La amenaza que representa el software malicioso desarrollado e implementado por ciberdelincuentes es una realidad desde hace mucho tiempo. Probablemente cuente con software antivirus que protege sus equipos. Pero, ¿qué es el malware sin archivos? Si no hay ningún archivo, ¿qué hace, cómo se puede detectar y cómo se pueden proteger mis equipos?

¿Qué es el malware sin archivos?

El malware sin archivos utiliza técnicas de ataque que operan sin que su contenido se escriba en el disco. Esto evita la detección de las herramientas antivirus basadas en firmas. Reside directamente en la memoria, utilizando binarios legítimos del sistema, conocidos como LOLBins. Ejemplos de estos son:

• MSHTA

• WScript/CScript

• regsvr32

• rundll32

  
  

Dado que estas herramientas son nativas del sistema operativo y confiables por diseño, los atacantes pueden integrarse en la actividad normal del sistema. Esto deja poca o ninguna evidencia de su presencia.

Existen variaciones en el malware sin archivos. Algunas pueden lograr persistencia. Esto se logra almacenando comandos codificados o cargadores de scripts en el Registro de Windows, WMI o el Programador de Tareas. Estos mecanismos permiten que el malware vuelva a ejecutar automáticamente un script en línea o un cargador basado en LOLBin al inicio, sin necesidad de un archivo ejecutable tradicional.

¿Cómo se introduce el malware sin archivos? (Acceso inicial)

¿Cómo se introduce el malware sin archivos en un sistema? El acceso inicial describe cómo una persona no autorizada puede acceder a un ordenador. El punto de entrada puede implicar:

1. Explotar un navegador, documento o aplicación para ejecutar código shell que carga las cargas útiles directamente en la memoria.

2. El robo de credenciales es otra técnica común. Consiste en usar combinaciones de nombre de usuario y contraseña robadas, a menudo encontradas en filtraciones de datos. Los atacantes aprovechan que muchas personas reutilizan las mismas credenciales en múltiples servicios en línea. Si logran acceder, pueden ejecutar malware sin archivos.

3. El phishing es un tipo de ingeniería social. Los atacantes se hacen pasar por una fuente confiable, como una empresa o persona, para engañar a la víctima y que abra un objeto malicioso. Esto puede ser un archivo adjunto de un correo electrónico, un enlace en un archivo adjunto de Microsoft Word o Excel, o descargas falsas de aplicaciones.

   
   

Qué sucede a continuación: Tácticas y técnicas

Una vez que un sistema es vulnerado con éxito, un atacante puede proceder con su ataque. En lugar de implementar software malicioso, utilizan los recursos existentes de Windows para lograr sus objetivos. Estas herramientas son confiables y probablemente ya existan en el sistema.

El plan de acción específico de cada ciberdelincuente varía. Sin embargo, las tácticas que emplean son bien conocidas y están documentadas en la base de conocimientos de MITRE ATT&CK. Algunas de estas tácticas son:

• Descubrimiento: Indagar para comprender las cuentas de usuario, los privilegios, los procesos en ejecución, las redes, etc.

• Acceso a credenciales: Robar credenciales legítimas, como nombres de cuenta y contraseñas, para atacar sistemas adicionales y dificultar su detección.

• Escalada de privilegios: Obtener los permisos necesarios para lograr sus objetivos.

• Movimiento lateral: Buscar y vulnerar sistemas adicionales.

• Establecer persistencia: Mantener el acceso durante un período prolongado.

• Establecer un sistema de Comando y Control (C2): Comunicar remotamente con las máquinas infectadas y manipularlas.

  
  

¿Por qué es difícil detectar el malware sin archivos?

¿Por qué adoptar un enfoque sin archivos una vez que acceden a su sistema? En pocas palabras: para evadir la detección. Un ciberdelincuente no detectado puede regresar después de varios días o semanas utilizando las mismas credenciales. Esto sienta las bases para maximizar su impacto al obtener información sobre sus sistemas. Si el malware se implementó durante este tiempo, sería detectado por un software antivirus, y los archivos dejarían evidencia forense.

El malware sin archivos minimiza estos artefactos. La evidencia de un ataque sin archivos puede desaparecer al reiniciar o al finalizar su proceso, sin dejar rastro. La actividad posterior de un actor de amenazas puede no ser claramente maliciosa y, por lo tanto, pasar desapercibida.

Cómo Emsisoft aún detecta ataques sin archivos

Las herramientas utilizadas para investigar y preparar un sistema comprometido son las mismas que los administradores usan habitualmente. Por eso se les llama LOLBin: Living Off the Land Binary. La detección se ve dificultada porque los pasos que realizan suelen ser comandos legítimos de estas herramientas.

A pesar de este desafío, las ciberdefensas han evolucionado. Ahora pueden detectar el uso de herramientas de Windows por parte de actores maliciosos. Las herramientas de Detección y Respuesta de Endpoints (EDR) pueden buscar indicios de acceso no autorizado incluso antes de que se ejecuten acciones maliciosas. La clave está en comprender el contexto de una actividad específica para determinar si debe marcarse para una investigación más profunda.

Establecer una línea de base a lo largo del tiempo de lo que constituye un evento normal es el primer paso para identificar y responder en las primeras etapas de un ciclo de ataque. Tenga la seguridad de que el comportamiento malicioso es evidente, incluso cuando se utilizan LOLBins. Si algún proceso intenta eliminar o cifrar archivos de forma masiva, Emsisoft Behavior Blocker intervendrá para detenerlo.

Reflexiones finales

El malware sin archivos está diseñado para evitar la detección tradicional. Sin embargo, aún deja rastros de comportamiento que pueden identificarse con las herramientas adecuadas. Al centrarse en la actividad de los procesos, además de en los archivos, se puede detectar de forma temprana el uso indebido de herramientas legítimas. Esto ayuda a reducir el impacto de estos ataques sigilosos.

Estrategias de protección

Para protegerse contra el malware sin archivos, es importante implementar varias estrategias. Aquí hay algunas recomendaciones:

1. Mantenga su software actualizado: Asegúrese de que todos sus sistemas operativos y aplicaciones estén actualizados. Las actualizaciones suelen incluir parches de seguridad que corrigen vulnerabilidades.

   
   

2. Utilice herramientas de seguridad avanzadas: Considere el uso de soluciones de seguridad que incluyan detección y respuesta de endpoints (EDR). Estas herramientas pueden ayudar a identificar comportamientos sospechosos.

   
   

3. Eduque a su equipo: La capacitación en ciberseguridad es crucial. Asegúrese de que su equipo esté consciente de las amenazas, como el phishing y el robo de credenciales.

   
   

4. Realice auditorías de seguridad: Lleve a cabo auditorías regulares para identificar posibles vulnerabilidades en su sistema. Esto le permitirá abordar problemas antes de que sean explotados.

   
   

5. Establezca políticas de contraseñas fuertes: Implemente políticas que requieran contraseñas complejas y únicas para cada cuenta. Esto dificultará el acceso no autorizado.

   
   

6. Monitoree la actividad de la red: Mantenga un ojo en el tráfico de la red para detectar comportamientos inusuales. Esto puede ayudar a identificar ataques en curso.

   
   

Implementar estas estrategias puede ayudar a mitigar el riesgo de ataques de malware sin archivos. La ciberseguridad es un proceso continuo que requiere atención constante y adaptación a nuevas amenazas.