Malware “Fileless” é a nova ameaça invisível

Ainda o mundo sustém a respiração perante o perigo do ransomware e já outra espreita ao virar da esquina. A capacidade dos cibercriminosos para inovar não pode ser subestimada e a prová-lo está a ascensão do “malware fileless”, ou malware sem ficheiros. A indústria de cibersegurança começou a dar conta duma maior prevalência desta ameaça ao longo do ano passado, e o ENISA Threat Landscape Report 2017, relatório anual da Agência Europeia para a Proteção das Redes e da Informação, publicado no início deste ano, faz uma referência aos ataques fileless, a dizer que o malware fileless “ajuda a evitar a deteção e dificulta as investigações forenses”.

Um estudo conduzido no mercado norte-americano pelo instituto Ponemon e Barkly, no ano passado (“2017 State of Endpoint Security Risk”) sugeria que esta abordagem está a popularizar-se porque as soluções tradicionais não conseguem travá-la: a maioria dos ataques a endpoints mais bem-sucedidos em 2017 foram fileless, e 77% destes recorreram a exploits e a técnicas fileless. O estudo refere ainda que os ataques fileless têm uma probabilidade de êxito dez vezes superior à dos ataques baseados em ficheiros. No ano passado, 40% das organizações norte-americanas foram afetadas por ataques ou exploits fileless. Assim, apesar do malware fileless ainda não ser tão comum quanto os outros ataques, a a sua utilização está a aumentar. Não estamos, porém, perante um conceito novo. Em 2001, o worm Code Red foi uma forma de ameaça fileless, não escrevendo ficheiros no disco e residindo apenas na memória.

Como funciona?

Esta ameaça dispensa que os ficheiros maléficos sejam descarregados no disco ou executados e não está associado a nenhum vetor particular de infeção. Pode aproveitar-se de fragilidades dia zero existentes nos sistemas operativos ou injetar código malicioso na memória a partir duma aplicação descarregada dum website ilegítimo. Tendem, por exemplo, a recorrer a scripts nativos da RAM, como o PowerShell, no caso do Windows, para executar comandos hostis e secretos. Também recorrem a aplicações que já estejam instaladas (como web browsers ou aplicações Office) como forma de mascarar e disseminar comportamento malicioso. O modus operandi desta ameaça é simples: fazer passar atividade ilegítima por atividade legítima. Estes ataques conseguem vencer controlo remoto sobre um sistema, extrair dados ou combinar- se com outros exploits, enquanto apagam os seus vestígios, conseguindo tornar-se invisíveis a ferramentas forenses.

Porque são difíceis de detetar?

Por não ser usado malware tradicional, não existe uma assinatura que os antivírus consigam detetar, o que diminui em grande medida a eficácia das soluções de proteção de endpoint que as organizações tenham instaladas. Uma vez que os perigos fileless não dependem dos endpoints para manter conetividade, a janela temporal disponível para executar o ataque também é desconhecida, dado que pode ser criado o reboot ao sistema a qualquer momento. A a sua elevada flexibilidade assegura que é capaz de associar-se a outros para uma maior facilidade de propagação. Alguns cibercriminosos estão a associar malware fileless com módulos criptográficos para ransomware, por exemplo. Um relatório da Symantec, de julho do ano passado, citado pelo da ENISA, refere que os atacantes estão a recorrer a esta tática para espalhar ataques de ransomware e trojans financeiros.

Como travá-los?

Manter os sistemas operativos e o programa informático aplicacional atualizado é a primeira das medidas a tomar – acabar com as fragilidades quer dizer fechar a porta a este tipo de ataques. Também se mostra eficaz desativar ferramentas como o PowerShell ou o Windows Management Instrumentation, caso a organização recorpossa dispensá-las; igualmente, desativar todas as formas de execução de macros, já que tal impede que código não seguro seja executado no sistema. Porém, se tal não for possível, poderá fazer sentido permitir simplesmente macros autorizadas (por exemplo, assinadas digitalmente), de forma a garantir que os dispositivos estão protegidos. As organizações também devem investir numa monitorização ativa dos endpoints, sobretudo em soluções que tenham uma componente heurística que recorra a analítica comportamental do sistema, já que desta forma é possível detetar possíveis desvios face ao critério habitual.

Fonte: ITinsight

António Almeida

António Almeida

Licenciado em engenharia Informático e Telecomunicações, mestre em Sistemas e Tecnologias de Informação e doutorando em Informática é um apaixonado por todo o tipo de tecnologia. Apostava na troca de informações e acaba de criar uma rede de informáticos especialistas interessados em tecnologia.

PRÓXIMOS ARTIGOS:

Inscreva-se e Receba Grátis:

  • Últimas Notícias sobre Tecnologia
  • Promoções de produtos e serviços
  • Ofertas e Sorteios de equipamentos
Avaliar Artigo:
[5 Estrelas]

DEIXAR COMENTÁRIO:

Leave a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

AVISO:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de carácter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.

Categorias:

PROBLEMAS INFORMÁTICOS?
Escolha aqui um serviço!

Este site utiliza cookies para melhorar a sua experiência. Ao continuar a navegar estará a aceitar a sua utilização. Pode consultar mais informação no Centro de Privacidade.