Technology

Protección contra amenazas sin archivos

Las amenazas que no utilizan archivos no almacenan sus estructuras directamente en un disco, pero no pueden burlar la detección avanzada basada en el comportamiento, el análisis de área crítica ni otras tecnologías de protección.

El malware sin archivos es un malware que no almacena su cuerpo directamente en un disco. Este tipo de malware se hizo más popular en 2017 debido a la creciente complejidad de su detección y corrección. Aunque en los últimos años estas técnicas se limitaban a ataques selectivos, hoy en día proliferan cada vez más en el panorama actual de las amenazas, y Kaspersky registra nuevas familias de troyanos clicker o incluso adware con componentes sin archivos.

En los ataques, por lo general, se utilizan las siguientes técnicas que no emplean archivos:

Script malicioso almacenado en la suscripción al Instrumental de administración de Windows (WMI)
Scripts maliciosos que se pasan directamente como parámetros de línea de comandos a PowerShell
Scripts maliciosos que se almacenan en el registro o en el programador de tareas del SO, y se ejecutan con el programador del SO
Archivos ejecutables maliciosos, extraídos y ejecutados directamente en la memoria sin guardar en el disco mediante la técnica de reflexión .Net
y otros

Los agentes de amenazas proporcionan cargas que no utilizan archivos a la máquina de una víctima a través de los siguientes métodos:

Aprovechamiento de vulnerabilidades
Documentos maliciosos con macros
Archivos ejecutables simples

A continuación, se presentan ejemplos de cómo se utilizan las aplicaciones legítimas para ejecutar scripts maliciosos que no se almacenen en un disco. Estas técnicas utilizadas por su enfoque de persistencia se convierten en un verdadero desafío para las soluciones de seguridad.

Ejecución de scripts maliciosos con la ayuda de la aplicación mshta

Uso de la aplicación rundll32 para ejecutar scripts maliciosos de javascript

Ejemplo de suscripción a WMI malicioso

Como parte de su protección multicapa de última generación, Kaspersky ofrece varios componentes que ayudan a detectar y protegerse de amenazas que no utilizan archivos:

El motor de comportamiento de amenazas contiene componentes de los siguientes elementos
1. Detección del comportamiento
2. Motor de corrección
3. La prevención de exploits (EP) para evitar el aprovechamiento
Motor para analizar áreas críticas (incluidas tareas en el programador del sistema operativo, suscripciones al Instrumental de administración de Windows [WMI], el registro, etc.)
El análisis de comportamiento permite una detección eficiente de las amenazas que no utilizan archivos en la etapa de ejecución. La heurística basada en el comportamiento analiza los patrones de ejecución de cualquier proceso en el sistema (incluidas las utilidades legítimas) para detectar intentos de realizar acciones maliciosas.

Entre otros ejemplos de esta heurística, se encuentra el análisis de los parámetros de la línea de comandos del proceso ejecutado y el contexto de ejecución:

El proceso principal de la aplicación ejecutada (aplicación de Office, host de script, etc.)
¿Qué actividad realizaba en el sistema antes de la ejecución?
¿Hubo alguna posible actividad sospechosa en el sistema (actividad de red extraña, bloqueo de la aplicación, solicitud de URL extraña, etc.)?

También es útil aprovechar las tecnologías integradas en el sistema operativo Windows, como el Seguimiento de eventos de Windows (ETW) y la interfaz de análisis antimalware (AMSI) utilizados en la función de fuentes de eventos.

Productos relacionados

Tecnologías relacionadas

Aprendizaje automático en ciberseguridad

Todos nuestros métodos de aprendizaje automático (ML) (conjuntos de árboles de decisiones, hash confidencial de las localidades, modelos de comportamiento o agrupamiento en clúster de flujo entrante) están diseñados para cumplir con los requisitos de seguridad del mundo real: bajo índice de falsos positivos, capacidad de interpretación y solidez frente a un posible adversario.