Cos'è il "malware senza file persistenti" e come rilevarlo con strumenti gratuiti

L'apparenza di malware senza file persistenti Questo è stato un vero grattacapo per i team di sicurezza. Non abbiamo a che fare con il tipico virus che si "prende" eliminando un eseguibile dal disco, ma con minacce che risiedono nella memoria, sfruttano impropriamente strumenti di sistema legittimi e, in molti casi, lasciano pochissime tracce forensi utilizzabili.

Questo tipo di attacco è diventato particolarmente popolare tra i gruppi avanzati e i criminali informatici che cercano eludere i tradizionali software antivirus, rubare dati e rimanere nascosti il più a lungo possibile. Capire come funzionano, quali tecniche utilizzano e come individuarli è fondamentale per qualsiasi organizzazione che voglia prendere sul serio la sicurezza informatica oggi.

Che cosa sono i malware fileless e perché sono così preoccupanti?

Quando parliamo malware senza file Non stiamo dicendo che non è coinvolto un singolo byte, ma che il codice dannoso Non è memorizzato come un classico file eseguibile sul disco dall'endpoint. Invece, viene eseguito direttamente in memoria o è ospitato in contenitori meno visibili come il Registro di sistema, WMI o le attività pianificate.

In molti scenari, l'aggressore si affida a strumenti già presenti nel sistema (PowerShell, WMI, script, binari Windows firmati) per caricare, decifrare o eseguire payload direttamente nella RAMIn questo modo si evita di lasciare file eseguibili evidenti che un antivirus basato su firme potrebbe rilevare durante una normale scansione.

Inoltre, una parte della catena di attacco può essere "fileless" e un'altra parte può utilizzare il file system, quindi stiamo parlando di più di una spettro di tecniche senza file quella di una singola famiglia di malware. Ecco perché non esiste una definizione unica e definita, ma piuttosto diverse categorie a seconda del grado di impatto che lasciano sulla macchina.

Caratteristiche principali del malware senza file persistenti

Una proprietà fondamentale di queste minacce è la loro esecuzione incentrata sulla memoriaIl codice dannoso viene caricato nella RAM ed eseguito all'interno di processi legittimi, senza richiedere un binario dannoso stabile sul disco rigido. In alcuni casi, viene persino iniettato in processi di sistema critici per un migliore camuffamento.

Un'altra caratteristica importante è il persistenza non convenzionaleMolte campagne senza file sono puramente volatili e scompaiono dopo un riavvio, ma altre riescono a riattivarsi utilizzando chiavi di esecuzione automatica del Registro di sistema, sottoscrizioni WMI, attività pianificate o BITS, in modo che l'artefatto "visibile" sia minimo e il payload reale rimanga in memoria ogni volta.

Questo approccio riduce notevolmente l'efficacia dell' rilevamento basato sulla firmaPoiché non esiste un eseguibile fisso da analizzare, spesso si vede un PowerShell.exe, wscript.exe o mshta.exe perfettamente legittimo, avviato con parametri sospetti o che carica contenuto offuscato.

Infine, molti attori combinano tecniche senza file con altre tipi di malware come trojan, ransomware o adware, dando vita a campagne ibride che uniscono il meglio (e il peggio) di entrambi i mondi: persistenza e furtività.

Tipi di minacce senza file in base alla loro impronta sul sistema

Diversi produttori di sicurezza Classificano le minacce "fileless" in base alla traccia che lasciano sul computer. Questa tassonomia ci aiuta a capire cosa stiamo vedendo e come indagare.

Tipo I: nessuna attività di file visibile

All'estremità più furtiva troviamo malware che Non scrive assolutamente nulla sul file systemIl codice arriva, ad esempio, tramite pacchetti di rete che sfruttano una vulnerabilità (come EternalBlue), viene iniettato direttamente nella memoria e viene mantenuto, ad esempio, come backdoor nel kernel (DoublePulsar è stato un caso emblematico).

In altri scenari, l'infezione risiede in Firmware del BIOS, schede di rete, dispositivi USB o persino sottosistemi all'interno della CPUQuesto tipo di minaccia può sopravvivere alla reinstallazione del sistema operativo, alla formattazione del disco e persino ad alcuni riavvii completi.

Il problema è che la maggior parte delle soluzioni di sicurezza Non ispezionano il firmware o il microcodiceE anche se ciò accadesse, la correzione è complessa. Fortunatamente, queste tecniche sono solitamente riservate ad attori altamente sofisticati e non sono la norma negli attacchi di massa.

Tipo II: Uso indiretto dei file

Un secondo gruppo si basa su contenere il codice dannoso in strutture memorizzate su discoMa non come file eseguibili tradizionali, bensì in repository che mescolano dati legittimi e dannosi, difficili da pulire senza danneggiare il sistema.

Esempi tipici sono gli script memorizzati nel Repository WMI, catene offuscate in chiavi di registro o attività pianificate che lanciano comandi pericolosi senza un chiaro binario dannoso. Il malware può installare queste voci direttamente dalla riga di comando o da uno script e quindi rimanere praticamente invisibile.

Sebbene tecnicamente siano coinvolti dei file (il file fisico in cui Windows memorizza il repository WMI o l'hive del Registro di sistema), per scopi pratici stiamo parlando di attività senza file perché non esiste un eseguibile ovvio che possa essere semplicemente messo in quarantena.

Tipo III: Richiede che i file funzionino

Il terzo tipo comprende minacce che Utilizzano file, ma in un modo che non è molto utile ai fini del rilevamento.Un esempio ben noto è Kovter, che registra estensioni casuali nel Registro di sistema in modo che, quando viene aperto un file con tale estensione, venga eseguito uno script tramite mshta.exe o un binario nativo simile.

Questi file esca contengono dati irrilevanti e il vero codice dannoso Viene recuperato da altre chiavi del Registro di sistema o repository interni. Sebbene ci sia "qualcosa" sul disco, non è facile utilizzarlo come indicatore affidabile di compromissione, tanto meno come meccanismo di pulizia diretto.

Vettori di ingresso e punti di infezione più comuni

Oltre alla classificazione delle impronte, è importante capire come È qui che entra in gioco il malware senza file persistenti. Nella vita di tutti i giorni, gli aggressori spesso combinano diversi vettori a seconda dell'ambiente e del bersaglio.

Exploit e vulnerabilità

Uno dei percorsi più diretti è l'abuso di vulnerabilità di esecuzione di codice remoto (RCE) nei browser, nei plugin (come Flash in passato), nelle applicazioni web o nei servizi di rete (SMB, RDP, ecc.). L'exploit inietta shellcode che scarica o decodifica direttamente il payload dannoso nella memoria.

In questo modello, il file iniziale può essere sulla rete (tipo exploit WannaCryo in un documento che l'utente apre, ma Il payload non viene mai scritto come eseguibile su disco: viene decrittografato ed eseguito al volo dalla RAM.

Documenti e macro dannosi

Un'altra strada molto sfruttata è la Documenti di Office con macro o DDEcosì come i PDF progettati per sfruttare le vulnerabilità dei lettori. Un file Word o Excel apparentemente innocuo può contenere codice VBA che avvia PowerShell, WMI o altri interpreti per scaricare codice, eseguire comandi o iniettare shellcode in processi attendibili.

Qui il file su disco è “solo” un contenitore di dati, mentre il vettore effettivo è il motore di scripting interno dell'applicazioneInfatti, molte campagne di spam di massa hanno abusato di questa tattica per lanciare attacchi fileless sulle reti aziendali.

Script e binari legittimi (Vivere della terra)

Gli aggressori apprezzano gli strumenti già forniti da Windows: PowerShell, wscript, cscript, mshta, rundll32, regsvr32Strumentazione gestione Windows, BITS, ecc. Questi file binari firmati e attendibili possono eseguire script, DLL o contenuti remoti senza la necessità di un sospetto "virus.exe".

Passando codice dannoso come parametri della riga di comandoIncorporandolo nelle immagini, crittografandolo e decodificandolo nella memoria o memorizzandolo nel Registro di sistema, si garantisce che l'antivirus rilevi solo l'attività dei processi legittimi, rendendo molto più difficile il rilevamento basato esclusivamente sui file.

Hardware e firmware compromessi

A un livello ancora più basso, gli aggressori avanzati possono infiltrarsi Firmware del BIOS, schede di rete, dischi rigidi o persino sottosistemi di gestione della CPU (come Intel ME o AMT). Questo tipo di malware viene eseguito sotto il sistema operativo e può intercettare o modificare il traffico senza che il sistema operativo ne sia a conoscenza.

Sebbene si tratti di uno scenario estremo, illustra la misura in cui una minaccia senza file può Mantenere la persistenza senza toccare il file system del sistema operativoe perché gli strumenti endpoint classici risultano insufficienti in questi casi.

Come funziona un attacco malware senza file persistenti

A livello di flusso, un attacco senza file è abbastanza simile a uno basato su file, ma con differenze rilevanti nel modo in cui viene implementato il carico utile e nel modo in cui viene mantenuto l'accesso.

1. Accesso iniziale al sistema

Tutto inizia quando l'attaccante ottiene un primo punto d'appoggio: un e-mail di phishing con link o allegato dannoso, un exploit contro un'applicazione vulnerabile, credenziali rubate per RDP o VPN o persino un dispositivo USB manomesso.

In questa fase si utilizza: Ingegneria socialereindirizzamenti dannosi, campagne di malvertising o attacchi Wi-Fi dannosi per indurre l'utente a cliccare dove non dovrebbe o per sfruttare i servizi esposti su Internet.

2. Esecuzione di codice dannoso in memoria

Una volta ottenuta la prima voce, viene attivato il componente senza file: una macro di Office avvia PowerShell, un exploit inietta shellcode, una sottoscrizione WMI attiva uno script, ecc. L'obiettivo è caricare codice dannoso direttamente nella RAMsia scaricandolo da Internet sia ricostruendolo a partire da dati incorporati.

Da lì, il malware può aumentare i privilegi, spostarsi lateralmente, rubare credenziali, distribuire webshell, installare RAT o crittografare i datitutto ciò è supportato da processi legittimi per ridurre il rumore.

3. Stabilire la persistenza

Tra le tecniche usuali sono:

• Chiavi di esecuzione automatica nel Registro di sistema che eseguono comandi o script durante l'accesso.
• Attività pianificate che avviano script, binari legittimi con parametri o comandi remoti.
• Abbonamenti WMI che attivano il codice quando si verificano determinati eventi di sistema.
• Utilizzo dei BITS per il download periodico di payload dai server di comando e controllo.

In alcuni casi la componente persistente è minima e serve solo a reiniettare il malware nella memoria ogni volta che il sistema si avvia o si verifica una condizione specifica.

4. Azioni sugli obiettivi ed esfiltrazione

Con la perseveranza assicurata, l'attaccante si concentra su ciò che gli interessa davvero: rubare informazioni, crittografarle, manipolare sistemi o spiare per mesiL'esfiltrazione può essere effettuata tramite HTTPS, DNS, canali segreti o servizi legittimi. Negli incidenti del mondo reale, conoscere Cosa fare nelle prime 24 ore dopo un hack può fare la differenza.

Negli attacchi APT, è comune che il malware rimanga silenzioso e furtivo per lunghi periodi, creando ulteriori backdoor per garantire l'accesso anche se una parte dell'infrastruttura viene rilevata e ripulita.

Capacità e tipi di malware che possono essere fileless

Praticamente qualsiasi funzione dannosa che un malware classico può eseguire può essere implementata seguendo questo approccio senza file o semi-senza fileCiò che cambia non è l'obiettivo, ma il modo in cui il codice viene distribuito.

Malware che risiede solo nella memoria

Questa categoria include carichi utili che Vivono esclusivamente nella memoria del processo o del kernel.I rootkit moderni, le backdoor avanzate o gli spyware possono caricarsi nello spazio di memoria di un processo legittimo e rimanervi finché il sistema non viene riavviato.

Questi componenti sono particolarmente difficili da vedere con strumenti orientati al disco e costringono all'uso di analisi della memoria dal vivo, EDR con ispezione in tempo reale o funzionalità forensi avanzate.

Malware basato sul registro di Windows

Un'altra tecnica ricorrente è quella di memorizzare codice crittografato o offuscato nelle chiavi del Registro di sistema e utilizzare un binario legittimo (come PowerShell, MSHTA o rundll32) per leggerlo, decodificarlo ed eseguirlo nella memoria.

Il dropper iniziale può autodistruggersi dopo aver scritto nel Registro, quindi tutto ciò che rimane è un mix di dati apparentemente innocui che Attivano la minaccia ogni volta che il sistema si avvia oppure ogni volta che viene aperto un file specifico.

Ransomware e trojan senza file

L'approccio fileless non è incompatibile con metodi di caricamento molto aggressivi come ransomwareEsistono campagne che scaricano, decrittografano ed eseguono l'intera crittografia in memoria utilizzando PowerShell o WMI, senza lasciare l'eseguibile del ransomware sul disco.

Analogamente, trojan di accesso remoto (RAT)I keylogger o ladri di credenziali possono operare in modo semi-fileless, caricando moduli su richiesta e ospitando la logica principale in processi di sistema legittimi.

Kit di sfruttamento e credenziali rubate

I kit di exploit Web sono un altro pezzo del puzzle: rilevano il software installato, Selezionano l'exploit appropriato e iniettano il payload direttamente nella memoria., spesso senza salvare nulla sul disco.

D'altra parte, l'uso di credenziali rubate Si tratta di un vettore che si adatta molto bene alle tecniche fileless: l'aggressore si autentica come utente legittimo e, da lì, abusa degli strumenti amministrativi nativi (PowerShell Remoting, WMI, PsExec) per distribuire script e comandi che non lasciano tracce tipiche del malware.

Perché è così difficile rilevare i malware senza file?

La ragione di fondo è che questo tipo di minaccia è specificamente progettato per bypassare i tradizionali strati di difesabasato su firme, whitelist e scansioni periodiche dei file.

Se il codice dannoso non viene mai salvato come eseguibile su disco, o se si nasconde in contenitori misti come WMI, Registro di sistema o firmware, i software antivirus tradizionali hanno ben poco da analizzare. Invece di un "file sospetto", quello che si ottiene è processi legittimi che si comportano in modo anomalo.

Inoltre, blocca radicalmente strumenti come PowerShell, le macro di Office o WMI. Non è praticabile in molte organizzazioniPerché sono essenziali per l'amministrazione, l'automazione e le operazioni quotidiane. Questo obbliga i sostenitori a procedere con molta cautela.

Alcuni fornitori hanno provato a compensare con soluzioni rapide (blocco generico di PowerShell, disattivazione totale delle macro, rilevamento solo cloud, ecc.), ma queste misure sono solitamente insufficiente o eccessivamente dirompente per affari.

Strategie moderne per rilevare e fermare il malware senza file

Per contrastare queste minacce è necessario andare oltre la semplice scansione dei file e adottare un approccio mirato. comportamento, telemetria in tempo reale e visibilità approfondita del punto finale.

Monitoraggio del comportamento e della memoria

Un approccio efficace implica l'osservazione di ciò che i processi fanno realmente: quali comandi eseguono, a quali risorse accedono, quali connessioni stabilisconocome si relazionano tra loro, ecc. Sebbene esistano migliaia di varianti di malware, i modelli di comportamento dannosi sono molto più limitati. Questo può anche essere integrato con Rilevamento avanzato con YARA.

Le soluzioni moderne combinano questa telemetria con analisi in memoria, euristica avanzata e apprendimento automatico per identificare le catene di attacco, anche quando il codice è fortemente offuscato o non è mai stato visto prima.

Utilizzo di interfacce di sistema come AMSI ed ETW

Windows offre tecnologie come Interfaccia di scansione antimalware (AMSI) y Traccia eventi per Windows (ETW) Queste fonti consentono l'ispezione di script ed eventi di sistema a un livello molto basso. L'integrazione di queste fonti nelle soluzioni di sicurezza ne facilita il rilevamento. codice dannoso appena prima o durante la sua esecuzione.

Inoltre, l'analisi delle aree critiche (attività pianificate, sottoscrizioni WMI, chiavi del registro di avvio, ecc.) aiuta a identificare persistenza nascosta senza file che potrebbero passare inosservati con una semplice scansione dei file.

Caccia alle minacce e indicatori di attacco (IoA)

Poiché gli indicatori classici (hash, percorsi dei file) sono insufficienti, è consigliabile fare affidamento su indicatori di attacco (IoA), che descrivono comportamenti sospetti e sequenze di azioni che corrispondono a tattiche note.

I team di caccia alle minacce, interni o tramite servizi gestiti, possono effettuare ricerche proattive modelli di movimento laterale, abuso di strumenti nativi, anomalie nell'uso di PowerShell o l'accesso non autorizzato a dati sensibili, rilevando le minacce senza file prima che scatenino un disastro.

EDR, XDR e SOC 24 ore su 24, 7 giorni su 7

Piattaforme moderne di EDR e XDR (Rilevamento e risposta degli endpoint a livello esteso) forniscono la visibilità e la correlazione necessarie per ricostruire la cronologia completa di un incidente, dalla prima e-mail di phishing all'esfiltrazione finale.

Combinato con un SOC operativo 24 ore su 24, 7 giorni su 7Permettono non solo il rilevamento, ma anche contenere e rimediare automaticamente attività dannose: isolare i computer, bloccare i processi, annullare le modifiche al Registro di sistema o annullare la crittografia quando possibile.

Le tecniche malware fileless hanno cambiato le regole del gioco: eseguire semplicemente una scansione antivirus ed eliminare un eseguibile sospetto non è più sufficiente. Oggi, la difesa implica comprendere come gli aggressori sfruttano le vulnerabilità nascondendo il codice in memoria, nel Registro di sistema, in WMI o nel firmware, e implementando una combinazione di monitoraggio comportamentale, analisi in memoria, EDR/XDR, threat hunting e best practice. Ridurre realisticamente l'impatto Gli attacchi che, per loro natura, tentano di non lasciare traccia laddove le soluzioni più tradizionali sembrano più efficaci richiedono una strategia olistica e continuativa. In caso di compromissione, conoscere Riparare Windows dopo un virus grave è essenziale.