça gerenciada de ameaças
A busca por ameaças de malware sem arquivo é um trabalho demorado e trabalhoso que exige a coleta e a normalização de grandes quantidades de dados. Mas, como é uma parte necessária da proteção contra ataques sem arquivo, a abordagem mais pragmática para a maioria das organizações é delegar a busca por ameaças a um provedor especializado.
Os serviços gerenciados de detecção de ameaças estão de plantão 24 horas por dia, buscando intrusões de forma proativa, monitorando o ambiente e reconhecendo atividades sutis que podem passar despercebidas pelas tecnologias de segurança padrão.
Deixe um comentário