Ataque Fileless - uma ameaça ardilosa

Ataques cibernéticos estão avançando em uma velocidade sem precedentes. À medida que as organizações vão adotando e reforçando suas defesas, os atacantes cibernéticos vêm alterando e sofisticando suas táticas, técnicas e procedimentos, de forma a contornar as soluções tradicionais de segurança.

Ao contrário dos ataques realizados com o uso dos malwares tradicionais, os ataques Fileless, ou ataques “Sem Arquivo”, como são conhecidos,  não exigem que os invasores instalem um único software na máquina de um alvo, para interceptação e roubo de dados do computador, bem como para mover-se lateralmente, manter persistência e mais.

Muitas das técnicas usadas nos ataques Fileless já existem há algum tempo. As explorações na memória, por exemplo, eram proeminentes no worm SQL Slammer do início dos anos 2000. Mas o posterior desenvolvimento e distribuição em larga escala de kits de exploração tornaram os ataques Fileless mais comuns.

A dificuldade que as organizações enfrentam na detecção desses ataques, combinada com a disponibilidade dessas técnicas, é exatamente o motivo pelo qual essa tática está sendo cada vez mais adotada.

Para se compreender como é possível para um malware sem arquivos provocar danos e prejuízos, é bom nos lembrarmos como os computadores funcionam. Em um PC, os aplicativos e recursos do sistema são carregados na memória RAM ao serem requisitados pelo processador, para que sejam executados. Quando se desliga a máquina, tudo o que estava guardado na memória RAM é apagado automaticamente.

Assim sendo, se o malware Fileless se instala na memória RAM apenas, é de se esperar que ao ser desligada a máquina também ele seja apagado. Porém, o malware prevê infiltração no PC de outras formas. Por exemplo, ele pode gerar entradas no Registro do Windows, que acionam novamente a sua execução quando a máquina for religada. Outra forma pode ser através de scripts que podem rodar via PowerShell do Windows, colocando o malware para ser executado de forma oculta ao usuário.

Há que se ter em conta que o funcionamento desse tipo de malware é volátil e que pode ser interrompido a qualquer momento. Assim sendo, ele é criado para que sua execução seja rápida, capturando o maior volume de dados e informações possível num curto espaço de tempo.

Algumas técnicas utilizadas para viabilizar ataques Fileless, injetando códigos maliciosos na memória:

1. Documentos maliciosos – o atacante fornece o documento malicioso, normalmente como anexo de e-mail (ataque de Phishing). Pode ser um documento do Microsoft Office com um JavaScript incorporado. Pode ser ainda um documento que pode transportar arquivos, tal como PDF e RTF. Assim, são infiltrados códigos maliciosos sem que as tecnologias antivírus tradicionais interfiram no uso desses documentos.

    

2. Scripts maliciosos – para não ter que compilar códigos maliciosos em executáveis tradicionais, os autores de malware contam com scripts durante ataques que possuem atributos sem arquivos. Existem scripts suportados nativamente por documentos, bem como scripts que são executados diretamente no Microsoft Windows. Este sistema possui interpretadores de script para PowerShell, VBScript e JavaScript.

    

3. Recursos nativos do Windows – uma vez que o código malicioso pode interagir com os programas locais, possivelmente iniciando a infecção com um documento, o invasor pode usar certos utilitários incorporados ao sistema operacional, que são recursos confiáveis do Windows. Em geral esses recursos são explorados pelo atacante para instalação de backdoor, assim viabilizando o seu retorno ao computador comprometido sem ser notado e sem precisar recorrer aos métodos utilizados na realização da invasão.

Algumas práticas adotadas para reforço das defesas contra ataques Fileless:

1. Manter o sistema operacional e aplicativos sempre atualizados.

2. Realizar análise de vulnerabilidades e a aplicação constante de patches de correção de segurança.

3. Utilizar políticas de identificação, autenticação, autorização e permissões de acesso mais restritivas.

4. Desativar a leitura de arquivos no navegador.

5. Desativar a utilização do Flash no navegador.

6. Restringir acesso ao Microsoft PowerShell.

7. Utilizar tecnologias avançadas de endpoint protection que empreguem técnicas de heurística, inteligência artificial, análise comportamental do usuário em tempo real e mecanismos de aprendizagem.

8. Estabelecer programas de conscientização e treinamento de usuários, dando ênfase ao conhecimento de técnicas de ataque de phishing e como proceder para não sofrer a infiltração.