¿Qué es un ataque FILELESS (sin archivo)? Cómo los hackers invaden los sistemas sin instalar software

Los delincuentes cibernéticos no necesitan colocar malware en su sistema para ingresar. Los ataques sin archivo o de “huella cero” utilizan aplicaciones legítimas o incluso del sistema operativo.

“Lo vemos todos los días”, dice Steven Lentz, CSO en Samsung Research America. “Algo que viene a través de algún tipo de exploit, ransomware desconocido. Hemos detenido varias cosas con nuestras defensas, ya sea en red o en el punto final”.

Los ataques por los que Lentz está preocupado son los ataques sin fichero, también conocidos como ataques de huella cero, macro o ataques sin malware. Estos tipos de ataques no instalan software nuevo en la computadora de un usuario, por lo que es más probable que las herramientas antivirus los pierdan. El siguiente gráfico muestra cómo funciona un ataque sin fichero.

 


ataque infográfico sin archivo spam v2

Los ataques sin archivo también evaden las listas blancas. Con la inclusión de listas blancas , solo se permite la instalación de aplicaciones autorizadas en una máquina. Los ataques sin archivo aprovechan las aplicaciones que ya están instaladas y están en la lista aprobada. Sin embargo, los términos “sin archivo”, “cero huella” y “no malware” son técnicamente erróneos ya que a menudo dependen de usuarios que descarguen archivos adjuntos maliciosos y dejan rastros en la computadora si sabe qué buscar.

Aprenda por qué, a pesar de sus deficiencias, el antivirus todavía desempeña un papel importante en la estrategia de seguridad de una empresa y marca el tablero diario de CSO para marcar los últimos avisos y titulares.

“El malware de cero huellas no existe realmente, ya que hay formas de detectar malware incluso si no se instala en discos duros”, dice Cristiana Brafman Kittner, analista senior de inteligencia de amenazas de FireEye, Inc. Además, no evite el antivirus por completo, ya que el antivirus aún podría detectar el archivo adjunto malicioso o malicioso, incluso si no hay ningún archivo ejecutable instalado.

Los atacantes saben que con un ataque sin fichero, tienen una mayor probabilidad de entrar. “Ahí es donde está la verdadera amenaza”, dice Lentz. Para atrapar a los que se deslizan, Samsung Research se basa en sistemas basados ​​en el comportamiento, incluida la protección de punto final de Carbon Black. Por ejemplo, cuando los visitantes se conectan a la red de la compañía, las defensas pueden detectar malware que las herramientas antivirus de los usuarios han omitido. “Encontramos keyloggers y programas de robo de contraseñas en las computadoras portátiles para visitantes”, dice Lentz.

El malware sin archivo es una amenaza creciente

La tasa de ataques de malware sin archivo aumentó de un tres por ciento a principios de 2016 a un 13 por ciento en noviembre pasado, según Mike Viscuso, CTO de Carbon Black, Inc. “Y hemos seguido viéndolo aumentar”, dice. “Vemos que una de cada tres infecciones tiene un componente sin fichero”.

Dado que no todos los clientes de Carbon Black optan por bloquear los ataques, sino que optan por las alertas en su lugar, Viscuso puede ver que los ataques sin nombre en realidad tienen un impacto aún mayor. “Más de la mitad de todos los ataques que tienen éxito son sin fichero”, dice.

Algunos clientes también usan honeypots, o incluso dejan partes de su red sin protecciones avanzadas basadas en el comportamiento, dice, para que puedan ver los ataques y luego rastrear qué persiguen los atacantes y cómo se están propagando. “Pueden asegurarse de que el resto de su entorno esté preparado para los ataques”, dice.

 

En un análisis reciente de Carbon Black de más de mil clientes, que incluyó más de 2.5 millones de puntos finales, prácticamente todas las organizaciones fueron blanco de un ataque sin fichero en 2016.

Viscuso dice que los ataques sin fichero tienen mucho sentido para los atacantes. “Pasé diez años como hacker ofensivo para el gobierno de Estados Unidos, con la NSA y la CIA”, dice. “Entonces, me acerco a la mayoría de las conversaciones desde la mentalidad del atacante”.

Desde la perspectiva del atacante, la instalación de un nuevo software en la computadora de una víctima es algo que probablemente llame la atención. “Si no coloco un archivo en la computadora de esta víctima, ¿cuánto examen se realiza?” Preguntó Viscuso. “Es por eso que es mucho más condenable cuando un atacante decide usar un ataque sin nombre o en la memoria. Se someten a mucho menos escrutinio y tienen mucho más éxito en su ataque”.

No hay pérdida de capacidad, agrega Viscuso. “Las cargas útiles son exactamente las mismas”. Por ejemplo, si el atacante quiere lanzar un ataque de ransomware, puede instalar un archivo binario, o pueden usar PowerShell. “PowerShell puede hacer todo lo que una nueva aplicación puede hacer”, dice. “No hay limitaciones en los ataques que puedo realizar en memoria o con PowerShell”.

McAfee también está reportando un aumento en los ataques sin fichero. El malware de macro, que representa una gran cantidad de malware sin archivo, aumentó de 400,000 a finales de 2015 a más de 1,1 millones durante el segundo trimestre de este año. Una de las razones del crecimiento es la aparición de kits de herramientas fáciles de usar que incluyen este tipo de exploits, dice Christiaan Beek, científico principal e ingeniero principal de investigación estratégica en McAfee LLC.

Como resultado, el uso de ataques sin fichero, que anteriormente se limitaba principalmente a estados nacionales y otros adversarios avanzados, se ha democratizado y ahora también es común en los ataques comerciales. “Los ciberdelincuentes han tomado esto para extender el ransomware”, dice Beek.

Para combatir estos ataques, McAfee y otros vendedores de antivirus principales han agregado análisis basados ​​en el comportamiento en la parte superior de las defensas tradicionales basadas en firmas. “Por ejemplo, si Word se ejecuta al mismo tiempo que vemos una conexión de PowerShell, eso es altamente sospechoso”, dice. “Podemos poner en cuarentena ese proceso, o decidir matarlo”.

¿Cómo funcionan los ataques sin fichero?

El malware sin archivo aprovecha las aplicaciones ya instaladas en la computadora de un usuario, aplicaciones que se sabe que son seguras. Por ejemplo, los kits de explotación pueden orientar las vulnerabilidades del navegador para que el navegador ejecute código malintencionado, o aprovechar las macros de Microsoft Word, o utilizar la utilidad Powershell de Microsoft.

“Las vulnerabilidades de software en el software ya instalado son necesarias para llevar a cabo un ataque sin fichero, por lo que el paso más importante en la prevención es el parche y la actualización no solo del sistema operativo, sino también de las aplicaciones de software”, dice Jon Heimerl, gerente del equipo de comunicaciones de inteligencia de amenazas en NTT Security. “Los complementos del navegador son las aplicaciones que más se pasan por alto en el proceso de administración de parches y las infecciones más sin objetivo”.

Los ataques que usan macros de Microsoft Office se pueden frustrar al desactivar la funcionalidad de macros. De hecho, están desactivadas por defecto, dice Tod Beardsley, director de investigación de Rapid7 LLC. Los usuarios deben aceptar específicamente habilitar las macros para abrir estos documentos infectados. “Algún porcentaje de personas todavía lo abrirá, especialmente si estás engañando a alguien que ya conoce la víctima”, dice.

Los atacantes también tendrán como objetivo las vulnerabilidades en el Adobe PDF Reader y en Javascript, dice Fleming Shi, SVP Advanced Technology Engineering en Barracuda Networks, Inc. “Algunas personas que son más paranoicas desactivarán la ejecución de JavaScript en sus navegadores para evitar infectarse, pero Por lo general, rompe el sitio “, dice.

La reciente violación de Equifax también es un ejemplo de un ataque sin fichero, según Satya Gupta, fundador y CTO de Virsec Systems, Inc. Usó una vulnerabilidad de inyección de comandos en Apache Struts, dice. “En este tipo de ataque, una aplicación vulnerable no valida adecuadamente la entrada de los usuarios, que puede contener comandos del sistema operativo”, dice. “Como resultado, estos comandos se pueden ejecutar en la máquina víctima con los mismos privilegios que los de la aplicación vulnerable”.

“Este mecanismo ciega totalmente cualquier solución antimalware que no esté mirando la ruta de ejecución de la aplicación para determinar si la aplicación no está ejecutando su código natural”, agrega. El parche habría evitado la violación, ya que se lanzó un parche en marzo.

A principios de este año, un ataque sin fichero infectó a más de 140 empresas, incluidos bancos, telecomunicaciones y organizaciones gubernamentales en 40 países. Kaspersky Labs encontró scripts maliciosos de PowerShell en el registro en sus redes empresariales. Según Kaspersky, la detección de este ataque solo era posible en RAM, red y registro.

Otro ataque sin nombre de alto perfil, según Carbon Black, fue el hackeo del Comité Nacional Demócrata. Para los atacantes que buscan permanecer sin ser detectados el mayor tiempo posible, los ataques sin fichero les ayudan a mantenerse debajo del radar.

“Hemos observado una serie de actores de espionaje cibernético aprovechando esta técnica en los intentos de evadir la detección”, dice Kittner de FireEye. Los ataques recientes incluyen los de equipos chinos y norcoreanos, dice ella.

Una nueva aplicación comercial de ataques sin archivo es usar máquinas infectadas para minar Bitcoin. “Los mineros crypto están tratando de ejecutar mineros cargados directamente en la memoria, usando Eternal Blue para esparcir cientos de miles de mineros en toda una compañía”, dice Eldon Sprickerhoff, fundador y estratega jefe de seguridad de eSentire Inc.

La dificultad de extraer Bitcoins ha ido aumentando con el tiempo, mucho más rápido que el aumento en el valor de la moneda virtual. Los mineros de Bitcoin tienen que comprar hardware especializado y cubrir las facturas de electricidad, por lo que es muy difícil obtener ganancias. Al secuestrar PC y servidores corporativos, pueden eliminar ambos costos.

“Si puede maximizar una CPU de múltiples vías enorme, es mucho mejor que la computadora portátil de alguien”, dice. Sprickerhoff recomienda que las compañías busquen un uso inusual de la CPU como un posible indicador de que la minería de Bitcoin está sucediendo.

Incluso los sistemas de análisis de comportamiento no podrán detectar todos los ataques sin fichero, dice Beardsley de Rapid7. “Depende de notar cuándo comienzan a ocurrir eventos inusuales, como que mi cuenta de usuario se ve comprometida y comienzo a conectarme a un grupo de máquinas con las que no me he estado comunicando antes”, dice.

Es difícil detectar estos ataques antes de activar las alertas, o si hacen algo que los algoritmos de comportamiento no los tienen en cuenta. “Si el adversario está haciendo un gran esfuerzo para ser lento y bajo, es mucho más difícil detectar [el ataque”, dice. “Con las cosas que vemos, eso podría ser un sesgo de selección, solo vemos las torpes porque son las más fáciles de ver. Si eres super sigiloso, no lo voy a ver”.

 

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies