Definição de malware sem arquivos

O que é malware sem arquivos?

O malware sem arquivos é um tipo de atividade maliciosa que usa ferramentas nativas e legítimas incorporadas a um sistema para executar um ciber ataque. Ao contrário do malware tradicional, que normalmente exige que um arquivo seja baixado e instalado, o malware sem arquivos opera na memória ou manipula ferramentas nativas, torna-se mais difícil de detectar e remover. A exploração de ferramentas legítimas é frequentemente chamada de living-off-the-land (LOTL).

Técnicas comuns de malware sem arquivos

Embora o invasor não precise instalar código para iniciar um ataque de malware sem arquivos, ele ainda precisa obter acesso ao ambiente para poder modificar suas ferramentas nativas e atender aos seus propósitos. Os invasores podem obter acesso usando:

• Kits de exploit
• Malware residente no registro
• Malware exclusivo da memória
• Ransomware sem arquivo

Kits de exploit

Exploits são códigos, sequências de comandos ou coleções de dados, e kits de exploit são coleções de exploits. Os adversários usam essas ferramentas para tirar proveito das vulnerabilidades conhecidas de um sistema operacional ou aplicação instalada.

Os exploits são uma maneira eficiente de lançar um ataque de malware sem arquivo porque podem ser injetados diretamente na memória sem exigir que nada seja gravado em disco. Os adversários podem usar os exploits para automatizar o comprometimento inicial em grande escala.

O kit de exploit geralmente inclui exploits para diversas vulnerabilidades e um console de gerenciamento que os invasores podem usar para controlar o sistema. Em certos casos, o kit de exploit tem a capacidade de executar varreduras no sistema alvo em busca de vulnerabilidades para depois criar e lançar exploits personalizados em tempo real.

Malware residente no registro

Malware residente no registro é aquele que instala a si mesmo no registro do Windows para manter a persistência e, ao mesmo tempo, evitar a detecção. Em um ataque de malware tradicional, os sistemas Windows podem ser infectados por meio do uso de um programa dropper que baixa um arquivo malicioso. Esse arquivo permanece ativo no sistema afetado, tornando-o vulnerável à detecção por softwares antivírus. O malware sem arquivos também pode usar um programa "dropper" que não baixa um arquivo malicioso. Em vez disso, ele injeta o código malicioso diretamente no registro do Windows.

O código malicioso pode ser programado para ser executado a cada inicialização do sistema operacional, sem que haja um arquivo malicioso detectável: o código malicioso está oculto em arquivos nativos indetectáveis por antivírus.

Poweliks é a variante mais antiga desse tipo de ataque, mas muitas outras já surgiram, como o Kovter e o GootKit. Malwares que modificam chaves de registro têm altas chances de permanecerem ativos e indetectados por longos períodos.

Malware exclusivo da memória

Esse tipo de malware reside apenas na memória. Um exemplo desse tipo de malware é o worm Duqu, que consegue se manter oculto porque reside exclusivamente na memória. O Duqu 2.0 tem duas versões: a primeira serve como backdoor, permitindo que um invasor se estabeleça na organização. Depois o invasor pode usar a versão avançada do Duqu 2.0, com funcionalidades a mais, como reconhecimento, movimentação lateral e exfiltração de dados. O Duqu 2.0 já foi usado para invadir com sucesso empresas do setor de telecomunicações e pelo menos um fornecedor de software de segurança renomado.

Ransomware sem arquivo

Os adversários não se limitam a um único tipo de ataque. Eles usam qualquer tecnologia que os ajude a capturar payloads Hoje, os invasores de ransomware estão usando técnicas sem arquivos para integrar código malicioso em documentos. Eles conseguem isso usando linguagens de scripts nativas, como macros, ou escrevendo o código malicioso diretamente na memória por meio do uso de um exploit. O ransomware então sequestra ferramentas nativas, como o PowerShell, para criptografar arquivos reféns sem nunca ter gravado uma única linha no disco rígido.

Etapas de um ataque sem arquivos

Confira a seguir as etapas de um ataque de malware sem arquivos:

Etapa 1: obter acesso

Técnica: explorar remotamente uma vulnerabilidade e usar scripts Web para obter acesso remoto (por exemplo, China Chopper)

O invasor obtém acesso remoto ao sistema da vítima para estabelecer uma posição de destaque para seu ataque.

Etapa 2: roubar credenciais

Técnica: várias técnicas possíveis (por exemplo, Mimikatz)

Utilizando o acesso obtido na etapa anterior, o invasor tenta obter credenciais válidas no ambiente comprometido, que possibilitarão a ele se mover com facilidade para outros sistemas naquele ambiente.

Etapa 3: manter a persistência

Técnica: modificar o registro para criar um backdoor (por exemplo, ignorar Sticky Keys)

Agora, o invasor cria um backdoor que lhe permitirá retornar a esse ambiente sem precisar repetir os passos iniciais do ataque.

Etapa 4: exfiltrar dados

Técnica: use o sistema de arquivos e o utilitário de compactação integrado para coletar dados e, em seguida, use o FTP para fazer upload dos dados

Na etapa final, o invasor coleta dados e os prepara para exfiltração, copiando-os em um local e depois compactando-os usando ferramentas de sistema prontamente disponíveis, como o Compact. Então, o invasor remove os dados do ambiente da vítima carregando-os via FTP.

Como detectar o malware sem arquivos

Se os métodos legados de antivírus, lista de permissões, sandbox e até mesmo o machine learning não conseguem proteger contra ataques sem arquivos, o que fazer? As organizações podem se proteger adotando uma abordagem integrada que combina múltiplos métodos.

Confie nos indicadores de ataque, e não só nos indicadores de comprometimento

Os indicadores de ataque (IOAs) permitem às organizações adotar uma abordagem proativa para prevenir ataques sem arquivos. Em vez de se concentrar em como o ataque foi executado, os IOAs procuram sinais de que o ataque pode estar em andamento. Não importa se a ação foi desencadeada por um arquivo no disco rígido ou por uma técnica sem arquivos. O que importa é a ação que é realizada, a relação dela com outras ações, a posição dela em uma sequência e as ações respectivamente dependentes. Esses indicadores revelam as verdadeiras intenções e objetivos por trás dos comportamentos e eventos relacionados.

IOAs abrangem sinais que vão da execução de código e movimentação lateral até ações que aparentam ter o objetivo de ocultar a verdadeira intenção do invasor. Eles procuram sequências de eventos que até mesmo o malware sem arquivos precisa executar para cumprir sua missão.

E como os IOAs examinam intenção, contexto e sequências, eles podem até mesmo detectar e bloquear atividades maliciosas que são realizadas usando uma conta legítima, o que geralmente é o caso quando o invasor usa credenciais roubadas.

Empregar investigação gerenciada de ameaças

A investigação de ameaças para malware sem arquivos é um trabalho demorado e enfadonho que exige a coleta e a normalização de grandes quantidades de dados. Mas como essa é uma parte essencial da proteção contra ataque sem arquivos, a abordagem mais pragmática para a maioria da organização é delegar sua investigação de ameaças a um fornecedor especializado.

Os serviços de investigação gerenciada de ameaças estão de plantão 24 horas por dia, buscando invasões de modo proativo, monitorando o ambiente e reconhecendo atividades sutis que podem passar despercebidas pelas tecnologias padrão.

Como a CrowdStrike pode impedir ataques sem arquivos na sua organização

Técnicas sem arquivos são extremamente difíceis de detectar se você depende de métodos baseados em assinatura, sandbox, lista de permissões ou até mesmo métodos de proteção que usam machine learning.

Para se defender contra ataques sigilosos sem arquivos, a CrowdStrike combina com exclusividade vários métodos de detecção de ameaças em uma abordagem poderosa e integrada que oferece proteção incomparável aos endpoints. A plataforma CrowdStrike Falcon® oferece proteção de endpoint nativa em nuvem e de última geração por meio de um só agente leve e proporciona uma série de métodos complementares de prevenção e detecção:

• O inventário de aplicações da plataforma Falcon descobre qualquer aplicação em execução no ambiente, ajudando a encontrar vulnerabilidades para que você possa corrigi-las ou atualizar essas aplicações para que não possam mais sofrer esse exploit

• O bloqueio de exploit interrompe a execução de ataques sem arquivos por meio de exploits que aproveitam vulnerabilidades não corrigidas

• Os IOAs identificam e bloqueiam atividades maliciosas durante os estágios iniciais de um ataque, antes que ele possa ser executado e causar danos; essa capacidade também protege contra novas categorias de ransomware que não usam arquivos para criptografar os sistemas das vítimas

• O controle de scripts fornece visibilidade expandida e proteção contra ataques baseados em scripts

• A varredura de memória acelerada protege contra ataques sem malware e sem arquivos, como as ameaças persistentes avançadas (APTs), ransomware e ferramentas de uso duplo, como Cobalt Strike em memória

• A CrowdStrike® Falcon Adversary OverWatch™ fornece investigação gerenciada de ameaças que pesquisa proativamente 24 horas por dia em busca de atividades maliciosas que são geradas como resultado de técnicas sem arquivos