This post is also available in: Português
Assim como a cibersegurança está sempre se aprimorando e melhorando, os cibercriminosos também. Eles estão sempre buscando maneiras novas e sofisticadas de evitar serem detectados. Nos últimos tempos, houve um aumento significativo de ataques de ransomware e de fileless (sem arquivo). Isso representa uma grande ameaça para as organizações e um desafio para as soluções de segurança, devido ao uso de técnicas sofisticadas de ataques e vários formatos de arquivo não executáveis.
Os ataques fileless estão aumentando por ocorrer na memória, tornando difícil sua detecção. Além disso, é muito mais fácil para os invasores se esconderem, complicando a análise pós-evento.
O que é ataque fileless?
O termo ataque fileless sugere que uma ameaça não é proveniente de um arquivo, como um backdoor que chega apenas na memória de um computador.
Esses ataques existem e operam exclusivamente na chamada memória volátil – dados que são apagados com o desligamento do computador. Esse termo teve uma evolução ao longo dos anos, para incluir ameaças que utilizam maliciosamente recursos do sistema sem gravar novos arquivos em disco.
Ao aproveitar os recursos do sistema para fins maliciosos, o malware fileless efetivamente se esconde da grande maioria dos métodos tradicionais de detecção de ameaças.
Principais tipos de ataques fileless
Esses tipos de ataques podem ser divididos em três tipos principais, com base na quantidade de impressão que eles podem deixar em máquinas infectadas.
Tipo I: nenhuma atividade de arquivo executada
Um malware totalmente sem arquivos pode ser considerado um que nunca requer a gravação de um arquivo no disco.
Mas como esse malware infectaria um computador?
Como exemplo, podemos citar um computador de destino que recebe pacotes de rede maliciosa, que exploram a vulnerabilidade EternalBlue. Essa vulnerabilidade permite a instalação do backdoor DoublePulsar, que acaba residindo apenas na memória do kernel. Nesse caso, não há nenhum arquivo ou dados gravados em um arquivo.
Um dispositivo comprometido também pode ter um código mal-intencionado ocultado no firmware do dispositivo, um periférico USB ou no firmware de uma placa de rede. Os exemplos citados não exigem um arquivo no disco para executar e podem viver apenas na memória.
O código mal intencionado sobreviveria a reinicialização, reformatação de disco e reinstalação do sistema operacional.
Esse tipo de infecção pode ser difícil de detectar, pois a maioria dos produtos antivírus não tem a capacidade de inspecionar o firmware. Em casos em que o programa tem a capacidade de inspecionar e detectar um firmware mal-intencionado, ainda há desafios significativos associados à correção de ameaças desse nível.
Esse tipo de malware exige altos níveis de sofisticação e muitas vezes depende de uma configuração específica de hardware ou software. Não é um vetor de ataque que pode ser explorado de forma fácil e confiável.
Tipo II: atividade de arquivo indireto
Ainda existem outras maneiras pelas quais o malware pode conseguir uma presença fileless em um computador sem exigir esforço significativo na engenharia.
O malware fileless desse tipo não grava arquivos diretamente no sistema de arquivos, mas eles podem acabar usando arquivos indiretamente. Os invasores backdoor do Poshspv, por exemplo, instalaram um comando mal-intencionado do PowerShell no repositório WMI e configuraram um filtro WMI para executar o comando periodicamente.
É possível executar a instalação por meio de linha de comando, sem exigir que um backdoor já esteja no arquivo. O malware pode ser instalado e executado sem precisar tocar no sistema de arquivos.
Porém, o repositório WMI é armazenado em um arquivo físico em uma área de armazenamento central gerenciado pelo gerenciador de objetos CIM e geralmente contém dados legítimos.
Embora esse ataque tecnicamente não use um arquivo físico, ele é considerado um ataque fileless porque o repositório WMI é um contêiner de dados multiuso que não pode ser detectado e removido.
Tipo III: arquivos necessários para operar
Alguns tipos de malware podem ter um tipo de persistência sem arquivos, mas não sem usar arquivos para operar. Como exemplo, temos o Kovter, que cria um manipulador de verbo Open Shell no registro para uma extensão de arquivo aleatório. Abrir um arquivo com tal extensão levará à execução de um script por meio da mshta.exe, ferramenta legítima.
Quando o método é invocado, o comando associado ao registro é iniciado, resultando na execução de um pequeno script. Esse script lê os dados de uma chave do registro adicional e os executa, levando ao carregamento da carga final.
Para disparar o método Open, o Kovter deve gerar um arquivo com a mesma extensão direcionada pelo método. Ele também precisa definir uma chave de Autorun configurada para abrir esse arquivo quando a máquina é iniciada.
O Kovter é considerado uma ameaça fileless porque o sistema de arquivos não é de uso prático. Os arquivos com extensões aleatórias contem dados de lixo eletrônico que não podem ser utilizados para verificar a presença da ameaça.
Os arquivos que armazenam o registro são recipientes que não podem ser detectados e excluídos se houver conteúdo mal-intencionado.
Ameaças sofisticadas exigem uma segurança mais avançada
Os ataques fileless são muito sofisticados e de difícil detecção. Uma das maneiras de enfrentá-los é parar de utilizar as ferramentas que os cibercriminosos tendem a aproveitar nesses ataques, como o PowerShell, console do sistema Windows, fechando assim potenciais vetores de entrada.
Porém, a única forma de garantir a segurança de uma organização, é utilizando tecnologia de cibersegurança avançada, pois os ataques fileless são um perigo constante para as empresas e os cibercriminosos têm muitas maneiras de explorar os aplicativos legítimos em seu sistema.
Quer saber como se proteger contra sequestro de dados? Baixe nosso e-book e confira 5 dicas para evitar sequestro de dados Ransomware.
This post is also available in: Português
