La amenaza que representa el software malicioso desarrollado e implementado por ciberdelincuentes es una realidad desde hace mucho tiempo, y probablemente cuente con software antivirus que protege sus equipos. Pero ¿qué es el malware sin archivos? Si no hay ningún archivo, ¿qué hace, cómo se puede detectar y cómo se pueden proteger mis equipos?

¿Qué es el malware sin archivos?

El malware sin archivos utiliza técnicas de ataque que operan sin que su contenido se escriba en el disco, evitando así la detección de las herramientas antivirus basadas en firmas. Reside directamente en la memoria, a menudo utilizando binarios legítimos del sistema (LOLBins), como PowerShell y otras herramientas incluidas en Windows. Por ejemplo:

• MSHTA,

• WScript/CScript,

• regsvr32, and

• rundll32.

Dado que estas herramientas son nativas del sistema operativo y confiables por diseño, los atacantes pueden integrarse en la actividad normal del sistema, dejando poca o ninguna evidencia.

Como en todo, existen variaciones, y algunas pueden lograr persistencia, por ejemplo, almacenando comandos codificados o cargadores de scripts en el Registro de Windows, WMI o el Programador de Tareas. Estos mecanismos permiten que el malware vuelva a ejecutar automáticamente un script en línea o un cargador basado en LOLBin al inicio, sin eliminar un archivo ejecutable tradicional.

¿Cómo se introduce el malware sin archivos? (Acceso inicial)

¿Cómo se introduce el malware sin archivos en un sistema? El acceso inicial, como su nombre indica, describe cómo una persona no autorizada puede acceder a un ordenador. El punto de entrada puede implicar:

1. Explotar un navegador, documento o aplicación para ejecutar código shell que carga las cargas útiles directamente en la memoria.

2. El robo de credenciales, otra técnica de ataque común, consiste en usar combinaciones de nombre de usuario y contraseña robadas, a menudo encontradas en una filtración de datos, para iniciar sesión en sistemas conectados a internet, como servidores RDP. Los atacantes aprovechan que muchas personas reutilizan las mismas credenciales en múltiples servicios en línea y, si lo consiguen, ejecutan malware sin archivos.

3. El phishing es un tipo de ingeniería social en el que los atacantes se hacen pasar por una fuente confiable, como una empresa o persona, para engañar a la víctima y que abra un objeto malicioso. Este puede ser un archivo adjunto de un correo electrónico, un enlace en un archivo adjunto de Microsoft Word o Excel, descargas falsas de aplicaciones o actualizaciones, etc.

Qué sucede a continuación: Tácticas y técnicas

Una vez que un sistema es vulnerado con éxito, un atacante puede proceder con su ataque. Sin embargo, en lugar de implementar software malicioso, utilizan los recursos existentes de Windows para lograr sus objetivos. Estas herramientas son confiables y probablemente ya existan en el sistema.

El plan de acción específico de cada ciberdelincuente varía, pero las tácticas que emplean son bien conocidas y están documentadas en la base de conocimientos de MITRE ATT&CK, como:

• Descubrimiento o indagación para comprender las cuentas de usuario, los privilegios, los procesos en ejecución, las redes, etc.;

• Acceso a credenciales o robo de credenciales legítimas, como nombres de cuenta y contraseñas, para atacar sistemas adicionales y dificultar su detección;

• Escalada de privilegios para obtener los permisos necesarios para lograr sus objetivos;

• Movimiento lateral o búsqueda y vulneración de sistemas adicionales;

• Establecer persistencia o un medio para mantener el acceso durante un período prolongado;

• Establecer un sistema de Comando y Control (C2) para comunicarse remotamente con las máquinas infectadas y manipularlas.

¿Por qué es difícil detectar el malware sin archivos?

¿Por qué adoptar un enfoque sin archivos una vez que acceden a su sistema? En pocas palabras: para evadir la detección. Un ciberdelincuente no detectado puede regresar después de varios días o semanas utilizando las mismas credenciales, lo que sienta las bases para maximizar su impacto al obtener información sobre sus sistemas. Si el malware se implementó durante este tiempo, sería detectado por un software antivirus y los archivos dejarían evidencia forense. El malware sin archivos minimiza estos artefactos, mientras que la evidencia de un ataque sin archivos puede desaparecer al reiniciar o al finalizar su proceso, sin dejar rastro. La actividad posterior de un actor de amenazas puede no ser claramente maliciosa y, por lo tanto, pasar desapercibida.

Cómo Emsisoft aún detecta ataques sin archivos

Como se mencionó anteriormente, las herramientas utilizadas para investigar y preparar un sistema comprometido son las mismas que los administradores usan habitualmente, de ahí el término LOLBin: Living Off the Land Binary. La detección se ve dificultada por el hecho de que los pasos que realizan suelen ser comandos legítimos de estas herramientas legítimas. Si bien es un desafío, las ciberdefensas han evolucionado para detectar el uso de herramientas de Windows por parte de actores maliciosos: las herramientas de Detección y Respuesta de Endpoints (EDR) pueden buscar indicios de acceso no autorizado incluso antes de que se ejecuten acciones maliciosas. La clave está en comprender el contexto de una actividad específica para determinar si debe marcarse para una investigación más profunda.

Establecer una línea de base a lo largo del tiempo de lo que constituye un evento normal es el primer paso para poder identificar y responder en las primeras etapas de un ciclo de ataque. Tenga la seguridad de que el comportamiento malicioso es evidente incluso cuando se utilizan LOLBins, por lo que si algún proceso intenta eliminar o cifrar archivos de forma masiva, Emsisoft Behavior Blocker intervendrá para detenerlo.

Reflexiones finales

El malware sin archivos está diseñado para evitar la detección tradicional, pero aún deja rastros de comportamiento que pueden identificarse con las herramientas adecuadas. Al centrarse en la actividad de los procesos, además de en los archivos, las organizaciones pueden detectar de forma temprana el uso indebido de herramientas legítimas y reducir el impacto de estos ataques sigilosos.