¿Qué es un ataque de malware sin archivos?
Un ataque de malware sin archivos es un tipo de ciberataque que secuestra recursos del sistema para atacar al sistema anfitrión.
Los ataques de malware tradicionales requieren que los atacantes instalen código malicioso en el sistema del objetivo. Pero el malware sin archivos no se basa en código nuevo. En su lugar, el código se reprograma para adaptarse al objetivo de los atacantes.
El malware sin archivos es particularmente amenazante debido a su capacidad para evitar la detección tradicional basada en archivos. El número de ataques de malware sin archivos se duplicó en 2018 y no ha dejado de aumentar desde entonces.
Cómo funciona el malware sin archivos
- El atacante obtiene acceso remoto al sistema del objetivo explotando una vulnerabilidad de secuencias de comandos web.
- El atacante obtiene credenciales del entorno para moverse rápidamente por el sistema.
- A continuación, el atacante modifica el registro para crear una puerta trasera, de modo que sigue volviendo al entorno sin ser detectado.
- El atacante recopila los datos antes de comprimirlos utilizando utilidades integradas en el sistema.
- El atacante elimina los datos del entorno subiéndolos con FTP.
Manipulación del Registro de Windows
Inyección de código en la memoria
Técnicas basadas en guiones
Cómo detectar malware sin archivos
1. Buscar indicadores de ataque
Los Indicadores de Ataque (IOA) y los Indicadores de Compromiso (IOC) son útiles para la ciberseguridad, pero los IOA son más eficaces para detectar ataques de malware sin archivos. Los IOC se centran en los pasos de cómo se ejecutará potencialmente un ataque, mientras que los IOA buscan señales de que un ataque está en curso.
Estas señales incluyen la ejecución de código, movimientos laterales y otras acciones que parecen ocultar sus intenciones. Las soluciones que identifican las IOA buscan los eventos que todo tipo de malware debe ejecutar para robar datos, no solo los cambios de código.
2. Emplear la caza gestionada de amenazas
La búsqueda de amenazas requiere mucho tiempo y trabajo, pero es crucial para descubrir ataques de malware sin archivos. Esto es especialmente cierto en una época en la que el malware y otras ciberamenazas han aumentado desde la pandemia. Requiere la agregación y normalización de una gran cantidad de datos, razón por la cual muchas organizaciones eligen un proveedor que ofrezca servicios gestionados de caza de amenazas.
Los servicios de detección de amenazas bien gestionados ayudan a los usuarios a prepararse para un ataque, proporcionando a los equipos de seguridad herramientas eficaces de detección de amenazas y asistencia para reducir el impacto de un ataque. Las herramientas gestionadas de detección de amenazas permiten obtener información exhaustiva y análisis forenses a las pocas semanas de su implantación.