¿Qué es un Fileless Attack? Cómo te hackean tus sistemas sin instalar software

«Lo vemos todos los días», dice Steven Lentz, CSO de Samsung Research America. «Algo está llegando, algún tipo de exploit, ransomware desconocido. Hemos detenido varias cosas con nuestras defensas, ya sea en la red o en el punto final».

Los ataques que preocupan a Lentz son los ataques sin archivos, también conocidos como ataques de huella cero, ataques macro o sin malware. Estos tipos de ataques no instalan un nuevo software en la computadora de un usuario, por lo que es más probable que las herramientas antivirus las pierdan. 

Los ataques sin archivos son efectivos. Según el «Informe de riesgo de seguridad del estado de endpoint» del Instituto Ponemon, el  77 por ciento de los ataques comprometidos en 2017 no tenían archivos. El informe estima que los ataques sin archivos tienen diez veces más probabilidades de tener éxito que los ataques basados en archivos.

Los ataques sin archivos también evaden la lista blanca. Con la lista blanca , solo las aplicaciones aprobadas pueden instalar una máquina. Los ataques sin archivos aprovechan las aplicaciones que ya están instaladas y están en la lista aprobada. Sin embargo, los términos «sin archivo», «huella cero» y «no malware» son técnicamente incorrectos, ya que a menudo dependen de que los usuarios descarguen archivos maliciosos de archivos adjuntos, y dejan rastros en la computadora si sabe qué buscar.

«El malware de huella cero completa no existe realmente, ya que hay formas de detectar malware incluso si no se instala en los discos duros», dice Cristiana Brafman Kittner, analista senior de inteligencia de amenazas de FireEye, Inc. Además, ellos no evada el antivirus por completo, ya que el antivirus aún puede detectar el archivo adjunto malicioso o el enlace malicioso, incluso si no hay un ejecutable instalado.

Los atacantes saben que con un ataque sin archivos, tienen una mayor probabilidad de entrar. «Ahí es donde está la verdadera amenaza», dice Lentz. Para atrapar a los que se escabullen, Samsung Research se basa en sistemas basados en el comportamiento, incluida la protección del punto final de Carbon Black. Por ejemplo, cuando los visitantes se conectan a la red de la compañía, las defensas pueden detectar malware que las herramientas antivirus de los usuarios no detectaron . «Encontramos keyloggers y programas de robo de contraseñas en las computadoras portátiles de los visitantes», dice Lentz.

El malware sin archivos es una amenaza creciente

La tasa de ataques de malware sin archivos aumentó del tres por ciento a principios de 2016 al 13 por ciento en noviembre pasado, según Mike Viscuso, CTO de Carbon Black, Inc. «Y hemos seguido viendo que aumenta», dice. «Vemos que una de cada tres infecciones tiene un componente sin archivos».

Dado que no todos los clientes de Carbon Black eligen bloquear ataques, sino que optan por alertas, Viscuso puede ver que los ataques sin archivos realmente tienen un impacto aún mayor. «Más de la mitad de todos los ataques que tienen éxito no tienen archivos», dice.

Algunos clientes también usan honeypots, o incluso dejan partes de su red sin protecciones avanzadas basadas en el comportamiento, dice, para que puedan estar atentos a los ataques y luego rastrear qué buscan los atacantes y cómo se están propagando. «Pueden asegurarse de que el resto de su entorno esté listo para los ataques», dice.

En un análisis reciente de Carbon Black de más de mil clientes, que incluyó más de 2.5 millones de puntos finales, prácticamente todas las organizaciones han sido blanco de un ataque sin archivos en 2016.

Viscuso dice que los ataques sin archivos tienen mucho sentido para los atacantes. «Pasé diez años como hacker ofensivo para el gobierno de Estados Unidos, con la NSA y la CIA», dice. «Entonces, me acerco a la mayoría de las conversaciones desde la mentalidad del atacante».

Desde la perspectiva del atacante, la instalación de un nuevo software en la computadora de una víctima es algo que probablemente llamará la atención. «Si no pongo un archivo en la computadora de esta víctima, ¿cuánto escrutinio se somete?» Viscuso preguntó. «Por eso es mucho más condenatorio cuando un atacante elige usar un ataque sin archivo o en memoria. Sufren mucho menos escrutinio y tienen mucho más éxito en su ataque».

No hay pérdida de capacidad, agrega Viscuso. «Las cargas útiles son exactamente las mismas». Por ejemplo, si el atacante quiere lanzar un ataque de ransomware, puede instalar un archivo binario o puede usar PowerShell. «PowerShell puede hacer todo lo que una nueva aplicación puede hacer», dice. «No hay limitaciones en los ataques que puedo realizar en la memoria o con PowerShell».

McAfee también informa un aumento en los ataques sin archivos. El macro malware, que representa una porción significativa de malware sin archivos, aumentó de 400,000 a fines de 2015 a más de 1.1 millones durante el segundo trimestre de este año. Una de las razones del crecimiento es la aparición de kits de herramientas fáciles de usar que incluyen este tipo de exploits, dice Christiaan Beek, científico principal e ingeniero principal de investigación estratégica en McAfee LLC.

Como resultado, el uso de ataques sin archivos, que anteriormente se limitaba principalmente a los estados nacionales y otros adversarios avanzados, se ha democratizado y ahora también es común en los ataques comerciales. «Los cibercriminales se han hecho cargo de esto para difundir el ransomware», dice Beek.

Para combatir estos ataques, McAfee y otros proveedores importantes de antivirus han agregado análisis basados en el comportamiento además de las defensas tradicionales basadas en firmas. «Por ejemplo, si Word se ejecuta al mismo tiempo que vemos una conexión de PowerShell, es muy sospechoso», dice. «Podemos poner en cuarentena ese proceso o decidir matarlo».

Cómo funcionan los ataques sin archivos

El malware sin archivos aprovecha las aplicaciones ya instaladas en la computadora de un usuario, aplicaciones que se sabe que son seguras. Por ejemplo, los kits de exploits pueden atacar las vulnerabilidades del navegador para hacer que el navegador ejecute código malicioso, aprovechar las macros de Microsoft Word o usar la utilidad Powershell de Microsoft.

«Las vulnerabilidades de software en el software ya instalado son necesarias para llevar a cabo un ataque sin archivos, por lo que el paso más importante en la prevención es parchear y actualizar no solo el sistema operativo, sino también las aplicaciones de software», dice Jon Heimerl, gerente del equipo de comunicaciones de inteligencia de amenazas. en NTT Security. «Los complementos del navegador son las aplicaciones más olvidadas en el proceso de administración de parches y las más específicas en infecciones sin archivos».

Los ataques que usan macros de Microsoft Office se pueden frustrar desactivando la funcionalidad de macro. De hecho, está desactivado por defecto, dice Tod Beardsley, director de investigación de Rapid7 LLC. Los usuarios deben aceptar específicamente habilitar las macros para abrir estos documentos infectados. «Algún porcentaje de personas todavía lo abrirá, especialmente si estás engañando a alguien que la víctima ya conoce», dice.

Los atacantes también atacarán vulnerabilidades en Adobe PDF Reader y en Javascript, dice Fleming Shi, SVP Advanced Technology Engineering en Barracuda Networks, Inc. «Algunas personas que son más paranoicas desactivarán la ejecución de JavaScript en sus navegadores para evitar que se infecten, pero generalmente rompe el sitio «, dice.

La reciente violación de Equifax también es un ejemplo de un ataque sin archivos, según Satya Gupta, fundador y CTO de Virsec Systems, Inc. Utilizó una vulnerabilidad de inyección de comandos en Apache Struts, dice. «En este tipo de ataque, una aplicación vulnerable no valida adecuadamente la entrada de los usuarios, que puede contener comandos del sistema operativo», dice. «Como resultado, estos comandos pueden ejecutarse en la máquina víctima con los mismos privilegios que los de la aplicación vulnerable».

«Este mecanismo oculta totalmente cualquier solución antimalware que no esté mirando la ruta de ejecución de la aplicación para determinar si la aplicación no está ejecutando su código natural», agrega. Los parches habrían evitado la violación, ya que se lanzó un parche en marzo.

A principios de este año, un ataque sin archivos infectó a más de 140 empresas, incluidos bancos, telecomunicaciones y organizaciones gubernamentales en 40 países. Kaspersky Labs encontró scripts maliciosos de PowerShell en el registro en sus redes empresariales. Según Kaspersky, la detección de este ataque solo fue posible en RAM, red y registro.

Otro ataque sin archivos de alto perfil, según Carbon Black, fue el hackeo del Comité Nacional Demócrata. Para los atacantes que buscan permanecer sin ser detectados el mayor tiempo posible, los ataques sin archivos los ayudan a permanecer fuera del radar.

«Hemos observado que varios actores de ciberespionaje aprovechan esta técnica para intentar evadir la detección», dice Kittner de FireEye. Los ataques recientes incluyen los de equipos chinos y norcoreanos, dice ella.

Una nueva aplicación comercial de ataques sin archivos es utilizar máquinas infectadas para extraer Bitcoin. «Los criptomineros están tratando de ejecutar mineros cargados directamente en la memoria, utilizando Eternal Blue para difundir cientos de miles de mineros en una empresa», dice Eldon Sprickerhoff, fundador y estratega jefe de seguridad de eSentire Inc.

La dificultad de extraer Bitcoins ha aumentado con el tiempo, mucho más rápido que el aumento en el valor de la moneda virtual. Los mineros de Bitcoin tienen que comprar hardware especializado y cubrir las facturas de electricidad, por lo que es muy difícil obtener ganancias. Al secuestrar PC y servidores corporativos, pueden eliminar ambos costos.

«Si puede maximizar una gran CPU de múltiples vías, es mucho mejor que la computadora portátil de alguien», dice. Sprickerhoff recomienda que las empresas busquen un uso inusual de la CPU como un posible indicador de que la minería de Bitcoin está en curso.

Incluso los sistemas de análisis de comportamiento no podrán detectar todos los ataques sin archivos, dice Beardsley de Rapid7. «Depende de notar cuándo comienzan a suceder eventos inusuales, como si mi cuenta de usuario se ve comprometida y empiezo a conectarme a un montón de máquinas con las que no me he estado comunicando antes», dice.

Es difícil detectar estos ataques antes de que activen las alertas, o si hacen algo que los algoritmos de comportamiento no tienen en cuenta. «Si el adversario está haciendo un gran esfuerzo para ser bajo y lento, es mucho más difícil detectar [el ataque]», dice. «Con las cosas que vemos, eso podría ser un sesgo de selección: solo vemos a los torpes porque son los que son más fáciles de ver. Si eres súper sigiloso, no lo voy a ver».

Fuente: https://www.csoonline.com/article/3227046/what-is-a-fileless-attack-how-hackers-invade-systems-without-installing-software.html

Daniel Perez

Daniel Perez

Dejar un comentario

Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia. Más información