Malware sem arquivo: ataques crescentes, mas controláveis

Por alguns anos, o WatchGuard gerou um relatório sobre a situação de segurança detectada na Internet. Após a compra do Panda, este relatório tornou-se ainda mais importante, pois contém detecções dos terminais finais, permitindo um amplo espectro de segurança que detalha melhor os tipos de incidentes ocorridos na Internet.

Assim, o último relatório mostrou um aumento bastante significativo nos ataques de malware sem arquivo, conhecidos como fileless malware, dos quais falamos há alguns anos devido ao perigo que representam e à sua difícil detecção, algo de que os criminosos obviamente estão se aproveitando. , observando o aumento de cerca de 900% no uso desta técnica de ataque se compararmos as amostras relatadas entre 2019 e 2020.

Origens

Esse problema é quase tão antigo quanto os sistemas operacionais, sendo a primeira amostra desse tipo de ameaça em 1987 com o chamado, que ganhou esse nome por ter sido desenvolvido na Lehigh University durante testes na carreira de informática. Porém, não causou danos ao sistema e foi retirado quando o computador foi reiniciado, pois ficava simplesmente alojado na RAM e a cada execução ou chamada de COMMAND.COM aumentava um contador que estava consumindo a memória e assim processos cada vez mais lentos na máquina.

Mas esse desenvolvimento alcançou um marco em termos de ataques, que sempre tiveram a premissa de poder hospedar o segmento malicioso no disco rígido para ser executado, algo que expõe qualquer sistema antivírus para detectar as características maliciosas do software. Desta forma, por não ter que chegar ao disco rígido, mas ficar apenas na memória, deu-lhes uma vantagem de não serem detectados, mas deixou-lhes muito pouca margem de ação no desenvolvimento de ataques sofisticados que requerem códigos extensos.

Como esses ataques são realizados?

Hoje em dia, kits de ferramentas como PowerSploit e CobaltStrike permitem que criminosos desenvolvam fileless malware muito mais avançado e preciso, sem ter que saber todos os detalhes de operação do sistema. Um exemplo disso é como com o PowerSploit uma DLL pode ser injetada com um comando simples, gerando ataques de sequestro de DLL sofisticados e simples.

Isso foi amplamente analisado nas matrizes MITRE ATT&CK, que ainda possuem uma análise PowerSploit, para que as equipes de defesa conheçam com antecedência as capacidades que este kit oferece ao atacante e em que técnica específica este tipo de ataque é utilizado.

Ainda dentro de nossa equipe, foi desenvolvido um framework que permite que equipes de ataque e defesa de empresas realizem investigações e detecções de possíveis violações de segurança utilizando o UAC-A-Mola, que possui diversos tipos de automações para contornar os controles de autenticação de usuários em sistemas Windows , principalmente usando ataques baseados em arquivo.

Como podemos nos defender?

Quanto à parte defensiva, os avanços que o Windows fez para conter essa ameaça são cada vez mais úteis e exigem implantações menos complexas nos esquemas de rede das organizações, como já discutimos em ocasiões anteriores em nosso blog, os recursos que foram alcançados com AMSI são, sem dúvida, um complemento fundamental para conseguir proteção contra o aumento iminente de ataques sem arquivo.

No entanto, na maioria das organizações os controles fornecidos por esta ferramenta nativa do sistema operacional não são implementados, com os quais qualquer fluxo de entrada poderia ser analisado e anomalias detectadas, um exemplo das capacidades fornecidas pelo AMSI foram aqueles que alcançamos com o AMSIext extensão do navegador, que fornece uma conexão entre o navegador e o AMSI, para que todos os scripts potenciais contidos em um site sejam analisados ​​por este motor, detectando qualquer possível anomalia para que o disco rígido não seja tocado durante a sua execução.

Outra forma normalmente usada por criminosos para executar ataques sem arquivo é combinar este ataque com a execução de macros em documentos de automação de escritório, que permitem o uso de recursos de programação de macro para baixar e montar código malicioso na memória, atrasando a detecção por sistemas antivírus tradicionais e tornando complexo de detecção para sistemas de endpoint.

Exemplo prático

Ataques como os gerados pelo IcedID, mostram como essa técnica é muito benéfica para os atacantes e integra o poder do sem arquivo dentro das técnicas, usando o PowerShell como ferramenta para baixar e instalar DLLs maliciosas, tornando suas ações quase indetectáveis ​​pelo antivírus, como visto em a imagem de análise do VirusTotal.

Com nossa ferramenta DIARIO, isolamos essas macros para sua análise e detecção de processos maliciosos, com os quais também podem ser integradas ao fluxo de análise que deve haver nos arquivos que chegam a uma organização, para mitigar esse tipo de ataque. Continuando com a análise do IcedID, podemos ver que a extração e análise das macros feitas com DIARIO indicam que são suspeitas de malware e nos mostram as três macros utilizadas para esse fim.

Como você pode ver, embora o aumento desses ataques seja exponencial, a eficácia dos ataques pode ser atenuada com várias ações:

• A implementação de controles adequados em todos os terminais da rede.
• A integração de ferramentas dos sistemas com extensões, ou desenvolvimentos que façam uso dessas capacidades sem a necessidade de implementações manuais.
• Treinamento adequado e conscientização da equipe sobre como proceder para garantir que essas ferramentas sejam eficazes nas detecções e não que sejam ignoradas devido a práticas inadequadas de manuseio.