Single Blog

  • Home
  • Malware sem arquivos:

Malware sem arquivos:

5 de agosto de 2022 0 Comments

O que é e como funciona

Por Aamir Lakhani | 05 de agosto de 2022

O malware sem arquivo usa as ferramentas incorporadas de um sistema de computador para executar um ataque cibernético. Em outras palavras, o malware sem arquivos aproveita as vulnerabilidades presentes no software instalado para facilitar um ataque. Esse tipo de malware não exige que o invasor esgueira código malicioso no disco rígido do sistema de uma vítima em potencial seja bem sucedido. Portanto, o malware sem arquivos pode ser extremamente difícil de detectar — e extremamente perigoso.

Este blog delineará o básico do que é malware sem arquivo, juntamente com os estágios de um ataque, as técnicas comuns usadas por cibercriminosos que empregam malware sem arquivos e dicas para detectar esses tipos de ameaças.

O que é malware sem arquivo?

Malware sem arquivo é uma ameaça que não existe no disco. Normalmente, quando o malware está em disco — o que quero dizer com o disco, é um malware carregado no SSD (disco de estado sólido) ou no disco rígido de uma máquina — e ele existe fisicamente, é muito mais fácil de detectar pelo software de segurança. Além disso, pode ser examinado por pesquisadores de segurança, especialmente se for uma ameaça complexa.

Obviamente, os atacantes não querem que seu malware seja analisado pelos defensores, que seriam mais capazes de defender pela engenharia reversa do malware. Então, a melhor maneira de os bandidos manterem seu malware sem arquivo eficaz e não tê-lo analisado é ter certeza de que não está em disco. Assim, o surgimento de malware sem arquivos.

Se o malware sem arquivo não está no disco, então onde está?

Naturalmente, sua próxima pergunta sobre malware sem arquivos é “Onde no mundo ele existe se não está em disco?” Basicamente, existe na memória. Ao longo dos anos, atacantes sofisticados usaram uma variedade de técnicas para injetar memória com seu malware mais vil.

Frodo e O Vingador Sombrio são exemplos iniciais de malware sem arquivos. Frodo foi criado em 1989 e inicialmente era uma “brincadeira inofensiva”. Eventualmente, foi explorado. No mesmo ano, O Vingador Das Trevas também foi descoberto. É um tipo de ataque que foi usado para infectar arquivos executáveis toda vez que eles eram executados em um computador infectado. Até os arquivos copiados seriam infectados.

Hoje, o malware sem arquivos tornou-se tão avançado que o código que injetam na memória executa e baixa novo código na memória. O malware sem arquivos não requer arquivos para ser lançado, no entanto, ele precisa modificar o ambiente nativo e ferramentas que ele tenta atacar. Esta é uma maneira muito mais avançada de usar malware sem arquivo.

Usar essa técnica para executar torna muito difícil para o software de segurança descobrir o que o malware sem arquivo está executando porque há tantas coisas acontecendo na memória — tantas operações normais que estão sendo executadas — que é complexo e difícil de examinar e obter um controle sobre o que está acontecendo. As soluções de segurança simplesmente não conseguem obter uma linha de base sobre se algo malicioso está ocorrendo ou não. Isso é o que torna o malware sem arquivo muito eficaz.

Se é tão eficaz, por que não vemos mais ataques de malware sem arquivo?

Estamos vendo mais do que no passado recente, mas uma das desvantagens para os atacantes que tentam usar malware sem arquivo é que ele é mais complicado do que o malware tradicional. Para criar e executar malware sem arquivo, os atacantes requerem um nível mais alto de habilidades. É por isso que quando você vê ataques de malware sem arquivo, eles são tipicamente associados a ameaças patrocinadas pelo Estado ou aos cibercriminosos mais sofisticados.

Para obter os mesmos recursos e recursos que o malware tradicional tem, o malware sem arquivos requer criadores com conjuntos de habilidades fortes. O desafio para eles é que há espaço limitado na memória de um dispositivo e eles não têm muito espaço em disco para trabalhar. O malware na memória só pode residir em um espaço de memória existente que já está limitado na funcionalidade.

O malware sem arquivos não é apenas difícil de executar, mas os atacantes devem encontrar um lugar na memória para ele. E isso deve funcionar rapidamente porque o malware sem arquivo é liberado da memória quando o sistema é reiniciado. Para serem eficazes, os atacantes de malware sem arquivo precisam do conjunto certo de circunstâncias.

Quais são os estágios de um ataque de malware sem arquivo?

Como um ataque de malware tradicional, os estágios típicos de um ataque de malware sem arquivo são:
Fase 1: O agressor ganha acesso remoto ao sistema da vítima.
Fase 2: O atacante obtém credenciais para o ambiente comprometido.
Fase 3: O atacante cria um backdoor para o ambiente para retornar sem precisar repetir os estágios iniciais.
Fase 4: O invasor se prepara para exfiltração de dados copiando informações em um único local e, em seguida, comprimindo-as — usando ferramentas de sistema prontamente disponíveis, como o Compact.

Qual é a técnica de malware sem arquivo mais comum?

Os cibercriminosos que usam malware sem arquivo precisam acessar o sistema para modificar as ferramentas nativas e lançar ataques. Atualmente, as credenciais roubadas ainda são a técnica mais comum que os atacantes usam para obter acesso.

Sempre que você ouve sobre credenciais sendo roubadas ou nomes de usuário sendo hackeados ou informações de cartão de crédito sendo levantadas, eu não ficaria surpreso se houvesse pelo menos algum componente de malware sem arquivo envolvido.

Uma vez que o malware sem arquivo tenha acesso a um sistema, ele pode começar a lançar malware tradicional. As técnicas listadas abaixo tendem a ser mais bem sucedidas quando combinadas com malware sem arquivo:

  • Explorar kits
  • Ferramentas nativas sequestradas
  • Malware residente de registro
  • Malware somente de memória
  • Ransomware

Como detectar malware sem arquivo?

A melhor maneira de detectar e derrotar ataques de malware sem arquivo é ter uma abordagem holística com uma postura de defesa em várias camadas. As melhores práticas de uma organização para detectar ameaças de malware sem arquivos devem incluir a empregação de indicadores de ataque (IOAs) juntamente com indicadores de compromisso (IOCs) e aproveitar os recursos de caça a ameaças de sua solução de segurança.

Como o malware sem arquivo usa as ferramentas incorporadas de um sistema para facilitar ataques e cobrir seus rastros, as equipes de segurança cibernética devem estar cientes, permanecer vigilantes e conhecer os diferentes métodos que os atacantes empregam na realização desses ataques de malware sem arquivos. É tudo sobre ganhar visibilidade sobre cibercriminosos que estão se esforçando para se esconder na memória de um sistema.

Saiba mais sobre o SERVIÇO DE FIREWALL FORTINET através de nosso whitepaper 100% gratuito
Receba agora

Leave Comment