Como não depende de arquivos, o malware sem arquivo é difícil de detectar e eliminar. Vamos mergulhar nos detalhes técnicos e aprender mais sobre essa ameaça cibernética específica.
O que é malware sem arquivo?
Malware sem arquivo não é o nome de uma ameaça específica — é um método de distribuição e execução de malware no dispositivo da vítima.
O malware tradicional instala um arquivo em seu dispositivo para executar comandos, roubar seus dados e monitorar suas atividades. O malware sem arquivo funciona apenas na memória do computador, o que significa que não grava nada no disco rígido. O invasor explora um aplicativo vulnerável e injeta código na memória principal.
Pode ser difícil para o software antivírus tradicional detectar esses tipos de ameaças. Portanto, o malware sem arquivo deve ser levado a sério.
Detalhes técnicos
Os invasores exploram vulnerabilidades em softwares já instalados em um computador, como um visualizador de PDF, Microsoft Office ou um flash player. Uma vez que os hackers entram no sistema, eles usam o Windows Management Instrumentation (WMI), que dá aos administradores acesso às ferramentas de monitoramento do sistema, ou o PowerShell (um aplicativo de gerenciamento de configuração e automação de tarefas) para conduzir seus ataques.
Quando a estrutura .NET foi introduzida no Windows, os agentes de ameaças começaram a usar essa estrutura para se comunicar com o sistema operacional e explorar vulnerabilidades no software.
O malware sem arquivo geralmente é entregue por meio de e-mails de phishing que contêm um link malicioso ou um anexo. Normalmente, esses tipos de campanhas visam organizações ou um indivíduo específico, sugerindo que e-mails maliciosos podem ser bem elaborados.
Tipos de malware sem arquivo
Malware residente na memória
O malware residente na memória é armazenado na RAM do computador (memória de acesso aleatório). Ele é executado em segundo plano e fornece aos agentes de ameaças acesso backdoor.
Malware de registro do Windows
Os hackers usam as chaves de registro do Windows para armazenar e ocultar códigos maliciosos, que podem permanecer sem ser detectados por anos. Depois de entrar no sistema, os criminosos exploram o PowerShell para realizar atividades maliciosas. O Powershell não registra comandos, portanto, pode ser difícil rastrear o script executado em um computador infectado, mesmo se você usar firewalls e outros softwares antivírus.
Malware sem arquivo rootkit
Os malfeitores podem obter o acesso do administrador ao dispositivo da vítima e, em seguida, instalar o malware rootkit. O código malicioso está oculto no sistema operacional e permite que o malware seja executado sem um arquivo. Embora esse tipo de malware não seja totalmente sem arquivo, seu comportamento corresponde às características gerais do malware sem arquivo.
Um breve histórico de malware sem arquivo
As origens do malware sem arquivo remontam ao final dos anos 80 e início dos anos 90, quando programas maliciosos, como Frodo, Number of the Beast e The Dark Avenger, foram descobertos na Internet. O que diferenciava esses programas de outros malwares é que, uma vez executados, eles residiam na memória de um computador infectado.
Em 2001, um worm de computador chamado Code Red surgiu e atacou redes corporativas. Ele usou uma vulnerabilidade no Microsoft Internet Information Services (IIS) para gravar comandos na memória de trabalho do servidor. O Code Red não deixou nenhum arquivo no disco rígido ou outro armazenamento permanente. Estimativas dizem que esse worm causou bilhões de dólares em danos e infectou milhares de computadores.
Nos últimos anos, o malware sem arquivo teve um aumento na prevalência. Como é difícil de detectar, os hackers começaram a usar esse tipo de ataque com mais frequência. Em 2017, foi detectada uma ameaça chamada Operation Cobalt Kitty, que visava uma empresa na Ásia. De acordo com pesquisadores de segurança, os hackers enviaram e-mails de spear phishing para a alta administração e comprometeram mais de 40 computadores e servidores.
Os criminosos costumam usar técnicas sem arquivo para implantar ransomware , que também é uma ameaça crescente.
O maior ataque
O Meterpreter é uma ferramenta avançada de teste de penetração que se grava em um processo comprometido em vez de residir na memória. Em 2017, hackers não identificados exploraram o Meterpreter, implantaram scripts do PowerShell no registro do Windows e usaram o utilitário NETSH para exfiltrar o tráfego da máquina da vítima.
Estimativas dizem que mais de 140 empresas e instituições financeiras foram afetadas em todo o mundo por essa ameaça cibernética. No entanto, o alcance real do ataque pode ser maior porque nenhum banco quer divulgar publicamente sobre ser hackeado e arriscar prejudicar sua reputação.
Detecção de malware sem arquivo
Se o seu computador estiver infectado, muitas vezes você pode notar mudanças em seu desempenho: ele fica mais lento, os programas começam a travar, software adicional pode aparecer em seu disco rígido ou pop-ups suspeitos se materializam do nada. No entanto, o malware sem arquivo foi projetado para permanecer silenciosamente no seu dispositivo pelo tempo necessário para comprometer seus dados. É por isso que não podem aparecer sinais óbvios que o levem a suspeitar que algo está errado.
Se o malware sem arquivo for quase indetectável, há alguma maneira de identificar que você foi hackeado? Ao responder ao aumento do malware sem arquivo, a Microsoft atualizou o Windows Defender para detectar atividades suspeitas do PowerShell.
Os administradores de TI devem inspecionar de perto a atividade da rede para ver se os hackers estão exfiltrando dados ou estabelecendo uma conexão com um botnet. Certos softwares antivírus podem detectar processos suspeitos na memória do seu computador e vincular esses processos a atividades maliciosas.
Como prevenir sua organização de ataques cibernéticos
Treine sua equipe. Muitos funcionários não têm uma compreensão adequada das ameaças cibernéticas e têm dificuldade em identificar vetores de ataque comuns. O treinamento regular e as simulações de phishing por e-mail podem melhorar muito a segurança da sua empresa e mitigar o risco de ser invadido.
Atualize seu software. Adiar atualizações de software é mais comum do que você pensa. Até mesmo o setor de TI está cheio de histórias de horror sobre funcionários que trabalharam vários anos para uma empresa e nunca atualizaram seu sistema operacional. Os hackers adoram esses preguiçosos porque podem explorar um bug no software que foi corrigido meses ou anos atrás. Nosso artigo sobre exploits explicará isso em detalhes.
Gerenciar privilégios administrativos. Um funcionário deve acessar apenas os recursos necessários para realizar suas tarefas diárias. Se uma pessoa com grandes privilégios administrativos for hackeada, pode ser suficiente para comprometer toda a rede. No entanto, se essa pessoa estiver autorizada a acessar apenas determinados recursos, o dano pode ser muito menor.
Use um gerenciador de senhas. Usar a mesma senha para todas as suas contas é uma maneira simples de perder seus dados valiosos. Se você deseja criar senhas fortes e exclusivas, obtenha um gerenciador de senhas. Ele armazenará com segurança todas as suas senhas, as preencherá automaticamente e ajudará a criar senhas exclusivas.
Implemente soluções de segurança avançadas. Embora os dispositivos Windows tenham um software de segurança nativo instalado, não é suficiente proteger seu computador contra todos os tipos de malware . Use um software antivírus avançado que monitore atividades suspeitas e o alerte imediatamente.
