Attacchi, protezione e rilevamento di malware senza file

Fileless Malware potrebbe essere un nuovo termine per la maggior parte, ma il settore della sicurezza lo conosce da anni. L'anno scorso oltre 140 aziende in tutto il mondo sono state colpite da questo malware senza file,(Fileless Malware –) comprese banche, telecomunicazioni e organizzazioni governative. Fileless Malware , come spiega il nome, è un tipo di malware che non tocca il disco né utilizza alcun file nel processo. Viene caricato nel contesto di un processo legittimo. Tuttavia, alcune società di sicurezza affermano che l'attacco fileless lascia un piccolo binario nell'host compromettente per avviare l'attacco malware. Tali attacchi hanno registrato un aumento significativo negli ultimi anni e sono più rischiosi dei tradizionali attacchi malware.

malware senza file

Attacchi di malware senza file

Attacchi di malware senza file(Fileless Malware) noti anche come attacchi non malware(Non-Malware attacks) . Usano un insieme tipico di tecniche per entrare nei tuoi sistemi senza utilizzare alcun file malware rilevabile. Negli ultimi anni, gli aggressori sono diventati più intelligenti e hanno sviluppato molti modi diversi per lanciare l'attacco.

Il(Fileless) malware senza file infetta i computer senza lasciare alcun file sul disco rigido locale, aggirando i tradizionali strumenti di sicurezza e analisi forense.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Il malware senza file risiede nella memoria ad accesso casuale(Random Access Memory) del tuo computer e nessun programma antivirus ispeziona direttamente la memoria, quindi è la modalità più sicura per gli aggressori di intromettersi nel tuo PC e rubare tutti i tuoi dati. Anche i migliori programmi antivirus a volte perdono il malware in esecuzione nella memoria.

Alcune delle recenti infezioni da Fileless Malware che hanno infettato i sistemi informatici in tutto il mondo sono: Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 , ecc.

Come funziona Fileless Malware

Il malware senza file quando atterra nella memoria può distribuire gli strumenti integrati di (Memory)Windows nativi e di amministrazione del sistema come PowerShell , SC.exe e netsh.exe per eseguire il codice dannoso e ottenere l'accesso dell'amministratore al sistema, in modo da trasportare dai i comandi e ruba i tuoi dati. Il malware senza file(Fileless Malware) a volte può anche nascondersi nei rootkit(Rootkits)(Rootkits) o nel registro(Registry) del sistema operativo Windows.

Una volta entrati, gli aggressori utilizzano la cache delle miniature di Windows(Windows Thumbnail) per nascondere il meccanismo del malware. Tuttavia, il malware ha ancora bisogno di un binario statico per entrare nel PC host e l'e-mail è il mezzo più comune utilizzato per lo stesso. Quando l'utente fa clic sull'allegato dannoso, scrive un file di payload crittografato nel registro di Windows(Windows Registry) .

Fileless Malware è anche noto per utilizzare strumenti come Mimikatz e Metaspoilt per iniettare il codice nella memoria del PC e leggere i dati ivi archiviati. Questi strumenti aiutano gli aggressori a penetrare più a fondo nel tuo PC e rubare tutti i tuoi dati.

Analisi comportamentale e malware Fileless

Since most of the regular antivirus programs use signatures to identify a malware file, the fileless malware is hard to detect. Thus, security firms use behavioral analytics to detect malware. This new security solution is designed to tackle the previous attacks and behavior of the users and computers. Any abnormal behavior which points to malicious content is then notified with alerts.

When no endpoint solution can detect the fileless malware, behavioral analytics detects any anomalous behavior such as suspicious login activity, unusual working hours or use of any atypical resource. This security solution captures the event data during the sessions where users use any application, browse a website, play games, interacts on social media, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

How to protect against & detect Fileless Malware

Segui le precauzioni di base per proteggere il tuo computer Windows(precautions to secure your Windows computer) :

  • Applica(Apply) tutti gli ultimi aggiornamenti di Windows,(Windows Updates –) in particolare gli aggiornamenti di sicurezza al tuo sistema operativo.
  • Assicurati(Make) che tutto il software installato sia corretto e aggiornato alle ultime versioni
  • Utilizzare un buon prodotto per la sicurezza in grado di scansionare in modo efficiente la memoria del computer e bloccare anche le pagine Web dannose che potrebbero ospitare exploit(Exploits) . Dovrebbe offrire il monitoraggio del comportamento(Behavior) , la scansione della memoria(Memory) e la protezione del settore di avvio .(Boot Sector)
  • Fare attenzione prima di scaricare eventuali allegati di posta elettronica(downloading any email attachments) . Questo per evitare di scaricare il payload.
  • Utilizza un potente firewall che ti consenta di controllare efficacemente il traffico di rete .(Network)

Leggi il prossimo(Read next) : Cosa sono gli attacchi di Living Off The Land(Living Off The Land attacks) ?



Manuel Fabbri

About the author

Sono un ingegnere del software ed esploratore. Ho esperienza sia con Microsoft Xbox 360 che con Google Explorer. Sono in grado di fornire consigli di esperti per determinati strumenti di sviluppo software, nonché aiutare le persone a risolvere gli errori comuni di Explorer.


Related posts