Chì ghjè "malware senza fugliali persistenti" è cumu si pò rilevà cù strumenti gratuiti

L'apparizione di malware senza fugliali persistenti Questu hè statu un veru mal di testa per e squadre di sicurezza. Ùn avemu micca à chì fà cù u tipicu virus chì si "piglia" quandu si sguassa un eseguibile da u discu, ma cù minacce chì stanu in memoria, abusanu di strumenti di sistema legittimi è, in parechji casi, ùn lascianu guasi nisuna traccia forense utilizabile.

Stu tipu d'attaccu hè diventatu particularmente pupulare trà i gruppi avanzati è i cibercriminali chì cercanu evità u software antivirus tradiziunale, arrubà dati è stà piattu per u più longu pussibule. Capisce cumu funzionanu, chì tecniche utilizanu è cumu rilevalli hè chjave per ogni urganizazione chì vole piglià a cibersigurtà seriamente oghje.

Chì ghjè un malware senza file è perchè hè una tale preoccupazione?

Quandu avemu parlatu malware senza file Ùn dicemu micca chì ùn ci hè mancu un byte implicatu, ma chì u codice maliziosu Ùn hè micca almacenatu cum'è un schedariu eseguibile classicu nant'à u discu. da u puntu finale. Invece, funziona direttamente in memoria o hè ospitatu in cuntenitori menu visibili cum'è u Registru, WMI, o attività pianificate.

In parechji scenarii, l'attaccante si basa nantu à strumenti digià presenti in u sistema - PowerShell, WMI, script, binari Windows firmati - per carica, decifra o eseguisce i payload direttamente in a RAMIn questu modu, evita di lascià eseguibili evidenti chì un antivirus basatu annantu à a firma puderia rilevà in una scansione nurmale.

Inoltre, una parte di a catena d'attaccu pò esse "senza file" è un'altra parte pò aduprà u sistema di file, dunque parlemu di più di unu. spettru di tecniche senza file quellu di una sola famiglia di malware. Hè per quessa chì ùn ci hè micca una sola definizione chjusa, ma piuttostu parechje categurie secondu u gradu d'impattu ch'elli lascianu nantu à a macchina.

Caratteristiche principali di malware senza fugliali persistenti

Una pruprietà chjave di ste minacce hè a so esecuzione centrata nantu à a memoriaU codice maliziosu hè caricatu in a RAM è eseguitu in prucessi legittimi, senza bisognu di un binariu maliziosu stabile nantu à u discu duru. In certi casi, hè ancu iniettatu in prucessi di sistema critichi per un megliu camouflage.

Un'altra caratteristica impurtante hè u persistenza micca cunvinziunaleParechje campagne senza fugliali sò puramente volatili è spariscenu dopu un riavviu, ma altre riescenu à riattivassi aduprendu chjave Autorun di u Registru, abbonamenti WMI, attività pianificate o BITS, in modu chì l'artefattu "visibile" sia minimu è u veru payload rivive in memoria ogni volta.

Questu approcciu riduce assai l'efficacità di u rilevazione basata nantu à a firmaSiccomu ùn ci hè micca un eseguibile fissu da analizà, ciò chì si vede spessu hè un PowerShell.exe, wscript.exe, o mshta.exe perfettamente legittimu, lanciatu cù parametri suspetti o carichendu cuntenutu offuscatu.

Infine, parechji attori combinanu tecniche senza file cù altre tipi di malware cum'è Trojan, ransomware, o adware, risultendu in campagne ibride chì mischianu u megliu (è u peghju) di i dui mondi: persistenza è furtività.

Tipi di minacce senza file secondu a so impronta nantu à u sistema

Parechji pruduttori di sicurezza Classificanu e minacce "senza file" secondu a traccia ch'elli lascianu nant'à l'urdinatore. Sta tassonomia ci aiuta à capisce ciò chì vedemu è cumu investigallu.

Tipu I: nisuna attività di file visibile

À a fine più furtiva truvemu malware chì Ùn scrive assolutamente nunda in u sistema di fuglialiU codice ghjunghje, per esempiu, per mezu di pacchetti di rete chì sfruttanu una vulnerabilità (cum'è EternalBlue), hè iniettatu direttamente in memoria, è hè mantinutu, per esempiu, cum'è una backdoor in u kernel (DoublePulsar era un casu emblematicu).

In altri scenarii, l'infezzione si trova in Firmware BIOS, carte di rete, dispositivi USB, o ancu sottosistemi in a CPUStu tipu di minaccia pò sopravvive à reinstallazioni di u sistema operativu, à furmattazione di u discu, è ancu à certi riavvii cumpleti.

U prublema hè chì a maiò parte di e soluzioni di sicurezza Ùn ispezionanu micca u firmware o u microcodiceÈ ancu s'elli a facenu, a riparazione hè cumplessa. Per furtuna, ste tecniche sò generalmente riservate à attori assai sofisticati è ùn sò micca a norma in l'attacchi di massa.

Tipu II: Usu indirettu di i fugliali

Un secondu gruppu hè basatu annantu à cuntene u codice maliziosu in strutture almacenate nantu à u discuMa micca cum'è eseguibili tradiziunali, ma in repositori chì mischianu dati legittimi è maliziosi, difficiuli da pulisce senza dannà u sistema.

Esempi tipici sò scripts almacenati in u Repositoriu WMI, catene offuscate in Chjavi di u Registru o attività pianificate chì lancianu cumandamenti periculosi senza un binariu maliziosu chjaru. U malware pò installà queste entrate direttamente da a linea di cumanda o da un script è dopu stà praticamente invisibili.

Ancu s'è tecnicamente ci sò fugliali implicati (u fugliale fisicu induve Windows almacena u repositoriu WMI o l'alveare di u Registru), per scopi pratichi parlemu di attività senza file perchè ùn ci hè micca un eseguibile evidente chì pò esse simpliciamente messu in quarantena.

Tipu III: Richiede fugliali per funziunà

U terzu tipu include minacce chì Usanu fugliali, ma in un modu chì ùn hè micca assai utile per a rilevazione.Un esempiu ben cunnisciutu hè Kovter, chì registra estensioni aleatorie in u Registru in modu chì, quandu un schedariu cù quella estensione hè apertu, un script hè eseguitu via mshta.exe o un binariu nativu simile.

Questi fugliali esca cuntenenu dati irrilevanti, è u veru codice maliziosu Hè recuperatu da altre chjave di Registru o repositori interni. Ancu s'ellu ci hè "qualcosa" nant'à u discu, ùn hè micca faciule d'utilizallu cum'è un indicatore affidabile di compromissione, è ancu menu cum'è un mecanismu di pulizia diretta.

Vettori d'entrata più cumuni è punti d'infezzione

Oltre à a classificazione di l'impronta, hè impurtante capisce cumu Eccu induve entra in ghjocu u malware senza fugliali persistenti. In a vita di tutti i ghjorni, l'attaccanti spessu combinanu parechji vettori secondu l'ambiente è u bersagliu.

Exploit è vulnerabilità

Unu di i percorsi più diretti hè l'abusu di Vulnerabilità di esecuzione di codice remota (RCE) in i navigatori, i plugins (cum'è Flash in u passatu), l'applicazioni web, o i servizii di rete (SMB, RDP, ecc.). L'exploit inietta u shellcode chì scarica o decodifica direttamente u payload maliziosu in memoria.

In questu mudellu, u schedariu iniziale pò esse nantu à a rete (tipu d'exploits WannaCryo in un documentu chì l'utilizatore apre, ma U payload ùn hè mai scrittu cum'è un eseguibile nantu à u discu: hè decifratu è eseguitu à a mosca da a RAM.

Documenti è macro maliziosi

Un'altra via assai sfruttata hè a Documenti d'uffiziu cù macro o DDEè ancu i PDF cuncepiti per sfruttà e vulnerabilità di i lettori. Un schedariu Word o Excel apparentemente innocu pò cuntene codice VBA chì lancia PowerShell, WMI, o altri interpreti per scaricà codice, eseguisce cumandamenti, o injectà shellcode in prucessi di fiducia.

Quì u schedariu nant'à u discu hè "solu" un cuntenitore di dati, mentre chì u vettore attuale hè u u mutore di scripting internu di l'applicazioneIn fatti, parechje campagne di spam di massa anu abusatu di sta tattica per implementà attacchi senza file nantu à e rete corporative.

Scripts è binari legittimi (Vive di a Terra)

L'attaccanti amanu l'arnesi chì Windows furnisce digià: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Strumentazione di Gestione di Windows, BITS, ecc. Questi binari firmati è di fiducia ponu eseguisce script, DLL o cuntenutu remotu senza a necessità di un "virus.exe" suspettu.

Passendu codice maliziosu cum'è parametri di linea di cummanduIntegrallu in l'imagine, criptallu è decifrallu in memoria, o almacenallu in u Registru, assicura chì l'antivirus vede solu l'attività di i prucessi legittimi, rendendu a rilevazione basata solu nantu à i fugliali assai più difficiule.

Hardware è firmware cumprumessi

À un livellu ancu più bassu, l'attaccanti avanzati ponu infiltrà si Firmware BIOS, schede di rete, dischi rigidi, o ancu sottosistemi di gestione di CPU (cum'è Intel ME o AMT). Stu tipu di malware funziona sottu à u sistema operativu è pò intercettà o mudificà u trafficu senza chì u sistema operativu ne sia cusciente.

Ancu s'ellu hè un scenariu estremu, illustra finu à chì puntu una minaccia senza file pò Mantene a persistenza senza toccà u sistema di fugliali di u sistema operativuè perchè i strumenti classici di endpoint sò insufficienti in questi casi.

Cumu funziona un attaccu di malware senza fugliali persistenti

À u livellu di u flussu, un attaccu senza file hè abbastanza simile à un attaccu basatu annantu à i file, ma cù differenze pertinenti in cumu si implementa a carica utile è cumu si mantene l'accessu.

1. Accessu iniziale à u sistema

Tuttu principia quandu l'attaccante piglia un primu puntu d'appoghju: un email di phishing cù un ligame o un allegatu maliziosu, un exploit contr'à una applicazione vulnerabile, credenziali arrubate per RDP o VPN, o ancu un dispositivu USB manomessu.

In questa fase, si usa u seguente: ingegneria sucialereindirizzamenti maliziosi, campagne di publicità maliciosa, o attacchi Wi-Fi maliziosi per ingannà l'utente à cliccà induve ùn deve micca o per sfruttà i servizii esposti in Internet.

2. Esecuzione di codice maliziosu in memoria

Una volta ottenuta a prima entrata, u cumpunente senza file hè attivatu: una macro di Office lancia PowerShell, un exploit inietta u shellcode, un abbonamentu WMI attiva un script, ecc. L'obiettivu hè carica u codice maliziosu direttamente in a RAMsia scaricendulu da Internet sia ricustruendulu da dati integrati.

Da quì, u malware pò aumentà i privilegi, spustà lateralmente, arrubà credenziali, implementà webshells, installà RAT o criptà datiTuttu què hè sustinutu da prucessi legittimi per riduce u rumore.

3. Stabilisce a persistenza

Trà e tecniche abituali sò:

• Chjavi d'esecuzione automatica in u Registru chì eseguiscenu cumandamenti o script quandu si accede.
• Attività pianificate chì lancianu scripts, binari legittimi cù parametri, o cumandamenti remoti.
• Abbonamenti WMI chì attivanu u codice quandu si verificanu certi eventi di sistema.
• Usu di BITS per scaricamenti periodichi di carichi utili da i servitori di cummandu è cuntrollu.

In casi, a cumpunente persistente hè minima è serve solu à reinjectà u malware in memoria ogni volta chì u sistema si avvia o una cundizione specifica hè soddisfatta.

4. Azzioni nantu à i miri è l'esfiltrazione

Cù a persistenza assicurata, l'attaccante si cuncentra nantu à ciò chì l'interessa veramente: arrubà informazioni, criptarle, manipulà i sistemi o spionà per mesiL'esfiltrazione pò esse fatta via HTTPS, DNS, canali secreti, o servizii legittimi. In incidenti di u mondu reale, sapendu Chì fà in e prime 24 ore dopu à un pirate informaticu pò fà a diferenza.

In l'attacchi APT, hè cumunu chì u malware resti silenziosu è furtivu per longhi periodi, custruendu porte di daretu supplementari per assicurà l'accessu ancu s'è una parte di l'infrastruttura hè rilevata è sgombrata.

Capacità è tipi di malware chì ponu esse senza file

Praticamente ogni funzione maligna chì u malware classicu pò fà pò esse implementata seguendu questu approcciu senza schedariu o semi-senza schedariuCiò chì cambia ùn hè micca l'ughjettivu, ma u modu in cui u codice hè implementatu.

Malware chì reside solu in memoria

Questa categuria include carichi utili chì Campanu solu in a memoria di u prucessu o di u kernel.I rootkit muderni, e backdoor avanzate, o i spyware ponu caricà si in u spaziu di memoria di un prucessu legittimu è stà quì finu à chì u sistema ùn sia riavviatu.

Questi cumpunenti sò particularmente difficiuli à vede cù strumenti orientati à u discu, è forzanu l'usu di analisi di a memoria in diretta, EDR cù ispezione in tempu reale o capacità forensi avanzate.

Malware basatu annantu à u Registru di Windows

Un'altra tecnica ricorrente hè di almacenà codice criptatu o offuscatu in e chjave di u Registru è aduprate un binariu legittimu (cum'è PowerShell, MSHTA, o rundll32) per leghjelu, decodificallu è eseguillu in memoria.

U dropper iniziale pò autodistrughjesi dopu avè scrittu in u Registru, dunque tuttu ciò chì ferma hè una mistura di dati apparentemente innocui chì Attivanu a minaccia ogni volta chì u sistema si avvia o ogni volta chì un schedariu specificu hè apertu.

Ransomware è Trojan senza file

L'approcciu senza fugliali ùn hè micca incompatibile cù i metudi di carica assai aggressivi cum'è u ransomwareCi sò campagne chì scaricanu, decifranu è eseguiscenu tutta a crittografia in memoria cù PowerShell o WMI, senza lascià l'eseguibile di u ransomware nant'à u discu.

Cumu trojan d'accessu remotu (RAT)I keyloggers o i ladri di credenziali ponu operà in modu semi-senza file, caricendu moduli à dumanda è ospitendu a logica principale in prucessi di sistema legittimi.

Kit di sfruttamentu è credenziali arrubate

I kit di sfruttamentu web sò un altru pezzu di u puzzle: rilevenu u software installatu, Selezziunanu l'exploit adattatu è iniettano u payload direttamente in memoria., spessu senza salvà nunda nant'à u discu.

D'altra parte, l'usu di credenziali arrubate Hè un vettore chì si adatta assai bè à e tecniche senza file: l'attaccante s'autentica cum'è un utilizatore legittimu è, da quì, abusa di strumenti amministrativi nativi (PowerShell Remoting, WMI, PsExec) per implementà script è cumandamenti chì ùn lascianu micca tracce classiche di malware.

Perchè u malware senza file hè cusì difficiule da rilevà?

A ragione fundamentale hè chì questu tipu di minaccia hè specificamente cuncipita per bypassà i strati tradiziunali di difesabasatu annantu à firme, liste bianche è scansioni periodiche di fugliali.

Sè u codice maliziosu ùn hè mai salvatu cum'è un eseguibile nant'à u discu, o s'ellu si piatta in cuntenituri misti cum'è WMI, u Registru, o u firmware, u software antivirus tradiziunale hà assai pocu da analizà. Invece di un "schedariu suspettu", ciò chì avete sò prucessi legittimi chì si cumportanu in modu anomalisticu.

Inoltre, blocca radicalmente strumenti cum'è PowerShell, macro di Office, o WMI. Ùn hè micca viabile in parechje urganisazioniPerchè sò essenziali per l'amministrazione, l'automatizazione è l'operazioni di ogni ghjornu. Questu forza i difensori à esse assai attenti.

Certi venditori anu pruvatu à cumpensà cù riparazioni rapide (bloccu genericu di PowerShell, disattivazione tutale di macro, rilevazione solu in nuvola, ecc.), ma queste misure sò generalmente insufficiente o eccessivamente disruptive per l'affari.

Strategie muderne per rilevà è fermà u malware senza file

Per affruntà queste minacce, hè necessariu andà oltre a semplice scansione di i fugliali è aduttà un approcciu focalizatu. cumpurtamentu, telemetria in tempu reale è visibilità prufonda di u puntu finale.

Monitoraghju di u cumpurtamentu è di a memoria

Un approcciu efficace implica l'osservazione di ciò chì i prucessi facenu in realtà: quali cumandamenti eseguiscenu, quali risorse accedenu, quali cunnessione stabiliscenucumu si rapportanu trà di elli, ecc. Ancu s'è esistenu migliaia di varianti di malware, i mudelli di cumpurtamentu maliziosu sò assai più limitati. Questu pò ancu esse cumplementatu cù u Rilevazione avanzata cù YARA.

E suluzioni muderne combinanu sta telemetria cù analisi in memoria, euristica avanzata è studiu automaticu per identificà e catene d'attaccu, ancu quandu u codice hè assai offuscatu o ùn hè mai statu vistu prima.

Usu di interfacce di sistema cum'è AMSI è ETW

Windows offre tecnulugie cum'è Interfaccia di scansione antimalware (AMSI) y Event Tracing per Windows (ETW) Queste fonti permettenu l'ispezione di script è eventi di sistema à un livellu assai bassu. L'integrazione di queste fonti in soluzioni di sicurezza facilita a rilevazione. codice maliziosu ghjustu prima o durante a so esecuzione.

Inoltre, l'analisi di e zone critiche - attività pianificate, abbonamenti WMI, chjave di u registru di avvio, ecc. - aiuta à identificà persistenza senza file cuperta chì puderia passà inosservatu cù una semplice scansione di file.

Caccia à e minacce è indicatori d'attaccu (IoA)

Siccomu l'indicatori classici (hash, percorsi di file) sò insufficienti, hè cunsigliatu di fidà si di indicatori d'attaccu (IoA), chì descrivenu cumpurtamenti suspetti è sequenze d'azzioni chì currispondenu à tattiche cunnisciute.

E squadre di caccia à e minacce - interne o per mezu di servizii gestiti - ponu circà in modu proattivu mudelli di muvimentu laterale, abusu di strumenti nativi, anomalie in l'usu di PowerShell o accessu micca autorizatu à dati sensibili, rilevendu minacce senza file prima ch'elle pruvuchinu un disastru.

EDR, XDR è SOC 24 ore su 24, 7 ghjorni su 7

Piattaforme muderne di EDR è XDR (A rilevazione è a risposta di i punti finali à un livellu allargatu) furniscenu a visibilità è a currelazione necessarie per ricustruisce a storia cumpleta di un incidente, da u primu email di phishing à l'esfiltrazione finale.

Cumbinatu cù un SOC operativu 24 ore su 24, 7 ghjorni su 7Permettenu micca solu a rilevazione, ma ancu cuntene è rimedià automaticamente attività maligna: isolate l'urdinatori, bluccate i prucessi, annullate i cambiamenti à u Registru, o annullate a crittografia quandu hè pussibule.

E tecniche di malware senza file anu cambiatu u ghjocu: ùn basta più à eseguisce una scansione antivirus è à sguassà un eseguibile suspettu. Oghje, a difesa implica capisce cumu l'attaccanti sfruttanu e vulnerabilità piattendu u codice in memoria, u Registru, WMI o firmware, è implementendu una cumminazione di monitoraghju cumportamentale, analisi in memoria, EDR/XDR, caccia à e minacce è e migliori pratiche. Riduce realisticamente l'impattu L'attacchi chì, per via di a so vuluntà, ùn cercanu micca di lascià traccia induve parenu e suluzioni più tradiziunali necessitanu una strategia olistica è cuntinua. In casu di compromissione, sapendu Riparà Windows dopu à un virus seriu hè essenziale.