Malware Fileless

I malware fileless sono una tecnica di attacco nota ad oltre vent’anni, che si sta diffondendo in questo momento, in particolare all’interno di attacchi mirati. Si tratta di malware che non vengono veicolati tramite file, che gli antimalware tradizionali sono in grado, nella maggior parte delle circostanze, di analizzare ed individuare, ma tramite script eseguiti utilizzando sistemi legittimi presenti all’interno del sistema della vittima. L’utilizzo di strumenti legittimi già presenti all’interno del sistema, rende decisamente più complessa l’attività di identificazione dell’infezione.

Gli attacchi Fileless possono essere raccolti in tre tipologie:

  • Dual use tools: l’attaccante sfrutta tool già presenti nel sistema della vittima per eseguire i propri script
  • Fileless persistence methods: l’attaccante cerca di rimanere all’interno del sistema compromesso anche dopo il riavvio di Windows, scrivendo sul registro di sitema o sfruttando task schedulati
  • In-memory: l’attancante sfrutta vulnerabilità del software per eseguire codice maligno direttamente in memoria

Facciamo un esempio… il ransomware

Anche alcuni ransomware sono implementati in questa maniera ed è importante che il sistema antimalware possa bloccare anche questo tipo di Minaccia.

Il caso preso in esame come esempio dal seguente video, mostra l’esecuzione di uno script malevolo, che sfrutta powershell per effettuare la cifratura del disco usando le librerie del sistema operativo. I dati vengono cifrati sfruttando la crittografia AES e cifrando la chiave usata tramite l’algoritmo a chiave asimmetria RSA. In questi casi la decrifratura dei dati sarebbe impossibile senza conoscere la chiave usata per il processo di cifratura AES. Questo esempio simula perfettamente quanto viene regolarmente fatto dai ransomware.

 

Kaspersky Endpoint Security for Business individua questi oggetti sfruttando le funzionalità di “Exploit Prevention” del modulo “Behavioral analysis” ed altre sofisticate tecnologie presenti nella soluzione Kaspersky, lo script viene immediatamente arrestato.

Per garantire il massimo della protezione utilizza le soluzioni Kaspersky Endpoint Security for Business, ma non dimenticare di aggiornare regolarmente il software installato e non solo il sistema operativo. Tramite le vulnerabilità del software viene portato un grandissimo numero di minacce, talvolta molto complesse da arrestare.

Se hai bisogno di maggiori informazioni su come proteggerti, contattaci