El malware sin archivos aprovecha exploits para ejecutar comandos maliciosos o ejecutar scripts directamente desde la memoria utilizando herramientas legítimas del sistema como Windows Powershell. Code Red y SQL Slammer fueron los pioneros del malware sin archivos que datan de principios de la década de 2000. Actualmente, este tipo de malware está aumentando una vez más.



La charla de la ciudad durante la primera mitad del año en la comunidad de Seguridad Cibernética es el término ataque "sin archivos". Es una técnica de ataque que no requiere descargar ni arrojar archivos maliciosos al sistema para ejecutar su comportamiento malicioso, sino que aprovecha los exploits para ejecutar comandos maliciosos o ejecutar scripts directamente desde la memoria a través de herramientas legítimas del sistema. De hecho, ataques como los gusanos Code Red y SQL Slammer a principios de la década de 2000 no se guardan en ningún disco sino que almacenan su código malicioso únicamente en la memoria.

Sin embargo, el término "sin archivos" también puede ser un nombre inapropiado ya que existen ataques que pueden implicar la presencia de archivos en la computadora, como la apertura de archivos adjuntos de correos electrónicos no deseados. Una vez ejecutado, aún puede guardar un archivo en el disco y luego usar técnicas sin archivos para reunir información en el sistema y propagar la infección a través de la red. Estas técnicas pueden ser en forma de exploits e inyecciones de código para ejecutar código malicioso directamente en la memoria, almacenar scripts en el registro y ejecutar comandos a través de herramientas legítimas. Solo en 2017, el 13% del malware recopilado utiliza PowerShell para comprometer el sistema.
Las herramientas legítimas del sistema como PowerShell e Instrumental de administración de Windows están siendo objeto de abuso por actividades maliciosas, ya que estas son todas las herramientas integradas que se ejecutan en el sistema operativo Windows. Una familia de malware conocida que usa PowerShell para descargar y ejecutar archivos maliciosos es el descargador de Emotet.
Incluso hay malwares antiguos que cambiaron su técnica y ahora usan ataques sin archivos. Estos malwares pretenden ser más efectivos en términos de infectar máquinas y evitar la detección como Rozena.
Rozena es un programa malicioso de puerta trasera capaz de abrir una conexión de shell remota que conduce al autor del malware. Una conexión exitosa con el autor del malware genera numerosas preocupaciones de seguridad no solo para la máquina afectada, sino también para otras computadoras conectadas en su red.
Esto se vio por primera vez en 2015 y reapareció en marzo de 2018. El viejo y nuevo malware Rozena todavía se dirige a los sistemas operativos Microsoft Windows, pero lo que marcó la diferencia es la nueva adaptación a la técnica sin archivos que utiliza scripts de PowerShell para ejecutar su intención maliciosa. . Una encuesta realizada por Barkly y el Ponemon Institute, que encuestó a 665 líderes de TI y seguridad, descubrió que los ataques sin archivos tienen una probabilidad 10 veces mayor de tener éxito que los ataques basados ​​en archivos. Esta podría ser la razón probable por la que los autores de malware siguen el camino sin archivos.

Más información: https://www.gdatasoftware.com/blog/2018/06/30862-fileless-malware-rozena