Alerta por malware sin archivos para sistemas informáticos

Alguna vez quienes utilizan computadoras o sistemas informáticos por cualquier motivo escucharon o leyeron acerca de la existencia de los malware. Término que usualmente es confundido con lo que se denomina un virus informático. Pero aunque no son lo mismo sí son familiares muy cercanos por lo cual la confusión es altamente aceptada.

Para que se entienda, un malware es un software escrito específicamente para dañar, infectar un sistema host, que no es otra cosa que un anfitrión, y que se refiere, por ejemplo, a las computadoras u otros dispositivos como tablets, teléfonos móviles, conectados a una red de Internet.

Ahora bien, un virus es un tipo específico de malware por sí mismo. Es una pieza contagiosa de código que infecta a otro software en el sistema host y se propaga una vez que se ejecuta. 

Por eso es que en términos generales se llama malware, del inglés malicious software, también como programa malicioso, programa maligno, badware, código maligno, software maligno, software dañino o software malintencionado a cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario.​

Pero en general todos han asociado al malware con algún archivo que se descarga y se ejecuta de forma desparecibida. Si bien este concepto no está del todo equivocado, la realidad es que también se puede encontrar con malware que no requiere de ningún archivo en el sistema para realizar su actividad maliciosa. Este tipo de amenaza se conoce como fileless malware, un concepto que no es nuevo y que ha estado en uso desde principios de la década del 2000.

Comprensión del malware sin archivos fuera de la red

El malware sin archivos ha estado en los títulos de medios especializados en tecnologías digitales durante el último año, ocupando un lugar central como una de las categorías de amenazas más destacadas de la actualidad. Según Cisco, los ataques sin archivos fueron la amenaza más común dirigida a los puntos finales en la primera mitad de 2020. 

Para prevenir este tipo de malware de manera efectiva, las organizaciones deben establecer un conocimiento profundo de cómo funciona en la práctica.

El último artículo de Help Net Security del Analista Senior de Seguridad de WatchGuard Technologies, Marc Laliberte, hace precisamente eso. Como continuación de la reciente columna "Anatomía de un ataque de endpoint" de WatchGuard, el artículo cubre los conceptos básicos del malware sin archivos y explora una infección del mundo real. El laboratorio de amenazas de WatchGuard se detuvo en seco. 

Aquí un breve extracto para entenderlo:

“Aunque la mayoría del malware sin archivos comienza con algún tipo de archivo de cuentagotas, existen variantes más evasivas que realmente no requieren un archivo. Estas instancias generalmente se originan en una de dos formas, ya sea A) explotando una vulnerabilidad de ejecución de código en una aplicación o B) (y más comúnmente) usando credenciales robadas para abusar de las capacidades de una aplicación conectada a la red para ejecutar comandos del sistema.

WatchGuard Threat Lab identificó recientemente una infección en curso que utilizó esta última técnica. Investigamos una alerta generada a través de la consola de búsqueda de amenazas Panda AD360 y reunimos indicadores y telemetría desde un servidor en el entorno de la posible víctima para identificar y remediar la amenaza antes de que lograra su objetivo.

Esta infección en particular tenía un punto de entrada poco común: el Microsoft SQL Server de la víctima. Si bien la función principal de SQL Server es almacenar registros de datos, también incluye procedimientos capaces de ejecutar comandos del sistema en el servidor subyacente. Y aunque las mejores prácticas de Microsoft recomiendan el uso de cuentas de servicio con privilegios limitados, muchos administradores aún implementan SQL Server con cuentas de nivel de sistema elevadas, lo que permite que la aplicación de base de datos y cualquier comando que ejecute reinen libremente sobre el servidor.

Antes de iniciar el ataque, el actor de la amenaza obtuvo credenciales para acceder a SQL Server. Si bien no estamos seguros de cómo los adquirieron, es probable que haya sido a través de un correo electrónico de phishing o simplemente mediante la fuerza bruta para atacar credenciales débiles. Una vez que tuvieron acceso a la ejecución de comandos SQL, los atacantes tenían algunas opciones potenciales para ejecutar comandos en el sistema subyacente ".

En definitiva, los ataques de fileless malware hacen uso de herramientas y procesos propios del sistema operativo mediante una técnica conocida como “Living off the Land” o “Viviendo de la Tierra”, que le permiten llevar adelante su actividad maliciosa utilizando elementos preinstalados y sin droppear ejecutables adicionales en el sistema de la víctima. Dicho de otra forma, utiliza funcionalidades del sistema operativo en contra del propio usuario. Esto dificulta su detección, ya que el código malicioso se ejecuta a través de procesos legítimos.