Crecen los ataques sin archivos infectados

Evaden los antivirus

Vero Rodríguez

Ciberataque

27 de septiembre de 2018, 11:07 | Actualizado a

Ciberataque

El experto en ciberseguridad Check Point ha alertado sobre el crecimiento en los últimos meses de los ataques de malware que no utilizan archivos infectados, sino que aprovechan vulnerabilidades del sistema de los dispositivos. El gran peligro de esta forma de ataque cada vez más extendida es que consigue evadir las soluciones antivirus tradicionales, al no necesitar instalar nada para infectar el ordenador de la víctima.

Según explica Check Point, para llevar a cabo este tipo de ataques, los ciberdelincuentes usan herramientas de sistema comunes, como Windows Management Instrumentation (WMI) o PowerShell, mediante los que inyectan código malicioso en procesos que normalmente son seguros. Entre los últimos casos estudiados por los investigadores, por ejemplo, figura un ataque dirigido a infectar ordenadores corporativos mediante la ejecución de órdenes ocultas en segundo plano en Windows, sin utilizar ningún tipo de software. Para ello, los atacantes crearon un objeto WMI Event Consumer permanente que ejecutase un PowerShell, un proceso seguro de Microsoft que está disponible en todos los sistemas operativos Windows. Como destaca Check Point, este ataque penetra así en el sistema sin necesitar archivos y sin procesos maliciosos o ilegítimos que ejecutar.

En este sentido, parece que los lenguajes script son ahora los preferidos de los ciberdelincuentes, debido a que, por un lado, son más rápidos y fáciles de producir a gran escala que el malware basado en archivos y, por otro, plantean más dificultades a los proveedores de seguridad. En el informe sobre Scripting de Check Point puedes ver de forma detallada las secuencias de comandos utilizadas.

Puesto que eliminar las herramientas de scripting no es posible para la mayoría de administradores de sistemas, ya que las necesitan en su trabajo diario, Check Point recomienda la utilización de métodos inteligentes para diferenciar los scripts maliciosos de los benignos. Disponer de una buena herramienta forense, según el experto, no es suficiente. De hecho, las protecciones endpoint clásicas son inútiles contra métodos tan sofisticados, e incluso las llamadas soluciones antivirus de próxima generación (NGAV) son incapaces de identificar estos ataques altamente evasivos. Se necesitan herramientas proactivas que puedan reaccionar con rapidez y bloquear los ataques antes de que avancen.

La propuesta de Check Point para lograrlo es el motor de detección de comportamientos (Behavioral Guard) incluido en la solución SandBlast Agent. Este motor actúa contra todas las formas de ataques y aprovecha las técnicas forenses para identificar de forma efectiva el malware desconocido y clasificarlo con precisión.

Loading...