Ataques, proteção e detecção de malware sem arquivo

Malware sem arquivos pode ser um termo novo para a maioria, mas o setor de segurança sabe disso há anos. No início deste ano, mais de 140 empresas em todo o mundo foram atingidas com este Malware sem Filas - incluindo bancos, empresas de telecomunicações e organizações governamentais. Malware sem arquivos, como o nome explica é um tipo de malware que não usa nenhum arquivo no processo. No entanto, algumas empresas de segurança afirmam que o ataque sem arquivo deixa um pequeno binário no host comprometedor para iniciar o ataque de malware. Esses ataques tiveram um aumento significativo nos últimos anos e são mais arriscados do que os ataques de malware tradicionais.

O malware sem arquivo ataca

Atalhos de arquivo sem malware também conhecidos como ataques não-malware . Eles usam um conjunto típico de técnicas para acessar seus sistemas sem usar nenhum arquivo de malware detectável. Nos últimos anos, os invasores ficaram mais inteligentes e desenvolveram muitas maneiras diferentes de lançar o ataque.

O malware sem arquivo infecta os computadores que não deixam arquivos no disco rígido local, evitando as ferramentas de segurança e forense tradicionais.

O que há de incomum nesse ataque é o uso de um software malicioso sofisticado que conseguiu residir apenas na memória de uma máquina comprometida, sem deixar vestígios no sistema de arquivos da máquina. O malware sem arquivo permite que os invasores evitem a detecção da maioria das soluções de segurança de endpoints baseadas em análise de arquivos estáticos (antivírus). O mais recente avanço do malware Sem arquivo mostra que o foco dos desenvolvedores mudou de disfarçar as operações da rede para evitar a detecção durante a execução de movimentos laterais dentro da infra-estrutura da vítima, diz Microsoft. O malware sem arquivo reside na

Memória de Acesso Aleatório do seu sistema de computador e nenhum programa antivírus inspeciona a memória diretamente - por isso, é o modo mais seguro para os invasores invadirem seu PC e roubarem todos os seus dados. Até mesmo os melhores programas antivírus às vezes perdem o malware que está sendo executado na memória. Algumas das infecções recentes do Fileless Malware que infectaram sistemas de computador em todo o mundo são: Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 etc.

Como o Malware sem arquivo funciona

O malware sem arquivo quando é lançado na

Memória pode implantar as ferramentas internas nativas e administrativas do sistema do Windows como PowerShell , SC.exe e netsh.exe para executar o código malicioso e obter acesso de administrador ao sistema, para executar os comandos e roubar seus dados. O Malware sem arquivo também pode se esconder em Rootkits ou Registro do sistema operacional Windows. Uma vez em, os invasores usam o cache do Windows Thumbnail para ocultar o mecanismo de malware. No entanto, o malware ainda precisa de um binário estático para entrar no PC host e o e-mail é o meio mais comum usado para o mesmo. Quando o usuário clica no anexo mal-intencionado, ele grava um arquivo de carga criptografada no Registro do Windows.

O Fileless Malware também é conhecido por usar ferramentas como

Mimikatz e Metaspoilt para injetar o arquivo. codificar na memória do seu PC e ler os dados armazenados lá. Essas ferramentas ajudam os invasores a se intrometerem no seu PC e roubarem todos os seus dados. Análise comportamental e malware sem arquivo

Como a maioria dos programas antivírus comuns usa assinaturas para identificar um arquivo de malware, o malware sem arquivo é difícil de detectar. Assim, as empresas de segurança usam análise comportamental para detectar o malware. Esta nova solução de segurança foi projetada para enfrentar os ataques e comportamentos anteriores dos usuários e computadores. Qualquer comportamento anormal que aponte para conteúdo malicioso é então notificado com alertas.

Quando nenhuma solução de terminal pode detectar o malware sem arquivo, a análise comportamental detecta qualquer comportamento anômalo, como atividade de login suspeito, horas de trabalho incomuns ou uso de qualquer recurso atípico. Esta solução de segurança captura os dados do evento durante as sessões em que os usuários usam qualquer aplicativo, navegam em um site, jogam, interagem nas mídias sociais etc.

O malware sem arquivo só se tornará mais inteligente e mais comum. Técnicas e ferramentas baseadas em assinaturas regulares dificultarão a descoberta desse tipo de malware complexo e orientado para fins discretos, diz a Microsoft

Como se proteger e detectar o Malware sem arquivo

Siga as precauções básicas para proteger seu computador Windows:

Aplique as atualizações mais recentes do Windows - especialmente as atualizações de segurança do sistema operacional.

• Verifique se todos os softwares instalados estão atualizados e atualizados nas versões mais recentes
• Use um produto de segurança que possa digitalizar com eficiência memória de computadores e também bloquear páginas da Web mal-intencionadas que possam estar hospedando Exploits.
• Tenha cuidado antes de fazer o download de qualquer anexo de e-mail. Isso evita o download da carga útil.
• Use um Firewall forte que permita controlar com eficiência o tráfego da Rede.
• Se precisar ler mais sobre esse assunto, entre na Microsoft e confira este white paper da McAfee também.