Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es un ataque Fileless o sin archivos?

Cómo los hackers invaden los sistemas sin instalar software

[07/11/2017] "Lo vemos todos los días", señala Steven Lentz, CSO de Samsung Research America. "Algo aparece, algún tipo de violación, ransomware desconocido. Hemos dejado pasar varias cosas con nuestras defensas, ya sea en red o en el punto final".

Los ataques que preocupan a Lentz son los llamados 'ataques sin archivos' o 'Fileless', también conocidos como ataques de huella cero, macro o ataques no maliciosos. Estos tipos de ataques no instalan software nuevo en la computadora de un usuario, por lo que es más probable que las herramientas antivirus no los detecten.

Los ataques Fileless también evaden la lista blanca. Con ésta lista, solo las aplicaciones aprobadas se pueden instalar en una máquina. Los ataques sin archivos aprovechan las aplicaciones que ya están instaladas y que están en la lista aprobada. Sin embargo, los términos "sin archivos", "huella cero" y "no malware" son errores técnicos, ya que a menudo dependen de que los usuarios descarguen archivos adjuntos maliciosos y dejan huellas en el equipo si sabe qué buscar.

"No existe el verdadero malware de huella cero, ya que hay maneras de detectar malware incluso si no se instala en los discos duros", anota Cristiana Brafman Kittner, analista senior de inteligencia de amenazas de FireEye, Inc. Además, no evaden completamente el antivirus, ya que el antivirus podría detectar el enlace malicioso incluso si no hay ningún ejecutable instalado.

Los atacantes saben que con un ataque Fileless tienen una mayor posibilidad de entrar. "Es ahí donde está la amenaza real", indica Lentz. Para captar los que se camuflan bien, Samsung Research se apoya en sistemas basados en el comportamiento, incluyendo la protección de punto final de Carbon Black. Por ejemplo, cuando los visitantes se conectan a la red de la compañía, las defensas pueden detectar el malware que las herramientas antivirus de los usuarios han dejado pasar. "Encontramos keyloggers y programas de robo de contraseñas en las computadoras portátiles de los visitantes", indica Lentz.

El malware Fileless es una amenaza creciente

Según Mike Viscuso, director de tecnología de Carbon Black, Inc., la tasa de ataques de malware sin archivos aumentó de 3% a comienzos del 2016 a 13% en noviembre pasado. "Y seguimos viendo que aumenta", anota. "Vemos que una de cada tres infecciones tiene un componente Fileless".

Puesto que no todos los clientes de Carbon Black eligen bloquear ataques, sino que optan por alertas, Viscuso puede ver que los ataques sin archivos realmente tienen un impacto aún mayor. "Más de la mitad de todos los ataques que tienen éxito no tienen archivos", añade.

Algunos clientes también usan honeypots, o incluso dejan partes de su red sin protecciones avanzadas basadas en comportamientos, indica, para que puedan vigilar los ataques y luego rastrear lo que están buscando los atacantes y cómo se están extendiendo. "Ellos pueden asegurarse de que el resto de su entorno está listo para los ataques", señala.

En un análisis reciente de Carbon Black de más de mil clientes, que incluía más de 2,5 millones de puntos finales, prácticamente todas las organizaciones fueron atacadas por un ataque Fileless en el 2016.

Viscuso dice que los ataques sin archivos tienen mucho sentido para los atacantes. "Pasé diez años como hacker ofensivo para el gobierno de Estados Unidos, con la NSA y la CIA", comenta. "Así que enfoco la mayoría de las conversaciones desde la mentalidad del atacante".

Desde la perspectiva del atacante, la instalación de un nuevo software en la computadora de una víctima es algo que probablemente llamará la atención. "Si no pongo un archivo en la computadora de esta víctima, ¿cuánto escrutinio experimenta?" - pregunta Viscuso. "Es por eso que es mucho más perjudicial cuando un atacante elige usar un ataque Fileless o en memoria, que se somete a un escrutinio mucho menor y tienen mucho más éxito".

No hay pérdida de capacidad, añade Viscuso. "Las cargas son exactamente las mismas". Por ejemplo, si el atacante quiere lanzar un ataque de ransomware, puede instalar un archivo binario o puede usar PowerShell. "PowerShell puede hacer todo lo que una nueva aplicación puede hacer", indica. "No hay limitaciones en los ataques que puedo realizar en memoria o con PowerShell".

McAfee también está reportando un aumento en los ataques Fileless. El malware de macros, que representa una parte considerable del malware sin archivos, aumentó de 400 mil a finales del 2015 a más de 1,1 millones durante el segundo trimestre de este año. Una de las razones para el crecimiento es la aparición de kits de herramientas fáciles de usar que incluyen este tipo de exploits, señala Christiaan Beek, científico e ingeniero principal de investigación estratégica en McAfee LLC.

Como resultado, se ha democratizado el uso de ataques sin archivos, que anteriormente se limitaba principalmente a los estados nacionales y a otros adversarios avanzados, y ahora es común en los ataques comerciales. "Los ciberdelincuentes lo utilizan para difundir el ransomware", indica Beek.

Para combatir estos ataques, McAfee y otros importantes proveedores de antivirus han agregado análisis basados en el comportamiento de la parte superior de las defensas tradicionales basadas en firmas. "Por ejemplo, si Word se ejecuta al mismo tiempo que vemos una conexión de PowerShell, es altamente sospechoso", señala. "Podemos poner en cuarentena ese proceso o matarlo".

Cómo funcionan los ataques sin archivos

El malware Fileless aprovecha las aplicaciones ya instaladas en la computadora de un usuario, aplicaciones que se sabe son seguras. Por ejemplo, los kits de exploit pueden dirigirse a las vulnerabilidades del navegador para que el navegador ejecute código malicioso, o aprovechar los macros de Microsoft Word o utilizar la utilidad Powershell de Microsoft.

"Las vulnerabilidades de software en el software ya instalado son necesarias para llevar a cabo un ataque Fileless, por lo que el paso más importante en la prevención es el parche y actualizar no solo el sistema operativo, sino también las aplicaciones de software", indica Jon Heimerl, en NTT Security. "Los complementos del navegador son las aplicaciones más pasadas por alto en el proceso de administración de parches y las más focalizadas en infecciones sin archivos".

Los ataques que utilizan macros de Microsoft Office pueden ser frustrados desactivando la funcionalidad de macro. De hecho, está desactivada por defecto, indica Tod Beardsley, director de investigación de Rapid7 LLC. Los usuarios deben acordar habilitar los macros para abrir estos documentos infectados. "Un porcentaje de personas todavía lo abrirá, especialmente si está falsificando a alguien que ya conoce a la víctima", añade.

Los atacantes también se enfocarán en las vulnerabilidades de Reader PDF de Adobe y en Javascript, anota Fleming Shi, vicepresidente de Ingeniería de Tecnología Avanzada de Barracuda Networks, Inc. "Algunas personas que son más paranoicas desactivarán la ejecución de JavaScript en sus navegadores para evitar que se infecten, pero por lo general rompen el sitio", indica.

La reciente violación de Equifax es también un ejemplo de un ataque Fileless, según Satya Gupta, fundador y CTO de Virsec Systems, Inc. Utilizó una vulnerabilidad de inyección de comandos en Apache Struts, señala. "En este tipo de ataque, una aplicación vulnerable no valida adecuadamente la entrada de los usuarios, que puede contener comandos del sistema operativo", añade. "Como resultado, estos comandos pueden ejecutarse en la máquina víctima con los mismos privilegios que la aplicación vulnerable".

"Este mecanismo ciega totalmente cualquier solución anti-malware que no está mirando la ruta de ejecución de la aplicación, para determinar si la aplicación no está ejecutando su código natural", añade. Los parches habrían evitado el incumplimiento, ya que un parche fue lanzado en marzo.

A principios de este año, un ataque Fileless infectó a más de 140 empresas, incluyendo bancos, telecomunicaciones y organizaciones gubernamentales en 40 países. Kaspersky Labs ha encontrado scripts maliciosos de PowerShell en el registro de sus redes empresariales. Según Kaspersky, la detección de este ataque solo era posible en la RAM, la red y el registro.

Otro ataque sin archivos de alto perfil, de acuerdo con Carbon Black, fue el hack del Comité Nacional Demócrata. Para los atacantes que buscan permanecer sin ser detectados el mayor tiempo posible, los ataques Fileless los ayudan a permanecer bajo el radar.

"Hemos observado a una serie de actores de espionaje cibernético aprovechar esta técnica en los intentos de evadir la detección", indica Kitte de FireEye. Los ataques recientes incluyen los de equipos chinos y norcoreanos, menciona.

Una nueva aplicación comercial de ataques Fileless es utilizar máquinas infectadas para extraer Bitcoin. "Los mineros de Crypto están tratando de ejecutar minería directamente en la memoria, usando Eternal Blue para extender cientos de miles de mineros en toda la compañía", señala Eldon Sprickerhoff, fundador y jefe de estrategia de seguridad de eSentire Inc.

La dificultad de la minería Bitcoins ha ido aumentando con el tiempo, mucho más rápido que el aumento en el valor de la moneda virtual. Los mineros de Bitcoin tienen que comprar hardware especializado y cubrir las facturas de electricidad, por lo que es muy difícil obtener ganancias. Al secuestrar PCs y servidores corporativos, pueden eliminar ambos costos.

"Si se puede maximizar una enorme CPU multi-modo, es mucho mejor que la computadora portátil de alguien", resalta. Sprickerhoff recomienda que las compañías busquen un uso poco común de la CPU como un posible indicador de que la minería de Bitcoin está ocurriendo.

Incluso los sistemas analíticos de comportamiento no serán capaces de detectar todos los ataques Fileless, señala Beardsley de Rapid7. "Depende de cuándo empieza a notar que ocurren eventos inusuales, como que su cuenta de usuario se compromete y empieza a conectarse a muchas máquinas con las que no se ha comunicado antes", añade.

Es difícil detectar estos ataques antes de activar las alertas, o si hacen algo que los algoritmos de comportamiento no detectan. "Si el adversario está poniendo mucho esfuerzo en ser bajo y lento, es mucho más difícil de detectar [el ataque]", anota. "Con las cosas que vemos, eso podría ser un sesgo de selección -solo vemos a los torpes porque son más fáciles de ver. Si es súper furtivo, no lo notaré".