El malware sin archivos representa una amenaza tanto para empresas como para particulares: así es cómo puede mantenerse a salvo. Fileless Malware o Advanced Volatile Threat es un malware que se puede iniciar sin estar almacenado en el disco.
¿Esto importa? Si confía en sus defensas para detectar malware antes de que lo golpee, entonces sí. El malware sin archivos supera esas defensas, y no solo están siendo utilizados por estados nacionales sofisticados.
Contenidos de esta página
Antivirus: no detectar sobre el malware sin archivos
Las generaciones anteriores de malware almacenaban su carga en el disco, ya sea como un archivo ejecutable o script, y luego lo ejecutaban o arreglaban para que el sistema lo ejecutara más tarde.
El software antivirus está diseñado para explotar este comportamiento. Al interceptar accesos a la tienda de archivos, el software AV puede detectar la creación de un archivo y verificar su contenido en busca de firmas de malware conocido.
Cuando detecta malware, elimina o pone en cuarentena el archivo ofensivo antes de que pueda ejecutarse. Si el malware no escribe ningún código en el disco, el software AV nunca lo ve. Entonces, incluso si las firmas del malware son conocidas, nunca se encontrarán.
El malware sin archivos funciona al «vivir de la tierra». Esto significa que explota las herramientas que ya están almacenadas en la máquina de la víctima. Aquí no hay nada nuevo, es por eso por lo que siempre fue correcto eliminar el software innecesario, pero las herramientas involucradas ahora son mucho más poderosas y se han vuelto más rigurosas entre los atacantes para explotarlas.
El problema es, y siempre lo ha sido, que no se puede eliminar el software que está utilizando el malware, ya que es una parte integral del sistema. En Windows, el uso de scripts de Powershell es esencial y Powershell puede controlar todos los aspectos de la máquina. Entonces, los atacantes pueden, y lo harán, hacer un buen uso de él, mientras que usted no puede eliminarlo.
El software AV podría ponerse al día. Por ejemplo, podría interceptar las llamadas al sistema que inician Powershell e inspeccionar los parámetros para verificar firmas de malware conocido. Pero será difícil hacerlo de manera efectiva porque muchas llamadas al sistema adicionales pueden lanzar malware y el software AV necesita interceptarlas todas sin interrumpir las operaciones normales.
Detección de malware: el sueño imposible
Esta es la razón por la cual Fileless Malware está llegando a los titulares. Las técnicas de detección de malware, ya sea al observar los datos o el comportamiento, no pueden resolverlo. Esto no parece una buena noticia. Los datos son el alma de la economía digital, y gracias a Fileless Malware, no puede confiar en nada de eso.
Esto nos dice que diferenciar el malware de los datos seguros no siempre es posible. La detección no funciona, pero eso no significa que la detección sea necesaria para vencer el malware sin archivos.
Eliminación de amenazas de contenido: derrota de lo desconocido
La observación clave que conduce a una solución es que no son los datos los que son el alma de la economía digital, sino la información. Lo que necesitamos es la información, no los datos que la llevan.
Esto significa que no necesitamos confiar en los datos si podemos obtener la información sin ellos. Este es el concepto central en el corazón de Content Threat Removal (CTR). No intenta decidir si puede confiar en ciertos datos: se desconfía de todos los datos y no se permite que pasen. En su lugar, extrae la información, descarta los datos y luego crea datos completamente nuevos para transportar la información.
El malware sin archivos vive en datos. Por lo tanto, la extracción de información de los datos dejará atrás el malware. Cuando la información comercial incluye funcionalidad activa, similar a un código, como funciones en hojas de cálculo, es posible transportar malware a la información extraída. Sin embargo, el CTR solo extrae y transporta estructuras que se sabe que son seguras.
Content Threat Removal es la única forma de vencer la amenaza de contenido desconocido. El malware sin archivos no es nada especial. Es derrotado de la misma manera que cualquier otra amenaza que acecha en el contenido.
Fuente: techradar.com
Recomendaciones similares que te pueden interesar: