O que é malware sem arquivo?
O malware sem arquivo é um tipo de software malicioso que usa programas legítimos para infectar um computador. Ele não depende de arquivos e não deixa pegadas, o que dificulta a detecção e a remoção. Os adversários modernos conhecem as estratégias que as organizações usam para tentar bloquear os ataques e estão criando malware cada vez mais sofisticado e direcionado para burlar as defesas. É uma corrida contra o tempo, pois as técnicas de hacking mais eficazes geralmente são as mais recentes. O malware sem arquivo tem sido eficaz na evasão de todas as soluções de segurança, exceto as mais sofisticadas.
O malware sem arquivo surgiu em 2017 como um tipo predominante de ataque, mas muitos desses métodos de ataque já existem há algum tempo. Frodo, Number of the Beast e The Dark Avenger foram alguns exemplos iniciais desse tipo de malware. Ataques sem arquivo mais recentes e de grande destaque incluem o hack do Comitê Nacional Democrata dos EUA e a violação da Equifax.
O que torna as infecções sem arquivo tão insidiosas é também o que as torna tão eficazes. Há quem diga de que o malware sem arquivo é "indetectável". Isso não é verdade; significa apenas que os ataques sem arquivo geralmente não são detectados por antivírus, listas de permissões e outras soluções tradicionais de segurança de endpoint. Na verdade, o Ponemon Institute afirma que os ataques sem arquivo têm 10 vezes mais chances de êxito do que os ataques baseados em arquivo.
Como ocorre um ataque sem arquivo?
Os ataques sem arquivo se enquadram na categoria mais ampla de ataques de características pouco observáveis (LOC), um tipo de ataque furtivo que evita a detecção pela maioria das soluções de segurança e afeta os esforços de análise forense. Embora não seja considerado um vírus tradicional, o malware sem arquivo funciona de maneira semelhante: ele opera na memória. Sem serem armazenadas em um arquivo ou instaladas diretamente em uma máquina, as infecções sem arquivo vão direto para a memória, e o conteúdo malicioso nunca entra em contato com o disco rígido. Muitos ataques de LOC aproveitam o Microsoft Windows PowerShell, uma ferramenta legítima e útil usada por administradores para automação de tarefas e gerenciamento de configuração. O PowerShell consiste em um shell de linha de comando e linguagem de script associada, fornecendo aos adversários acesso a praticamente tudo no Windows.
Figura 1. Exemplo de cadeia de eliminação de ataque sem arquivo.
A figura acima ilustra como um ataque sem arquivo pode ocorrer. Como a maioria dos ataques avançados atuais, os ataques sem arquivo geralmente usam engenharia social para levar os usuários a clicar em um link ou anexo em um e-mail de phishing. Os ataques sem arquivo normalmente são usados para movimentação lateral, o que significa que eles passam de um dispositivo para outro com o objetivo de obter direitos de acesso a dados valiosos em toda a rede corporativa. Para evitar suspeitas, o malware sem arquivo entra nos recessos profundos de aplicativos confiáveis e colocados na lista de permissões (como executáveis de host de script do Windows e do PowerShell, como wscript.exe e cscript.exe) ou no sistema operacional para iniciar processos maliciosos. Esses ataques abusam do modelo de confiança usado pelos aplicativos de segurança para não monitorar programas na lista de permissões.
O que é importante observar no cenário acima é que o hacker não precisou descobrir como infiltrar um programa malicioso além das defesas antivírus e antimalware. A maioria dos sensores automatizados não consegue detectar alterações na linha de comando. Um analista treinado pode identificar esses scripts, mas muitas vezes não sabe onde procurar.
Como você pode se defender de ataques sem arquivo?
À medida que o setor de segurança cibernética se torna mais sofisticado no bloqueio de explorações, a vida útil dos ataques sem arquivo diminui cada vez mais. Uma maneira de se proteger contra infecções sem arquivo é simplesmente manter o software atualizado. Isso inclui especialmente aplicativos da Microsoft, e o lançamento do pacote Microsoft 365 inclui medidas de segurança aprimoradas. A Microsoft também atualizou o pacote do Windows Defender para detectar atividades irregulares do PowerShell.
A verdadeira chave para neutralizar com êxito os ataques sem arquivo é uma abordagem integrada que aborda todo o ciclo de vida da ameaça. Com uma defesa em várias camadas, você ganha vantagem sobre os atacantes ao poder investigar todas as fases de uma campanha antes, durante e após um ataque.
Duas coisas são especialmente importantes:
- A capacidade de ver e medir o que está acontecendo: descobrir as técnicas usadas pelo ataque, monitorar atividades no PowerShell ou em outros mecanismos de script, acessar dados de ameaças agregados e obter visibilidade das atividades do usuário.
- A capacidade de controlar o estado do sistema alvo: interrupção de processos arbitrários, remediação de processos que fazem parte do ataque e isolamento de dispositivos infectados.
A interrupção bem-sucedida de ataques sem arquivo requer uma abordagem holística que possa ser dimensionada verticalmente e disseminar rapidamente as ações apropriadas onde e quando forem necessárias.
Como se proteger contra tipos específicos de ameaças sem arquivo?
Nossas equipes de pesquisa incluem mais de 250 pesquisadores em todo o mundo. Com a Trellix, você conta com uma equipe de especialistas que analisam objetos e comportamentos suspeitos em busca de ameaças maliciosas e desenvolvem ferramentas que bloqueiam diretamente diferentes variantes de ameaças sem arquivo. Lançamos várias assinaturas que bloqueiam diferentes variantes de ameaças sem arquivo. Isso inclui:
Ameaça sem arquivo: autoinjeção reflexiva
O carregamento reflexivo refere-se ao carregamento de um executável portátil (PE) da memória, e não do disco. Um script/função criado pode carregar reflexivamente um executável portátil sem ser registrado como um módulo carregado no processo e, portanto, pode executar ações sem deixar rastros. O PowerShell é um dos aplicativos mais usados para executar esses scripts criados. Esse evento indica um ataque sem arquivo em que um script do PowerShell tenta injetar um PE no próprio processo do PowerShell.
Ameaça sem arquivo: autoinjeção reflexiva de EXE
O carregamento reflexivo refere-se ao carregamento de um PE da memória, e não do disco. Um script/função criado pode carregar reflexivamente um executável (EXE) sem ser registrado como um módulo carregado no processo e, portanto, pode executar ações sem deixar rastros. O PowerShell é um dos aplicativos mais usados para executar esses scripts criados. Esse evento indica um ataque sem arquivo em que um script do PowerShell tenta injetar um EXE no próprio processo do PowerShell.
Ameaça sem arquivo: injeção remota de DLL
O carregamento reflexivo refere-se ao carregamento de um PE da memória, e não do disco. Um script/função criado pode carregar reflexivamente uma DLL sem ser registrado como um módulo carregado no processo e, portanto, pode executar ações sem deixar rastros. O PowerShell é um dos aplicativos mais usados para executar esses scripts criados. Esse evento indica um ataque sem arquivo em que um script do PowerShell tentou injetar uma DLL em um processo remoto.
Ameaça sem arquivo: execução de código malicioso usando a técnica DotNetToJScript
Esse evento indica uma tentativa de executar um código de shell malicioso usando a técnica DotNetToJScript, que é usada por ataques sem arquivo predominantes, como o CACTUSTORCH. Os vetores de ataque DotNetToJScript permitem o carregamento e a execução de assembly .NET malicioso (DLL, EXE etc.) diretamente da memória com a ajuda de bibliotecas .NET expostas via COM. Assim como qualquer outra técnica típica de ataque sem arquivo, o DotNetToJScript não grava nenhuma parte da DLL ou do EXE do .NET no disco rígido do computador.