Fileless: Por que o antivírus baseado em assinatura não é mais suficiente?
Durante anos várias empresas de antivírus vêm baseando seu negócio em soluções que procuram por determinados padrões pré-existentes, conhecidos como assinaturas, em arquivos para bloquear a execução de ameaças. Sempre que um novo vírus é identificado uma assinatura é criada e adicionada ao pacote de assinaturas do produto que é então distribuído aos clientes.
Este processo apresenta três pontos negativos principais. O primeiro é que, muito provavelmente, alguns clientes serão infectados antes que o novo vírus seja identificado, a nova assinatura criada e o pacote de assinaturas distribuído. O segundo problema é a distribuição do pacote de assinaturas em si. Enquanto o cliente não receber e instalar o pacote de assinaturas atualizado, ele estará vulnerável.
O terceiro problema, tópico deste artigo, são os malwares do tipo sem arquivo: fileless.
O que é fileless?
De forma simples e tendo como base o escopo deste artigo, um malware fileless é um código malicioso que reside na memória RAM do dispositivo. Ele se aproveita de processos legítimos para executar de forma silenciosa seu objetivo. Como não necessita baixar um arquivo, e por conseguinte não tem assinatura, não é detectado pela maioria dos antivírus tradicionais.
A maioria das infecções se inicia na visita a sites infectados ou que se passam por sites confiáveis. Quando o usuário visita um desses sites, um script reconhece alguma vulnerabilidade não corrigida no navegador ou em algum plugin instalado, como o Flash por exemplo. Identificada a vulnerabilidade, o processo de infecção se inicia com a transferência de um trecho de código para a memória RAM do dispositivo.
Para alcançar seus objetivos o malware se vale das permissões que a credencial do usuário possui e utiliza ferramentas confiáveis do sistema operacional como o PowerShell do Windows. Durante este processo, informações são trocadas com sites gerenciados pelos hackers, conhecidos como sites de comando e controle, seja para enviar os dados coletados, seja para receber instruções dos próximos passos.
A sequência do ataque pode se restringir a coleta de dados ou a infecção da máquina do usuário com um outro malware como um ransomware. O ataque pode também prosseguir com o chamado movimento lateral que consiste na tentativa de infectar ou coletar informações de outros dispositivos na rede valendo-se de vulnerabilidades não corrigidas, como por exemplo ataques RDP (remote desktop protocol), que muitas vezes não tem o acesso gerenciado adequadamente para dispositivos que estejam “atrás” do firewall.
É importante ressaltar que a infecção não vem só de visita a sites infectados. Scripts escondidos em planilhas, PDFs e documentos texto e links que chegam via e-mails ou rede sociais são outros meios de propagação utilizados.
Mas se eu desligar meu computador o malware fileless desaparece, correto? Lembra que citei alguns parágrafos acima a expressão “de forma simples”? Pois é. Por residirem na memória, muitos malwares serão removidos quando seu computador for desligado. Entretanto, muitos deles persistem deixando o menor rastro possível. Configuração de filtros no WMI (Windows Management Instrumentation) e chamadas em registros para abertura com ferramentas confiáveis de arquivos com extensões aleatórias via tarefas agendadas são algumas das formas de voltar a alocar trecho de código malicioso em memória burlando as ferramentas tradicionais de antivírus. Por isso, não basta reiniciar seu computador.
Qual é a situação atual?
Ataques fileless não são uma novidade, mas sua utilização pelos hackers vem crescendo. Um estudo do Ponemon de 2019 indica que 77% dos ataques contra empresa que obtiveram sucesso foram do tipo fileless. Outro estudo da Trend Micro indica um crescimento de 265% no número de ataques deste tipo em 2019 ante 2018.
E embora tenhamos citado bastante sobre como o fileless se propaga no Windows, este tipo de malware não está restrito ao sistema operacional da Microsoft. Por exemplo, em dezembro de 2019, pesquisadores descobriram um malware para MacOS desenvolvido pelo Lazarus Group que executava código remoto na memória.
Como se proteger?
A proteção consiste no uso de ferramentas de segurança adequadas, atualização constante dos programas e ferramentas utilizados, correta utilização de privilégios e, principalmente, informação (treinamento) aos profissionais que compõe o quadro da empresa.
Mantenha seus produtos atualizados – Mantenha seus sistemas operacionais, navegadores e outros softwares atualizados com os patches mais recentes dos fabricantes. Lembre-se que os ataques fileless acontecem pela exploração da vulnerabilidade nos softwares utilizados.
Utilize ferramentas de proteção de endpoint – Considere uma ferramenta que utilize inteligência artificial para monitoramento de seu endpoint. Se essa ferramenta puder combinar assinatura com inteligência artificial e se trabalhar em conjunto com outras ferramentas de segurança em sua rede, como seu firewall, certamente você terá ganhos expressivos em seu cenário.
Treine e eduque – O treinamento e conscientização dos funcionários são críticos. Os profissionais, independentemente de serem da área de TI, devem saber o que fazer – e o que não fazer –, como evitar o malware e como denunciá-lo.
Mantenha a execução automática de macros desabilitada no Office – A Microsoft alterou esta configuração, desabilitando a execução automática, em versões anteriores. Mantenha assim.
Restrinja o uso de ferramentas – Na medida do possível restrinja o uso de ferramentas que executem scripts pelo usuário. Seja removendo as ferramentas, seja aplicando restrições via privilégio. Alguns truques simples como configurar o sistema operacional para abrir arquivos .js no notepad, evitando que macros maliciosas sejam executadas pelo usuário com um duplo clique no arquivo, também podem ser aplicadas.
Cheque os anexos recebidos – Tenha certeza de que o arquivo que recebeu é realmente necessário e foi enviado de forma intencional pelo remetente. Os atacantes contam com a curiosidade do ser humano em abrir o arquivo.
Navegação segura – Caso seu software de endpoint ou seu firewall possuam um filtro de navegação segura, ative-o (se os dois possuírem ative os dois). As melhores ferramentas comparam os endereços que estão sendo visitados com bases que são atualizadas sistematicamente para identificar se aquele site é considerado seguro. Além disso, em um cenário corporativo podem ser utilizados para indicar ao funcionário que a navegação em determinados sites não está de acordo com a política de segurança da empresa ou com o código de ética e conduta. Aproveite e desabilite ou delete plugins desatualizados e/ou que não sejam estritamente necessários.
Links – Suspeite de links em sites ou recebidos por e-mail, SMS, mensagens de WhatsApp ou redes sociais, principalmente quando o endereço ou remetente parecer suspeito ou estranho.
Implemente uma política de mínimos privilégios – Use com critério e monitore o uso dos direitos de administrador. Revise constantemente quem tem o direito de administrador e se não for necessário remova.