rilasciato kaspersky security center 11

Malware Fileless

Pubblicato il: 10 Gen 2019
Cyber Minacce

Malware Fileless

I malware fileless sono una tecnica di attacco nota ad oltre vent’anni, che si sta diffondendo in questo momento, in particolare all’interno di attacchi mirati. Si tratta di malware che non vengono veicolati tramite file, che gli antimalware tradizionali sono in grado, nella maggior parte delle circostanze, di analizzare ed individuare, ma tramite script eseguiti utilizzando sistemi legittimi presenti all’interno del sistema della vittima. L’utilizzo di strumenti legittimi già presenti all’interno del sistema, rende decisamente più complessa l’attività di identificazione dell’infezione.

Gli attacchi Fileless possono essere raccolti in tre tipologie:

  • Dual use tools: l’attaccante sfrutta tool già presenti nel sistema della vittima per eseguire i propri script
  • Fileless persistence methods: l’attaccante cerca di rimanere all’interno del sistema compromesso anche dopo il riavvio di Windows, scrivendo sul registro di sitema o sfruttando task schedulati
  • In-memory: l’attancante sfrutta vulnerabilità del software per eseguire codice maligno direttamente in memoria

Facciamo un esempio… il ransomware

Anche alcuni ransomware sono implementati in questa maniera ed è importante che il sistema antimalware possa bloccare anche questo tipo di Minaccia.

Il caso preso in esame come esempio dal seguente video, mostra l’esecuzione di uno script malevolo, che sfrutta powershell per effettuare la cifratura del disco usando le librerie del sistema operativo. I dati vengono cifrati sfruttando la crittografia AES e cifrando la chiave usata tramite l’algoritmo a chiave asimmetria RSA. In questi casi la decrifratura dei dati sarebbe impossibile senza conoscere la chiave usata per il processo di cifratura AES. Questo esempio simula perfettamente quanto viene regolarmente fatto dai ransomware.

 

Kaspersky Endpoint Security for Business individua questi oggetti sfruttando le funzionalità di “Exploit Prevention” del modulo “Behavioral analysis” ed altre sofisticate tecnologie presenti nella soluzione Kaspersky, lo script viene immediatamente arrestato.

Per garantire il massimo della protezione utilizza le soluzioni Kaspersky Endpoint Security for Business, ma non dimenticare di aggiornare regolarmente il software installato e non solo il sistema operativo. Tramite le vulnerabilità del software viene portato un grandissimo numero di minacce, talvolta molto complesse da arrestare.

Se hai bisogno di maggiori informazioni su come proteggerti, contattaci

Vendor: Kaspersky

Articoli correlati

18 Mag 2017

WannaCry: come funziona e come proteggere la tua azienda

18 Mag 2017
Cyber Minacce
Ecco le ultime informazioni note sul malware WannaCry e su come proteggersi.
Scopri di più
rilasciato kaspersky security center 11
15 Nov 2018

La tecnologia Kaspersky Lab rileva il secondo exploit zero-day per Microsoft Windows nel giro di un mese

15 Nov 2018
Cyber Minacce
Nell’ottobre 2018 la tecnologia Automatic Exploit Prevention di Kaspersky Lab, integrata nella maggior parte delle soluzioni dell’azienda, ha rilevato un nuovo exploit per una vulnerabilità zero-day in Microsoft…
Scopri di più
Tecnologia Sandboxing
09 Lug 2020

Tecnologia Sandboxing: Kaspersky amplia il proprio portfolio

09 Lug 2020
Cyber Minacce
Kaspersky amplia il proprio portfolio per i security researcher aggiungendo la tecnologia sandboxing per monitorare gli attacchi complessi.
Scopri di più