O que são ataques Fileless

Ataques fileless burlam as proteções tradicionais

À medida que as tecnologias de segurança melhoram na detecção e bloqueio de malwares e ataques cibernéticos, adversários e cibercriminosos são forçados a  desenvolver novas técnicas para evitar a detecção. Uma dessas técnicas avançadas envolve exploits “sem arquivo” (fileless) , onde nenhum arquivo executável é gravado no disco.

Os ataques “sem arquivos” não são novos. Uma pesquisa em 2016, da CrowdStrike,  já indicava que 8 em cada 10 ataques utilizam-se destas técnicas para bular os sistemas de antivírus, uma vez que não utilizam arquivos salvos em  disco para que os AVs possam scanea-los e determinar se eles são mal-intencionados.

Oito dos 10 vetores de ataque que resultaram em uma violação bem-sucedida usaram técnicas de ataque sem arquivo

Artigo da CrowdStrike, aborda este tema e detalha os ataques do tipo fileless e detalha a sua abordagem de proteção. Aqui neste post quero trazer apenas os principais contextos apresentados e o leitor que queira pode consultar o artigo da CrowStrike para mais detalhes.

O que é um ataque fileless?

Um ataque sem arquivo ou sem malware ocorre quando um invasor burla a detecção, eliminando o passo tradicional de copiar um PE (Portable Executable) para a unidade de disco. Existem múltiplas técnicas que podem ser usadas para comprometer um sistema nessa modalidade.

Exploits e kits, que atuam diretamente no manuseio de programas em memória, uso de credenciais roubadas, malwares residentes no Register da máquina e código maliciosos contidos em URLs são exemplos de ataques do tipo fileless . A Verizon em seu relatório “Data Breach Investigations Relatório“, aponta que 81% das violações de dados envolvia senhas fracas, padrão ou roubadas, que permitiu o invasor acessar diretamente o sistema com o perfil do usuário e executasse as ações maliciosas sem ao menos ter baixado qualquer arquivo no sistema infectado.

O artigo cita, relaciona 4 técnicas utilizadas nas diferente etapas de um ataque:

  1. Comprometimento inicial através de injeção de SQL ou códigos maliciosos
  2. Comando e Controle utilizando PowerShell e acessos remotos
  3. Escalada de Privilégios usando script do PowerShell
  4. Estabelecendo Persistência através de modificação de registro e configurações

Segundo a CrowdStrike os ataques do tipo fileless estão em ascensão porque são extremamente difíceis para soluções de segurança tradicionais detectar, pois :

Legacy antivirus (AV) são projetados para procurar assinaturas de malwares conhecidos. Uma vez que os ataques sem arquivo não possuem malware, há nada para o AV detectar. As análises de aprendizado de máquina e whitelisting envolvem aprender o comportamento e listar bons processos em uma máquina, para evitar que processos desconhecidos sejam executados. O problema com ataques sem arquivos é que eles exploram aplicativos legítimos da whitelist que são vulneráveis
Sandboxing, que pode assumir várias formas, incluindo detonação baseada em rede e micro virtualização. Uma vez que os ataques sem arquivo não usam arquivos PE, não há nada para que a sandbox analisar. Mesmo que algo tenha sido enviado para a sandbox, uma vez que os ataques sem arquivo geralmente sequestram processos legítimos, a maioria das sandboxes o ignorariam.

Em resumo as técnicas tradicionais não são eficientes contra ataques do tipo fileless  desta forma devemos abordar este problema de uma forma mais holística nos equipamentos de end-point e junto ao usuário final. Procurando soluções que controlem a execução de códigos ainda em memória e protejam a máquinas de ameaças contidas nos códigos das páginas web infectadas. Soluções de controle de acessos privilegiados também podem mitoogar o risco uma vez que impõe um controle maior nos equipamentos não permitindo acessos críticos a partir da conta do usuário logado.

 

Veja também:

Como proteger dados sensíveis de ataques de hackers

Especialista Compila Lista de Ataques de 2017

Paypal é Alvo de Ataques

Ataques em Cloud Aumentaram 300%

Pesquisa aponta que Web Application Attack e Usuário Privilegiado Continuam sendo o Foco de Ataques Hackers.

fonte CrowStrike
por Kleber Melo  - Sócio Diretor da MindSec Segurança e Tecnologia da Informação
About mindsecblog 345 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.