Considerada como uma nova geração de ataques, o Fileless oferece extrema dificuldade de detecção, já que utiliza brechas no próprio sistema operacional e em programas legítimos.
Ataques recentes que afetaram principalmente bancos e outras instituições financeiras fizeram uso de ferramentas de código aberto carregadas diretamente na memória, diferente de malwares tradicionais que se hospedam como programas do disco rígido.
Os ataques Fileless, ou ataques “Sem Arquivo”, como são conhecidos, são extremamente difíceis de detectar, uma vez que utilizam o Windows e seus sistemas, através do Powershell, por exemplo, para executar e driblar a proteção antivírus. Por isso, esta técnica está cada vez mais popular entre os cibercriminosos.
Um estudo recente da “Ponemon Institute” mostrou que 29% dos ataques sofridos pelas organizações em 2017 foram feitos por esse tipo de técnica “Sem Arquivos”- nove pontos percentuais acima do índice do ano anterior. Já para 2018, a estimativa do instituto americano é que esse tipo de ataque alcance 35%. O estudo revelou ainda que, dos ataques considerados bem-sucedidos, 77% deles utilizaram esta técnica, comprometendo dados ou a infraestrutura das empresas.
Em resumo, estima-se que Ataques Fileless tenha dez vezes mais chances de sucesso do que ataques baseados em arquivos. A Symantec, empresa que atua na área de segurança cibernética, também divulgou números alarmantes. Diariamente, a empresa encontra scripts maliciosos incorporados nos registros do Windows em aproximadamente 5 mil computadores.
Ataques “Sem Arquivo” se utilizam de serviços integrados do sistema, aplicativos e comandos de gerenciamento já existentes e infectam o host. Como não se trata de uma ameaça tão recente, já é possível distinguir algumas famílias de ataques Fileless:
ATAQUES DE MEMÓRIA
Este tipo de ataque explora vulnerabilidades em serviços do Windows para executar sua carga diretamente na memória. Em 2001, o Code Red foi o primeiro Fileless desta família e infectou mais de 350.000 computadores.
Como trata-se de infecções que estão diretamente ligadas à memória, não são “persistentes”. Por isso, basta reiniciar o sistema para que elas sumam. Mas qual o estrago deixado? É uma resposta difícil de responder.
Outra preocupação é que, com a quantidade de tecnologias surgindo a partir da IoT, este tipo de ameaça apareça mais vezes em aparelhos eletrônicos, como já aconteceu. Afinal, mesmo reiniciando os dispositivos, eles poderão ser infectados novamente.
ATAQUES PERSISTENTES
Nestes tipos de ataques, embora a carga maliciosa não seja carregada no HD, a infecção permanece mesmo depois que o sistema é reinicializado. Isso ocorre de várias maneiras distintas, como o armazenamento de scripts maliciosos no Registro do Windows, o que dá início à infecção Fileless mesmo após a reinicialização do sistema.
ATAQUES DE USO DUPLO
Estes ataques utilizam ferramentas e aplicativos do sistema Windows com fins danosos, por exemplo, para obter credenciais para sistemas de destino ou para enviar dados aos invasores.
ATAQUES DE ARQUIVO EXECUTÁVEL NÃO PORTÁTIL
Estes ataques geralmente envolvem algum tipo de script e uma ferramenta legítima, como PowerShell, WScript e CScript. Por isso, ao pé da letra, os ataques de script não são sem arquivo, pois há um script em um arquivo envolvido, e que pode ser detectado. No entanto, devido à natureza maliciosa destes scripts, esses arquivos podem ser de difícil detecção.
COMO SE PROTEGER ENTÃO?
Extremamente difíceis de serem detectados por sistemas antivírus tradicionais, ataques Fileless exigem maior atenção das equipes de TI. Uma boa alternativa é a implantação de estratégias para minimizar riscos à infecção e mitigar sua propagação na rede. Para alcançar esses objetivos, algumas ações são válidas e corroboram para a obtenção de um sistema mais seguro:
- Acompanhar o trânsito de documentos estratégicos;
- Manter todos os softwares atualizados;
- Restringir privilégios de administrador;
- Monitorar o tráfego da rede, observando discrepâncias;
- Manter instalado apenas aplicativos necessários;
- Pedir aos colaboradores que avisem caso um segundo aplicativo inicie automaticamente;
- Bloquear arquivos suspeitos do pacote Office que solicitam a habilitação de macros;
- Não utilizar redes Wi-Fi com computadores corporativos;
- Exigir senhas seguras.
Ainda pouco se pode concluir sobre ataques Fileless, a prevenção, por enquanto, é a melhor prática.
Escreva seu comentário