Ataques cibernéticos estão avançando a uma velocidade sem precedentes. De acordo com levantamento da empresa de segurança cibernética McAfee, houve mais de quatro novas ameaças cibernéticas por segundo em 2016. É importante ressaltar também que os atacantes cibernéticos têm mudado suas táticas, técnicas e procedimentos, procurando evitar que soluções tradicionais de segurança, como endpoints e antimalwares, sejam capazes de detectar as ameaças. E por esse motivo, os ataques do tipo Fileless estão em constante crescimento.
Ataques Fileless utilizam técnicas evasivas que não necessitam de download de arquivos para o dispositivo da vítima. Uma pesquisa realizada pelo Instituto Ponemon mostra que 29% das tentativas de ataques utilizaram Fileless contra organizações em 2017. Esse número representa acréscimo de 9% quando comparado ao apurado no ano anterior e estima-se que esse índice alcance 35% em 2018. O estudo revela ainda que 77% dos ataques bem-sucedidos envolviam técnicas Fileless, e essa técnica potencializa em dez vezes as chances de sucesso quando comparado aos ataques tradicionais baseados em arquivos.
O sucesso desse tipo de ataque evidencia a existência de lacunas na abordagem de detecção dos endpoints tradicionais. Os ataques Fileless operam sem a necessidade de um arquivo malicioso, por exemplo, executáveis, scripts ou qualquer outro artefato malicioso salvo no disco de uma máquina/dispositivo, evitando assim sua detecção. Dessa forma, um Fileless não necessita que a vítima faça o download de um arquivo ou o copie para seu dispositivo por meio de pendrives, smartphones, Internet ou qualquer outro meio.
Embora o ataque Fileless dispense a instalação de arquivos para o ataque, um atacante pode utilizar arquivos para disparar o ataque Fileless, tais como abrir um PDF para leitura diretamente no navegador ou por meio de e-mail phishing com arquivo anexo. A interação com sites web pode ser outra forma de infecção se o site estiver comprometido com código malicioso. Ao assistir a um vídeo ou mesmo ao clicar em um link, podem ser executadas instruções para início de um ataque Fileless, que por sua vez inicia um novo processo para executar o código do atacante, que podem envolver roubo de dados, espionagem, instalação de scripts e modificação de registros para persistência do ataque. Manter a persistência de um ataque é interessante para o atacante, pois, como o Fileless é executado na memória principal do dispositivo, assim que ele for desligado o ataque também é terminado.
Os Fileless, como ataques de qualquer natureza, ocorrem sempre pela exploração de alguma vulnerabilidade existente, seja uma falha de tecnologia, de procedimento ou comportamental do usuário. As recomendações para evitá-los incluem garantir que o endpoint ou antimalware utilize uma proteção que empregue técnicas de heurística, análise comportamental em tempo real e mecanismos de aprendizado, manter o sistema operacional e aplicativos sempre atualizados, desativar a leitura de arquivos no navegador e desativar a utilização do Flash. Além disso, é importante que empresas estabeleçam programas de conscientização e treinamento para educação de usuários. Entre os temas mais importantes está o conhecimento de técnicas de phishing. Se a vítima souber reconhecer um phishing, o atacante nunca obterá sucesso.
Diego Sebastiany, analista de Segurança da Informação na Service IT Security.