Aprenda todo sobre el malware sin archivos y cómo protegerse
El mundo cibernético está plagado de incidentes de seguridad. Si bien la mayoría de los ciberataques necesitan algún tipo de cebo para infiltrarse en su sistema, el intrépido malware sin archivos vive fuera de la red e infecta al convertir su software legítimo en su contra.
Pero, ¿cómo ataca el malware sin archivos si no usa ningún archivo? ¿Cuáles son las técnicas más comunes que emplea? ¿Y puede proteger sus dispositivos del malware sin archivos?
¿Cómo ataca el malware sin archivos?
Ataques de malware sin archivos al jugar con las vulnerabilidades preexistentes dentro de su software instalado.
Los ejemplos comunes incluyen kits de explotación que apuntan a las vulnerabilidades del navegador para ordenar al navegador que ejecute código malicioso, utilizando la utilidad Powershell de Microsoft o dirigiéndose a macros y scripts.
Dado que el código de estos ataques no se almacena en un archivo ni se instala en la máquina de la víctima, carga el malware directamente en la memoria a medida que el sistema lo ordena y se ejecuta instantáneamente.
La ausencia de archivos ejecutables dificulta que las soluciones antivirus tradicionales los detecten. Naturalmente, esto hace que el malware sin archivos sea aún más peligroso.
Técnicas comunes utilizadas por el malware sin archivos
El malware sin archivos no necesita código ni archivos para ejecutarse, pero sí requiere la modificación del entorno nativo y las herramientas que intenta atacar.
A continuación, se muestran algunas técnicas comunes que utiliza el malware sin archivos para atacar dispositivos.
Kits de explotación
Los exploits son fragmentos de código o secuencias "explotados" y un kit de exploits es una colección de exploits. Los exploits son la mejor manera de lanzar un ataque sin archivos, ya que pueden inyectarse directamente en la memoria sin necesidad de escribir nada en el disco.
Un ataque de exploit kit se lanza de la misma manera que un ataque típico, donde la víctima es atraída a través de correos electrónicos de phishing o tácticas de ingeniería social. La mayoría de los kits incluyen exploits para una serie de vulnerabilidades preexistentes en el sistema de la víctima y una consola de administración para que el atacante lo controle.
Malware que reside en la memoria
Los ataques sin archivos utilizan ampliamente un tipo de malware conocido como malware residente en el registro. Este código malicioso está programado para iniciarse cada vez que abre el sistema operativo y permanece oculto dentro de los archivos nativos del registro.
Una vez que el malware sin archivos se instala en su registro de Windows, puede permanecer allí permanentemente, evitando la detección.
Malware solo para memoria
Este tipo de malware solo reside dentro de la memoria.
La mayoría de los atacantes emplean herramientas de seguridad y administración de sistemas ampliamente utilizadas, incluidas PowerShell, Metasploit y Mimikatz, para inyectar su código malicioso en la memoria de su computadora.
Credenciales robadas
Robar credenciales para llevar a cabo un ataque sin archivos es muy común. Las credenciales robadas se pueden usar fácilmente para apuntar a un dispositivo bajo el pretexto del usuario real.
Una vez que los atacantes se apoderan de un dispositivo a través de una credencial robada, pueden usar las herramientas nativas como Windows Management Instrumentation (WMI) o PowerShell para realizar el ataque. La mayoría de los ciberdelincuentes también crean cuentas de usuario para acceder a cualquier sistema.
Ejemplos de ataques sin archivos
El malware sin archivos ha existido durante bastante tiempo, pero solo surgió como un ataque principal en 2017 cuando los actores de amenazas crearon kits que integran llamadas a PowerShell.
Aquí hay algunos ejemplos interesantes de malware sin archivos, algunos de los cuales sin duda habrá oído hablar.
El vengador oscuro
Este es un precursor de los ataques de malware sin archivos. Descubierto en septiembre de 1989, requería un archivo como punto de entrega inicial, pero luego operó dentro de la memoria.
El objetivo principal de este ataque era infectar archivos ejecutables cada vez que se ejecutaban en una computadora infectada. Incluso los archivos copiados se infectarían. El creador de este ataque es conocido como el "Dark Avenger".
Frodo
Frodo no es un ataque sin archivos en el verdadero sentido, pero fue el primer virus que se cargó en el sector de arranque de una computadora, lo que lo hizo parcialmente sin archivos.
Fue descubierto en octubre de 1989 como una broma inofensiva con el objetivo de mostrar un mensaje "Frodo vive" en las pantallas de las computadoras infectadas. Sin embargo, debido al código mal escrito, en realidad se convirtió en un ataque destructivo para sus hosts.
Operación Cobalt Kitty
Este famoso ataque fue descubierto en mayo de 2017 y se ejecutó en el sistema de una corporación asiática.
Los scripts de PowerShell utilizados para este ataque se vincularon con un servidor de comando y control externo que le permitió lanzar una serie de ataques, incluido el virus Cobalt Strike Beacon.
Misfox
Este ataque fue identificado por el equipo de Respuesta a Incidentes de Microsoft en abril de 2016. Emplea las metodologías sin archivos para ejecutar comandos a través de PowerShell, además de ganar permanencia a través de la infiltración del registro.
Dado que este ataque fue detectado por el equipo de seguridad de Microsoft, se ha agregado una solución de paquete para protegerse de este malware en Windows Defender.
WannaMine
Este ataque se lleva a cabo mediante la extracción de criptomonedas en la computadora host.
El ataque se detectó por primera vez a mediados de 2017 mientras se ejecutaba en la memoria sin ningún rastro de un programa basado en archivos.
Zorro morado
Purple Fox se creó originalmente en 2018 como un troyano descargador sin archivos que requería un kit de exploits para infectar dispositivos. Resurgió en una forma reconfigurada con un módulo de gusano adicional.
El ataque es iniciado por un correo electrónico de phishing que entrega la carga útil del gusano que busca e infecta automáticamente los sistemas basados en Windows.
Purple Fox también puede usar ataques de fuerza bruta al escanear puertos vulnerables. Una vez que se encuentra el puerto de destino, se infiltra para propagar la infección.
Cómo prevenir el malware sin archivos
Hemos establecido lo peligroso que puede ser el malware sin archivos, especialmente porque algunas suites de seguridad no pueden detectarlo. Los siguientes cinco consejos pueden ayudar a mitigar cualquier género de ataques sin archivos.
1. No abra enlaces ni archivos adjuntos sospechosos
El correo electrónico es el mayor punto de entrada para los ataques sin archivos, ya que los usuarios de correo electrónico ingenuos pueden verse atraídos para que abran enlaces de correo electrónico maliciosos.
No hagas clic en enlaces de los que no estés 100% seguro. Puede verificar dónde termina la URL primero o recopilar si puede confiar en ella a partir de su relación con el remitente y el contenido del correo electrónico de lo contrario.
Además, no se deben abrir archivos adjuntos enviados desde fuentes desconocidas, específicamente aquellos que contienen archivos descargables como PDF y documentos de Microsoft Word.
2. No mates JavaScript
JavaScript puede ser un gran factor de influencia para el malware sin archivos, pero deshabilitarlo por completo no ayuda.
Además del hecho de que la mayoría de las páginas que visite estarán vacías o faltarán elementos, también hay un intérprete de JavaScript integrado en Windows que se puede llamar desde una página web sin necesidad de JavaScript.
El mayor inconveniente es que puede proporcionarle una falsa sensación de seguridad contra el malware sin archivos.
3. Deshabilitar Flash
Flash utiliza la herramienta Windows PowerShell para ejecutar comandos mediante la línea de comandos mientras se ejecuta en la memoria.
Para protegerse adecuadamente del malware sin archivos, es importante desactivar Flash a menos que sea realmente necesario.
4. Emplear la protección del navegador
La protección de los navegadores de su hogar y trabajo es la clave para evitar que los ataques sin archivos se propaguen.
Para entornos de trabajo, cree una política de oficina que solo permita que se use un tipo de navegador para todos los escritorios.
La instalación de protección del navegador como Windows Defender Application Guard es muy útil. Como parte de Office 365, este software fue escrito con procedimientos específicos para proteger contra ataques sin archivos.
5. Implementar una autenticación sólida
El principal culpable de la propagación del malware sin archivos no es PowerShell, sino un sistema de autenticación débil.
La implementación de políticas de autenticación sólidas y la limitación del acceso privilegiado mediante la implementación del principio de privilegio mínimo (POLP) puede reducir significativamente el riesgo de malware sin archivos.
Batir el malware sin archivos
Sin dejar rastro, el malware sin archivos aprovecha las herramientas "seguras" integradas en su computadora para llevar a cabo los ataques.
Sin embargo, la mejor manera de vencer a los archivos sin archivos o cualquier malware es tomar conciencia y comprender las diferentes técnicas utilizadas para llevar a cabo estos ataques.