A maioria das pessoas pensa em malware como arquivos executáveis maliciosos baixados de um e-mail ou da Web, mas o malware sem arquivo adiciona uma nova reviravolta à proteção de dados. Em vez de usar arquivos que carregam sempre que um usuário inicializa seu sistema, o malware sem arquivo carrega do registro do Windows e inicializa diretamente na memória ou carrega malware usando código malicioso armazenado em um documento. O malware sem arquivo foi desenvolvido para contornar o software antivírus, por isso é preciso camadas adicionais de segurança para detê-lo.
O que é malware sem arquivo?
O malware sem arquivo é um tipo de software malicioso que opera inteiramente na memória de um computador, o que significa que não cria arquivos no disco rígido. Com o malware tradicional, o autor do malware compila um executável e deve encontrar uma maneira de entregá-lo a um destino. Por exemplo, o autor do malware poderia criar uma mensagem de e-mail para convencer um funcionário do datacenter a abrir um script que baixará o executável. O executável carrega código malicioso na memória. Sempre que o usuário reinicia, o arquivo executável é recarregado na memória.
O malware sem arquivo é muito mais leve do que o malware baseado em arquivo. Com malware sem arquivo, o código é carregado no registro do Windows ou código malicioso é carregado na memória sem a necessidade de arquivo executável. Por exemplo, um script do PowerShell poderia ser carregado na memória do servidor e usado para enviar dados para um servidor controlado por invasor na Internet.
Como funciona o malware sem arquivo
A maioria dos ataques começa com um e-mail malicioso de phishing, mas os invasores também podem trabalhar com downloads drive-by hospedados em seus servidores da Web. Outra maneira comum de iniciar um ataque é por meio da engenharia social. Um invasor pode entrar em contato com um alvo por mensagem de texto e convencê-lo a abrir uma página da Web com scripts maliciosos. Phishing de redirecionamentos maliciosos na Web ou ataques do tipo man-in-the-middle em um hotspot Wi-Fi maligno são mais raros, mas possíveis em ataques de malware.
O malware sem arquivo geralmente tem como alvo máquinas Windows, por isso o PowerShell é a linguagem de script comum usada nesses ataques. Primeiro, um usuário é persuadido a executar o script do PowerShell, normalmente anexado a uma mensagem de e-mail, e o script do PowerShell executa instruções. As instruções podem ser instalar ransomware, roubar dados do computador do usuário, ouvir senhas silenciosamente ou instalar rootkits para controle remoto da máquina local. O PowerShell pode executar aplicativos atuais instalados no computador do usuário para que o malware sem arquivo possa tentar criar um documento com código malicioso ou injetar código malicioso em um documento existente. Quando o usuário compartilha o documento com outro usuário, o código malicioso executa e entrega sua carga útil.
Vetores de ataque comuns
O vetor de ataque mais comum para a maioria das cargas úteis é o phishing, e também é o mais comum para ataques sem arquivo. Para entregar uma carga usando e-mail, o invasor deve convencer o usuário a abrir um anexo malicioso ou direcioná-lo para um site que hospeda o malware. As empresas devem sempre ter a segurança de e-mail configurada para impedir que essas mensagens cheguem às caixas de entrada dos funcionários.
Os documentos do Microsoft Office podem armazenar macros e códigos para acionar atividades quando o documento é aberto. As operações podem ser inofensivas, mas o código malicioso armazenado em um documento do Office (por exemplo, Word, Excel ou PowerPoint) pode executar várias cargas úteis. As cargas úteis incluem roubar dados, instalar rootkits ou entregar ransomware à máquina local ou ao ambiente de rede.
A engenharia social pode ser um componente em um ataque. Por exemplo, um ataque de phishing mais sofisticado normalmente tem vários invasores trabalhando para enganar funcionários de alto privilégio, como contadores ou equipe de recursos humanos. Esses alvos têm acesso a dados confidenciais para que os autores de ameaças possam obter muito mais retorno sobre seus esforços. Um autor de ameaças pode se juntar a um engenheiro social e ligar para um alvo para convencê-lo a se envolver com um e-mail de phishing.
O impacto do malware sem arquivo
Os ataques sem arquivo normalmente resultam na perda de dados ou backdoors de longo prazo, onde o malware pode persistir mesmo após a erradicação. Para a maioria dos criminosos cibernéticos organizados, eles trabalham juntos para roubar dados. Ransomware é uma carga útil comum e pode forçar as organizações a pagar milhões para recuperar seus dados se não tiverem backups de dados viáveis.
Ameaças persistentes muitas vezes são executadas por meses antes da detecção. Essas ameaças podem ser usadas para exfiltrar dados silenciosamente. Embora as ameaças persistentes sejam executadas, elas normalmente criam backdoors para que a equipe de segurança não possa removê-las nem contê-las completamente. Após a detecção e a erradicação, os administradores de rede podem ter uma falsa sensação de segurança, enquanto os backdoors da ameaça persistente permitem que os invasores violem o ambiente novamente.
A maioria das violações de dados leva à perda de receita devido a litígios e multas de conformidade. Os danos à marca devem ser contidos, e uma perda na confiança do cliente também pode reduzir as vendas. O malware sem arquivo foi desenvolvido para contornar a detecção, por isso pode ser especialmente perigoso para a continuidade de negócios e a receita futura.
Estratégias de detecção e prevenção
Para evitar as consequências de um ataque de malware sem arquivo, a detecção precoce é crucial. A detecção precoce evita que muitos dos requisitos de recuperação de desastres sejam limpos após uma violação de dados. As ferramentas de monitoramento instaladas na infraestrutura de rede e nos endpoints (por exemplo, dispositivos móveis do usuário) podem detectar malware sem arquivo antes que ele seja carregado na memória. As soluções de monitoramento de rede detectarão qualquer comportamento anômalo quando o código malicioso tentar acessar arquivos e dados confidenciais.
A prevenção contra invasão conterá automaticamente uma ameaça. O monitoramento detecta malware e alerta os administradores, mas a prevenção de invasões leva a cibersegurança um passo adiante e impede automaticamente que ela roube dados. Os administradores de rede ainda devem tomar medidas, mas os danos são mitigados com a prevenção e contenção de invasões.
O monitoramento e a prevenção atuais usam padrões de comportamento e análise para detectar atividades maliciosas. Por exemplo, um arquivo com dados confidenciais pode receber apenas algumas solicitações de acesso ao longo do ano. Quando o malware tenta acessar arquivos várias vezes em um curto período, as soluções de detecção veem isso como atividade suspeita e alertam os administradores. Ameaças de dia zero também podem ser detectadas usando benchmarks anômalos e descoberta.
Conclusão
O malware sem arquivo é apenas um dos muitos riscos de cibersegurança com os quais os administradores devem lidar. Você pode minimizar e mitigar riscos com as ferramentas certas de monitoramento, detecção de invasões e soluções de prevenção. Instale a proteção de detecção e resposta de endpoint (EDR, Endpoint Detection and Response) em todos os dispositivos do usuário, especialmente aqueles que se conectam a hotspots Wi-Fi de terceiros. Por fim, faça parceria com um parceiro de tecnologia confiável que oferece soluções que protegem seus dados e priorizam a proteção de dados.
