O que é malware sem arquivo?

O que é malware sem arquivo?

 

Aprenda sobre malware sem arquivo e como se proteger contra essa ameaça no Data Protection 101, nossa série sobre os fundamentos da segurança da informação.

O QUE É MALWARE SEM ARQUIVO?

O malware sem arquivo, também conhecido como ataque sem malware, zero-footprint ou macro, difere do malware tradicional pois não precisa instalar software malicioso para infectar a máquina da vítima. Em vez disso, tira proveito das vulnerabilidades existentes na sua máquina. Ele existe na RAM do computador e usa ferramentas comuns do sistema para injetar código malicioso em processos normalmente seguros e confiáveis, como javaw.exe ou iexplore.exe, para executar um ataque.

Como o malware sem arquivo não requer o download de um arquivo, pode ser bastante difícil prevenir, detectar e remover. A boa notícia é que, se você reiniciar sua máquina, poderá interromper a violação. Isso ocorre porque a RAM apenas mantém seus dados quando o computador está ligado. Depois de desligá-lo, a infecção não está mais viva. No entanto, os hackers ainda podem usar essa vulnerabilidade para roubar dados do seu computador ou até instalar outras formas de malware para dar persistência. Por exemplo, os hackers podem configurar scripts que são executados quando o sistema é reiniciado para continuar o ataque.

QUAIS SÃO AS CARACTERÍSTICAS DO MALWARE SEM ARQUIVO?

Malwares sem arquivo:

  1. Não possui código ou assinatura identificável que permita a detecção de ferramentas típicas de antivírus. Também não possui um comportamento específico; portanto, os scanners de heurística não podem detectá-lo.
  2. Vive na RAM do seu computador. Assim, também é conhecido como malware baseado em memória.
  3. Usa processos nativos do sistema operacional que você está usando para realizar o ataque.
  4. Pode ser emparelhado com outros tipos de malware.
  5. Pode contornar a lista de permissões de aplicativos, um processo que permite que apenas aplicativos aprovados sejam instalados em uma máquina. O malware sem arquivo aproveita os aplicativos aprovados que já estão no seu sistema.

COMO O MALWARE SEM ARQUIVO FUNCIONA?

Existem muitas técnicas que os invasores podem usar para iniciar um ataque sem arquivo. Por exemplo, você pode ver um banner e clicar nele, sem saber que é uma “má publicidade”. Em seguida, você é redirecionado para um site malicioso (que parece legítimo) que carrega o Flash, que infelizmente está cheio de vulnerabilidades. O Flash utiliza a ferramenta Windows PowerShell para executar comandos usando a linha de comando enquanto está em execução na memória. O PowerShell baixa e executa códigos maliciosos de uma botnet ou outro servidor comprometido que procura dados para enviar aos hackers.

QUAIS SÃO OS ALVOS MAIS COMUNS DE ATAQUES CIBERNÉTICOS QUE ENVOLVEM MALWARE SEM ARQUIVO?

A maioria dos ataques relatados envolve organizações no setor financeiro. Em fevereiro de 2017, foi relatado que o malware sem arquivo violava as redes de pelo menos 140 bancos e empresas financeiras em pelo menos 40 países. Como o malware sem arquivo é muito difícil de detectar, esse número pode realmente ser muito maior.

O malware sem arquivo está em ascensão. 42% das empresas pesquisadas pelo Ponemon Institute relataram ter experimentado pelo menos um ataque de malware sem arquivo em 2017. Os entrevistados também disseram que cerca de 30% de todos os ataques foram ataques sem arquivo; além disso, 77% de todos os ataques bem-sucedidos eram sem arquivo.

O Ponemon Institute estima que os ataques sem arquivo e a frouxidão da segurança dos endpoints provavelmente custarão às empresas até US $ 5 milhões. Os especialistas acreditam que o aumento desses tipos de ataques é influenciado pelo fato de que o malware sem arquivo está prontamente disponível nos repositórios de projetos e até incluído no Angler e em outros kits de exploit. Alguns cibercriminosos também estão oferecendo ataques de malware sem arquivo como um serviço.

SINAIS DE ATAQUES DE MALWARE SEM ARQUIVO

Embora não haja novos arquivos instalados ou comportamento revelador típico que tornaria óbvio um ataque de malware sem arquivo, existem alguns sinais de alerta a serem observados. Um é padrões e traços incomuns de rede, como o computador se conectando a servidores de botnets. Procure sinais de comprometimento na memória do sistema, bem como outros artefatos que podem ter sido deixados para trás por códigos maliciosos.

PRÁTICAS RECOMENDADAS PARA PROTEÇÃO DE MALWARE SEM ARQUIVO

Aqui estão algumas coisas que você pode fazer para evitar ser infectado por malware sem arquivo ou para limitar sua exposição se você for infectado:

  • Mantenha seu software atualizado e os patches atualizados.
  • Adotando as práticas recomendadas para usar e proteger o PowerShell.
  • Desativando serviços e recursos do programa que você não usa.
  • Desinstalar aplicativos que você não está usando ou não é importante para o seu trabalho.
  • Verifique se você possui segurança no endpoint e proteja cada um desses dispositivos, incluindo dispositivos remotos e móveis, para proteger sua rede.
  • Restringindo privilégios que você concede a um usuário administrador ou concedendo apenas os privilégios necessários para que um usuário faça seu trabalho.
  • Monitorando o tráfego da rede e verificando os logs de atividades.
  • Garantir que os usuários finais saibam como proteger e se proteger ao se conectar à Internet ou à rede. O treinamento de segurança fornecido aos usuários finais pode ajudar bastante a evitar infecções por malware sem arquivo.
  • Alteração de senhas depois que a infecção é conhecida e após a desinfecção bem-sucedida.

Os ataques de malware sem arquivo valorizam a ocultação  e não a persistência, embora a flexibilidade do ataque para emparelhar com outro malware permita que ele tenha os dois. A pesquisa do Ponemon Institute constatou que esses ataques baseados em memória eram 10 vezes mais propensos a serem bem-sucedidos que os malwares baseados em arquivos. As organizações devem criar uma estratégia, incluindo soluções de segurança de endpoints e treinamento de funcionários, para combater essas ameaças.

 

Fonte: https://digitalguardian.com/blog/what-fileless-malware-or-non-malware-attack-definition-and-best-practices-fileless-malware