El malware viene en varias formas e intensidades y aquí vamos a hablar sobre uno de los malware más peligrosos que existen, Fileless Malware.
El nombre en sí despierta mucha curiosidad, en cuanto a cómo se puede propagar este malware cuando no hay archivos involucrados. Más específicamente, podría estar pensando en cómo el malware sin archivos puede apoderarse de mi PC cuando, por ejemplo, ni siquiera ha descargado un archivo.
Lea también: Malware: una guerra que nunca pedimos
¿Qué tal meterse un poco en el cerebro de un atacante? Un atacante podría estar usando Fileless Malware –
Ya que, en circunstancias normales, no sería detectado por un antivirus. ¿Por qué? Hablaremos de esto un poco más adelante en la publicación. tampoco hay archivo firma digitalDetectar. Un atacante usaría principalmente herramientas legítimas que están ahí mismo en Windows. En cierto modo, el atacante podría poner a Windows en su contra.
Ahora profundicemos más, ¿de acuerdo?
¿Qué es el malware sin archivos?
Fileless Malware, como sugiere su nombre, es un programa malicioso que no depende de archivos para propagar malware. Esto significa que no es necesario infectar un archivo con el virus para causar la destrucción. Entonces, ¿cómo explota una computadora? Aproveche las aplicaciones de uso común y las herramientas integradas para realizar ataques. Utiliza programas legítimos para infectar una PC. En cierto modo, vuelves tu PC con Windows contra sí mismo. Algo que diferencia a un Fileless Malware de un ataque tradicional es que el atacante no instala un código en la PC infectada y, como tal, Fileless Malware es difícil de detectar.
¿Cómo funciona el malware sin archivos?
El malware sin archivos cae en ataques LOC o ataques con características no observables. Estos ataques son ataques sigilosos que eluden la detección de la mayoría de las soluciones de seguridad. El malware sin archivos opera en la memoria de acceso aleatorio de su computadora y nunca toca el disco duro de su computadora. En cambio, un atacante utiliza un software vulnerable que ya está en una computadora para tomar el control y llevar a cabo el ataque.
Una vez que el atacante tiene acceso a su computadora, puede aprovechar el Instrumental de administración de Windows (WMI) o Windows PowerShell para realizar actividades maliciosas.
En algún momento, es posible que se pregunte, ¿cómo diablos puedo pasar mi solución de seguridad? Dado que muchas tecnologías de seguridad confían en estas utilidades, la actividad maliciosa puede pasar desapercibida. Además, dado que el malware sin archivos no deja nada escrito directamente en el disco duro, no hay archivos archivados que el software de seguridad pueda escanear. Para agregar, el malware sin archivos no deja huellas ni firmas que su antivirus normalmente identificaría.
¿Cuáles son las diferentes etapas del malware sin archivos?
Fase I:
El atacante aprovecha una vulnerabilidad y utiliza secuencias de comandos web para obtener acceso remoto.
Fase II:
Una vez que el atacante ha obtenido acceso, vuelve a intentarlo. obtener las credenciales del entorno comprometido para cambiar a otros sistemas en ese entorno.
Fase III:
El atacante ahora modifica el registro para crear una puerta trasera.
Fase IV:
El atacante recopila los datos solicitados y los copia en una ubicación. Luego, el atacante usa herramientas fácilmente disponibles y comprime los datos usando herramientas del sistema fácilmente disponibles. Y, luego, el atacante finalmente elimina los datos del entorno cargándolos a través de FTP.
¿Cuáles son los distintos tipos de ataques de malware sin archivos?
Echemos un vistazo a algunos tipos de malware sin archivos:
– Inyección de código de memoria –
Como sugiere el nombre, al usar esta técnica, un atacante oculta un código malicioso en la memoria de una aplicación legítima. El malware se inyecta y se distribuye mientras se ejecutan procesos cruciales para la actividad de Windows. Hablando de aplicaciones legítimas, dado que utiliza programas de Windows como MWI y PowerShell, los comandos que ejecuta se consideran seguros y, como tales, no activan ninguna señal de alerta.
– Gestión del registro de Windows –
En el pasado, Powelike y Kovter convirtieron el sistema de una víctima en un bot de clic y lo vincularon a sitios web y anuncios de clic. En este tipo de ataque, cuando una víctima hace clic en un enlace o archivo malicioso, el malware utiliza un proceso normal de Windows para escribir e incluso ejecutar código sin archivos directamente en el registro.
– Técnicas basadas en guiones –
Esta técnica puede no estar necesariamente completamente sin vida, pero una cosa es cierta, no es fácil de detectar. Expliquemos esto con la ayuda de dos ataques populares: SamSam Ransomware y Operation Cobalt Kitty. Mientras que el primero era semi-fileless. En este ataque, la carga útil no se puede analizar sin el script inicial, ya que se descifró en tiempo de ejecución. Además, también requiere una contraseña del creador. Hablando de la Operación Cobalt Kitty, fue un ataque sin archivos dirigido a una empresa asiática durante casi 6 meses utilizando PowerShell malicioso. Más precisamente, un suplantación de identidad El correo electrónico se utilizó para infiltrarse en más de 40 servidores y PC.
¿Cómo puede defender su sistema de archivos de malware?
Un malware sin archivos es capaz de derrotar a una solución antivirus ((una débil en este caso) pero eso no significa que no deba tener uno en su computadora. La mayoría de las soluciones antivirus, incluido Windows Security de Microsoft, son capaces de frustrar actividades irregulares. de PowerShell (si lo hay). A continuación, enumeraremos algunos pasos conscientes que debe seguir para mantenerse alejado del malware sin archivos en la medida de lo posible.
En primer lugar, nunca haga clic en enlaces sospechosos en ningún sitio web. No debe visitar sitios web en los que no confíe.
Actualice las diversas aplicaciones en su computadora, especialmente los que vienen de Microsoft. Recomendamos tener dos protecciones antivirus. puedes usar defensor de Microsoft y como primer o segundo nivel de protección antivirus en su sistema operativo Windows, puede optar por T9 Antivirus.
Estas son algunas de las características notables de esta aplicación antivirus:
Protección en tiempo real contra una variedad de amenazas maliciosas. Protección contra PUP, amenazas de día cero, troyanos y más. Eliminación de vulnerabilidades emergentes. Escaneos múltiples para eliminar amenazas. Programa tus escaneos a la hora que quieras. Aprovecha la protección contra archivos desconocidos. Puede borrar los elementos de inicio no deseados. La utilidad antivirus es ligera.
¿Cómo funciona el antivirus T9?
1. Descargue e instale T9 Antivirus
2. Deje que el antivirus instale las actualizaciones.
3. Haga clic en la naranja ESCANEAR AHORA botón.
4. T9 Antivirus ahora buscará cualquier amenaza futura.
envolver
El malware puede aparecer en varias formas e intensidades, y como podemos ver en Fileless Malware, los actores de amenazas están constantemente subiendo la apuesta para derrotar las defensas. Por lo tanto, es importante nunca bajar la guardia sin importar quién sea usted, una empresa comercial real o un individuo. Si te gustó lo que leíste, dale me gusta y compártelo con tus amigos y todas las personas que te importan.
Preguntas frecuentes
P.1. ¿Cuál es un ejemplo de malware sin archivos?
Algunos de los ejemplos notables de Fileless Malware incluyen Code Red Worm (2001), SQL Slammer (2003), Operation Cobalt Kitty, Stuxnet (2010), UIWIX (2017) y Ramnit Banking Trojan.
P.2. ¿Qué son los virus sin archivos?
Un Fileless Virus o Fileless Malware no usa archivos ejecutables tradicionales para realizar el ataque, sino que vuelve su computadora Windows contra sí misma al explotar el sistema operativo y las aplicaciones legítimas de Windows.
D.3. ¿Los gusanos son malware sin archivos?
El primer malware clasificado como Fileless Malware fue Code Red Worm, que se volvió rampante en 2001. Atacó computadoras que ejecutaban Internet Information Services (IIS) de Microsoft. Otro trabajo popular que era malware solo de memoria fue Duqu 2.0.
D.4. ¿Windows Defender detecta malware sin archivos?
Microsoft también actualizó Windows Defender para que pueda detectar actividad irregular de un programa legítimo como Windows PowerShell. Microsoft Defender viene con la interfaz de escaneo antimalware (AMSI, escaneo de memoria, monitoreo de comportamiento y protección del sector de arranque. Con la ayuda de estos, puede esperar frustrar el malware sin archivos.
