Afinal de contas, que vírus é esse que se esconde na RAM? Calma, a gente explica!

Afinal de contas, que vírus é esse que se esconde na RAM? Calma, a gente explica!

dgb

Tradicionalmente associamos o funcionamento de um vírus com o despejar de arquivos maliciosos na unidade de armazenamento do dispositivo, e que a primeira alternativa para coibir o problema é contar que um software de segurança instalado faça o trabalho de “empurrar” o penetra para fora da festa. 

Mesmo sendo amplamente questionado se a sua eficiência é válida ou não, os antivírus ainda ocupam um papel importante na caçada de ameaças digitais. Porém uma coisa é certa, os cibercriminosos e suas ameaças se reinventam numa velocidade assombrosa, buscando caminhos alternativos que os softwares de segurança para o consumidor final, e até corporativo, não conseguem ir, e claro, contando com as velhas (mais funcionais) táticas de engenharia social no elo mais fraco da corrente da segurança: o ser humano.

Essa semana foi comprovado mais uma vez a grande capacidade do cibercrime em pensar fora da caixinha. Além do Ransomware, que está se tornando cada vez mais popular, que é um malware que encripta arquivos e pede um resgate para que as informações sejam devolvidas (no ano passado os ganhos do cibercime com essa ameaça ficou na casa dos US$ 850 milhões), há uma outra categoria de malware, que ainda não é tão conhecida do grande público, mas que está crescendo vertiginosamente: Fileless Malware. O malware sem arquivos. 

dfgb

Esse malware passa uma borracha naquela regrinha básica de mandar arquivos infectados para a unidade de armazenamento principal, como o HD ou um SSD, o que ele faz é ir na memória de acesso aleatório, a memória RAM, uma região que os scans dos antivírus não podem chegar. Ou até mesmo ficar escondido no kernel do sistema. 

Na quarta-feira noticiamos que os pesquisadores da Kaspersky Lab, que fazem um excelente trabalho na descoberta desses malwares mirabolantes, revelou que um malware fileless já infectou mais de 140 empresas em mais de 40 países, que inclui até o Brasil. Dessas 140 empresas, cerca de 40 são bancos (no Brasil 6 bancos já foram alvos do ataque), além instituições governamentais e de telecomunicações.

Assim como o Ransomware, malwares que não injetam arquivos no HD não são uma novidade, inclusive conceitos parecidos como o dos Rootkits, que se escondem no Kernel do sistema, existem há algum tempo. 

O primeiro fileless malware reportado oficialmente foi o Poweliks, descoberto em agosto de 2014 pela Symantec. Esse malware ficava escondido no registro do Windows, e mantinha a característica fileless, nenhum arquivo era armazenado no HD.

dgh

Enquanto o fileless malware que se esconde na RAM corre o risco de ser comprometido com a reinicialização do computador, já que a RAM é uma memória dinâmica, e na falta de energética elétrica os dados são apagados para que novos possam ser escritos, uma ameaça que se esconde no registro do sistema está imune a esse problema. O Poweliks explorava vulnerabilidades zero day para assumir o controle do computador. 

Assim como explica o pessoal da Heimidal Security no caso da variação do malware que se aloja na RAM há muitos cenários para que a ameaça possa entrar em ação. Um deles é pelo navegador web.

Está lembrando daquela briga para varrer o Adobe Flash Player dos navegadores, devido as inúmeras falhas de segurança que ele vinha apresentando? Então, falhas de segurança ou simplesmente utilizar uma versão desatualizada já poderia fazer com que um malware fileless entrasse em ação, já que ele iria explorar a falha e injetar payload, que é a parte do vírus que executa uma ação, diretamente no processo em execução na RAM.

No caso da nova ameaça descoberta pela Kaspersky, são utilizados scripts de PowerShell combinados ao código payload do Meterpreater. Está cresendo o uso de scripts maliciosos voltados para Powershell assim como as ameaças fileless. A Kaspersky diz que mais 70% das infecções detectadas utilizam esses scripts.

O principal objetivo desse novo fileless malware descoberto é o ganho financeiro, justamente por isso que a lista de bancos infectados só aumenta. Além de falhas nos servidores, a ameaça utiliza ferramentas para coletar senhas dos administradores do sistema, para então chegar aos computadores pessoais das empresas e roubar informações privilegiadas que permitissem a retirada de dinheiro em caixas eletrônicos.

A própria Kaspersky já foi vítima de um malware fileless. Em 2015 o Duqu 2.0 infectou os servidores da empresa de segurança russa, e de acordo com Eugene Kaspersky, CEO da companhia, o principal objetivo era espionar as tecnologias e as pesquisas em andamento, já que o laboratório é referência na caçada por novas ameaças.

Atualmente os malwares sem arquivo representam cerca de 15% dos ataques conhecidos. Dados de dezembro do ano passado da empresa de segurança Carbon Black revelam que a taxa de fileless malware entre os seus clientes saltou de 3% no início de 2016 para 13% em novembro.

30

Crescimeno dos ataques fileless que visam Powershell e WMI em 2016

Assim como o Ransomware, a tendência é que os fileless malwares aumentem em 2017. Brian Kenyon, diretor de estratégia da Symantec, diz que esse tipo de vírus é difícil de detectar e que eles se “esquivam” dos antivírus e de instruções convencionais.“Este tipo de ataque aumentou ao longo de 2016 e continuará a ganhar destaque e 2017, provavelmente em ataques voltados para Powershell, que pode executar scripts diretamente na memória”

Dicas de segurança para fileless malware:

Alguns pesquisadores de segurança recomendam certas práticas para a luta contra esse tipo de ameaça. Confira algumas delas abaixo:

– Mantenha o sistema operacional e demais softwares atualizados

– As empresas devem observar o tráfego inesperado de tunelamento da rede

– Observar o tráfego de saída

– Desabilitar o uso de Powershell em redes não utilizadas

– Investir em soluções de segurança com proteção contra ataques para Powershell, como o McAfee Applications Control


Siga o Hardware.com.br no Instagram

Sobre o Autor

Avatar de William R. Plaza
Editor-chefe no Hardware.com.br, aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Leia mais
Redes Sociais:

Deixe seu comentário

X