Identificar fitxers fileless: guia completa per detectar i frenar malware en memòria

Darrera actualització: 16/11/2025
Autor: Daniel Terrasa

  • El malware fileless viu en memòria i abusa d'eines legítimes (PowerShell, WMI, LoLBins), cosa que en dificulta la detecció basada en fitxers.
  • La clau és vigilar comportaments: relacions de processos, línies d'ordre, Registre, WMI i xarxa, amb resposta immediata a l'endpoint.
  • Una defensa en capes combina restricció d'intèrprets, gestió de macros, pegats, MFA i EDR/XDR amb telemetria rica i SOC 24/7.
identificar fitxers fileless

Els atacs que operen sense deixar rastre en disc s'han convertit en el maldecap de molts equips de seguretat perquè s'executen íntegrament en memòria i aprofiten processos legítims del sistema. Per això és important saber com identificar fitxers fileless i defensar-se'n.

Més enllà de titulars i modes, entendre com funcionen, per què són tan esmunyedissos i quins senyals permeten detectar-los marca la diferència entre contenir un incident o lamentar una bretxa. A les properes línies anaitzem el roblema i proposem solucions.

Què és el malware fileless i per què importa?

 

El malware fileless no és una família concreta, sinó una manera d'operar: evita escriure executables al disc i utilitza serveis i binaris ja presents al sistema per executar codi maliciós. En comptes de deixar un fitxer fàcil d'escanejar, l'adversari abusa d'utilitats de confiança i carrega la seva lògica directament a la RAM.

Aquest enfocament s'engloba sovint a la filosofia 'viure de la terra' (Living off the Land): els atacants instrumenten eines natives com PowerShell, WMI, mshta, rundll32 o motors de scripting com VBScript i JScript per assolir els seus objectius amb el mínim soroll.

Entre els seus trets més representatius trobem: execució en memòria volàtil, poca o nul·la persistència en disc, ús de components signats pel sistema i elevada capacitat d'evasió davant de motors basats en signatures.

Encara que molts payloads desapareixen després d'un reinici, no ens hem de confiar: els adversaris poden establir persistència aprofitant claus del Registre, subscripcions WMI o tasques programades, i tot això sense deixar binaris sospitosos al disc.

Dificultats per detectar malware sense fitxers

Per què ens costa tant identificar fitxers fileless

La primera barrera és òbvia: no hi ha fitxers anòmals per inspeccionar. Els antivirus tradicionals basats en signatura i anàlisi de fitxers tenen poc marge quan l‟execució resideix en processos vàlids i la lògica maliciosa s‟allotja en memòria.

La segona és més subtil: els atacants es camuflen després de processos legítims del sistema operatiu. Si PowerShell o WMI s'utilitzen diàriament per a administració, com distingir un ús normal d'un ús maliciós sense context i telemetria de comportament?

A més, bloquejar a cegues eines crítiques no és viable. Deshabilitar PowerShell o macros d'Office a tot arreu pot trencar operacions i no evita del tot els abusos, ja que hi ha múltiples vies d'execució alternatives i tècniques per eludir bloquejos simples.

Per rematar, la detecció al núvol o exclusivament del costat servidor arriba tard per prevenir. Sense visibilitat local en temps real sobre línies d'ordres, relacions de processos i esdeveniments de registre, l'agent no pot mitigar al vol un flux maliciós que no deixa rastre en disc.

Contingut exclusiu - Clic Aquí  Quines són les limitacions de Bitdefender Antivirus Plus?

Com funciona un atac fileless de principi a fi

L'accés inicial sol produir-se amb els mateixos vectors de sempre: phishing amb documents ofimàtics que demanen habilitar contingut actiu, enllaços a llocs compromesos, explotació de vulnerabilitats en aplicacions exposades o abús de credencials filtrades per accedir per RDP o altres serveis.

Un cop a dins, l'adversari busca execució sense tocar disc. Per això, encadena funcionalitats del sistema: macros o DDE en documents que llancen ordres, explotació de desbordaments per a RCE o invocacions a binaris de confiança que permeten carregar i executar codi en memòria.

Si l'operació requereix continuïtat, la persistència es pot instrumentar sense implantar nous executables: entrades d'autoarrencada al Registre, subscripcions WMI que reaccionen a esdeveniments del sistema o tasques programades que disparen scripts sota determinades condicions.

Amb execució establerta, l'objectiu dicta els passos següents: moure's lateralment, exfiltrar dades, robar credencials, desplegar un RAT, minar criptomonedes o activar un xifratge d'arxius en el cas del ransomware. Tot això recolzant-se, quan és possible, en funcionalitats ja disponibles.

La retirada d'evidències és part del pla: en no escriure binaris sospitosos, l'atacant redueix significativament els artefactes a analitzar, barrejant la seva activitat entre esdeveniments normals del sistema i esborrant rastres temporals quan pot.

identificar fitxers fileless

Tècniques i eines que solen aprofitar

El catàleg és ampli, però gairebé sempre gira al voltant de les utilitats natives i rutes de confiança. Aquestes són algunes de les més recurrents, sempre amb l'objectiu de maximitzar l'execució en memòria i difuminar la petjada:

  • PowerShell: scripting potent, accés a APIs de Windows i automatització. La seva versatilitat el converteix en favorit tant per a administració com per a abús ofensiu.
  • WMI (instrumentació de gestió de Windows): permet consultar i reaccionar a esdeveniments del sistema, a més de realitzar accions remotes i locals; útil per persistència i orquestració.
  • VBScript i JScript: motors presents a molts entorns que faciliten l'execució de lògica a través de components del sistema.
  • mshta, rundll32 i altres binaris de confiança: els coneguts LoLBins que, ben encadenats, poden executar codi sense deixar anar artefactes evidents en disc.
  • Documents amb contingut actiu: macros o DDE a Office, així com lectors PDF amb funcionalitats avançades, poden servir de trampolí per llançar ordres en memòria.
  • Registre de Windows: claus d'autoarrencada o emmagatzematge xifrat/ocult de payloads que s'activen mitjançant components del sistema.
  • Segrest i injecció en processos: modificació de l'espai de memòria de processos en execució per a allotjar la lògica maliciosa dins un executable legítim.
  • Kits d'explotació: detecció de vulnerabilitats al sistema de la víctima i desplegament d'exploits a mida per obtenir execució sense tocar disc.

El repte per a les empreses (i per què no val bloquejar-ho tot)

Un enfocament ingenu suggereix tallar en sec: bloquejar PowerShell, prohibir macros, impedir binaris com a rundll32. La realitat és més matisada: moltes d'aquestes eines són imprescindibles per a l'operació diària de TI i per a l'automatització administrativa.

Contingut exclusiu - Clic Aquí  Com Rastrejar Una Direcció Ip De Facebook

A més, els atacants busquen desviaments: executar el motor de scripting d'altres maneres, utilitzar còpies alternatives, empaquetar lògica en imatges o recórrer a LoLBins menys vigilats. El bloqueig brut acaba generant fricció sense brindar una defensa completa.

L'anàlisi purament del costat servidor o al núvol tampoc no soluciona la papereta. Sense telemetria rica a l'endpoint i sense capacitat de resposta al propi agent, la decisió arriba tard i la prevenció és inviable perquè cal esperar un veredicte extern.

Paral·lelament, informes del mercat ja van apuntar fa temps a un creixement molt notable d'aquest vector, amb pics on els intents d'abús de PowerShell pràcticament es van duplicar en períodes curts, cosa que confirma que és una tàctica recurrent i rendible per als adversaris.

mitre attack

Detecció moderna: de l'arxiu al comportament

La clau no és qui executa, sinó com i per què. Monitoritzar el comportament de processos i les seves relacions resulta decisiu: línia d'ordres, herència de processos, trucades a APIs sensibles, connexions sortints, modificacions del Registre i esdeveniments WMI.

Aquest enfocament redueix dràsticament la superfície d'evasió: encara que canviïn els binaris involucrats, els patrons d'atac es repeteixen (script que descarrega i executa en memòria, abús de LoLBins, invocació a intèrprets, etc.). Analitzar aquest guió, no la 'identitat' del fitxer, millora la detecció.

Les plataformes EDR/XDR eficaces correlacionen senyals per reconstruir la història completa de l'incident, identificant la causa arrel en lloc de culpar el procés que 'va donar la cara'. Aquest relat enllaça adjunts, macros, intèrprets, payloads i persistències per mitigar tot el flux, no una peça aïllada.

L'aplicació de marcs com MITRE ATT&CK ajuda a mapejar tàctiques i tècniques observades (TTPs) i orientar la caça d'amenaces cap a comportaments d'interès: execució, persistència, defensa evasion, credential access, discovery, lateral movement i exfiltration.

Finalment, l'orquestració de resposta a l'endpoint ha de ser immediata: aïllar l'equip, acabar processos implicats, revertir canvis en Registre o programador de tasques i bloquejar connexions sortints sospitoses sense esperar confirmacions externes.

Telemetria útil: què mirar i com prioritzar

Per augmentar la probabilitat de detecció sense saturar, cal prioritzar senyals d'alt valor. Algunes fonts i controls que aporten context crític per a fileless són:

  • Registre detallat de PowerShell i altres intèrprets: registre de blocs d'script, historial de comandes, mòduls carregats i esdeveniments d'AMSI, quan estigui disponible.
  • Repositori WMI: inventori i alerta davant de la creació o modificació de filtres d'esdeveniment, consumidors i vincles, especialment en espais de noms sensibles.
  • Esdeveniments de seguretat i Sysmon: correlació de processos, integritat d'imatges, càrregues en memòria, injecció i creació de tasques programades.
  • Xarxa: connexions sortints anòmales, beaconing, patrons de descàrrega de payloads i ús de canals encoberts per a exfiltració.

L'automatització ajuda a separar el gra de la palla: regles de detecció basades en comportament, llistes de permesos per administració legítima i enriquiment amb intel·ligència d'amenaces acoten falsos positius i acceleren la resposta.

Prevenció i reducció de superfície

Cap mesura per si sola és suficient, però una defensa en capes redueix molt el risc. Al costat preventiu, destaquen diverses línies d'acció per a retallar vectors i fer la vida més difícil a l'adversari:

  • Gestió de macros: deshabilitar per defecte i permetre només quan sigui imprescindible i signat; controls granulars via polítiques de grup.
  • Restricció d'intèrprets i LoLBins: aplicar AppLocker/WDAC o equivalents, control de seqüències i plantilles d'execució amb registres exhaustius.
  • Pegat i mitigacions: tancar vulnerabilitats explotables i activar proteccions de memòria que limitin RCE i injeccions.
  • Autenticació robusta: MFA i principis de zero trust per frenar l'abús de credencials i reduir el moviment lateral.
  • Conscienciació i simulacions: formació pràctica sobre phishing, documents amb contingut actiu i senyals d'execució anòmala.
Contingut exclusiu - Clic Aquí  Com treure un virus d'un mòbil?

Complementen aquestes mesures les solucions que analitzen trànsit i memòria per identificar comportaments maliciosos en calent, així com polítiques de segmentació i mínims privilegis per contenir limpacte quan alguna cosa es cola.

Serveis i enfocaments que estan funcionant

En entorns amb molts endpoints i alta criticitat, els serveis gestionats de detecció i resposta amb monitorització 24/7 han demostrat accelerar la contenció dels incidents. La combinació de SOC, EMDR/MDR i EDR/XDR aporta ulls experts, telemetria rica i capacitat de reacció coordinada.

Els proveïdors més efectius han interioritzat el gir al comportament: agents lleugers que correlacionen activitat a nivell del nucli, reconstrueixen històries completes d'atac i apliquen mitigacions automàtiques quan detecten cadenes malicioses, amb capacitat de rollback per desfer canvis.

En paral·lel, suites de protecció d'endpoint i plataformes XDR integren visibilitat centralitzada i gestió d'amenaces sobre estacions, servidors, identitats, correu i núvol; l'objectiu és desmuntar la cadena d'atac independentment de si hi ha o no fitxers involucrats.

Indicadors pràctics per a la caça d'amenaces

Si has de prioritzar hipòtesis de cerca, centra't en combinar senyals: un procés ofimàtic que llança un intèrpret amb paràmetres inusuals, creació de subscripcions WMI després d'obrir un document, modificacions en claus d'autoarrencada seguides de connexions a dominis poc prestigiosos.

Una altra línia efectiva és basar-se en 'baselins' del teu entorn: què és normal als teus servidors i llocs? Qualsevol desviació (nous binaris signats que apareixen com a pares d'intèrprets, pics sobtats d'execució de scripts, cadenes d'ordres amb ofuscació) mereix investigació.

Finalment, no oblidis la memòria: si disposes d'eines que inspeccionen regions en execució o capturen instantànies, les troballes a RAM poden ser la prova definitiva dactivitat fileless, especialment quan no hi ha artefactes en el sistema de fitxers.

La suma d'aquestes tàctiques, tècniques i controls no elimina l'amenaça, però et col·loca en millor posició per detectar-la a temps, tallar la cadena i reduir-ne l'impacte.

Quan tot això s'aplica amb criteri —telemetria rica a l'endpoint, correlació de comportament, resposta automatitzada i hardening selectiu—, la tàctica fileless perd gran part del seu avantatge. I, encara que continuarà evolucionant, el focus en comportaments abans que en fitxers ofereix una base sòlida perquè la teva defensa evolucioni amb ella.