Cuando un correo electrónico de suplantación de identidad lo engaña y abre un archivo que tiene una macro maliciosa o un enlace a un sitio malicioso, o descarga una aplicación infectada, se genera un rastro de actividad de archivos con el que puede mirar hacia atrás si está tratando de revisar el daño hecho. Para evitar esas protecciones, los atacantes están comenzando a usar malware ‘sin archivos’ donde los ataques se ejecutan directamente en la memoria o usan herramientas del sistema que ya están instaladas para ejecutar código malicioso sin guardar archivos que el software antivirus puede escanear.

Eso podría significar engañar a un usuario para que ejecute un script que ejecute un binario .NET directamente desde la memoria, como Sharpshooter, que descarga la carga útil del malware a través de los registros de texto de las consultas DNS. O podría significar el envío de paquetes de red maliciosos que explotan la vulnerabilidad EternalBlue e instalan la puerta trasera DoublePulsar en la memoria del kernel.

Pero no todos los ataques avanzados de malware carecen de archivos y arrojar el término no ayuda a las organizaciones a defenderse de él. Sin archivos es un término que se ha usado en exceso. Por eso, se ha comenzado a clasificar los ataques sin archivos en función de cómo llegan a un PC y dónde están alojados. Hay más de una docena de combinaciones de esos ‘puntos de entrada’ y hosts de malware que se usan para ataques sin archivos, algunos de los cuales son muy sofisticados y rara vez se usan para ataques dirigidos, y algunos de los cuales se han comercializado y se muestran con más frecuencia para ataques comunes como tratar de ejecutar un minero de monedas en su sistema.

Como no puede escanear archivos para detectar ataques sin archivos, debe confiar en escanear la memoria y detectar comportamientos maliciosos. La supervisión del comportamiento detecta malware que hace cosas maliciosas, que incluye los tres tipos de malware sin archivos.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo.

Fuente: discoverthenew.es

Compartir