Segurança 101: Como os Ataques Fileless Funcionam e Persistem nos Sistemas

Conforme as medidas de segurança melhoram na identificação e bloqueio de malware e outras ameaças, os adversários modernos estão constantemente criando técnicas sofisticadas para evitar a detecção. Uma das técnicas de evasão mais persistentes envolve ataques fileless que não exigem software malicioso para invadir um sistema. Ao invés de depender de executáveis, essas ameaças usam mal as ferramentas que já estão no sistema para iniciar ataques.

O resumo de segurança da Trend Micro de 2019 mencionou como as ameaças fileless se tornaram comuns. Ao rastrear indicadores não baseados em arquivos e por meio de tecnologias como detecção e resposta de endpoints, bloqueamos mais de 1,4 milhão de eventos fileless no ano passado. A tendência era esperada, dada a discrição e a persistência que essas ameaças podem conceder a um invasor. Também ficou evidente, com base nas inúmeras campanhas de malware observadas usando componentes e técnicas fileless em seus ataques.

Ver infográfico: Ameaças Fileless 101: Como os Ataques Fileless Funcionam e Persistem nos Sistemas

O que é um ataque fileless? Como os invasores se infiltram nos sistemas sem instalar o software?

 O termo “fileless” sugere que a ameaça ou a técnica não requer um arquivo, que mora na memória de uma máquina. As funcionalidades desse tipo de ataque podem estar envolvidas na execução, roubo de informações ou persistência; uma cadeia de ataque não precisa necessariamente ser verdadeiramente “sem arquivo”, pois algumas partes podem exigir apenas técnicas fileless de alguma forma.

Estas ameaças não deixam rastros após a execução, tornando difícil detectar e remover. Elas permitem que invasores acessem o sistema, abrindo espaço para atividades maliciosas subsequentes. Ao manipular exploits, ferramentas, macros e scripts legítimos, os invasores podem comprometer os sistemas, elevar privilégios ou se espalhar lateralmente pela rede.

Estes ataques são eficazes para evitar a detecção tradicional de software de segurança, que procura arquivos gravados no disco de uma máquina para examiná-los e avaliar se são maliciosos. Eles não são tão visíveis, uma vez que podem ser executadas na memória de um sistema, residir no registro ou abusar de ferramentas comumente incluídas em whitelists como PowerShell, Windows Management Instrumentation (WMI), e PsExec.

Riscos sob o radar: Entendendo as ameaças fileless
Os agentes de ataque usam ameaças fileless para tirar proveito das aplicações e sistemas de ataque existentes. Aqui discutimos eventos, técnicas e práticas recomendadas dignas de nota que podem ajudar a identificar esse tipo de ameaças e a se defender contra ataques.

Muitas ameaças fileless abusam da estrutura de gerenciamento de configuração e automação de tarefas PowerShell, que é um recurso interno de muitos sistemas operacionais Windows.  O framework da Microsoft acessa interfaces de programação de aplicações (APIs) que executam funções cruciais do sistema e de aplicações. Os invasores acham isso atraente porque permite distribuir payloads e executar comandos maliciosos sem arquivo.

A WMI, por outro lado, é outra aplicação conhecida do Windows usada para executar tarefas do sistema para endpoints, o que a torna ideal para a condução de ataques. Os agentes maliciosos abusam do WMI para execução de código, movimento lateral e persistência. Os repositórios WMI também podem ser usados para armazenar scripts mal-intencionados que podem ser chamados em intervalos regulares. O PowerShell e o WMI geralmente são usados pelas redes corporativas para automação de tarefas de administração do sistema. Os invasores geralmente aproveitam essas ferramentas porque podem ser usadas para ignorar os sistemas de detecção baseados em assinaturas, manter a persistência, filtrar dados e outros motivos maliciosos.

Embora os ataques fileless não sejam de forma alguma novos, eles estão se tornando um item básico nos arsenais de muitos invasores. Veja nosso infográfico (em inglês), Fileless Threats 101: How Fileless Attack Work and Persist in Systems para saber sobre os ataques comuns fileless na natureza, técnicas a serem observadas e medidas de segurança que podem ser adotadas para impedir que um adversário viole sua segurança.

Security 101: Defending Against Fileless Malware
As ameaças fileless não são tão visíveis em comparação com o malware tradicional e empregam uma variedade de técnicas para permanecer persistentes. Veja a seguir como o malware fileless funciona e o que pode ser feito para impedi-los.

Como as organizações podem se defender contra ameaças fileless?

A variedade de técnicas fileless permite que os ataques sejam persistentes, o que por sua vez pode afetar a integridade da infraestrutura de negócios de uma organização. Apesar da falta de um binário discreto ou executável, as ameaças fileless ainda podem ser frustradas por usuários e empresas.

O combate a ataques fileless requer uma abordagem multicamada ou de defesa em profundidade que não dependa de contramedidas tradicionais baseadas em arquivos para mitigar ameaças. As organizações devem proteger sistemas, desinstalar aplicações não utilizadas ou não críticas e monitorar o tráfego de rede. As organizações devem proteger sistemas, desinstalar aplicações não utilizadas ou não críticas e monitorar o tráfego de rede.

Empregar mecanismos de monitoramento de comportamento pode acompanhar modificações incomuns em softwares e aplicações como PowerShell e WMI. Sistemas personalizados de detecção e prevenção de intrusões e sandbox também podem auxiliar a impedir o tráfego suspeito, como comunicação C&C ou exfiltração de dados.

A solução Trend Micro XDR fornece detecção e resposta em várias camadas entre e-mails, endpoints, servidores, workloads em nuvem e redes usando IA avançada e análises de segurança especializadas para detectar, investigar e responder a uma ampla gama de ameaças de cibersegurança, como ataques fileless.

A proteção do Trend Micro Apex Oneemprega uma variedade de recursos de detecção de ameaças, principalmente análises comportamentais que protegem contra scripts maliciosos, injeção, ransomware, memória e ataques de navegador relacionados a ameaças fileless. A Apex One Endpoint Sensor fornece investigação e resposta de endpoints (EDR) com reconhecimento de contexto que monitora eventos e examina rapidamente quais processos ou eventos estão desencadeando atividades maliciosas.

A solução  Trend Micro Deep Discovery™ possui uma camada para inspeção de e-mail que pode proteger as empresas detectando anexos e URLs maliciosos. A Deep Discovery pode detectar os scripts remotos, mesmo que não estejam sendo baixados no endpoint físico.