Attacchi, protezione e rilevamento dell`infiltrazione malware

Il malware senza file potrebbe essere un termine nuovo per la maggior parte, ma l`industria della sicurezza lo ha conosciuto per anni. All`inizio di quest`anno oltre 140 imprese in tutto il mondo sono state colpite da questo malware senza filettatura - tra cui banche, telecomunicazioni e organizzazioni governative. Fileless Malware, come spiega il nome, è una specie di malware che non utilizza alcun file nel processo. Tuttavia, alcune società di sicurezza affermano che l`attacco fileless lascia un piccolo binario nell`host compromettente per avviare l`attacco malware. Tali attacchi hanno visto un aumento significativo negli ultimi anni e sono più rischiosi rispetto agli attacchi malware tradizionali.

Attacchi malware senza file

Attacchi malware non file noti anche come Attacchi non malware . Usano un tipico set di tecniche per entrare nei tuoi sistemi senza utilizzare alcun file di malware rilevabile. Negli ultimi anni, gli aggressori sono diventati più intelligenti e hanno sviluppato molti modi diversi per lanciare l`attacco.

Il malware senza file infetta i computer senza lasciare file sul disco rigido locale, evitando i tradizionali strumenti di sicurezza e forensi.

Ciò che rende unico questo attacco è l`utilizzo di un sofisticato software dannoso, che è riuscito a risiedere puramente nella memoria di una macchina compromessa, senza lasciare traccia sul file system della macchina. Il malware senza file consente agli aggressori di eludere il rilevamento dalla maggior parte delle soluzioni di sicurezza end-point basate sull`analisi dei file statici (Anti-Virus). l`ultimo progresso nel malware Fileless mostra che gli sviluppatori si sono concentrati sul travestimento delle operazioni di rete per evitare il rilevamento durante l`esecuzione di spostamenti laterali all`interno dell`infrastruttura della vittima, dice Microsoft.

Il malware senza file risiede nella Random Access Memory del tuo computer e nessun programma antivirus ispeziona direttamente la memoria - quindi è la modalità più sicura per gli hacker di intromettersi nel tuo PC e rubare tutti i tuoi dati. Persino i migliori programmi antivirus a volte mancano il malware in esecuzione nella memoria.

Alcune delle recenti infezioni da Fileless Malware che hanno infettato i sistemi informatici in tutto il mondo sono: Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, ecc.

Come funziona Fileless Malware

Il malware senza file quando atterra nella Memoria può distribuire gli strumenti incorporati nativi e di sistema di amministrazione di Windows come PowerShell , SC.exe e netsh.exe per eseguire il codice dannoso e ottenere l`accesso amministrativo al sistema, in modo da eseguire i comandi e rubare i dati. Il malware Fileless a volte può anche nascondersi in Rootkit o Registro del sistema operativo Windows.

Una volta dentro, gli hacker utilizzano la cache di Windows per nascondere il meccanismo di malware. Tuttavia, il malware ha ancora bisogno di un binario statico per entrare nel PC host e l`e-mail è il mezzo più comune utilizzato per lo stesso. Quando l`utente fa clic sull`allegato dannoso, scrive un file di carico utile crittografato nel registro di Windows.

È anche noto che il malware senza file utilizza strumenti come Mimikatz e Metaspoilt per iniettare il codice nella memoria del PC e leggere i dati memorizzati lì. Questi strumenti aiutano gli aggressori ad intrufolarsi più a fondo nel PC ea rubare tutti i tuoi dati.

Analitica comportamentale e malware senza file

Poiché la maggior parte dei normali programmi antivirus utilizza le firme per identificare un file malware, il malware senza file è difficile da rilevare. Pertanto, le società di sicurezza utilizzano l`analisi comportamentale per rilevare il malware. Questa nuova soluzione di sicurezza è progettata per affrontare i precedenti attacchi e comportamenti degli utenti e dei computer. Qualsiasi comportamento anomalo che rimanda a contenuti dannosi viene quindi notificato con avvisi.

Quando nessuna soluzione endpoint è in grado di rilevare il malware senza file, l`analisi comportamentale rileva qualsiasi comportamento anomalo come attività di accesso sospette, orari di lavoro insoliti o utilizzo di qualsiasi risorsa atipica. Questa soluzione di sicurezza acquisisce i dati degli eventi durante le sessioni in cui gli utenti utilizzano qualsiasi applicazione, navigano su un sito web, giocano, interagiscono sui social media, ecc.

Il malware senza file diventerà solo più intelligente e più comune. Le tecniche e gli strumenti basati su firme regolari avranno un tempo più difficile per scoprire questo tipo di malware complesso e orientato alla furtività: Microsoft.

Come proteggersi e rilevare malware senza file

Attenersi alle precauzioni di base per proteggere il computer Windows:

• Applica tutti gli ultimi aggiornamenti di Windows, in particolare gli aggiornamenti di sicurezza al tuo sistema operativo.
• Assicurati che tutto il software installato sia aggiornato e aggiornato alle ultime versioni
• Usa un buon prodotto di sicurezza in grado di scansionare in modo efficiente i tuoi memoria del computer e bloccare anche le pagine Web dannose che potrebbero ospitare Exploit.
• Fai attenzione prima di scaricare gli allegati di posta elettronica. Questo è per evitare il download del payload.
• Usa un Firewall potente che ti permette di controllare efficacemente il traffico di rete.

Se hai bisogno di leggere di più su questo argomento, vai su Microsoft e dai un`occhiata anche a questo whitepaper di McAfee.