detección de malware sin archivos

Por qué las plataformas tradicionales de detección y respuesta en puntos finales (EDR) no pueden detectar malware sin archivos

This post was last updated on agosto 10th, 2021 at 05:58 pm

El malware sin archivos es un tipo de ciberamenaza extremadamente difícil de detectar y crea un serio problema para las empresas modernas, incluso más que el software de rescate. El malware sin archivos no requiere una carga física y no crea una huella perceptible o permanente en las máquinas a las que se dirige. En su lugar, las amenazas sin archivos pueden comprometimientoextraer datos confidenciales de un host aprovechando herramientas legítimas del sistema como PowerShell. Entonces, ¿cómo defiende su infraestructura de TI contra el malware sin archivos?

A pesar de la importancia del rescate, sigue funcionando de una manera que es familiar para los equipos de seguridad de TI y para los que responden a incidentes. Los ataques de rescate dejan una huella digital en los equipos comprometidos, porque para que el rescate pueda exfiltrar datos e infectar los hosts, requiere que se descargue una carga útil en el dispositivo.

Irónicamente, hay un cierto nivel de comodidad en esa familiaridad, sabiendo que está en peligro porque puede identificar rápidamente el software de rescate dentro de su red.

El malware sin archivos, por el contrario, no ofrece tal comodidad. Un tipo relativamente nuevo de ciberataque, las amenazas sin archivos son casi imposibles de mitigar utilizando las tradicionales plataformas de detección y respuesta de puntos finales. Esto hace que los ataques sin archivos sean una de las amenazas más significativas de la web moderna.

La buena noticia es que el malware sin archivos no es imposible de defender. Como cualquier ciberataque, las amenazas sin filo pueden ser derrotadas. Simplemente requiere técnicas avanzadas de detección y una respuesta diferente a otros tipos de amenazas maliciosas.

Para comprender cómo responder a los ataques sin archivos, es importante entender primero cómo funciona el malware sin archivos...

¿Qué es el malware sin archivos?

La diferencia más significativa entre el malware sin archivos y el malware tradicional es cómo infecta su máquina y dónde reside. El malware y los virus tradicionales crean o infectan archivos dentro de los medios de almacenamiento de un ordenador. Dejan una huella digital en forma de uno o varios archivos maliciosos. La mayoría de las soluciones de software antivirus pueden detectar los cambios malintencionados en los archivos y/o detectar los archivos malignos creados.

El malware sin archivos existe completamente dentro de la memoria de una máquina. Es completamente efímero, ejecutando sigilosamente código malicioso o exfiltrando datos sin cambiar su sistema de archivos. Según Norton Security, existen unas cuantas variantes principales de malware sin archivos, organizadas en función de lo que hacen:

  • Manipulación del registro: Este tipo de malware sin archivos inyecta código en el registro de Windows. Uno de los tipos más notables de amenazas sin archivos que manipulan el registro es el malware de Kovter, que reside en el registro y se utiliza frecuentemente en campañas de malversación.
  • Inyección de código de memoria: A menudo aprovechando vulnerabilidades conocidas de software y aplicaciones, el código de memoria que inyecta el malware a menudo se combina con un software de confianza como Microsoft PowerShell y Windows Management Instrumentation. PurpleFox utiliza la inyección de código de memoria a través de PowerShell y se utiliza con frecuencia para descargar malware de minería de criptografía a los sistemas infectados.
  • Ataques basados en scripts: Técnicamente, los ataques cibernéticos basados en scripts son sólo semifiliales. Por ejemplo, el SamSam Ransomware hace un uso extensivo de las características del sistema operativo (OS) y de las herramientas de administración de red para los sistemas comprometimientoinfectados. SamSam deja una huella, pero cuando se descubre la huella digital, los archivos ya están bloqueados.

Por qué el malware sin archivos es difícil de detectar

Las herramientas tradicionales de software antivirus y las plataformas de seguridad de detección y respuesta en puntos finales (EDR) tienen problemas para detectar amenazas sin archivos. Hay algunos factores que hacen que las amenazas sin archivos sean particularmente difíciles de detectar y mitigar:

  • En primer lugar, debido a que no tiene código o firma identificable, el malware sin archivos es indetectable por las herramientas antivirus tradicionales.
  • Las amenazas sin archivos viven en la memoria del sistema (RAM), lo que significa que normalmente no hay una huella digital que rastrear.
  • Por último, dado que el malware sin archivos no sigue un patrón de comportamientos establecido y con frecuencia aprovecha los procesos de confianza para enmascarar el comportamiento malicioso, las plataformas EDR que se basan en el análisis de comportamiento no pueden cazar y exponer las amenazas sin archivos no pueden detectarlo.

Debido al hecho de que los ataques sin archivos son tan fáciles de llevar a cabo sin ser detectados (en comparación con los ataques de malware tradicionales), el año pasado se ha producido un aumento significativo de su aparición. Según el Informe de resumen de Trend Micro de 2019, las detecciones de amenazas sin archivos en el primer semestre de 2019 aumentaron en un 265 por ciento en comparación con 2018. Los delincuentes comprenden las herramientas que las empresas utilizan con mayor frecuencia para protegerse a sí mismas (y a sus datos) de los ataques cibernéticos. En respuesta, los ciberdelincuentes están recurriendo a métodos de ataque que les permiten eludir esas herramientas (por ejemplo, los ataques sin archivos).

Qué hacer con el malware sin archivos

No todo está perdido. Aunque los ataques sin archivos son más complejos y difíciles de tratar, pueden ser detectados y derrotados. Hacerlo requiere una respuesta ligeramente diferente a la del software antivirus tradicional y las soluciones de seguridad EDR.

En primer lugar, y lo más importante, mantener todos los sistemas actualizados. Muchas amenazas sin archivos se basan en vulnerabilidades de aplicaciones o hardware sin parches. Cuantas menos vulnerabilidades tenga en su entorno, menos puertas traseras y puntos de entrada potenciales para que los atacantes los aprovechen.

En segundo lugar, tome las medidas necesarias para proteger su organización contra los ataques de phishing y de ingeniería social. Si bien las herramientas de prevención de fugas de datos de correo electrónico y de antivirus representan un buen punto de partida en este sentido, también es imperativo que implemente algún tipo de formación de concienciación sobre ciberseguridad para su personal. La formación de los empleados para que sean más conscientes y atentos a la hora de abrir los correos electrónicos o de hacer clic en los enlaces puede contribuir en gran medida a su protección.

En tercer lugar, considere una plataforma EDR que incluya en su repertorio software antivirus de comportamiento y monitoreo en tiempo real. Una solución de este tipo puede determinar lo que constituye un comportamiento normal para un conjunto particular de aplicaciones, y puede marcar inmediatamente un proceso potencialmente comprometido. Esto, a su vez, dota a su equipo de seguridad de la visibilidad necesaria en su red para detectar y mitigar muchos ataques sin archivos antes de que puedan causar un daño significativo.

Por último, considere una plataforma avanzada de detección de amenazas que aproveche los análisis forenses, las inspecciones de memoria viva y el análisis de comportamiento en tiempo real para exponer amenazas sin archivos, como Infocyte.

Infocyte inspecciona continuamente sus puntos finales y realiza análisis de memoria a escala, lo que le permite detectar malware sin archivos que a menudo no es detectado por las plataformas tradicionales de detección y respuesta de puntos finales (EDR). Además de detectar las amenazas sin archivos, Infocyte expone los procesos maliciosos, el malware de día cero y las amenazas persistentes avanzadas (APT) de forma rápida y eficaz, sin necesidad de utilizar scripts personalizados o expertos forenses para la caza de amenazas.

Las ciberamenazas sin archivos requieren un nuevo enfoque

El malware sin archivos es relativamente nuevo para la comunidad de inteligencia de amenazas, lo que hace que las amenazas sin archivos sean más difíciles de detectar, comprender y eliminar. La buena noticia es que el conocimiento es su mejor arma. Equipado con una mejor comprensión del malware sin archivos y las herramientas necesarias para detectarlo y responder a él, el malware sin archivos es muy manejable.


Sobre el autor

Tim Mullahy es el Vicepresidente Ejecutivo y Director Administrativo de Liberty Center One, un centro de datos de nueva generación ubicado en Royal Oak, MI. Tim tiene un historial demostrado de trabajo en la industria de la tecnología de la información y los servicios.

Publicado en

Test out Infocyte's endpoint + Microsoft 365 detection and response platform for free. Sign-up for our community edition here and get started in minutes: