Malware sin archivos - Ataques que no dejan archivos

Lectura de 2 min aprox.

El malware sin archivos es un término colectivo para el malware que se ejecuta directamente en la memoria sin escribir ningún archivo en el disco. El software antivirus tradicional detecta amenazas escaneando las firmas (patrones) de los archivos, pero como el malware sin archivos no deja ningún archivo que escanear, elude esta técnica de detección. Se disparó alrededor de 2017 y hoy en día muchos ataques dirigidos avanzados incorporan técnicas sin archivos.

La técnica Living off the Land (LOL)

En el corazón del malware sin archivos se encuentra una técnica llamada «Living off the Land». Como abusa de herramientas legítimas integradas en el sistema operativo, a los productos de seguridad les resulta difícil distinguir entre «operaciones administrativas normales» y «ataques».

El proyecto LOLBAS (Living Off The Land Binaries, Scripts and Libraries) cataloga sistemáticamente los binarios estándar de Windows que podrían ser abusados en ataques. Los equipos de seguridad consultan esta lista para priorizar qué procesos supervisar.

Por qué el antivirus tradicional no puede detectarlo

El antivirus tradicional funciona comparando los archivos del disco con una base de datos de firmas. Como el malware sin archivos solo opera en la memoria, no hay nada que escanear. Además, PowerShell y WMI son componentes legítimos del sistema operativo, y bloquear esos procesos por completo interrumpiría las operaciones del negocio. Este «abuso de herramientas legítimas» es la razón fundamental por la que el malware sin archivos es tan difícil de detectar.

Detección basada en el comportamiento con EDR

EDR (Endpoint Detection and Response) supervisa el comportamiento de los procesos en lugar de la presencia de archivos. Detecta patrones anómalos como PowerShell ejecutando un comando codificado en Base64, un proceso sospechoso iniciándose a través de WMI o un proceso que normalmente nunca se comunica conectándose a una IP externa, y emite alertas. Al combinar el análisis del comportamiento basado en aprendizaje automático, también puede hacer frente a ataques sin archivos desconocidos.

Ocultarse en el registro y las tareas programadas

Aunque el malware sin archivos «no escribe archivos», puede poseer mecanismos de persistencia para sobrevivir a los reinicios. Entre las técnicas representativas se encuentran escribir un comando de PowerShell codificado en la clave Run del registro de Windows, o registrar un script malicioso como tarea programada. Mediante suscripciones a eventos de WMI, se puede ejecutar código en memoria activado por condiciones específicas (inicio de sesión, hora, etc.). También se han confirmado técnicas avanzadas que ocultan estas mismas entradas de persistencia combinándose con un rootkit.

La importancia del análisis forense de memoria

En la investigación del malware sin archivos, el análisis forense de memoria es decisivamente importante dentro del análisis forense digital. Como no quedan rastros en el disco, no se puede comprender el alcance total de un ataque a menos que se capture y analice un volcado de la RAM. Con herramientas como Volatility Framework, se identifican los procesos sospechosos en memoria, el código inyectado y los destinos de conexión de red.

Reiniciar un dispositivo cuando ocurre un incidente borra todas las pruebas en memoria. Es esencial establecer firmemente el procedimiento de «primero capturar un volcado de memoria y luego responder» como paso inicial de la respuesta a incidentes. Los rastros del movimiento lateral también suelen quedar solo en memoria, por lo que, desde el punto de vista de la protección contra ransomware, también se requiere desarrollar una capacidad de análisis forense de memoria.

La seguridad de las extensiones del navegador también merece atención como vector de ataque relacionado con las técnicas sin archivos. libros sobre análisis de malware (Amazon) también se pueden encontrar allí.