info@rislab.it - PARTNERSHIP: CNS | VIDES | FEDERICO II

Malware fileless: la guida completa alla minaccia

Malware fileless: la guida completa alla minaccia

I malware fileless (senza dati) utilizzano strumenti legittimi integrati in un sistema per eseguire un attacco informatico. A differenza dei malware tradizionali, questi sono molto semplici per gli hacker. Essi, infatti, non hanno bisogno di installare nulla nel sistema del bersaglio. Facile, vero? Vediamo in questo articolo come funzionano.

Malware fileless: le tecniche

Sebbene gli aggressori non debbano installare codicI per lanciare un attacco malware senza file, devono comunque accedere all’ambiente. Questo per modificare gli strumenti del sistema per penetrarlo. L’accesso e gli attacchi possono essere realizzati in diversi modi. Analizziamone alcuni.

  1. Kit di exploit.
    Gli exploit sono parti di codice, sequenze di comandi o raccolte di dati. Gli hacker utilizzano questi strumenti per sfruttare le vulnerabilità note e accedere a un sistema operativo o in un’APP. Si tratta di un modo efficiente per lanciare un attacco malware senza file perché possono essere iniettati direttamente nella memoria senza che sia necessario scrivere nulla sul disco.
  2. Malware residenti nel registro.
    Si tratta di un malware che si installa nel registro di Windows per rimanerci eludendo il rilevamento. Il codice dannoso può essere programmato per agire ogni volta che viene avviato il sistema operativo. Non è possibile rilevare file dannosi: il codice è nascosto in file nativi non soggetti al rilevamento.
  3. Malware di sola memoria.
    Si tratta di malware che risiedono solo nella memoria. Un esempio è il worm Duqu, che può rimanere facilmente inosservato.
  4. Ransomware senza file.
    Gli hacker usano qualsiasi tecnologia che li aiuti a portare a termine un colpo. Anche i ransomware possono essere fileless. Questi dirottano strumenti nativi come PowerShell per crittografare i file degli ostaggi senza aver mai scritto una singola riga sul disco.
  5. Furto di credenziali.
    Le credenziali rubate possono essere sfruttate per accedere nel sistema della vittima. Basta quindi fingersi un utente legittimo! Una volta all’interno, l’autore dell’attacco può utilizzare strumenti nativi per condurre il proprio attacco.

Le fasi di un attacco di malware fileless

Andando più nello specifico, quali sono le fasi di base di un attacco con malware fileless? Vediamolo.

Fase 1: ottenere l’accesso. Come? Sfruttando da remoto una vulnerabilità e utilizzando degli script per l’accesso da remoto.

Fase 2: rubare le credenziali. Utilizzando l’accesso ottenuto nel passaggio precedente, il criminale cerca di ottenere le credenziali dell’ambiente digitale. In questo modo si sposta facilmente su altri sistemi in quell’ambiente.

Fase 3: creare una porta. Creando una backdoor che permette di tornare in quest’ambiente a suo piacimento, l’hacker non dovrà ripetere ogni volta l’attacco per assicurarsi la posizione.

Fase 4: esfiltrare i dati. Si tratta della fase finale. L’hacker raccoglie i dati desiderati, li copia tutti in una posizione e li compromette. I dati possono essere rimossi definitivamente dal sistema della vittima.

Come rilevare un malware fileless

Se i metodi legacy AV, whitelisting, sandboxing e persino machine learning non possono proteggere dagli attacchi fileless, cosa fare? Le aziende possono proteggersi adottando un approccio integrato che combina più metodi.

Il consiglio migliore è quello di affidarsi agli indicatori di attacco.

Gli indicatori di attacco (IOA) rappresentano un approccio proattivo contro gli attacchi fileless. Gli IOA non si concentrano su come viene eseguito un attacco, ma cercano segnali che un attacco potrebbe essere in corso.

Includono segni come l’esecuzione di un codice e le azioni che sembrano mascherare il loro vero intento.

Non importa se l’azione è stata avviata da un file sul disco rigido o da una tecnica fileless. L’unica cosa che conta è l’azione eseguita, come si relaziona con altre azioni, la sua posizione in sequenza e le azioni dipendenti. Questi indicatori rivelano le vere intenzioni dietro i comportamenti e gli eventi che li circondano.