Fileless: a ameaça silenciosa

0

Ataques cibernéticos estão avançando a uma velocidade sem precedentes. De acordo com levantamento da empresa de segurança cibernética McAfee, houve mais de quatro novas ameaças cibernéticas por segundo em 2016. É importante ressaltar também que os atacantes cibernéticos têm mudado suas táticas, técnicas e procedimentos, procurando evitar que soluções tradicionais de segurança, como endpoints e antimalwares, sejam capazes de detectar as ameaças. E por esse motivo, os ataques do tipo Fileless estão em constante crescimento.

Ataques Fileless utilizam técnicas evasivas que não necessitam de download de arquivos para o dispositivo da vítima. Uma pesquisa realizada pelo Instituto Ponemon mostra que 29% das tentativas de ataques utilizaram Fileless contra organizações em 2017. Esse número representa acréscimo de 9% quando comparado ao apurado no ano anterior e estima-se que esse índice alcance 35% em 2018. O estudo revela ainda que 77% dos ataques bem-sucedidos envolviam técnicas Fileless, e essa técnica potencializa em dez vezes as chances de sucesso quando comparado aos ataques tradicionais baseados em arquivos.

O sucesso desse tipo de ataque evidencia a existência de lacunas na abordagem de detecção dos endpoints tradicionais. Os ataques Fileless operam sem a necessidade de um arquivo malicioso, por exemplo, executáveis, scripts ou qualquer outro artefato malicioso salvo no disco de uma máquina/dispositivo, evitando assim sua detecção. Dessa forma, um Fileless não necessita que a vítima faça o download de um arquivo ou o copie para seu dispositivo por meio de pendrives, smartphones, Internet ou qualquer outro meio.

Embora o ataque Fileless dispense a instalação de arquivos para o ataque, um atacante pode utilizar arquivos para disparar o ataque Fileless, tais como abrir um PDF para leitura diretamente no navegador ou por meio de e-mail phishing com arquivo anexo. A interação com sites web pode ser outra forma de infecção se o site estiver comprometido com código malicioso. Ao assistir a um vídeo ou mesmo ao clicar em um link, podem ser executadas instruções para início de um ataque Fileless, que por sua vez inicia um novo processo para executar o código do atacante, que podem envolver roubo de dados, espionagem, instalação de scripts e modificação de registros para persistência do ataque. Manter a persistência de um ataque é interessante para o atacante, pois, como o Fileless é executado na memória principal do dispositivo, assim que ele for desligado o ataque também é terminado.

Os Fileless, como ataques de qualquer natureza, ocorrem sempre pela exploração de alguma vulnerabilidade existente, seja uma falha de tecnologia, de procedimento ou comportamental do usuário. As recomendações para evitá-los incluem garantir que o endpoint ou antimalware utilize uma proteção que empregue técnicas de heurística, análise comportamental em tempo real e mecanismos de aprendizado, manter o sistema operacional e aplicativos sempre atualizados, desativar a leitura de arquivos no navegador e desativar a utilização do Flash. Além disso, é importante que empresas estabeleçam programas de conscientização e treinamento para educação de usuários. Entre os temas mais importantes está o conhecimento de técnicas de phishing. Se a vítima souber reconhecer um phishing, o atacante nunca obterá sucesso.

Diego Sebastiany, analista de Segurança da Informação na Service IT Security.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.