Malware que ataca mediante la memoria está causando estragos

Existe un tipo de malware que no crea archivos, el Fileless Malware, y que ataca directamente desde la memoria del computador. Esta amenaza utiliza PowerShell como herramienta predilecta para desarrollar los ataques.

A este tipo de malware se le ha denominado recientemente Advanced Volatile Threat (AVT), Amenaza Volátil Persistente, para estar a tono con las APTs (Advanced Persistent Threats). Amenazas de este tipo existen desde hace tiempo, pero desde hace un año ha surgido un nuevo ataque de este tipo, que suspende código malicioso en el sistema de la víctima, y mientras éste trabaja, el código se adueña de las credenciales del usuario atacado.

En el caso de una empresa victimizada, el código malicioso había comenzado a reunir las credenciales de sus empleados, junto con los permisos de administrador. El siguiente paso que tomó fue buscar los activos más valiosos de la organización y exfiltrarlos.

El código fue diseñado de manera muy inteligente para ser detectado por el sistema de seguridad de la compañía y la organización nunca fue alertada. Después del daño hecho a la compañía y su credibilidad, el código desapareció sin dejar rastro.

Estas AVT surgieron hace aproximadamente un año y trabajan sobre la memoria de trabajo en lugar de en el disco duro, lo que hace que los sistemas de detección de amenazas tradicionales no tengan ninguna oportunidad de capturar esta actividad maliciosa.

PowerShell es el medio predilecto que se utiliza para realizar el ataque de malware sin archivos, o fileless malware. PowerShell permite a los administradores de sistemas automatizar completamente las tareas en los servidores y computadores. Pero si los cibercriminales toman el control del servidor y la computadora, podrían obtener fácilmente todos los permisos que deseen, si obtienen acceso a PowerShell.

PowerShell no se limita sólo a Windows. Los servidores Microsoft Exchange, IIS y SQL también pueden ser controlados por PowerShell. Se han observado ataques que también se aprovechan de Windows Management Instrumentation (WMI).

Lo que hace el malware sin archivos es que obliga a PowerShell a introducir su código malicioso en la consola y la RAM.

Una vez que se ejecuta el código, éste se convierte en un ataque “lateral” lo que significa que el ataque se propaga desde el servidor central.

Como el malware no deja rastros después de que se realizó el trabajo sucio, las soluciones de seguridad tradicionales no logran dilucidar las causas ni métodos del ataque. Esto, en vez, lo podrían determinar los sistemas de monitoreo heurístico, si es que se ejecutan constantemente.

Cómo protegernos ante los ataques de Fileless Malware o malware sin archivos?

– No hagas clic en links sospechosos, adjuntos que no has solicitado o publicidad que te aleje de tus objetivos y no parezca legítima. Muchos ataques de este tipo se propagan a través de estos medios
– Desactivar PowerShell y WMI si éstos no son necesarios para administrar los sistemas
– Si no se pueden deshabilitar, asegúrate de estar usando la última versión. PowerShell 5 tiene mejores medidas de seguridad en Windows
– Habilita las características específicas de PowerShell sólo a través del modo «Idioma restringido»
– Habilita la transcripción automática de comandos. Esto ayudará a que el sistema desconfíe de los ataques sin archivos
– Emplea métodos avanzados de ciberseguridad, como los servicios antimalware permanentes
– Realiza updates periódicos de todo tu software
-Mantente al día respecto del estado del arte de los procesos desconocidos que ocurren dentro del sistema y que podrían generar malware sin archivos. Es tu responsabilidad como sysadmin!

Distintos tipos de ataques de fileless malware

Hoy en día existen distintos tipos de ataques de fileless malware, que utilizan diferentes técnicas. El uso de PowerShell es el más común en este tipo de ataques, pero no es la única herramienta que se aprovecha para estos fines. Estar permanentemente atento al funcionamiento de tus equipos y sistemas y de sus conexiones y de los datos que viajan a través de ellas te permite observar cambios inusuales que podrían deberse a ataques como éste.

Se han observado este tipo de ataques a entidades bancarias a nivel mundial, existen técnicas para minar criptomonedas a través de fileless malware, se han denominado “vaporworms” o “gusanos de vapor”, en castellano, al resultado de la nueva tendencia de cibercriminales de automatizar el fileless malware añadiéndole funcionalidades de red, recientemente se descubrió un troyano fileless que presentaba características autopropagatorias, etc.