Os ataques de malware sem arquivo estão em ascensão à medida que mais hackers os utilizam para disfarçar suas atividades nefastas. Essas ameaças aproveitam os aplicativos existentes e aprovados de um computador e seu poder de computação contra si mesmo. Isso é o que os profissionais de segurança chamam de ameaças "viver da terra".

O malware sem arquivo é uma ameaça avançada e persistente que se apresenta na forma de ataques furtivos e sem assinatura que podem virar um computador contra si mesmo e comprometer sistemas para roubar informações. Isso não deixa rastros para que os profissionais de segurança realizem uma análise forense para identificar a causa.

As detecções de malware sem arquivo este ano aumentaram 265% em comparação com o primeiro semestre de 2018, de acordo com o Relatório de Segurança de Meio de Ano de 2019 da Trend Micro. O relatório também descobriu que os usos mais comuns de malware sem arquivo vieram na forma de malware de mineração de criptomoedas, ransomware e trojans bancários.

O que é malware sem arquivo?

Malware típico deve ser executado para facilitar um ataque. O malware sem arquivo não requer downloads de arquivos e não deixa assinatura, tornando-os significativamente mais difíceis de investigar e remediar.

Os hackers utilizam malware sem arquivo injetando código malicioso, scripts ou bibliotecas em documentos e páginas da web. Esse código é referido como LOLBins, ou binários "viver da terra", e ajuda os hackers a automatizar ataques em testes de penetração e software administrativo.

Os LOLBins utilizam aplicativos de software legítimos e aprovados que existem no dispositivo alvo, mas os usam com intenção maliciosa. Ferramentas comumente abusadas incluem PowerShell, PsExec ou Instrumentação de Gerenciamento do Windows (WMI).

Os hackers inserem binários, scripts e bibliotecas em documentos do dia a dia e os entregam ao seu alvo por e-mail. Alternativamente, eles armazenam LOLBins dentro do HTML de uma página da web. Uma vez aberta, o script aciona uma série de tarefas que operam e lançam ferramentas administrativas que começam a conduzir atividades maliciosas na memória. Essas atividades podem incluir a implantação de ransomware, a exfiltração de informações sensíveis ou a conexão a um servidor remoto para baixar e executar uma carga maliciosa.

Alguns casos notáveis de ataques de malware sem arquivo incluem o trojan bancário de 2018 que infectou mais de 100.000 computadores em dois meses, uma série de ataques de ransomware alvejando hospitais em 2019, bem como uma série de falsas atualizações do Adobe Flash contendo malware. Dois dos ataques de maior perfil incluem o hack de 2016 do Comitê Nacional Democrata (DNC) e a violação de dados da Equifax em 2017.

Tipos de malware sem arquivo

Baseado em documentos — Macros armazenados em documentos de aparência inocente são uma das maneiras mais comuns de facilitar um ataque. Macros são projetados para automatizar ações para economizar tempo das pessoas. Embora sejam incrivelmente úteis para muitos, os hackers podem facilmente esconder um macro que contém um script executável em um desses documentos.

Por exemplo, em um ambiente profissional, não é incomum que um funcionário receba uma planilha do Microsoft Excel de um de seus colegas. Pode ser fácil para um atacante enviar uma planilha do Excel maliciosa com um macro projetado para executar o PowerShell e automatizar tarefas como baixar uma barreira de pagamento maliciosa.

Baseado na web — Ataques originados de sites online maliciosos funcionam de maneira um pouco diferente. Ataques baseados na web utilizam uma miríade de linguagens de script executáveis através de uma página da web, sendo a mais comum o JavaScript. De acordo com uma pesquisa de 2018 do Stack Overflow com mais de 100.000 desenvolvedores, cerca de 72% dos desenvolvedores usam JavaScript.

Neste cenário, uma página da web carrega, executa e roda um comando JavaScript para abrir o PowerShell e acionar uma série de ações. O PowerShell será lançado e seguirá os comandos do script, que podem incluir a conexão a um servidor remoto e a extração de informações sensíveis ou o download e execução de arquivos maliciosos.

Por que os ataques sem arquivo estão se tornando mais comuns?

Aplicativos confiáveis — Como o malware sem arquivo depende de aplicativos confiáveis e legítimos, há poucas maneiras de preveni-lo. Em vez de baixar arquivos, o que normalmente requer aprovação do administrador, o script malicioso se aproveita do aplicativo nativo. Essas ferramentas são sequestradas pelo atacante.

Usar ferramentas legítimas permite que esses processos ocorram na memória em vez do disco rígido do computador. Isso não deixa rastros do ataque, operando exclusivamente na RAM. Isso permite que o ataque opere em segredo e esconda o malware dentro da RAM, onde é indetectável por software antivírus tradicional.

Operação na memória — Existem alguns benefícios do lado do ataque ao executar comandos na memória, mas o mais óbvio é a evasão de antivírus. O software antivírus normalmente se concentra em escanear downloads ou aplicativos recém-instalados. O malware sem arquivo não requer nenhuma dessas ações, fazendo com que a maioria das ferramentas antivírus perca o ataque.

Outro benefício é a falta de atenção resultante da falha na detecção. Isso permite que os hackers escondam malware em locais que a maioria das ferramentas de segurança não pode acessar. Em alguns casos, a operação na memória permite que o malware continue a funcionar quando um dispositivo é desligado.

Potencialmente agnóstico ao sistema operacional — Embora os sistemas Windows sejam mais suscetíveis a ataques sem arquivo, sistemas Mac e Linux também podem ser suscetíveis. Como o malware sem arquivo depende de quaisquer ferramentas nativas de um computador, o sistema operacional do dispositivo pode se tornar irrelevante.

Os ataques podem resultar de um script aberto em um computador Mac ou executar comandos de um servidor remoto. Esses casos são muito menos comuns do que ataques sem arquivo baseados em Windows, mas poderiam operar de maneira semelhante usando ferramentas administrativas nativas de Mac e Linux em teoria.

Como se proteger contra malware sem arquivo

Alguns profissionais de segurança argumentam que o malware sem arquivo é indetectável em tempo real. Mas, nada é completamente indetectável. A solução mais comumente aceita para se proteger contra malware sem arquivo é implementar uma solução de detecção e resposta de endpoint (EDR).

Essas ferramentas combinam a funcionalidade de soluções tradicionais de antivírus e proteção de endpoint com capacidades de detecção de anomalias e remediação de ameaças. Se um dispositivo de endpoint estiver tentando se comunicar fora de uma rede especificada ou um usuário baixar um arquivo contendo um script malicioso, a solução EDR detecta e resolve o problema desde sua origem.

A análise de comportamento de usuários e entidades (UEBA) é um mercado emergente de soluções de segurança que utiliza aprendizado de máquina para desenvolver uma linha de base de atividades e comportamentos típicos realizados por um usuário. Se o sistema notar atividades anormais ou solicitações de um dispositivo ou local estranho, as equipes de segurança serão alertadas. Além de prevenir ataques sem arquivo, a UEBA é capaz de detectar ameaças internas, contas comprometidas e violação de dados.

Além disso, se você estiver usando uma máquina Windows, seria prudente desativar o PowerShell e o WMI, a menos que você os tenha aberto manualmente. A menos que você esteja usando Macros no Microsoft Excel ou Word, também pode ser benéfico desativar Macros para esses aplicativos.

Além das soluções técnicas, o treinamento de conscientização em segurança pode ajudar as empresas a educar os funcionários sobre como identificar e-mails de spam e sites maliciosos. Confira nossa categoria de software de treinamento de conscientização em segurança para encontrar as ferramentas que sua equipe precisa para educar seu pessoal e proteger seu negócio.