Qué es el malware sin archivos

¿Qué es el malware sin archivos?

El malware sin archivos es un tipo de actividad maliciosa que utiliza herramientas legítimas y nativas integradas en un sistema para ejecutar un ciberataque. A diferencia del malware tradicional, que normalmente necesita que se descargue e instale un archivo, el malware sin archivos funciona en la memoria o manipula herramientas nativas, lo que dificulta su detección. A la explotación de herramientas legítimas se le suele denominar aprovechamiento de recursos existentes (LOTL).

Técnicas habituales del malware sin archivos

Aunque no es imprescindible que los ciberdelincuentes instalen código para lanzar un ataque de malware sin archivos, sí necesitan acceder al entorno para poder modificar sus herramientas nativas a su antojo. Los ciberdelincuentes obtienen acceso mediante:

• Kits de exploits
• Malware de registro ya presente
• Malware exclusivo de memoria
• Ransomware sin archivos

Kits de exploits

Los exploits son partes de código, secuencias de comandos o series de datos, mientras que los kits de exploits son conjuntos de exploits. Los adversarios los emplean para aprovecharse de las vulnerabilidades conocidas de un sistema operativo o de una aplicación instalada.

Los exploits son una forma eficaz de iniciar un ataque de malware sin archivos porque se pueden introducir directamente en la memoria sin tener que escribir nada en el disco, y los ciberdelincuentes pueden utilizarlos para automatizar ataques iniciales a escala.

Los kits de exploits por lo general incluyen exploits para varias vulnerabilidades y una consola de gestión que puede usar el atacante para controlar el sistema. En algunos casos, el kit de exploits puede ser capaz de analizar el sistema atacado en busca de vulnerabilidades para así, sobre la marcha, crear y lanzar un exploit personalizado.

Malware de registro ya presente

El malware de registro presente es un malware que se instala por sí solo en el registro de Windows y permanece ahí eludiendo su detección. En los ataques de malware tradicionales, un programa dropper descarga un archivo malicioso para infectar los sistemas Windows. Como dicho archivo malicioso permanece activo en el sistema atacado, es susceptible de que un software antivirus pueda detectarlo. Sin embargo, el programa dropper también puede ser utilizado por un malware sin archivos, en cuyo caso no se descarga ningún archivo malicioso. En lugar de eso, el dropper escribe código malicioso directamente en el registro de Windows.

El código malicioso puede estar programado para iniciarse cada vez que lo haga el sistema operativo y no existe un archivo malicioso que se pueda detectar: el código malicioso está oculto en archivos nativos fuera del escrutinio de un antivirus.

El ejemplo más antiguo de este tipo de ataque es Poweliks, pero han surgido muchos más desde entonces, como Kovter y GootKit. Es muy probable que el malware que modifica las claves de registro permanezca indetectable durante mucho tiempo.

Malware exclusivo de memoria

Como su nombre dice, el malware exclusivo de memoria solo se encuentra en la memoria. Un ejemplo de este tipo de malware es el gusano Duqu, que puede permanecer oculto porque solo se encuentra en la memoria. Duqu 2.0 tiene dos versiones: la primera es una puerta trasera que sirve al adversario para obtener acceso a una organización. Esto luego puede usar la segunda versión de Duqu 2.0, que ofrece funciones adicionales como el reconocimiento, el movimiento lateral y la exfiltración de datos. Duqu 2.0 se ha utilizado para provocar eficazmente brechas en empresas de telecomunicaciones y como mínimo en un proveedor de software de seguridad muy conocido.

Ransomware sin archivos

Los adversarios no se conforman con un único tipo de ataque, sino que se sirven de cualquier tipo de tecnología que pueda ayudarles a obtener su payload. En la actualidad, los atacantes de ransomware utilizan técnicas sin archivos para introducir código malicioso en documentos. Para ello, utilizan lenguajes de script nativos como macros o escriben el código malicioso directamente en la memora usando un exploit. A continuación, el ransomware toma el control de algunas herramientas nativas como PowerShell para que cifren los archivos secuestrados sin necesidad de escribir nada en el disco.

Fases de un ataque sin archivos

A continuación encontrarás las fases de un ataque de malware sin archivos:

Fase 1: acceso

Técnica: exploit remoto dirigido a una vulnerabilidad y uso de scripts web para el acceso remoto (por ejemplo, China Chopper).

El ciberdelincuente obtiene acceso remoto al sistema de la víctima para establecer un puente para su ataque.

Fase 2: robo de credenciales

Técnica: diversas (como Mimikatz).

Con el acceso obtenido en el paso anterior, el ciberdelincuente ahora intenta obtener las credenciales del entorno vulnerado para desplazarse fácilmente a otros sistemas de la misma red.

Fase 3: mantenimiento de la presencia

Técnica: modificación del registro para crear una puerta trasera (por ejemplo, la omisión de Sticky Keys).

Ahora, el ciberdelincuente establece una puerta trasera que le permitirá volver a este entorno sin tener que repetir los pasos iniciales del ataque.

Fase 4: exfiltración de datos

Técnica: uso del sistema de archivos y la utilidad de compresión integrada para recopilar datos y, después, el protocolo FTP para cargarlos.

En el último paso, el ciberdelincuente recopila datos y los prepara para su exfiltración, copiándolos en una ubicación y luego comprimiéndolos mediante herramientas disponibles en el sistema como Compact. Después, elimina los datos del entorno de la víctima cargándolos mediante FTP.

Cómo detectar el malware sin archivos

Si los métodos tradicionales de antivirus, listas blancas, entornos aislados o incluso aprendizaje automático no pueden proteger contra los ataques sin archivos, ¿qué se puede hacer? Las organizaciones pueden protegerse adoptando una estrategia integrada que combine diversos métodos.

Confía en los indicadores de ataque en lugar de solo en los indicadores de compromiso

Los indicadores de ataque (IOA) permiten que las organizaciones prevenir los ataques sin archivos adoptando un enfoque proactivo. En lugar de centrarse en cómo se ejecuta un ataque, los IOA buscan señales de un posible ataque en curso. El hecho de que la acción se iniciara desde un archivo del disco duro o con una técnica sin archivos es secundaria. Lo único que importa es el ataque en sí, cómo se relaciona con otras acciones, su posición en una secuencia y las acciones dependientes. Estos indicadores revelan las verdaderas intenciones y objetivos tras los comportamientos y los eventos en torno a ellos.

Los IOA incluyen señales como la ejecución de código, el movimiento lateral y las acciones que parecen querer ocultar su verdadera intención. Buscan secuencias de eventos que incluso el malware sin archivos necesita ejecutar para lograr su misión.

Y dado que los IOA analizan la intención, el contexto y las secuencias, pueden incluso detectar y bloquear actividades maliciosas aunque provengan de una cuenta legítima, algo bastante habitual cuando un ciberdelincuente utiliza credenciales robadas.

Uso del Threat Hunting gestionado

El Threat Hunting del malware sin archivos es una tarea complicada que requiere tiempo con la que se recopila y normaliza una cantidad enorme de datos. Sin embargo, dado que es un proceso necesario para la protección frente a ataques sin archivos, el enfoque más pragmático para la mayoría de las organizaciones es delegar dicho trabajo a un experto.

Los servicios de Threat Hunting gestionados no descansan, buscando intrusiones de forma proactiva, monitorizando el entorno y reconociendo actividades sutiles que podrían quedar fuera del radar de las tecnologías de seguridad estándar.

Cómo ayuda CrowdStrike a prevenir ataques sin archivos en tu organización

Las técnicas sin archivos son muy difíciles de detectar si solo usas métodos basados en firmas, entornos aislados, listas blancas o incluso protección basada en aprendizaje automático.

Para defenderte frente a los ataques sigilosos sin archivos, CrowdStrike combina de manera exclusiva varios métodos de detección de amenazas en una única estrategia potente e integrada que proporciona una protección sin igual de los endpoints. La plataforma CrowdStrike Falcon® proporciona protección nativa de la nube de nueva generación para los endpoints mediante un único agente ligero y ofrece un conjunto de métodos de detección y prevención complementarios:

• El inventario de la plataforma Falcon detecta cualquier aplicación que se ejecute en tu entorno, y eso permite detectar vulnerabilidades para que puedas actualizarlas o aplicarles parches y así no ser objetivo de los kits de exploits.

• El bloqueo de exploits detiene la ejecución de los ataques sin archivos mediante exploits que se aprovechan de las vulnerabilidades sin parches.

• Los IOA identifican y bloquean la actividad maliciosa durante las primeras fases de un ataque, antes de que pueda llegar a ejecutarse e infligir daño; esta capacidad también protege contra nuevas categorías de ransomware que no usan archivos para cifrar los sistemas de las víctimas.

• El control de scripts proporciona una visibilidad y una protección ampliadas contra ataques sin archivos basados en scripts.

• El análisis de memoria acelerado protege frente a ataques sin archivos y sin malware, como las amenazas persistentes avanzadas (APT), el ransomware y las herramientas de uso doble como Cobalt Strike en la memoria.

• CrowdStrike® Falcon Adversary OverWatch™ proporciona Threat Hunting gestionado que busca de forma proactiva y continua actividades maliciosas que se originan mediante técnicas sin archivos.