Cosa sono i malware fileless lo sanno bene le aziende attaccate dal malware Rozena dal 2015 ad oggi. Invisibile perché non usa file per infettare, il malware fileless si sta evolvendo con proprietà simili ai worm. Ecco spiegato come agisce e come difendersi.

 

Come funzionano i malware fireless

I malware fileless sono silenziosi perché lavorano direttamente in memoria o nel registro. Possono dunque eliminare tutti i file salvati sul disco del sistema, salvare i dati crittografati nel registro e immettere codice nei processi in esecuzione.

I fileless non richiedono l’installazione di tool esterni perché possono sfruttare anche gli strumenti di Windows legittimi, nativi. Infatti, spesso utilizzano PowerShell, Windows Management Instrumentation o framework disponibili sul mercato per poter rendere impossibile individuare la minaccia.

Non è un attacco persistente, tanto da essere anche chiamato Advanced Volatile Threat (AVT).

Non è rilevabile, non si avverte la sua presenza nel sistema. In pochi attimi il malware fileless causa ogni specie di danno: furto di informazioni, portare malware aggiuntivi, accedere con i privilegi di amministrazione. Senza far scattare alcun allarme. 

 

Rozena e i fileless più comuni

Il caso di Rozena è esemplare. Rozena nasce come tipo particolare di trojan nel 2015 per poi subire un lungo periodo di stop. Rozena ricompare riveduto e affinato a marzo 2018: ora sfrutta tecniche fileless per creare un backdoor che stabilisce una connessione shell remota.

Inoltre, ora è più infido: può anche camuffarsi da icona di Microsoft Word per ingannare l’utente e credere che sia un file sicuro.

Rozena sfrutta script eseguiti mediante PowerShell e, oltre a non scrivere nessun codice sul disco, si avvale di ulteriori stratagemmi per mascherarsi. Grazie a questi, dopo la breccia inizia una connessione reverse_tcp verso il server gestito dall’hacker. L’esecuzione di PowerShell viene nascosta da sintassi come -noniNtE, -nOlOG, -NOpROFI, -windOwsTY HiddeN, -ExeCUTIonPOlic BypaSS.

Oltre Rozena, quali sono i più comuni malware fileless?

  • In-memory: caricano il proprio codice nella memoria e rimane dormiente finché non si accede a quel legittimo file di Windows.
  • Windows registry (Dual use tools): sfruttano tool del registro del sistema operativo Windows. Un esempio? La cache delle thumbnail Windows: Windows Explorer la utilizza per memorizzare le immagini mentre il malware la usa come meccanismo di persistenza.
  • Rootkit: si mascherano dietro l’interfaccia di programmazione di un’applicazione, a livello sia utente o sia kernel. In questo caso il malware è presente sul disco in modalità stealt.

 

Stop ad attacchi virali, spam, codici maligni

Ecco cosa possiamo fare per te!

 

Propagazione dei malware fileless

A febbraio 2017 Kaspersky Lab ha annunciato di aver scoperto misteriosi attacchi fileless ad alcune banche. I criminali usavano un malware residente in memoria per infettare le reti bancarie, prelevare denaro e sparire.

Le indagini Kaspersky avrebbero rilevato oltre 140 reti aziendali infette da script PowerShell dannosi nel registro. Il fatto eclatante è che è successo in breve tempo, in tutto il mondo, incluse banche, telecomunicazioni e organizzazioni governative.

I malware fileless evolvono molto rapidamente.  Infatti, le previsioni di WatchGuard Technologies sulla sicurezza per il 2019 confermano questa escalation.

Con il nuovo anno emergono anche i Vaporworms, malware fileless con caratteristiche simili ai worm. Questo significa che i malware fileless auto-propagarsi sfruttando le vulnerabilità del software.

 

Prevenire gli attacchi malware fileless

Per via delle loro innumerevoli varianti, è difficile trovare una soluzione univoca contro tutti i malware fileless. Tuttavia esistono degli accorgimenti molto utili:

  • utilizzare anti-malware a livello di endpoint e avere sempre patch aggiornate
  • non aprire l’allegato di una email sospetta
  • fare attenzione ai file che si scaricano
  • non accettare l’esecuzione di software su un sito web di dubbia integrità
  • mantenere i sistemi sempre aggiornati
  • destinare account con accessi standard agli utenti
  • verificare che vengano eseguiti script con firma digitale per impedire l’esecuzione di PowerShell pericolosi

 

L’approccio di difesa è divenuto molto più olistico e multi-metodo. Gli antivirus tradizionali sono ancora in grado di rilevare un file dannoso ma stanno finendo i tempi in cui codice dannoso e il sistema integro sono ben distinguibili.

Meglio farsi trovare prepararti per il nuovo anno!

 

 

Share This