¿Qué es el malware sin archivos y cómo se protege contra él?

        Escanear archivos que abre y guarda no es suficiente para detectar malware en estos días. Así es como las herramientas de Microsoft Defender pueden ayudarlo a detectar ataques que el software de seguridad tradicional no detecta.
    

        
                                                                                    
                        

                 { } {1945 {194590} {1945908} 1919908} {1945908} }
    

     5 cosas que debes saber sobre los ataques de malware sin archivos
     Las amenazas de ciberseguridad evolucionan rápidamente y los atacantes utilizan cada vez más tácticas que no requieren una carga útil o engañan a alguien para que instale algo. Esto es lo que necesita saber sobre los ataques sin archivos.
     http://www.techrepublic.com/

    

Cuando te engaña un correo de phishing y abres un documento adjunto que tiene una macro maliciosa o un enlace a un sitio malicioso, o descargas una aplicación infectada, hay un archivo que el software antivirus puede escanear mientras se guarda hacia o abierto desde el disco, y hay un rastro de actividad de archivos que puede mirar hacia atrás si está tratando de revisar el daño hecho. Para evitar esas protecciones, los atacantes están comenzando a usar malware 'sin archivos' donde los ataques se ejecutan directamente en la memoria o usan herramientas del sistema que ya están instaladas para ejecutar código malicioso sin guardar archivos que el software antivirus puede escanear.

    
        

Eso podría significar engañar a un usuario para que ejecute un script que ejecute un binario .NET directamente desde la memoria, como Sharpshooter que descarga la carga útil de malware a través de los registros de texto de las consultas DNS. O podría significar enviar paquetes de red maliciosos que explotan la vulnerabilidad EternalBlue e instalan la puerta trasera DoublePulsar en la memoria del kernel. Podría significar almacenar la carga maliciosa en el Registro como un controlador para una extensión de archivo para que se ejecute cuando abra un archivo normal con esa extensión. Kovter por ejemplo, lo usó para descargar Mimikatz y robar credenciales, colocando la carga útil en una DLL que está codificada en una cadena y se ejecuta con un comando de PowerShell, instalando un comentario malicioso de PowerShell en el repositorio de WMI y configurándolo para que se ejecute a intervalos regulares. El código malicioso podría incluso estar en el firmware del dispositivo o en un periférico como BadUSB ; de esa manera, la carga útil puede ejecutarse en la memoria y seguir regresando incluso si reinicia, reinstala Windows o formatea el disco.

VER: Informe especial: Ciberguerra y el futuro de la ciberseguridad (PDF gratuito) (TechRepublic)

Las técnicas sin archivos pueden ser extremadamente avanzadas, y son más difíciles de detectar para el software antivirus tradicional. Pero no todos los ataques avanzados de malware carecen de archivos y arrojar el término no ayuda a las organizaciones a defenderse de él, dijo Tanmay Ganacharya a TechRepublic. Ganacharya dirige el equipo de investigación de amenazas Microsoft Defender que analiza nuevas amenazas y crea modelos para detectarlas. “Sin archivos es un término tan usado en exceso, y ha pasado de las amenazas verdaderamente sin archivos, a las personas que ahora quieren llamar a casi todo lo que es incluso un poco avanzado sin archivos y haciéndolo un poco de moda”, dice.

Para desmitificar el término, el equipo de investigación de amenazas comenzó a clasificar los ataques sin archivos en función de cómo ingresan a una PC y dónde están alojados. Hay más de una docena de combinaciones de esos 'puntos de entrada' y hosts de malware que se usan para ataques sin archivos, algunos de los cuales son muy sofisticados y rara vez se usan para ataques dirigidos, y algunos de los cuales se han comercializado y se muestran con más frecuencia para ataques comunes como tratar de ejecutar un minero de monedas en su sistema. Pero se dividen en tres grandes grupos.

 taxonomía sin archivos.jpg

                                            Imagen: Microsoft
                                        

“El tipo uno es verdaderamente sin archivos, donde el ataque se entrega en la red o desde un dispositivo, la carga útil se maneja en la memoria y casi nada toca el disco”, dice Ganacharya. EternalBlue y BadUSB son ataques verdaderamente sin archivos, y son raros. “Estos son realmente los ataques más avanzados que existen, pero la mayoría de los ataques que se llaman sin archivos no pertenecen a este grupo. Este tipo de ataque y explotación se ha vuelto cada vez más difícil, por lo que es difícil que se conviertan en productos básicos”. “

El tipo dos es un poco más común, dice Ganacharya. Los ataques de tipo dos usan archivos, pero no directamente, por lo que todavía cuentan como sin archivos. “Piense en los scripts que se utilizan para lanzar ataques, ya sea JavaScript o PowerShell. Vemos algunos que apuntan al MBR e intentan hacer que las máquinas sean completamente útiles para que no arranquen. Pero en su mayoría usan el registro y WMI y varios otros mecanismos como PowerShell para aprovechar algunas de las herramientas que ya están presentes en el sistema para secuenciar las actividades de configuración “.

Eso se llama 'vivir de la tierra', y es difícil de detectar con herramientas antivirus estándar porque esas herramientas legítimas no No active las advertencias y los archivos que el malware guarda están ofuscados y llenos de datos basura que son fáciles de cambiar para crear un nuevo ataque. Tampoco puede limpiarlo eliminando archivos, porque no puede simplemente eliminar partes clave de Windows como el Registro y el repositorio de WMI.

Los ataques sin archivos más comunes en realidad usan archivos, pero no ejecutan los ataques directamente desde esos archivos. “El tipo tres claramente comienza con un archivo, ya sea un documento con una macro, un archivo Java o un archivo Flash, y a veces incluso archivos EXE que eliminan ciertos archivos, pero luego la persistencia no tiene archivos”, dice Ganacharya. “Entonces, una vez que se cae la carga, la carga alcanza la persistencia permaneciendo en la memoria o en el registro y ejecutándose desde allí”.

Muchos de esos ataques Tipo tres provienen del correo electrónico, pero ganaron los archivos adjuntos. No se muestra como obviamente malicioso si un antivirus escanea los archivos. “Por lo general, no adjuntas un archivo EXE, adjuntas un documento con una macro y se vincula a otro archivo y luego ese archivo se va y descarga la carga útil”, explica Ganacharya. El código VBA no tiene un binario que el software antivirus pueda escanear, pero puede cargar scripts de PowerShell que descargan y ejecutan ataques.

Cómo detectar ataques sin archivos

Dado que no puede escanear archivos para detectar ataques sin archivos, debe confiar en escanear la memoria y detectar comportamientos maliciosos. “Debe poder escanear los módulos inyectados en la memoria, porque nada toca el disco, y debe poder ver cómo se cargan las cosas en la memoria, ya sea una carga útil o un código de shell”, dice Ganacharya. “Debe poder verlo, detenerlo y luego eliminar los procesos asociados”. Extender eso para cubrir el sector de arranque protege contra los ataques del sector de arranque.

La supervisión del comportamiento detecta malware que hace cosas maliciosas, que incluye los tres tipos de malware sin archivos. Ganacharya: “La supervisión del comportamiento realmente se aplica en todos los ámbitos, porque todo lo que no tiene archivos, ya sea sin archivos de extremo a extremo o si ha logrado una persistencia sin archivos, tendrá un comportamiento que indica actividad maliciosa. Si se trata de ransomware, tiene que cifrar los archivos , de lo contrario no es verdadero ransomware, si es un ladrón de información tendrá que robar algunos archivos o alguna información. Por lo tanto, siempre habrá comportamientos [to detect] “.

Para detectar ataques sin archivos que dependen de scripts, busque productos como Microsoft Defender que utilicen la Interfaz de análisis antimalware de Windows 10 (AMSI) para verificar el comportamiento del script en tiempo de ejecución.

 fileless-amsi.jpg

Cómo AMSI intercepta los scripts que intentan colocar malware sin archivos en los sistemas.

                                            Imagen: Microsoft
                                        

“A medida que los ataques de script y los ataques de PowerShell y los ataques basados ​​en VBScript comenzaron a crecer, se hizo extremadamente difícil para los productos de seguridad poder lidiar con los muchos, muchos millones y miles de millones y billones de formas en que puedes ofuscar algo como JavaScript “, señala Ganacharya. “Es muy fácil ofuscar JavaScript y crear variantes de la misma amenaza que no se parecen en absoluto. Pero para que se ejecute JavaScript, el motor de script tiene que ofuscar el código y crear la secuencia de instrucciones que luego ejecuta”.

Cualquier software antivirus puede conectarse a AMSI y ver esa secuencia, y a partir de septiembre de 2018 que incluye macros de Office.

“Entonces, en lugar de tener que lidiar con un archivo JavaScript, o un archivo de script de PowerShell o código de macro de Office, y tratar de razonar sobre contenido ofuscado, cuando el motor de script comienza a ejecutar ese contenido, puede verificar en línea con el antivirus instalado si la secuencia de eventos representa un comportamiento malicioso “, explica Ganacharya. “Esto hizo que las detecciones contra el malware JavaScript, el malware PowerShell, cualquier malware basado en secuencias de comandos sea extremadamente duradero, porque ahora no estamos en el juego del gato y el ratón de tratar de lidiar con las diferentes formas en que JavaScript puede ofuscarse. No lo hicimos” No tengo que construir analizadores pesados ​​para todos los lenguajes de secuencias de comandos que ralentizan las máquinas de los usuarios finales: simplemente aprovechamos el motor de secuencias de comandos que está en la máquina que tiene que funcionar de todos modos, y podemos ver lo que está sucediendo y detenerlo en el punto correcto para que el malware real nunca se levante. “

VER: The Dark Web: Una guía para profesionales de negocios (PDF gratuito) (TechRepublic)

Microsoft Defender ya ha protegido a los usuarios contra una gran cantidad de malware sin archivos a través de AMSI. El JavaScript de Sharpshooter está tan ofuscado que no se puede saber qué hace al leer el código. Pero cuando el script comienza a ejecutarse, está claro que está llamando a funciones y pasando parámetros que inician una aplicación.

Defender también detuvo un ataque más reciente y altamente sofisticado usando el Asteroth ladrón de información este verano, que estaba dirigido a Sudamérica e intentó robar credenciales, pulsaciones de teclas y otra información confidencial utilizando solo los existentes herramientas en Windows en una secuencia que es difícil incluso seguir con un diagrama.

 fileless-astaroth.jpg
{194577}

Las etapas complejas del ataque Astaroth sin archivos.

                                            Imagen: Microsoft
                                        

Aquí está el resumen de Ganacharya: “Intenta aprovechar los componentes existentes que se incluyen como parte de Windows para ayudar a administrar Windows y usarlos en secuencia sin tener que soltar un montón de contenido nuevo en la máquina del usuario final. un correo electrónico con un archivo ZIP que tiene archivos vinculados, que obtiene un archivo BAT, que ejecuta WMIC, que va y descarga un archivo de Excel, que tiene JavaScript superfusionado, que ejecuta WMIC nuevamente, que va y descarga otro Excel , utiliza Bitsadmin para luego descargar una carga útil, utiliza Certutil para decodificar esa carga útil, que eventualmente es una DLL, la carga, la inyecta y luego intenta hacer las cosas malas que hace “.

Defender tiene detecciones de comportamiento para todas las técnicas utilizadas en este ataque. “En realidad bloqueamos estos ataques en la primera etapa, pero para mostrar que no solo detectamos la primera etapa, detectamos todas las etapas, ponemos el AV en modo auditoría y lo dejamos correr y vimos que cada etapa tenía una detección de comportamiento “, dice Ganacharya. “Terminamos salvando todas las máquinas que fueron atacadas por este ataque que ejecutaba Windows Defender, comenzando desde el paciente cero”.

Las herramientas de detección y respuesta de punto final como Defender están deteniendo los ataques sin archivos, y puedes ver cómo los ataques ser detectado con Microsoft Defender Advanced Threat Protection. Pero también debe configurar reglas de reducción de superficie de ataque para deshabilitar la funcionalidad que no está utilizando, como permitir que las aplicaciones de Office inyecten código en otros procesos, que es algo que explotan muchos ransomware.

“Hacer que las aplicaciones de Office creen procesos secundarios no es un comportamiento común. Hay un pequeño puñado de empresas que escriben código macro realmente complejo [that needs this]¡y deberían dejar de hacerlo!” Advierte Ganacharya. “Pero la mayoría de las organizaciones no necesitan esta funcionalidad habilitada, especialmente para departamentos como ventas y recursos humanos y marketing donde no hay muchos ingenieros”.

El ransomware Locky utilizó un mensaje de correo electrónico con un archivo adjunto de Office con una fórmula oculta que ejecutó PowerShell para infectar sistemas. “Si acaba de habilitar la regla de reducción de superficie de ataque que dice que las aplicaciones de Office bloquean la creación de procesos secundarios, no tiene que preocuparse de que su solución tenga que ser capaz de lidiar con todo lo que sucede en estas últimas tres etapas: simplemente detendrá el ataque desde el principio, minimizando el daño en su red “, dice Ganacharya.

“Solo habilitar las reglas de reducción de superficie de ataque detiene la mayoría de los cero días que se identificaron en el último año más o menos”.

                                                                                

                                                

Ver también


Source link

Be part of our affiliated companies and receive a 20% discount.
www.onevirtualoffice.com
www.be1radio.com
www.rmcommunik.com
www.beonegroup.ca

Need Help?
Let our experienced staff help with virtual helpdesk. click for details.

Services:
– Laptop and Desktop Repair
– Virus and Malware Removal
– Computer Tune-up
– Remote Assistance
– Data Backup
– Data Recovery
– File Transfer and Sharing
– Hardware Diagnostics
– Antivirus Installation
– Software Installation
– Hardware Upgrades
– New System Setup
– Printer Troubleshooting
-Webmaster,hosting,Logo , Graphic design
-Social media Management
– Networking
– Install Windows Operating System (10, 8, 7, Vista and XP)

Business & Residential Toll Free: 1-800-432-1475 | Direct: (438)488-3296

Post Views: 57
Share !

About rasco

Be Happy the future is friendly.
Allrights Reserved 2007-2018 - Beone Magazine - powered by rasco