Por Tales Casagrande
Conforme as medidas de segurança melhoram na identificação e bloqueio de malwares e outras ameaças, os hackers modernos estão constantemente criando técnicas sofisticadas para evitar as suas detecções. Uma das técnicas de evasão mais persistentes envolve ataques fileless, que não exigem software malicioso para invadir um sistema. Em vez de confiar em arquivos executáveis, essas ameaças usam ferramentas que já estão no sistema para iniciar os ataques.
O relatório annual security roundup de 2019, elaborado pela Trend Micro, mencionou o quão comum as ameaças fileless se tornaram. Ao rastrear indicadores não baseados em arquivo e por meio de tecnologias como detecção e resposta de endpoints, bloqueamos mais de 1,4 milhão de incidências fileless no ano passado. A tendência era esperada dada a discrição e persistência que ameaças dessa natureza podem conceder a um atacante. Também foi evidente, com base nas inúmeras campanhas de malwares observadas usando componentes e técnicas fileless em seus ataques.
O que é um ataque fileless? Como os atacantes infiltram sistemas sem instalar software?
O termo “fileless” sugere que a ameaça ou técnica não requer um arquivo, que vive na memória de uma máquina. Funcionalidades fileless podem estar envolvidas em execução, roubo de informações ou persistência; uma cadeia de ataques não precisa necessariamente ser verdadeiramente “fileless”, pois algumas partes podem necessitar apenas de técnicas fileless de alguma forma.
Ataques do tipo não deixam nenhum rastro após a execução, tornando a detecção e remoção um desafio. As técnicas fileless permitem que os atacantes acessem o sistema possibilitando, assim, atividades maliciosas subsequentes. Ao manipular explorações, ferramentas legítimas, macros e scripts, os atacantes podem comprometer sistemas, elevar privilégios ou se espalhar lateralmente pela rede.
Ataques fileless são eficazes em evitar a detecção de softwares de segurança tradicionais, que procuram por arquivos escritos no disco de uma máquina para analisá-los e avaliar se eles são maliciosos. Tais ameaças não são tão visíveis, pois podem ser executadas na memória de um sistema, residir no registro ou abusar de ferramentas comumente listadas como PowerShell, Windows Management Instrumentation (WMI) e PsExec.
Muitas ameaças fileless abusam do framework de automação de tarefas e gerenciamento de configuração PowerShell, que é um recurso embutido em muitos sistemas operacionais Windows. O framework da Microsoft acessa interfaces de programação de aplicações (APIs) que executam funções cruciais de sistema e aplicação. Os atacantes acham essa ferramenta atraente porque ela lhes permite distribuir payloads e executar comandos maliciosos de forma fileless.
WMI, por outro lado, é outro aplicativo conhecido do Windows que é usado para realizar tarefas do sistema para endpoints, o que o torna ideal para a condução de ataques. Os atacantes abusam do WMI para execução de código, movimento lateral e persistência; repositórios WMI também podem ser usados para armazenar scripts maliciosos que podem ser ativados em intervalos de tempo regulares. PowerShell e WMI são normalmente usados por redes empresariais para automação de tarefas de administração de sistemas. Os atacantes geralmente aproveitam essas ferramentas porque elas podem ser usadas para evitar sistemas de detecção baseados em assinatura, manter a persistência, extrair dados e outros motivos maliciosos.
Como as organizações podem se defender de ameaças fileless?
A variedade de técnicas fileless permite que os ataques sejam persistentes, o que por sua vez pode afetar a integridade da infraestrutura de negócios de uma organização. Apesar da falta de um binário discreto ou executável, ameaças fileless ainda podem ser barradas por usuários e empresas.
Combater ataques fileless requer uma abordagem multicamadas ou defense-in-depth que não dependa de contramedidas tradicionais baseadas em arquivos para mitigar ameaças. As organizações devem proteger os sistemas, desinstalar aplicativos não utilizados ou não críticos e monitorar o tráfego de rede.
Empregar mecanismos de monitoramento de comportamento permite monitorar modificações incomuns de softwares e aplicações como PowerShell e WMI. Sandbox personalizado e sistemas de detecção de intrusão e prevenção também podem ajudar a deter o tráfego suspeito, como a comunicação C&C ou a exfiltração de dados.
*Por Tales Casagrande, Sales Engineer na Trend Micro
