Os ataques sem ficheiros estão a tornar-se numa das ferramentas de eleição dos hackers, pela forma impercetível como conseguem infetar os sistemas, praticamente sem deixar rasto
Ainda o mundo sustém a respiração perante a ameaça do ransomware e já outra espreita ao virar da esquina. A capacidade dos cibercriminosos para inovar não pode ser subestimada e a prová-lo está a ascensão do “malware fileless”, ou malware sem ficheiros. A indústria de cibersegurança começou a dar conta de uma maior prevalência desta ameaça ao longo do ano passado, e o ENISA Threat Landscape Report 2017, relatório anual da Agência Europeia para a Segurança das Redes e da Informação, publicado no início deste ano, faz uma referência aos ataques fileless, dizendo que o malware fileless “ajuda a evitar a deteção e dificulta as investigações forenses”. Um estudo conduzido no mercado norte-americano pelo instituto Ponemon e Barkly, no ano passado (“2017 State of Endpoint Security Risk”) sugeria que esta abordagem está a popularizar-se porque as soluções tradicionais não conseguem travá-la: a maioria dos ataques a endpoints mais bem-sucedidos em 2017 foram fileless, e 77% destes recorreram a exploits e a técnicas fileless. O estudo refere ainda que os ataques fileless têm uma probabilidade de sucesso dez vezes superior à dos ataques baseados em ficheiros. No ano passado, 40% das empresas norte-americanas foram afetadas por ataques ou exploits fileless. Assim, apesar de o malware fileless ainda não ser tão comum quanto os outros ataques, a sua utilização está a aumentar. Não estamos, porém, perante um conceito novo. Em 2001, o worm Code Red foi uma forma de ameaça fileless, não escrevendo ficheiros no disco e residindo somente na memória. Como funciona?Esta ameaça dispensa que os ficheiros maliciosos sejam descarregados no disco ou executados e não está associado a nenhum vetor particular de infeção. Pode aproveitar-se de vulnerabilidades dia zero existentes nos sistemas operativos ou injetar código malicioso na memória a partir de uma aplicação descarregada de um website ilegítimo. Tendem, por exemplo, a recorrer a scripts nativos da RAM, como o PowerShell, no caso do Windows, para executar comandos hostis e secretos. Também recorrem a aplicações que já estejam instaladas (como web browsers ou aplicações Office) como forma de mascarar e disseminar comportamento malicioso. O modus operandi desta ameaça é simples: fazer passar atividade ilegítima por atividade legítima. Estes ataques conseguem ganhar controlo remoto sobre um sistema, extrair dados ou combinar- se com outros exploits, enquanto apagam os seus vestígios, conseguindo tornar-se invisíveis a ferramentas forenses.
Porque são difíceis de detetar?Por não ser utilizado malware tradicional, não existe uma assinatura que os antivírus consigam detetar, o que diminui em grande medida a eficácia das soluções de proteção de endpoint que as empresas tenham instaladas. Uma vez que as ameaças fileless não dependem dos endpoints para manter conetividade, a janela temporal disponível para executar o ataque também é desconhecida, dado que pode ser feito o reboot ao sistema a qualquer momento. A sua elevada flexibilidade assegura que consegue associar-se a outros para uma maior facilidade de disseminação. Alguns cibercriminosos estão a combinar malware fileless com módulos criptográficos para ransomware, por exemplo. Um relatório da Symantec, de julho do ano passado, citado pelo da ENISA, refere que os atacantes estão a recorrer a esta tática para espalhar ataques de ransomware e trojans financeiros. Como travá-los?Manter os sistemas operativos e o software aplicacional atualizado é a primeira das medidas a tomar – acabar com as vulnerabilidades significa fechar a porta a este tipo de ataques. Também se revela eficaz desativar ferramentas como o PowerShell ou o Windows Management Instrumentation, caso a organização recorpossa dispensá-las; igualmente, desativar todas as formas de execução de macros, já que tal impede que código não seguro seja executado no sistema. No entanto, se tal não for possível, poderá fazer sentido permitir apenas macros autorizadas (por exemplo, assinadas digitalmente), de forma a garantir que os dispositivos estão protegidos. As organizações também devem investir numa monitorização ativa dos endpoints, sobretudo em soluções que tenham uma componente heurística que recorra a analítica comportamental do sistema, já que desta forma é possível detetar possíveis desvios face ao padrão habitual. |