Il malware fileless rappresenta un’altra minaccia alla sicurezza informatica per aziende e privati. Il malware fileless è più subdolo rispetto ad altre forme di codice malevolo in quanto può rimanere inosservato perché è basato sulla memoria RAM, non su file e può infiltrarsi su strumenti, software e applicazioni già integrati nei sistemi operativi per eseguire le proprie attività dannose. Inoltre non lascia tracce da rilevare per i prodotti antivirus che solitamente funzionano rilevando le tradizionali firme identificative di un malware.
Le fasi di un attacco
Un attacco malware fileless avviene solitamente in tre fasi.
- la compromissione iniziale del sistema tramite esecuzione di exploit da remoto, attacchi di tipo brute force, attacchi basati su script;
- la fase operativa tramite l’escalation dei privilegi e esecuzione del payload;
- la persistenza attraverso il posizionamento di script maligni nel registro di sistema, sfruttamento di strumenti legittimi e movimenti laterali tramite tool di accesso remoto ed esecuzione software.
Alcuni punti di accesso possibili
Di seguito sono riportati alcuni scenari in cui il malware fileless può utilizzare software e applicazioni di sistema come punti di accesso:
- E-mail di phishing, download e collegamenti apparentemente legittimi possono essere utilizzati come punti di accesso.
- Il codice dannoso può essere iniettato in applicazioni affidabili già installate, che possono quindi essere manipolate ed eseguite. In particolare il malware fileless può prendere il controllo di applicazioni native e legittime quali WMI e Microsoft Powershell riconosciute dai programmi di sicurezza come lecite. Inoltre Microsoft PowerShell, può essere impiegato anche per diffondere infezioni tramite movimenti laterali sulla stessa rete;
- Gli attaccanti possono anche creare siti Web fraudolenti progettati per apparire come pagine aziendali legittime. Quando gli utenti visitano queste pagine, del codice malevolo potrebbe essere eseguito nella memoria del browser.
Modalità di iniezione
Ecco alcune modalità di iniezione di un malware fileless:
- La manipolazione del registro di Windows attraverso l’uso di un file o un collegamento dannoso che tramite un normale processo di Windows scrive ed esegue codice fileless sul registro;
- L’iniezione di codice in memoria attraverso tecniche di occultamento del codice nella memoria di applicazioni legittime. Il malware durante l’esecuzione di processi critici per l’attività di Windows si distribuisce e inserisce in tali processi, sfruttando vulnerabilità note di browser e programmi.
- Le tecniche basate su script Powershell che possono essere difficili da rilevare.
Possibili modi di protezione
Gli attacchi malware unfileless utilizzano come detto la scrittura su RAM piuttosto che su disco sfruttando i comandi eseguiti da programmi predefiniti e considerati sicuri. Pertanto il rilevamento risulta la sfida principale da vincere. Anche se questo è vero, comunque i malware fileless, non sono completamente immuni all’analisi. È possibile adottare delle soluzioni di rilevamento che si basano piuttosto sul monitoraggio continuo e in tempo reale di fattori collaterali quali traffico di rete e attività insolite ad opera di programmi legittimi oltre che sull’analisi e la protezione della memoria.
Ma anche delle buone pratiche basiche possono rilevarsi fondamentali per la sicurezza. Queste includono:
