Malware sin archivos

1. El atacante obtiene acceso remoto al sistema del objetivo explotando una vulnerabilidad de secuencias de comandos web.
2. El atacante obtiene credenciales del entorno para moverse rápidamente por el sistema. 
3. A continuación, el atacante modifica el registro para crear una puerta trasera, de modo que sigue volviendo al entorno sin ser detectado. 
4. El atacante recopila los datos antes de comprimirlos utilizando utilidades integradas en el sistema. 
5. El atacante elimina los datos del entorno subiéndolos con FTP. 

Los Indicadores de Ataque (IOA) y los Indicadores de Compromiso (IOC) son útiles para la ciberseguridad, pero los IOA son más eficaces para detectar ataques de malware sin archivos. Los IOC se centran en los pasos de cómo se ejecutará potencialmente un ataque, mientras que los IOA buscan señales de que un ataque está en curso. 

Estas señales incluyen la ejecución de código, movimientos laterales y otras acciones que parecen ocultar sus intenciones. Las soluciones que identifican las IOA buscan los eventos que todo tipo de malware debe ejecutar para robar datos, no solo los cambios de código.

La búsqueda de amenazas requiere mucho tiempo y trabajo, pero es crucial para descubrir ataques de malware sin archivos. Esto es especialmente cierto en una época en la que el malware y otras ciberamenazas han aumentado desde la pandemia. Requiere la agregación y normalización de una gran cantidad de datos, razón por la cual muchas organizaciones eligen un proveedor que ofrezca servicios gestionados de caza de amenazas. 

Los servicios de detección de amenazas bien gestionados ayudan a los usuarios a prepararse para un ataque, proporcionando a los equipos de seguridad herramientas eficaces de detección de amenazas y asistencia para reducir el impacto de un ataque. Las herramientas gestionadas de detección de amenazas permiten obtener información exhaustiva y análisis forenses a las pocas semanas de su implantación.