O que é o Fileless Malware?
No mundo interligado de hoje, a segurança informática é da maior importância. Com o número crescente de ameaças cibernéticas, manter-se informado sobre as últimas ameaças é essencial para salvaguardar os nossos dados e sistemas.
Uma dessas ameaças emergentes é a ausência de ficheiros malware a aumentar drasticamente.
As tecnologias de ponta da WatchGuard tinham "já detectado cerca de 80% dos ataques sem ficheiro ou a viver das agressões à terra que [eles] testemunharam durante todo o ano de 2020" no final de 2021. Fonte
Como o nome sugere, é um tipo de malware que opera sem criar ficheiros no sistema alvo, o que dificulta a sua detecção e remoção.
Neste artigo, iremos explorar o malware sem ficheiros, como funciona, e que medidas podem ser tomadas para o proteger contra ele.
O que é o Fileless Malware?
O malware sem ficheiros é um tipo de código malicioso que funciona inteiramente na memória de um sistema informático sem criar quaisquer ficheiros no disco rígido. Os malwares tradicionais, tais como vírus, trojans e worms, dependem de ficheiros para infectar e se espalhar por um sistema.
Em contraste, o malware sem ficheiros reside na RAM do sistema, registo, e outras áreas voláteis de armazenamento, tornando difícil a detecção utilizando software antivírus convencional.
Como é que o Fileless Malware funciona?
Os malwares que não utilizam ficheiros funcionam através da introdução na memória do seu computador. Por conseguinte, nenhum código nocivo chega ao seu disco rígido. Ele entra no seu sistema de uma forma surpreendentemente semelhante à de outro software malicioso.
Por exemplo, um hacker pode enganar uma vítima para que esta clique num link ou num anexo num e-mail de phishing. Para induzir a vítima a clicar no anexo ou link, o agressor pode utilizar a engenharia social para brincar com as suas emoções. Posteriormente, o malware entra no seu sistema e espalha-se de um dispositivo para outro.
Os atacantes podem aceder a dados que podem roubar ou explorar para obstruir as actividades de uma organização usando malware sem ficheiros. O malware sem ficheiros esconde-se usando ferramentas em que os administradores de sistema normalmente confiariam, incluindo ferramentas de scripting do Windows ou PowerShell.
São frequentemente incluídos na lista de pedidos de autorização de uma empresa. O malware sem ficheiro corrompe um programa de confiança, tornando-o mais desafiante de detectar do que o software malicioso que vive num ficheiro separado no seu disco rígido.
Cadeia de ataque de malwares sem ficheiro
Como o malware sem ficheiros opera na memória e faz uso de tecnologias confiáveis, software antivírus baseado em assinatura, e sistemas de detecção de intrusão frequentemente confundem-no com software benigno.
Devido à sua capacidade de trabalhar dissimuladamente, manter a persistência e passar despercebida pelas organizações alvo que não dispõem das ferramentas necessárias, torna-as essencialmente alheias a uma intrusão contínua.
A confiança das empresas em soluções baseadas em assinaturas para proteger as suas redes é um factor chave que encoraja as CTAs a lançar ataques de malware sem ficheiros contra as redes.
Tipos de Malware sem ficheiro
Eis como o Fileless Malware se espalha por causa de vários tipos:
- Malware baseado em memória sem ficheiros é o tipo mais comum de malware sem ficheiros, que reside na RAM do sistema e noutras áreas voláteis de armazenamento.
- Software maligno sem script utiliza linguagens de scripting, tais como PowerShell ou JavaScript, para executar código malicioso na memória de um sistema alvo.
- Malware sem ficheiros baseado em macro utiliza macros incorporadas em documentos, tais como ficheiros Microsoft Office ou PDFs, para executar código malicioso na memória de um sistema alvo.
- Malware sem ficheiro baseado em registo reside no registo do sistema, uma base de dados que armazena informações de configuração para o sistema operativo e software instalado.
Etapas de um Ataque sem Ficheiros
Os seguintes são passos que um atacante pode tomar durante um ataque sem ficheiro:
Acesso Inicial
O atacante obtém acesso inicial à rede alvo através de phishing ou outro engenharia social técnicas.
Execução
O atacante entrega o código malicioso a um ou mais computadores na rede alvo usando várias técnicas (como por exemplo através de um anexo de e-mail). O código malicioso corre na memória sem tocar no disco. Isto torna difícil ao software antivírus detectar o ataque e impedi-lo de ser bem sucedido.
Persistência
Os atacantes instalam ferramentas (por exemplo, scripts PowerShell) que lhes permitem manter o acesso à rede mesmo depois de terem saído do seu ponto de entrada inicial ou depois de o seu malware inicial ter sido removido de todos os dispositivos infectados.
Estas ferramentas podem ser utilizadas para executar ataques contra a mesma rede enquanto permanecem indetectáveis por software antivírus, porque não deixam quaisquer vestígios no disco ou na memória uma vez terminada a sua tarefa de instalar novos componentes malware ou executar outras tarefas que requerem direitos administrativos em sistemas alvo.
Objectivos
Uma vez que um agressor tenha estabelecido persistência na máquina de uma vítima, pode começar a trabalhar para o seu objectivo final: roubar dados ou dinheiro das contas bancárias das vítimas, exfiltrar dados sensíveis, ou outras actividades nefastas.
Os objectivos de um ataque sem ficheiro são muitas vezes muito semelhantes aos dos ataques tradicionais: roubar palavras-passe, roubar credenciais, ou de outra forma obter acesso a sistemas dentro de uma rede; exfiltrar dados de uma rede; instalar ransomware ou outro malware em sistemas; executar comandos à distância; e assim por diante.
Como proteger contra malwares sem ficheiro?
Agora deve estar preocupado com a forma como se pode salvar desta grave ameaça. Eis como pode estar no lado seguro:
Mantenha o Seu Software Actualizado: O malware sem ficheiros depende da exploração de vulnerabilidades em aplicações de software legítimo. Manter o seu software actualizado com as últimas correcções e actualizações de segurança pode ajudar a evitar que os atacantes explorem as vulnerabilidades conhecidas.
Utilizar Software Antivírus: Embora o software antivírus tradicional possa não ser eficaz contra malware sem ficheiros, as soluções especializadas de protecção de terminais, tais como detecção baseada no comportamento ou controlo de aplicações, podem ajudar a detectar e prevenir ataques de malware sem ficheiros.
Usar o Menos Privilégio: O malware sem ficheiros requer frequentemente privilégios administrativos para executar ataques. A utilização do princípio do privilégio mínimo, que limita o acesso do utilizador ao nível mínimo necessário para executar o seu trabalho, pode ajudar a reduzir o impacto dos ataques de malware sem ficheiros.
Implementar Segmentação de Rede: A segmentação de rede envolve a divisão de uma rede em segmentos mais pequenos e isolados, cada um com as suas políticas de segurança e controlos de acesso. A implementação da segmentação de rede pode ajudar a conter a propagação de ataques de malware sem ficheiros, limitando o seu impacto na organização.
O Veredicto
O malware sem ficheiros é um ataque cibernético altamente sofisticado que representa uma ameaça significativa aos sistemas e redes informáticas. Ao contrário do malware tradicional, o malware sem ficheiro opera inteiramente na memória de um sistema alvo, o que torna difícil detectar e remover utilizando software antivírus convencional.
Para proteger contra malware sem ficheiros, é essencial manter o software actualizado, utilizar soluções especializadas de protecção de pontos terminais, implementar o princípio do privilégio mínimo, e empregar a segmentação da rede. À medida que as ameaças cibernéticas evoluem, é crucial manter-se informado sobre as mais recentes técnicas de ataque e tomar medidas proactivas para salvaguardar os nossos dados e sistemas.
- O que é um e-mail de phishing? Fique alerta e evite cair na armadilha! - 31 de maio de 2023
- Corrigir "DKIM none message not signed"- Guia de resolução de problemas - 31 de maio de 2023
- Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF - 30 de maio de 2023
