Malware sin archivos y ataques living off the land

 
  • ¿Qué es el malware sin archivos?
  • ¿Qué son los ataques LOTL?
  • Tipos de malware sin archivos
  • Malware sin archivos: cómo funciona
  • Herramientas de Windows explotadas por malware sin archivos o ataques LOTL
  • Ejemplos de malware sin archivos
  • Cómo detectar y prevenir los ataques de malware sin archivos o LOTL
  • Preguntas frecuentes sobre malware sin archivos
  • Soluciones relacionadas
 

¿Qué es el malware sin archivos?

El malware sin archivos es un tipo de software malicioso que se infiltra en la memoria de acceso aleatorio (RAM) de un equipo e interrumpe el sistema utilizando técnicas living off the land (LOTL). A diferencia del malware tradicional, que depende de que los archivos maliciosos se descarguen y se escriban en el disco duro para su ejecución, el malware sin archivos opera directamente desde la memoria del sistema, sin dejar trazas en el disco duro. Se camufla dentro de procesos legítimos del sistema, manteniendo la persistencia en el sistema comprometido mientras evade la detección por parte de las soluciones de seguridad.

¿Qué son los ataques LOTL?

Un ataque LOTL es un ataque de malware sin archivos que aprovecha las herramientas y operaciones integradas en el sistema para mantener la persistencia dentro de una red y moverse lateralmente, todo ello mientras evade la detección. Estos ataques suelen implicar herramientas de la lista blanca, como PowerShell y el símbolo del sistema (CMD), que se utilizan para tareas administrativas, así como componentes de Windows como el Registro de Windows y WMI. Dado que estos ataques utilizan herramientas legítimas y nativas de Windows que las soluciones de seguridad suelen pasar por alto, se denominan ataques LOTL.

Tipos de malware sin archivos

El malware sin archivos puede clasificarse en dos categorías principales en función de dónde resida el malware.

  1. Malware que reside en la memoria
  2. Malware que reside en el registro

Malware que reside en la memoria

Como su nombre indica, este tipo de malware sin archivos reside en la memoria RAM del equipo. Normalmente entra en el sistema a través de kits de exploits o rootkits entregados a través de enlaces maliciosos. Los kits de exploits son recopilaciones de exploits dirigidos a posibles vulnerabilidades del sistema, mientras que los rootkits son un conjunto de scripts y programas maliciosos. Los kits de exploits inyectan los exploits directamente en la memoria del equipo, mientras que los rootkits incrustan código malicioso en el kernel del equipo. Dado que no hay trazas de la invasión en el disco duro, el malware elude fácilmente la detección por parte de las soluciones antimalware.

Malware que reside en el registro

Este tipo de malware sin archivos reside en el Registro de Windows, que es la base de datos utilizada por el sistema operativo para almacenar los ajustes de configuración del hardware y el software. El malware entra en el equipo mediante un programa dropper, que implica la ejecución de un archivo que se autodestruye. Tras su ejecución, se inyecta código malicioso en el Registro de Windows y se destruye el archivo asociado. Dado que el malware está incrustado dentro de un programa nativo, elude el escrutinio de las soluciones antimalware.

Malware sin archivos: cómo funciona

He aquí un esquema de cómo se lleva a cabo un ataque de malware sin archivos.

  • El malware sin archivos obtiene el acceso inicial a un sistema y ejecuta su código utilizando un método que reside en la memoria o un método que reside en el registro.
  • Tras su ejecución, el malware navega por el sistema para desplazarse lateralmente y persistir.
  • En el método que reside en la memoria, podría ejecutarse junto a los procesos del sistema y permanecer activo mientras el equipo esté en funcionamiento.
  • En el método que reside en el registro, podría ser programado para lanzarse junto a procesos críticos de Windows desde el registro.
  • En ambos métodos, el malware sin archivos aprovecha las herramientas críticas de Windows para ejecutar el ataque.

Herramientas de Windows explotadas por malware sin archivos o ataques LOTL

He aquí una lista de herramientas nativas de Windows utilizadas durante los ataques LOTL:

1. PowerShell

Los atacantes aprovechan PowerShell para ejecutar código de forma remota que se ejecuta en la memoria del sistema. Se utiliza para ejecutar comandos maliciosos, descargar código malicioso desde un servidor remoto o un servidor de comando y control, ofuscar scripts para evadir la detección e iniciar ejecuciones programadas que corren junto con el Programador de tareas de Windows.

2. Símbolo del sistema

De forma similar a PowerShell, el símbolo del sistema también es aprovechado por los atacantes para ejecutar código malicioso sin escribir en el disco duro. Los atacantes utilizan herramientas de línea de comandos, como certutil.exe, para descargar archivos que pueden ejecutarse directamente desde la memoria, eludiendo la detección por parte de las soluciones de seguridad. CMD también puede aprovecharse para explotar WMI, permitiendo la ejecución de archivos por lotes maliciosos cada vez que se inicie o reinicie el sistema.

3. Windows Management Instrumentation

WMI es otra herramienta importante utilizada en los ataques LOTL, principalmente para propagar el ataque a través de la red. WMI crea un canal que permite a los atacantes propagar el ataque y ejecutar códigos en sistemas remotos a través de PowerShell. También se utiliza para exfiltrar y transmitir datos confidenciales del sistema objetivo a un servidor externo de comando y control. Aprovechando WMI, los atacantes también pueden manipular la configuración de seguridad del sistema y desactivar el proceso de Windows Defender, ocultando de forma efectiva las trazas forenses de su actividad.

4.Registro de Windows

El Registro de Windows almacena los detalles de configuración de varios programas y procesos que residen en los sistemas Windows. Esta información se almacena en forma de claves de registro, que contienen las entradas de registro para programas como PowerShell, WMI, Administrador de tareas, etc. Aprovechando el Editor del Registro de Windows, los atacantes pueden modificar estas entradas y manipular el sistema para ejecutar scripts maliciosos cada vez que se llama a un programa para que se ejecute. Dado que el Registro de Windows es una base de datos nativa, no está sujeta al escrutinio de las herramientas de seguridad, y las ejecuciones permanecen sin marcar.

5. Macros de Microsoft Office

Las macros suelen ser conjuntos de código que permiten a los usuarios automatizar tareas repetitivas en aplicaciones de Microsoft como Word, Excel y PowerPoint. Los atacantes aprovechan estas macros para inyectar código malicioso en documentos de Word, hojas de Excel o diapositivas de PowerPoint. Cada vez que un usuario abre estos archivos, las macros se ejecutan automáticamente sin generar ningún proceso sospechoso. Dado que el ataque se lleva a cabo a través de documentos aparentemente inofensivos, pasa desapercibido y sin ser detectado durante un largo periodo de tiempo.

Ejemplos de malware sin archivos

He aquí algunos ejemplos notables de ataques de malware sin archivos:

The Dark Avenger

Descubierto por primera vez en 1989, The Dark Avenger es considerado un precursor de los modernos ataques de malware sin archivos. Este malware sin archivos residía en la memoria del sistema, aunque inicialmente accedía a través de archivos descargables. Su objetivo eran los archivos ejecutables y se activaba cada vez que se ejecutaba un archivo.

Frodo

Este malware sin archivos se considera otro precursor de la tecnología de malware sin archivos. Supuestamente un tipo de virus, Frodo era un malware que reside en la memoria que operaba dentro de la memoria del sistema comprometido e infectaba los archivos almacenados en el disco duro.

Poweliks

Poweliks es un malware que reside en el registro de Windows y tiene como objetivo las claves del registro. Obtiene el acceso inicial a través de un programa dropper, que inyecta directamente el código malicioso en el Registro de Windows.

Duqu 2.0

Duqu 2.0 es un malware sin archivos y que reside en la memoria y que consigue la entrada inicial aprovechando la vulnerabilidad de día cero CVE-2014-4148 en los sistemas Windows. Esta vulnerabilidad permitía al malware explotar un fallo en la gestión de fuentes TrueType en Windows, permitiendo la ejecución remota de código. Duqu 2.0 fue reportado por primera vez en 2015 por un prominente proveedor de seguridad después de que aprovechó la vulnerabilidad para comprometer los controladores de dominio dentro de la red del proveedor.

Cómo detectar y prevenir los ataques de malware sin archivos o LOTL

Los ataques de malware sin archivos suelen estar fuera del radar de las soluciones antivirus y antimalware convencionales. Los enfoques tradicionales para detectar y mitigar el malware ya no son compatibles con los sofisticados ataques LOTL. Por lo tanto, es crucial pasar del enfoque convencional de control de los IoC a un enfoque avanzado de identificación de los IoA. Los IoA detectan un ataque mientras está en curso, en comparación con los IoC que identifican el problema después de que se haya ejecutado el ataque. Monitorear el sistema en busca de actividades anormales que indiquen un intento de violación podría ayudar a los equipos SOC a tomar medidas proactivas antes de que el malware alcance su objetivo. A continuación encontrará una lista de IoA que podrían indicar un ataque de malware sin archivos.

  • Aumento del uso de CPU y RAM: Picos inusuales en el uso de CPU y RAM durante la ejecución de procesos PowerShell o WMI.
  • Cambios no autorizados en el Registro de Windows: Creación, modificación o eliminación de claves del registro sin la debida autorización, lo que podría sugerir un intento de manipular las entradas del registro.
  • Uso anormal de herramientas LOTL: Aumento del uso de herramientas legítimas del sistema como PowerShell y WMI para ejecuciones remotas de código.
  • Ejecuciones sospechosas de PowerShell o de la línea de comandos: Ejecución de scripts PowerShell o acciones de línea de comandos que invocan procesos del sistema o actividades de red sin que se escriba ningún archivo en el disco.
  • Eliminación no autorizada de logs de eventos: Eliminación o manipulación de los logs de eventos de Windows y de los logs de seguridad, especialmente los relacionados con el uso de herramientas LOTL.
  • Tráfico de red anómalo: Patrones de tráfico inusuales, incluido un aumento de las comunicaciones entrantes y salientes con direcciones IP o ubicaciones geográficas sospechosas, lo que podría ser indicativo de una exfiltración de datos o de una actividad de comando y control.
  • Actividades anómalas de cuentas privilegiadas: Inicios de sesión inusuales de cuentas administrativas y actividades de cuentas privilegiadas que implican la manipulación de archivos, cambios en la política de auditoría y accesos no autorizados.

Preguntas frecuentes sobre malware sin archivos

¿Es el malware sin archivos un virus?

No, el malware sin archivos no es un virus y no se replica a sí mismo. En su lugar, se propaga por la red aprovechando herramientas legítimas de Windows.

¿Cuáles son los síntomas del malware sin archivos?

Los síntomas de un ataque de malware sin archivos incluyen actividades anómalas del sistema, como ejecuciones sospechosas de procesos que tienen lugar sin la ejecución de un archivo real que pueden combinarse con cambios en el registro. Otros signos pueden implicar un mayor uso de PowerShell y WMI, y escalamiento de privilegios no autorizados.

¿Cómo se propaga el malware sin archivos?

El malware sin archivos se propaga llevando a cabo ejecuciones remotas de código en múltiples sistemas, aprovechando herramientas nativas como PowerShell y WMI.

¿Cómo se detiene el malware sin archivos?

El empleo de soluciones de seguridad avanzadas como SIEM y UEBA, en lugar de soluciones antivirus convencionales, ayuda a prevenir los ataques de malware sin archivos.

¿Cuáles son los famosos ataques de malware sin archivos?
  • Frodo
  • Duqu 2.0
  • The Dark Avenger
  • Poweliks

Soluciones relacionadas

ManageEngine Log360 es una solución SIEM integral con funciones avanzadas de detección y mitigación de malware sin archivos. Log360 destaca como una de las mejores soluciones para defenderse de los ataques LOTL con estas potentes funciones:

  • Búsqueda de procesos sospechosos: El módulo de incidentes de Log360 ayuda a identificar y asignar las creaciones y asociaciones de procesos sospechosos, uno de los importantes indicadores LOTL de ataque.
  • Monitoreo del Registro de Windows: Log360 proporciona informes out-of-the-box sobre cambios no autorizados en el Registro de Windows, como la creación, eliminación o modificación de claves de registro que indican actividad de malware sin archivos.
  • Monitoreo integral de usuarios: Las avanzadas funciones UEBA de Log360 controlan las actividades anómalas de los usuarios y ayudan a señalar los escalamientos de privilegios sospechosos. También asignan puntuaciones de riesgo a los usuarios en función de patrones de comportamiento anómalos que ayudan a identificar las cuentas comprometidas y su actividad.
  • Detección proactiva de amenazas: Log360 proporciona reglas de correlación predefinidas para identificar ataques LOTL en tiempo real. También puede crear reglas de correlación personalizadas para crear nuevas reglas que se adapten a las necesidades de seguridad de su red.
Para obtener más información, inscríbase en una demostración personalizada de Log360. O bien, puede descubrir sus potentes funciones con una prueba gratuita de 30 días totalmente funcional.
 
»

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

Solución integral para la gestión de registros y la auditoría de Active Directory
Productos relacionados