Os ataques file-less conseguem ocultar-se dos antivírus tradicionais. Este malware toma vantagem das vulnerabilidades existentes em cada computador e utiliza ferramentas comuns do sistema. Através do Behavioral Guard que faz parte do SandBlast Agent, a Check Point conseguiu detetar os ataques e encontrar como combatê-los antes que causem danos.
O que são os ataques File-less?
Os ataques com o malware file-less têm vindo a aumentar. Como resultado, muito tem sido escrito sobre a esta forma sofisticada de atacar. Este novo género de ameaça tem a capacidade de esquivar-se dos antivírus tradicionais devido a não se precisar de uma instalação de malware no dispositivo da vítima para o infetar.
Em vez disso, tomam vantagem das vulnerabilidades existentes em cada computador e utilizam ferramentas comuns do sistema, como o Windows Management Instrumentation (WMI) ou o PowerShell para inserir o código malicioso em processos que normalmente são seguros e de confiança.
Num dos casos mais recentes, o ataque consistia em infetar os computadores corporativos através da execução de ordens no sistema Windows. Isto foi feito ao criar um objeto permanente de WMI Event Consumer o qual fazia funcionar o PowerShell, um processo de confiança e assinado pela Microsoft que já está disponível em todos os sistemas operativos Windows. Este ataque está dentro do sistema sem um ficheiro escrito no disco e sem qualquer processo malicioso ou ilegítimo a funcionar no sistema operativo.
No entanto, os cibercriminosos estão a utilizar cada vez mais códigos por que são mais rápidos e fáceis de produzir em grande escala do que os malware em arquivos. Para além de serem mais fáceis de produzir, também criam mais dificuldades para os fornecedores de segurança.
O Behavioral Guard do SandBlast Agent deteta os ataques file-less
O Behavioral Guard demonstrou ser eficaz ao aumentar a deteção contra o malware file-less. Este é um mecanismo que deteta comportamentos e atua contra os ataques. Ao detetar um comportamento malicioso, recolhe informações forenses e identifica de forma única o comportamento do malware desconhecido e o classifica na família de malware correta. Esta proteção tem a capacidade de se adaptar à evolução dos malware ao longo do tempo e pode ser utilizada para detetar e prevenir inúmeros géneros de ataques, incluído aqueles que utilizam ferramentas legítimas de forma maliciosa.
Numa era em que os ataques file-less se tornam cada vez mais comuns é importante que as empresas entendam a natureza deste género de ataques e o quão complicado é para os antivírus tradicionais o detetarem. Na realidade, as proteções tradicionais de endpoint não conseguem atuar contra estes métodos sofisticados que são resistentes a estes produtos e até mesmo dos ‘Antivírus da próxima geração (NGAV)’.
Comentários