Seguridad

Malware sin archivos: amenazas indetectables

El malware sin archivos es una amenaza peligrosa y astuta, y está ganando terreno. Descubra cómo podría afectar a su organización, red y dispositivos conectados a ella.

En el mundo de la seguridad, nunca faltan las amenazas nuevas o interesantes que se avecinan. Si bien el enfoque actual parece estar en el ransomware y la mejor manera de recuperarse de él, los profesionales de TI deben estar al tanto de los ataques más nuevos y sigilosos, como el malware sin archivos, que se propagan por todo el mundo.

Con el aumento significativo del uso de actores de amenazas, el malware sin archivos combina un vector de ataque casi ilimitado con bajas tasas de detección para controlar sistemas de forma remota, extraer datos o combinarse con otros exploits para entregar múltiples cargas útiles mientras borra sus Trails, incluido el uso de anti-forense. herramientas – permanecen completamente invisibles.

¿Qué es el malware sin archivos?

El malware sin archivos recibe su nombre porque, a diferencia de otros tipos de malware, los archivos se usan para infectar hosts y las versiones sin archivos generalmente no usan ningún archivo. En cambio, el código de malware reside en la memoria RAM o en el registro, o se propaga mediante el uso de secuencias de comandos diseñadas como PowerShell para infectar sus hosts.

LEER  Vulnerabilidad de Log4j: por qué su versión caliente es incorrecta

Considerado una amenaza volátil avanzada (AVT), el malware sin archivos puede explotar las vulnerabilidades en un sistema o aplicación sin escribir archivos en el disco duro local. Por lo general, requiere privilegios administrativos en el dispositivo de destino, que se pueden obtener mediante la explotación de vulnerabilidades u otros ataques para aumentar los privilegios.

Ver también: Infecté mi computadora con Windows con ransomware para probar la protección de RansomFree

¿Como funciona?

Por ejemplo, una vez que se otorga el acceso, PowerShell se puede usar para ejecutar comandos ocultos en el sistema que dependen del objetivo previsto del atacante y el tiempo que dura el ataque.

weerapatkiatdumrongistock 515745835

Dado que el malware sin archivos no depende de los puntos finales para mantener las conexiones, se desconoce la ventana de tiempo para ejecutar el ataque, ya que el sistema puede reiniciarse en cualquier momento. Por lo tanto, los ataques que residen en la memoria se pueden detener de inmediato. Esto hizo que los actores de amenazas plantaran claves de registro que ayudaron a los ataques en curso al configurar scripts para ejecutarse después de reiniciar el sistema.

¿Por qué es tan difícil de detectar?

Las aplicaciones de software antivirus no pueden generar definiciones de firma basadas en las características de los archivos de malware sin un archivo de carga para infectar el sistema. Esto plantea un problema porque la aplicación simplemente no sabe qué buscar.

A la dificultad de su detección se suma el hecho de que el malware sin archivos utiliza los propios comandos del sistema para ejecutar el ataque. Por ejemplo, usar el comando netsh para crear una conexión de red, asignarle una dirección IP estática y configurarlo para usar una dirección IP de proxy específica es una función integrada muy normal de los comandos de Windows. Sin embargo, si el script se ejecuta en la computadora y realiza la función sin el conocimiento del usuario, la conexión de red recién creada puede usarse como un medio para filtrar datos de ese sistema a otra conexión remota en Internet, mientras se oculta su tráfico Ver a través de proxy.

Mirá también: Microsoft usará la IA de Hexadita para combatir ciberataques en Windows 10

donde se usa

La buena noticia es que, si bien el uso de malware sin archivos está creciendo en popularidad a nivel mundial, todavía no es tan común como otros ataques. La mala noticia es que el uso va en aumento, y los principales objetivos de este tipo de ataques son las instituciones financieras, probablemente debido a su sigilo y huella mínima.

La peor noticia es que el malware sin archivos es lo suficientemente flexible como para enlazarse con otros ataques para la entrega de múltiples cargas útiles. Los investigadores de seguridad han identificado varios actores de amenazas que combinan malware sin archivos con módulos criptográficos para obtener ransomware difícil de prevenir o inyectar código malicioso incluido con publicidad maliciosa.

Lea también…

su opinión

¿Alguna vez ha sido atacado por malware sin archivos? ¿Cómo te proteges contra eso? Comparta sus consejos y experiencias con otros miembros de Tecnopedia.

LEER  Campaña de phishing dirigida a clientes de Chase en aumento

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba