Gli attacchi di malware senza file sono in aumento poiché sempre più hacker li utilizzano per mascherare le loro attività nefaste. Queste minacce sfruttano le applicazioni esistenti e autorizzate di un computer e la sua potenza di calcolo contro se stesso. Questo è ciò che i professionisti della sicurezza definiscono minacce "vivere della terra".
Il malware senza file è una minaccia avanzata e persistente che si presenta sotto forma di attacchi furtivi e senza firma che possono trasformare un computer contro se stesso e compromettere i sistemi per rubare informazioni. Questo non lascia tracce per i professionisti della sicurezza per eseguire un'analisi forense per individuare la causa.
Le rilevazioni di malware senza file quest'anno sono aumentate del 265% rispetto alla prima metà del 2018, secondo il Trend Micro’s 2019 Midyear Security Roundup. Il rapporto ha anche rilevato che gli usi più comuni del malware senza file si presentavano sotto forma di malware per il mining di criptovalute, ransomware e trojan bancari.
Cos'è il malware senza file?
Il malware tipico deve essere eseguito per facilitare un attacco. Il malware senza file non richiede alcun download di file e non lascia alcuna firma, rendendoli significativamente più difficili da investigare e risolvere.
Cos'è il malware senza file?
Il malware senza file è un componente software dannoso basato sulla memoria che vive nella memoria ad accesso casuale (RAM). Gli attacchi senza file utilizzano componenti integrati di un sistema operativo per trasformare un computer contro se stesso.
Gli hacker utilizzano il malware senza file iniettando codice dannoso, script o librerie in documenti e pagine web. Questo codice è noto come LOLBins, o binari che vivono della terra, e aiuta gli hacker ad automatizzare attacchi su software di test di penetrazione e amministrativi.
I LOLBins utilizzano applicazioni software legittime e autorizzate che esistono sul dispositivo mirato, ma le usano con intenti dannosi. Gli strumenti comunemente abusati includono PowerShell, PsExec o Windows Management Instrumentation (WMI).
Gli hacker inseriscono binari, script e librerie in documenti di uso quotidiano e li consegnano al loro obiettivo tramite email. In alternativa, memorizzano i LOLBins all'interno dell'HTML di una pagina web. Una volta aperto, lo script attiva una serie di attività che operano e lanciano strumenti amministrativi che iniziano a condurre attività dannose in memoria. Queste attività potrebbero includere il dispiegamento di ransomware, l'esfiltrazione di informazioni sensibili o la connessione a un server remoto per scaricare ed eseguire un payload dannoso.
Alcuni casi notevoli di attacchi di malware senza file includono il trojan bancario del 2018 che ha infettato più di 100.000 computer in due mesi, una serie di attacchi ransomware mirati agli ospedali nel 2019, così come una serie di falsi aggiornamenti di Adobe Flash contenenti malware. Due degli attacchi di più alto profilo includono l'hack del 2016 del Comitato Nazionale Democratico (DNC) e la violazione dei dati di Equifax del 2017.
Tipi di malware senza file
Basato su documenti — I macro memorizzati in documenti dall'aspetto innocente sono uno dei modi più comuni per facilitare un attacco. I macro sono progettati per automatizzare azioni per risparmiare tempo alle persone. Sebbene siano incredibilmente utili per molti, gli hacker possono facilmente nascondere un macro che contiene uno script eseguibile in uno di questi documenti.
Ad esempio, in un contesto professionale, non è raro che un dipendente riceva un foglio di calcolo Microsoft Excel da uno dei suoi colleghi. Può essere facile per un attaccante inviare un foglio di calcolo Excel dannoso con un macro progettato per eseguire Powershell e automatizzare attività come il download di un paywall dannoso.
Basato sul web — Gli attacchi derivanti da siti online dannosi funzionano in modo leggermente diverso. Gli attacchi basati sul web utilizzano una miriade di linguaggi di scripting eseguibili tramite una pagina web, il più comune è JavaScript. Secondo un sondaggio del 2018 di Stack Overflow su oltre 100.000 sviluppatori, circa il 72% degli sviluppatori utilizza JavaScript.
In questo scenario, una pagina web si carica, esegue e avvia un comando JavaScript per aprire PowerShell e attivare una serie di azioni. PowerShell si avvierà e seguirà i comandi dello script che potrebbero includere la connessione a un server remoto e l'estrazione di informazioni sensibili o il download e l'esecuzione di file dannosi.
Perché gli attacchi senza file stanno diventando più comuni?
Applicazioni fidate — Poiché il malware senza file si basa su applicazioni fidate e legittime, ci sono pochi modi per prevenirlo. Piuttosto che scaricare file, che tipicamente richiede l'approvazione dell'amministratore, lo script dannoso si appoggia all'applicazione nativa. Questi strumenti vengono dirottati dall'attaccante.
L'uso di strumenti legittimi consente a questi processi di avvenire in memoria anziché sul disco rigido del computer. Questo non lascia tracce dell'attacco, operando esclusivamente nella RAM. Questo consente all'attacco di operare in segreto e nascondere il malware all'interno della RAM dove è indetectabile dai tradizionali software antivirus.
Operazione in memoria — Ci sono alcuni vantaggi dal lato dell'attacco nell'eseguire comandi in memoria, ma il più ovvio è l'evasione dell'antivirus. Il software antivirus si concentra tipicamente sulla scansione di download o applicazioni appena installate. Il malware senza file non richiede nessuna di queste azioni, causando la mancata rilevazione dell'attacco da parte della maggior parte degli strumenti antivirus.
Un altro vantaggio è la mancanza di attenzione risultante dalla mancata rilevazione. Questo consente agli hacker di nascondere il malware in luoghi a cui la maggior parte degli strumenti di sicurezza non può accedere. In alcuni casi, l'operazione in memoria consente al malware di continuare a funzionare quando un dispositivo è spento.
Potenzialmente agnostico al sistema operativo — Sebbene i sistemi Windows siano più suscettibili agli attacchi senza file, anche i sistemi Mac e Linux potrebbero essere suscettibili. Poiché il malware senza file si basa su qualsiasi strumento nativo di un computer, il sistema operativo del dispositivo potrebbe diventare irrilevante.
Gli attacchi possono derivare da uno script aperto su un computer Mac o eseguire comandi da un server remoto. Questi casi sono molto meno comuni degli attacchi senza file basati su Windows, ma potrebbero operare in modo simile utilizzando strumenti amministrativi nativi di Mac e Linux in teoria.
Come proteggersi dal malware senza file
Alcuni professionisti della sicurezza sostengono che il malware senza file sia indetectabile in tempo reale. Ma, nulla è completamente indetectabile. La soluzione più comunemente accettata per proteggersi dal malware senza file è implementare una soluzione di rilevamento e risposta degli endpoint (EDR).
Questi strumenti combinano la funzionalità dei tradizionali antivirus e delle soluzioni di protezione degli endpoint con capacità di rilevamento delle anomalie e di risoluzione delle minacce. Se un dispositivo endpoint tenta di comunicare al di fuori di una rete specificata o un utente scarica un file contenente uno script dannoso, la soluzione EDR rileva e risolve il problema dalla sua origine.
Le analisi del comportamento degli utenti e delle entità (UEBA) sono un mercato emergente di soluzioni di sicurezza che utilizza l'apprendimento automatico per sviluppare una linea di base delle attività e dei comportamenti tipici eseguiti da un utente. Se il sistema nota attività anomale o richieste da un dispositivo o posizione sconosciuti, i team di sicurezza verranno avvisati. Oltre a prevenire attacchi senza file, UEBA è in grado di rilevare minacce interne, account compromessi e violazioni dei dati.
Inoltre, se stai utilizzando una macchina Windows, sarebbe saggio disabilitare PowerShell e WMI a meno che non li abbia aperti manualmente. A meno che non stai utilizzando Macro in Microsoft Excel o Word, potrebbe anche essere utile disabilitare le Macro per quelle applicazioni.
Oltre alle soluzioni tecniche, la formazione sulla consapevolezza della sicurezza può aiutare le aziende a educare i dipendenti su come identificare email di spam e siti web dannosi. Dai un'occhiata alla nostra categoria di software di formazione sulla consapevolezza della sicurezza per trovare gli strumenti di cui il tuo team ha bisogno per educare il tuo personale e proteggere la tua azienda.
Vuoi saperne di più su Software di apprendimento automatico? Esplora i prodotti Apprendimento automatico.
Aaron Walker
Aaron has been researching security, cloud, and emerging technologies with G2 for more than half a decade. Over that time he's outlined, defined, and maintained a large portion of G2's taxonomy related to cybersecurity, infrastructure, development, and IT management markets. Aaron utilizes his relationships with vendors, subject-matter expertise, and familiarity with G2 data to help buyers and businesses better understand emerging challenges, solutions, and technologies. In his free time, Aaron enjoys photography, design, Chicago sports and lizards.
