Malware senza filamenti potrebbe essere un termine nuovo per la maggior parte, ma l'industria della sicurezza lo ha conosciuto per anni. All'inizio di quest'anno più di 140 imprese in tutto il mondo sono state colpite da questo malware senza filetto, incluse banche, telecomunicazioni e organizzazioni governative. Fileless Malware, come spiega il nome, è una specie di malware che non tocca il disco né utilizza alcun file nel processo. Gtes caricato nel contesto di un processo legittimo. Tuttavia, alcune società di sicurezza affermano che l'attacco fileless lascia un piccolo binario nell'host compromettente per avviare l'attacco malware. Tali attacchi hanno visto un aumento significativo negli ultimi anni e sono più rischiosi rispetto agli attacchi malware tradizionali.
Attacchi malware senza file
Attacchi malware senza file noti anche come Attacchi non malware. Usano un tipico set di tecniche per entrare nei tuoi sistemi senza utilizzare alcun file di malware rilevabile. Negli ultimi anni, gli aggressori sono diventati più intelligenti e hanno sviluppato molti modi diversi per lanciare l'attacco.
Il malware senza file infetta i computer senza lasciare alcun file sul disco rigido locale, evitando i tradizionali strumenti di sicurezza e di medicina legale.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Il malware senza file risiede nel Memoria ad accesso casuale del tuo computer e nessun programma antivirus ispeziona direttamente la memoria - quindi è la modalità più sicura per gli hacker di intromettersi nel tuo PC e rubare tutti i tuoi dati. Persino i migliori programmi antivirus a volte mancano il malware in esecuzione nella memoria.
Alcune delle recenti infezioni da Fileless Malware che hanno infettato i computer in tutto il mondo sono: Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, ecc.
Come funziona Fileless Malware
Il malware senza file quando atterra nel Memoria può distribuire il tuo nativo e sistema di amministrazione di strumenti integrati di Windows come PowerShell, SC.exe, e netsh.exe per eseguire il codice dannoso e ottenere l'accesso di amministratore al sistema, in modo da eseguire i comandi e rubare i dati. Anche il Malware Fileless può nascondersi rootkit o il Registro del sistema operativo Windows.
Una volta dentro, gli autori degli attacchi utilizzano la cache di anteprima di Windows per nascondere il meccanismo di malware. Tuttavia, il malware ha ancora bisogno di un binario statico per accedere al PC host e l'e-mail è il mezzo più comune utilizzato per lo stesso. Quando l'utente fa clic sull'allegato dannoso, scrive un file di carico utile crittografato nel Registro di sistema di Windows.
Anche il malware Fileless è noto per utilizzare strumenti come Mimikatz e Metaspoilt per iniettare il codice nella memoria del PC e leggere i dati memorizzati lì. Questi strumenti aiutano gli aggressori ad entrare più a fondo nel tuo PC e a rubare tutti i tuoi dati.
Analisi comportamentale e malware senza file
Poiché la maggior parte dei normali programmi antivirus utilizza le firme per identificare un file di malware, il malware senza file è difficile da rilevare. Pertanto, le società di sicurezza utilizzano l'analisi comportamentale per rilevare il malware. Questa nuova soluzione di sicurezza è progettata per affrontare i precedenti attacchi e comportamenti degli utenti e dei computer. Qualsiasi comportamento anomalo che rimanda a contenuti dannosi viene quindi notificato con avvisi.
Quando nessuna soluzione endpoint è in grado di rilevare il malware senza file, l'analisi comportamentale rileva qualsiasi comportamento anomalo come attività di accesso sospette, orari di lavoro insoliti o utilizzo di qualsiasi risorsa atipica. Questa soluzione di sicurezza acquisisce i dati degli eventi durante le sessioni in cui gli utenti utilizzano qualsiasi applicazione, navigano su un sito Web, giocano a giochi, interagiscono sui social media, ecc.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Come proteggersi e rilevare malware Fileless
Segui le precauzioni di base per proteggere il tuo computer Windows:
- Applica tutti gli ultimi aggiornamenti di Windows, in particolare gli aggiornamenti di sicurezza al tuo sistema operativo.
- Assicurarsi che tutto il software installato sia aggiornato e aggiornato alle ultime versioni
- Utilizzare un buon prodotto di sicurezza in grado di analizzare in modo efficiente la memoria del computer e bloccare anche pagine Web dannose che potrebbero ospitare Exploit. Dovrebbe offrire monitoraggio del comportamento, scansione della memoria e protezione del settore di avvio.
- Fai attenzione prima di scaricare qualsiasi allegato email. Questo per evitare il download del payload.
- Utilizza un firewall potente che ti consenta di controllare efficacemente il traffico di rete.
Se hai bisogno di leggere di più su questo argomento, vai su Microsoft e dai un'occhiata anche a questo whitepaper di McAfee.
