Malware sin archivos

¿Qué es un ataque de malware sin archivos?

Un ataque de malware sin archivos es un tipo de ciberataque que secuestra recursos del sistema para atacar al sistema anfitrión. 

Los ataques de malware tradicionales requieren que los atacantes instalen código malicioso en el sistema del objetivo. Pero el malware sin archivos no se basa en código nuevo. En su lugar, el código se reprograma para adaptarse al objetivo de los atacantes.

El malware sin archivos es particularmente amenazante debido a su capacidad para evitar la detección tradicional basada en archivos. El número de ataques de malware sin archivos se duplicó en 2018 y no ha dejado de aumentar desde entonces. 

Cómo funciona el malware sin archivos

  1. El atacante obtiene acceso remoto al sistema del objetivo explotando una vulnerabilidad de secuencias de comandos web.
  2. El atacante obtiene credenciales del entorno para moverse rápidamente por el sistema. 
  3. A continuación, el atacante modifica el registro para crear una puerta trasera, de modo que sigue volviendo al entorno sin ser detectado. 
  4. El atacante recopila los datos antes de comprimirlos utilizando utilidades integradas en el sistema. 
  5. El atacante elimina los datos del entorno subiéndolos con FTP. 

 

Tipos de malware sin archivos

Manipulación del Registro de Windows

La manipulación del registro de Windows implica un enlace malicioso que utiliza un proceso estándar de Windows para escribir y ejecutar la entrega de código sin archivos. 

Inyección de código en la memoria

La inyección de código en memoria consiste en ocultar código malicioso en la memoria operativa de aplicaciones legítimas. El malware se distribuye e inyecta en la máquina cuando se ejecutan los procesos normales del sistema. 

Técnicas basadas en guiones

Aunque no son totalmente sin archivos, las técnicas basadas en scripts siguen utilizando las mismas estrategias que las técnicas de ataque de malware sin archivos. También se conocen como ataques de malware semi-fileless. 

Cómo detectar malware sin archivos

El malware sin archivos es famoso por ser prácticamente indetectable. Sin embargo, los equipos de seguridad pueden proteger a sus organizaciones de los ataques de malware sin archivos de dos formas principales.

1. Buscar indicadores de ataque

Los Indicadores de Ataque (IOA) y los Indicadores de Compromiso (IOC) son útiles para la ciberseguridad, pero los IOA son más eficaces para detectar ataques de malware sin archivos. Los IOC se centran en los pasos de cómo se ejecutará potencialmente un ataque, mientras que los IOA buscan señales de que un ataque está en curso. 

Estas señales incluyen la ejecución de código, movimientos laterales y otras acciones que parecen ocultar sus intenciones. Las soluciones que identifican las IOA buscan los eventos que todo tipo de malware debe ejecutar para robar datos, no solo los cambios de código.

2. Emplear la caza gestionada de amenazas

La búsqueda de amenazas requiere mucho tiempo y trabajo, pero es crucial para descubrir ataques de malware sin archivos. Esto es especialmente cierto en una época en la que el malware y otras ciberamenazas han aumentado desde la pandemia. Requiere la agregación y normalización de una gran cantidad de datos, razón por la cual muchas organizaciones eligen un proveedor que ofrezca servicios gestionados de caza de amenazas. 

Los servicios de detección de amenazas bien gestionados ayudan a los usuarios a prepararse para un ataque, proporcionando a los equipos de seguridad herramientas eficaces de detección de amenazas y asistencia para reducir el impacto de un ataque. Las herramientas gestionadas de detección de amenazas permiten obtener información exhaustiva y análisis forenses a las pocas semanas de su implantación.

Combatir los ataques de malware sin archivos requiere apartarse de las contramedidas tradicionales basadas en archivos. CylancePROTECT® utiliza defensa en memoria, control de scripts y macros, y nuestro motor de análisis de contexto (CAE) para mantener a salvo su organización. Cylance Las soluciones de prevención y respuesta ante amenazas basadas enIA le protegen de las amenazas, independientemente de cómo operen.