Conforme las medidas de seguridad mejoran su capacidad de identificar y bloquear malware y otras amenazas, los adversarios modernos están creando constantemente técnicas sofisticadas para evadir la detección. Una de las técnicas más persistentes de evasión involucra los ataques fileless, los cuales no requieren de software malicioso para infiltrarse en un sistema. En lugar de depender de ejecutables, estas amenazas hacen uso de herramientas que ya existen en el sistema para iniciar ataques.
El roundup de seguridad de Trend Micro del 2019 mencionó lo comunes que se han vuelto las amenazas fileless. Al rastrear indicadores no basados en archivos y a través de tecnologías como Endpoint Detection and Response, bloqueamos más de 1.4 millones de eventos fileless en el último año. La tendencia era de esperarse, dada la persistencia y el sigilo que este tipo de amenazas le pueden dar a un atacante. También era evidente, basado en las numerosas campañas observadas que utilizaban componentes y técnicas fileless en sus ataques.
¿Qué es un ataque fileless? ¿Cómo es que los atacantes se infiltran en los sistemas sin instalar software?
El término “fileless” sugiere que la amenaza o la técnica no requiere de un archivo, el cual vive en la memoria de una máquina. Las funcionalidades fileless pueden involucrarse en la ejecución, robo de información o la persistencia; una cadena de ataque no necesariamente tiene que ser verdaderamente “fileless” ya que únicamente algunas partes pueden necesitar de este tipo de técnica de alguna manera.
Las amenazas fileless no dejan rastros después de su ejecución, haciendo que su detección y eliminación sea un reto. Las técnicas fileless permiten que los atacantes puedan acceder al sistema, permitiendo ataques maliciosos subsecuentes. Al manipular exploits, herramientas legítimas, macros y scripts, los atacantes pueden comprometer sistemas, incrementar privilegios o propagarse lateralmente a lo largo de la red.
Los ataques fileless son efectivos en la evasión del software tradicional de seguridad, el cual busca archivos escritos en el disco de una máquina para escanearlos y evaluar si son maliciosos. Estas amenazas no son visibles ya que pueden ejecutarse desde la memoria de un sistema, residir en los registros o abusar de herramientas que comúnmente se encuentran en una whitelist, como PowerShell, Windows Management Instrumentation (WMI) y PsExec.
Riesgos Bajo el Radar: Comprendiendo las amenazas Fileless
Los hackers usan amenazas fileless para aprovechar las aplicaciones existentes en el ataque a los sistemas. Aquí discutimos eventos importantes, técnicas y mejores prácticas que pueden ayudar a identificar amenazas fileless y defender contra este tipo de ataques.
Muchas amenazas fileless abusan de la automatización de tareas y frameworks de gestión de configuración como PowerShell, el cual es una característica nativa de muchos sistemas operativos Windows. El framework de Microsoft accede a APIs (Application Programming Interfaces) que ejecutan funciones cruciales en los sistemas y las aplicaciones. Los atacantes lo encuentran atractivo porque les permite distribuir cargas maliciosas y ejecutar comandos de manera fileless.
WMI, por el otro lado, es otra aplicación de Windows que se utiliza para llevar a cabo tareas del sistema para endpoints, lo cual lo hace ideal para conducir un ataque. Los atacantes aprovechan WMI en la ejecución de código, movimiento lateral y persistencia; los repositorios WMI también pueden usarse para almacenar scripts maliciosos que pueden invocarse en intervalos regulares de tiempo. PowerShell y WMI típicamente se usan en las redes empresariales para la automatización de tareas de administración. Los atacantes a menudo aprovechan estas herramientas porque pueden ser útiles para evadir los sistemas de detección basados en firmas, mantener la persistencia, exfiltrar datos y cumplir con otros objetivos maliciosos.
Aunque los ataques fileless no son nuevos, se están convirtiendo en una característica definitiva de muchos arsenales criminales. Vea nuestra infografía, Básicos de Amenazas Fileless: Cómo funcionan los ataques fileless y cómo persisten en los sistemas para conocer acerca de los ataques fileless comunes, las técnicas a las que debe estar atento y las medidas de seguridad que pueden adoptarse para prevenir que un cibercriminal acceda a su sistema.
Fundamentos de Seguridad: Defendiéndose del Malware Fileless
Las amenazas fileless no son tan visibles a comparación del malware tradicional, y emplean una variedad de técnicas para mantenerse persistentes. Esta es una visión más cercana de cómo funciona el malware fileless y qué puede hacerse para detenerlo.
¿Cómo pueden defenderse las organizaciones del malware fileless?
La variedad de las técnicas fileless permiten que los atacantes sean persistentes, lo cual a su vez puede afectar la integridad de la infraestructura de negocio de una organización. A pesar de la falta de un binario discreto o ejecutable, las amenazas fileless pueden ser detenidas por usuarios y empresas.
Combatir ataques fileless requiere de un enfoque multicapa o de defensa profunda que no depende de contramedidas tradicionales y basadas en archivos para mitigar las amenazas. Las organizaciones deben proteger los sistemas, desinstalar aplicaciones no usadas o no críticas y monitorear el tráfico de red.
Emplear mecanismos de monitoreo de comportamiento puede mantener la visibilidad de modificaciones inusuales a software y a aplicaciones como PowerShell y WMI. Los sistemas personalizados de detección de intrusiones y el sandboxing también pueden ayudar a detener el tráfico sospechosos como la comunicación C&C o la exfiltración de datos.
La solución Trend Micro™ XDR ofrece detección y respuesta entre capas en correos electrónicos, servidores, workloads en la nube y redes usando analíticos expertos de seguridad y una poderosa tecnología de AI para detectar, investigar y responder a una gran variedad de amenazas de seguridad como los ataques fileless.
La protección de Trend Micro Apex One™ emplea una variedad de capacidades de detección de amenazas, sobre todo análisis de comportamiento que protege contra scripts maliciosos, inyección, ransomware y ataques a la memoria y el navegador relacionados con amenazas fileless. El Apex One Endpoint Sensor ofrece investigación y respuesta de endpoints (EDR) que monitorea eventos y rápidamente examina qué procesos o eventos están detonando actividades maliciosas.
La solución Trend Micro Deep Discovery™ tiene una capa para inspección de correo electrónico que puede proteger a las empresas al detectar archivos adjuntos maliciosos y URLs. Deep Discovery puede detectar los scripts remotos aún si no se está descargando en el endpoint físico.
Leave a Reply