Protección contra amenazas sin archivos
El malware sin archivos es un malware que no almacena su cuerpo directamente en un disco. Este tipo de malware se hizo más popular en 2017 debido a la creciente complejidad de su detección y corrección. Aunque en los últimos años estas técnicas se limitaban a ataques selectivos, hoy en día proliferan cada vez más en el panorama actual de las amenazas, y Kaspersky registra nuevas familias de troyanos clicker o incluso adware con componentes sin archivos.
En los ataques, por lo general, se utilizan las siguientes técnicas que no emplean archivos:
- Script malicioso almacenado en la suscripción al Instrumental de administración de Windows (WMI)
- Scripts maliciosos que se pasan directamente como parámetros de línea de comandos a PowerShell
- Scripts maliciosos que se almacenan en el registro o en el programador de tareas del SO, y se ejecutan con el programador del SO
- Archivos ejecutables maliciosos, extraídos y ejecutados directamente en la memoria sin guardar en el disco mediante la técnica de reflexión .Net
- y otros
Los agentes de amenazas proporcionan cargas que no utilizan archivos a la máquina de una víctima a través de los siguientes métodos:
- Aprovechamiento de vulnerabilidades
- Documentos maliciosos con macros
- Archivos ejecutables simples
A continuación, se presentan ejemplos de cómo se utilizan las aplicaciones legítimas para ejecutar scripts maliciosos que no se almacenen en un disco. Estas técnicas utilizadas por su enfoque de persistencia se convierten en un verdadero desafío para las soluciones de seguridad.
Ejecución de scripts maliciosos con la ayuda de la aplicación mshta
Uso de la aplicación rundll32 para ejecutar scripts maliciosos de javascript
Ejemplo de suscripción a WMI malicioso
Como parte de su protección multicapa de última generación, Kaspersky ofrece varios componentes que ayudan a detectar y protegerse de amenazas que no utilizan archivos:
- El motor de
comportamiento de amenazas contiene componentes de los siguientes elementos
- Detección del comportamiento
- Motor de corrección
- La prevención de exploits (EP) para evitar el aprovechamiento
- Motor para analizar áreas críticas (incluidas tareas en el programador del sistema operativo, suscripciones al Instrumental de administración de Windows [WMI], el registro, etc.)
- El análisis de comportamiento permite una detección eficiente de las amenazas que no utilizan archivos en la etapa de ejecución. La heurística basada en el comportamiento analiza los patrones de ejecución de cualquier proceso en el sistema (incluidas las utilidades legítimas) para detectar intentos de realizar acciones maliciosas.
Entre otros ejemplos de esta heurística, se encuentra el análisis de los parámetros de la línea de comandos del proceso ejecutado y el contexto de ejecución:
- El proceso principal de la aplicación ejecutada (aplicación de Office, host de script, etc.)
- ¿Qué actividad realizaba en el sistema antes de la ejecución?
- ¿Hubo alguna posible actividad sospechosa en el sistema (actividad de red extraña, bloqueo de la aplicación, solicitud de URL extraña, etc.)?
También es útil aprovechar las tecnologías integradas en el sistema operativo Windows, como el Seguimiento de eventos de Windows (ETW) y la interfaz de análisis antimalware (AMSI) utilizados en la función de fuentes de eventos.