Aprenda tudo sobre malware sem arquivo e como se proteger
O mundo cibernético está repleto de incidentes de segurança. Enquanto a maioria dos ataques cibernéticos precisa de algum tipo de isca para se infiltrar em seu sistema, o malware destemido e sem arquivo vive fora da grade e infecta, virando seu software legítimo contra si mesmo.
Mas como o malware sem arquivo ataca se não usa nenhum arquivo? Quais são as técnicas mais comuns que ele emprega? E você pode proteger seus dispositivos contra malware sem arquivo?
Como o malware sem arquivo ataca?
Ataques de malware sem arquivo jogando com as vulnerabilidades pré-existentes dentro do software instalado.
Exemplos comuns incluem kits de exploração que visam vulnerabilidades do navegador para comandar o navegador a executar código malicioso, usando o utilitário Powershell da Microsoft ou direcionando macros e scripts.
Como o código para esses ataques não é armazenado em um arquivo ou instalado na máquina da vítima, ele carrega o malware diretamente na memória enquanto o sistema comanda e é executado instantaneamente.
A ausência de arquivos executáveis torna difícil para as soluções antivírus tradicionais identificá-los. Naturalmente, isso torna o malware sem arquivo ainda mais perigoso.
Técnicas comuns usadas por malware sem arquivo
O malware sem arquivo não precisa de código ou arquivos para ser iniciado, mas exige a modificação do ambiente nativo e das ferramentas que tenta atacar.
Aqui estão algumas técnicas comuns que o malware sem arquivo usa para visar dispositivos.
Exploit Kits
Exploits são pedaços de código ou sequências "explorados" e um kit de exploits é uma coleção de exploits. Exploits são a melhor maneira de lançar um ataque sem arquivo, pois podem ser injetados diretamente na memória sem a necessidade de gravar nada no disco.
Um ataque de kit de exploração é lançado da mesma maneira que um ataque típico, em que a vítima é atraída por e-mails de phishing ou táticas de engenharia social. A maioria dos kits inclui exploits para uma série de vulnerabilidades pré-existentes no sistema da vítima e um console de gerenciamento para o invasor controlá-lo.
Malware que reside na memória
Um tipo de malware conhecido como malware residente no registro é usado extensivamente por ataques sem arquivo. Este código malicioso está programado para ser iniciado toda vez que você abrir o sistema operacional e permanece oculto dentro dos arquivos nativos do registro.
Depois que o malware sem arquivo é instalado no registro do Windows, ele pode permanecer lá permanentemente, evitando a detecção.
Malware apenas de memória
Esse tipo de malware reside apenas na memória.
Os invasores empregam principalmente ferramentas de segurança e administração de sistema amplamente utilizadas – incluindo PowerShell, Metasploit e Mimikatz – para injetar seu código malicioso na memória do computador.
Credenciais roubadas
O roubo de credenciais para realizar um ataque sem arquivo é muito comum. Credenciais roubadas podem ser facilmente usadas para direcionar um dispositivo sob o pretexto do usuário real.
Depois que os invasores pegam um dispositivo por meio de uma credencial roubada, eles podem usar as ferramentas nativas, como o Windows Management Instrumentation (WMI) ou o PowerShell para realizar o ataque. A maioria dos cibercriminosos também cria contas de usuário para obter acesso a qualquer sistema.
Exemplos de ataques sem arquivo
O malware sem arquivo já existe há um bom tempo, mas só surgiu como um ataque comum em 2017, quando kits que integram chamadas para o PowerShell foram criados por agentes de ameaças.
Aqui estão alguns exemplos interessantes de malware sem arquivo, alguns dos quais você sem dúvida já ouviu falar.
The Dark Avenger
Este é um precursor de ataques de malware sem arquivo. Descoberto em setembro de 1989, ele exigia um arquivo como ponto de entrega inicial, mas depois operou dentro da memória.
O principal objetivo por trás desse ataque era infectar arquivos executáveis sempre que eles fossem executados em um computador infectado. Até mesmo os arquivos copiados seriam infectados. O criador deste ataque é conhecido como o "Dark Avenger".
Frodo
Frodo não é um ataque sem arquivo no verdadeiro sentido, mas foi o primeiro vírus que foi carregado no setor de boot de um computador, tornando-o parcialmente sem arquivo.
Ele foi descoberto em outubro de 1989 como uma brincadeira inofensiva com o objetivo de mostrar a mensagem "Frodo Lives" nas telas de computadores infectados. No entanto, devido ao código mal escrito, ele na verdade se tornou um ataque destrutivo para seus hosts.
Operação Cobalt Kitty
Este famoso ataque foi descoberto em maio de 2017 e executado no sistema de uma empresa asiática.
Os scripts do PowerShell usados para este ataque foram vinculados a um comando externo e servidor de controle que permitiu lançar uma série de ataques, incluindo o vírus Cobalt Strike Beacon.
Misfox
Esse ataque foi identificado pela equipe de Resposta a Incidentes da Microsoft em abril de 2016. Ele emprega as metodologias sem arquivo de execução de comandos por meio do PowerShell, além de ganhar permanência por meio de infiltração de registro.
Uma vez que esse ataque foi detectado pela equipe de segurança da Microsoft, uma solução de agrupamento para proteger contra esse malware foi adicionada ao Windows Defender.
WannaMine
Este ataque é executado através da mineração de criptomoedas no computador host.
O ataque foi detectado pela primeira vez em meados de 2017, durante a execução na memória, sem quaisquer vestígios de um programa baseado em arquivo.
Raposa roxa
O Purple Fox foi originalmente criado em 2018 como um trojan downloader sem arquivo que exigia um kit de exploração para infectar dispositivos. Ele ressurgiu em uma forma reconfigurada com um módulo worm adicional.
O ataque é iniciado por um e-mail de phishing que entrega a carga útil do worm, que verifica e infecta automaticamente os sistemas baseados no Windows.
O Purple Fox também pode usar ataques de força bruta procurando por portas vulneráveis. Depois que a porta de destino é encontrada, ela é infiltrada para propagar a infecção.
Como prevenir malware sem arquivo
Estabelecemos o quão perigoso o malware sem arquivo pode ser, especialmente porque alguns pacotes de segurança não podem detectá-lo. As cinco dicas a seguir podem ajudar a mitigar qualquer gênero de ataques sem arquivo.
1. Não abra links e anexos suspeitos
O e-mail é o maior ponto de entrada para ataques sem arquivo, pois usuários de e-mail ingênuos podem ser levados a abrir links de e-mail maliciosos.
Não clique em links sobre os quais você não tem 100 por cento de certeza. Você pode verificar onde o URL termina primeiro ou verificar se pode confiar nele em seu relacionamento com o remetente e no conteúdo do e-mail.
Além disso, nenhum anexo enviado de fontes desconhecidas deve ser aberto, especificamente aqueles que contêm arquivos para download, como PDFs e documentos do Microsoft Word.
2. Não mate o JavaScript
JavaScript pode ser um grande influenciador para malware sem arquivo, mas desativá-lo completamente não ajuda.
Além do fato de que a maioria das páginas que você visita estará vazia ou faltando elementos, há também um intérprete de JavaScript embutido no Windows que pode ser chamado de uma página da web sem a necessidade de JavaScript.
A maior desvantagem é que ele pode fornecer uma falsa sensação de segurança contra malware sem arquivo.
3. Desative o Flash
O Flash utiliza a ferramenta Windows PowerShell para executar comandos usando a linha de comando enquanto está sendo executado na memória.
Para proteger adequadamente contra malware sem arquivo, é importante desativar o Flash, a menos que seja realmente necessário.
4. Empregue a proteção do navegador
Proteger os navegadores de sua casa e do trabalho é a chave para evitar que ataques sem arquivo se espalhem.
Para ambientes de trabalho, crie uma política de escritório que permita que apenas um tipo de navegador seja usado para todos os desktops.
Instalar a proteção do navegador, como o Windows Defender Application Guard, é muito útil. Como parte do Office 365, este software foi escrito com procedimentos específicos para proteção contra ataques sem arquivo.
5. Implementar autenticação robusta
O principal culpado por trás da disseminação de malware sem arquivo não é o PowerShell, mas sim um sistema de autenticação fraco.
A implementação de políticas de autenticação robustas e a limitação do acesso privilegiado por meio da implementação do Principle Of Least Privilege (POLP) pode reduzir significativamente o risco de malware sem arquivo.
Beat Fileless Malware
Sem deixar rastros, o malware sem arquivo aproveita as ferramentas "seguras" integradas em seu computador para realizar os ataques.
No entanto, a melhor maneira de vencer qualquer malware ou sem arquivo é conscientizar-se e compreender as diferentes técnicas usadas na realização desses ataques.