Malware sem arquivo pode ser um novo termo para a maioria, mas a indústria de segurança sabe disso há anos. No início deste ano, mais de 140 empresas em todo o mundo foram atingidas com este Malware sem Filas - incluindo bancos, empresas de telecomunicações e organizações governamentais. O Malware sem arquivo, como o nome explica, é um tipo de malware que não toca no disco nem usa arquivos no processo. É carregado no contexto de um processo legítimo. No entanto, algumas empresas de segurança afirmam que o ataque sem arquivo deixa um pequeno binário no host comprometedor para iniciar o ataque de malware. Esses ataques tiveram um aumento significativo nos últimos anos e são mais arriscados do que os ataques de malware tradicionais.
Ataques de malware sem arquivo
Ataques de malware sem arquivo, também conhecidos como Ataques não-malware. Eles usam um conjunto típico de técnicas para acessar seus sistemas sem usar nenhum arquivo de malware detectável. Nos últimos anos, os atacantes ficaram mais inteligentes e desenvolveram muitas maneiras diferentes de lançar o ataque.
O malware sem arquivo infecta os computadores que não deixam arquivos no disco rígido local, evitando as ferramentas tradicionais de segurança e forense.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
O malware sem arquivo reside no Memória de acesso aleatório do seu sistema de computador, e nenhum programa antivírus inspeciona a memória diretamente - por isso, é o modo mais seguro para os invasores invadirem seu PC e roubarem todos os seus dados. Mesmo os melhores programas antivírus, por vezes, perdem o malware em execução na memória.
Algumas das infecções recentes do Filware Malware que infectaram sistemas de computadores em todo o mundo são: Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.
Como o Malware Fileless funciona?
O malware sem arquivo quando cai no Memória pode implantar o seu nativo e sistema administrativo do Windows ferramentas internas como PowerShell, SC.exee netsh.exe para executar o código malicioso e obter acesso do administrador ao seu sistema, para executar os comandos e roubar seus dados. Malware sem arquivos em algum momento também pode se esconder Rootkits ou o Registro do sistema operacional Windows.
De vez em quando, os invasores usam o cache de miniaturas do Windows para ocultar o mecanismo de malware. No entanto, o malware ainda precisa de um binário estático para entrar no PC host, e o e-mail é o meio mais comum usado para o mesmo. Quando o usuário clica no anexo malicioso, ele grava um arquivo de carga criptografada no Registro do Windows.
O Malware sem arquivos também é conhecido por usar ferramentas como Mimikatz e Metaspoilt para injetar o código na memória do seu PC e ler os dados armazenados nele. Essas ferramentas ajudam os invasores a se intrometerem no seu PC e a roubarem todos os seus dados.
Análise comportamental e malware sem arquivo
Como a maioria dos programas antivírus comuns usa assinaturas para identificar um arquivo de malware, o malware sem arquivo é difícil de detectar. Assim, as empresas de segurança usam análise comportamental para detectar o malware. Esta nova solução de segurança foi projetada para enfrentar os ataques e comportamentos anteriores dos usuários e computadores. Qualquer comportamento anormal que aponte para conteúdo malicioso é então notificado com alertas.
Quando nenhuma solução de terminal pode detectar o malware sem arquivo, a análise comportamental detecta qualquer comportamento anômalo, como atividade de login suspeita, horas de trabalho incomuns ou uso de qualquer recurso atípico. Esta solução de segurança captura os dados do evento durante as sessões em que os usuários usam qualquer aplicativo, navegam em um site, jogam, interagem nas redes sociais, etc.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Como se proteger e detectar o malware sem arquivo
Siga as precauções básicas para proteger seu computador com Windows:
- Aplique todas as atualizações mais recentes do Windows - especialmente as atualizações de segurança para o seu sistema operacional.
- Certifique-se de que todo o software instalado esteja corrigido e atualizado para as versões mais recentes
- Use um bom produto de segurança que possa analisar com eficiência a memória de seus computadores e também bloquear páginas da Web mal-intencionadas que possam estar hospedando Exploits. Ele deve oferecer monitoramento de comportamento, varredura de memória e proteção do setor de inicialização.
- Tenha cuidado antes de baixar qualquer anexo de e-mail. Isso evita o download da carga útil.
- Use um Firewall forte que permita controlar efetivamente o tráfego da Rede.
Se você precisar ler mais sobre esse assunto, entre na Microsoft e confira este white paper da McAfee também.
