Il malware senza file ha fatto notizia nell’ultimo anno, occupando un posto centrale come una delle categorie di minacce più importanti di oggi. Secondo Cisco , gli attacchi senza file erano la minaccia più comune contro gli endpoint nella prima metà del 2020. Per prevenire efficacemente questo tipo di malware, le organizzazioni devono stabilire una profonda comprensione di come funziona nella pratica.
L’ultimo articolo di Help Net Security dell’analista senior della sicurezza Marc Laliberte fa proprio questo. Seguendo la recente colonna ” Anatomia di un attacco endpoint ” di WatchGuard , l’articolo copre le nozioni di base sul malware senza file ed esplora un’infezione del mondo reale Il Threat Lab di WatchGuard ha interrotto le sue tracce. Ecco un breve estratto:
“Sebbene la maggior parte del malware senza file inizi con una qualche forma di file contagocce, esistono varianti più evasive che in realtà non richiedono un file. Queste istanze generalmente hanno origine in uno dei due modi, A) sfruttando una vulnerabilità di esecuzione di codice in un’applicazione o B) (e più comunemente) utilizzando credenziali rubate per abusare delle capacità di un’applicazione connessa alla rete per eseguire comandi di sistema.
WatchGuard Threat Lab ha recentemente identificato un’infezione in corso che utilizzava quest’ultima tecnica. Abbiamo esaminato un avviso generato tramite la console di ricerca delle minacce Panda AD360 e messo insieme indicatori e telemetria da un endpoint server nell’ambiente della potenziale vittima per identificare e porre rimedio alla minaccia prima che raggiungesse il suo obiettivo.
Questa particolare infezione aveva un punto di ingresso insolito: Microsoft SQL Server della vittima. Sebbene il ruolo principale di SQL Server sia archiviare i record di dati, include anche procedure in grado di eseguire comandi di sistema sul server sottostante. E mentre le best practice di Microsoft consigliano di utilizzare account di servizio con privilegi limitati, molti amministratori distribuiscono ancora SQL Server con account a livello di sistema elevato, dando libero sfogo all’applicazione database e a qualsiasi comando che esegue sul server.
Prima di iniziare l’attacco, l’attore della minaccia ha ottenuto le credenziali per l’accesso a SQL Server. Anche se non siamo sicuri di come li abbiano acquisiti, è probabile che sia stato tramite un’e-mail di spear phishing o semplicemente forzando la loro penetrazione attaccando credenziali deboli. Una volta che avevano accesso all’esecuzione dei comandi SQL, gli aggressori avevano alcune potenziali opzioni per avviare i comandi sul sistema sottostante. “
Leggi l’articolo completo qui per uno sguardo approfondito al malware senza file al di fuori della rete e alle best practice per prevenire questi attacchi. E non dimenticare di iscriverti a Secplicity oggi per le ultime notizie, analisi e strategie sulla sicurezza.
FONTE: https://www.secplicity.org/2021/01/07/understanding-fileless-malware-outside-the-network/
