Un attacco malware senza file è un tipo di attacco dannoso che un hacker può utilizzare per sfruttare le applicazioni già installate in un computer. A differenza di altri attacchi malware in cui il software viene installato inconsapevolmente sul dispositivo dell'utente, gli attacchi malware senza file utilizzano applicazioni già installate che si ritiene siano sicure. Pertanto, gli attacchi di malware senza file non devono installare software o file dannosi per avviare un attacco.
Un attacco malware senza file può iniziare con un'azione avviata dall'utente, come fare clic su un banner pubblicitario che apre un reindirizzamento per accedere a Flash, che quindi utilizza altre applicazioni sul dispositivo. Gli attacchi malware senza file esistono nella RAM di un dispositivo e in genere accedono e iniettano codice dannoso negli strumenti di Windows predefiniti, come PowerShell e Strumentazione gestione Windows (WMI). Queste applicazioni affidabili possono eseguire attività di sistema per più endpoint, il che le rende obiettivi ideali per attacchi di malware senza file. Ad esempio, la violazione di Equifax è stata eseguita con un attacco malware senza file utilizzando l'applicazione Apache Struts.
Gli attacchi di malware senza file sono in genere molto difficili da prevenire e rilevare, poiché il malware senza file non richiede il download di alcun file. Senza una firma rilevabile, può bypassare l'efficacia di alcuni servizi di protezione antimalware o whitelist.
Come prevenire e rilevare attacchi malware senza file
Anche se gli attacchi di malware senza file sono difficili da prevenire e rilevare, lasciano alcune tracce rilevabili. Una di queste tracce include una compromissione nella memoria di sistema di un dispositivo. È inoltre necessario monitorare i modelli di rete per cercare il dispositivo che si connette ai server botnet. Alcuni software antivirus come McAfee forniscono analisi del comportamento in grado di rilevare quando un'applicazione viene eseguita contemporaneamente a un'applicazione come PowerShell. Il servizio può quindi mettere in quarantena le applicazioni o chiuderle.
Se un attacco malware senza file accede a Microsoft Office, gli utenti possono disattivare le funzionalità macro. Nei browser Web, gli utenti possono disattivare le esecuzioni JavaScript per prevenire gli attacchi; tuttavia, è probabile che ciò impedisca alla maggior parte dei siti Web di funzionare correttamente.
Best Practices
Alcune best practice per evitare attacchi di malware senza file includono:
- Protezione degli endpoint di sistema.
- Monitoraggio dell'applicazione e del traffico di rete.
- Disinstallazione di applicazioni inutilizzate o non critiche.
- Disattivazione di tutte le funzionalità dell'applicazione non necessarie.
- Una volta che un attacco è noto, modificare le password di sistema.
- Il riavvio del dispositivo endpoint interromperà una violazione poiché il dispositivo conserverà i dati nella RAM solo quando il dispositivo è acceso.