Fileless malware: ¿qué es esta amenaza de seguridad?
El malware cada vez es más sofisticado, y GNU/Linux no es del todo inmune a este tipo de amenazas. De hecho, cada vez se detectan más códigos maliciosos que afectan a este sistema operativo. Por tanto, no hay que caer en el error de pensar que es un sistema invulnerable y que estás completamente a salvo, ya que sería una temeridad…
Las amenazas de ciberseguridad cada vez son más extrañas, y ahora te mostraré de una que lleva un tiempo preocupando y que tal vez no conocías. Se trata del malware fileless, es decir, un nuevo tipo de código malicioso que no necesita ficheros para infectar. Y así lo ha alertado el centro de investigación de seguridad Alien Labs de AT&T. Además, advierten de que los ciberdelincuentes cada vez lo están empleando más contra máquinas Linux, aunque inicialmente se ha venido usando en Windows.
¿Qué es el malware fileless o sin archivos?
A diferencia de un malware convencional, que aprovecha ficheros ejecutables para infectar sistemas, en el fileless no se depende de dichos ficheros para realizar la infección. Por eso, puede ser un tipo de ataque algo más sigiloso que se centra en los procesos confiables cargados en la RAM para aprovecharse de ellos y ejecutar el código malicioso.
Este tipo de malware se usa habitualmente para cifrar o para filtrar datos confidenciales y transferirlos directamente al atacante de forma remota. Y lo peor es que no dejan rastros en los sistemas infectados, ejecutándose todo en la memoria principal sin necesidad de presencia de ficheros en el disco duro que puedan ser detectados por herramientas antimalware. Además, al reiniciar o apagar el sistema, todo el código malicioso desaparece, pero ya se ha hecho el daño…
Este tipo de amenazas se llaman AVT (Advanced Volatile Threat) precisamente por cómo se funciona.Quizás no sea tan persistente por sus características, pero puede ser bastante peligroso en servidores y otros dispositivos que no se suelen apagar o reiniciar, donde puede ejecutarse durante largos periodos de tiempo.
¿Cómo funciona este malware?
Pues bien, para infectar un sistema, el malware fileless realiza varios pasos:
- Se infecta el sistema mediante la explotación de alguna vulnerabilidad o error del usuario. Ya sea por vulnerabilidades del software usado, por phishing, etc.
- Una vez se infecta, lo siguiente es modificar un proceso de los que se están ejecutando en la memoria actualmente. Para eso empleará una llamada al sistema o syscall como ptrace() en Linux.
- Ahora es el momento en el que se inserta el código malicioso o malware en la RAM, sin necesidad de escribir en el disco duro. Eso se logra explotando desbordamiento de buffer, sobrescribiendo ubicaciones de memoria adyacentes al proceso manipulado.
- Se ejecuta el código maligno y se compromete al sistema, sea del tipo que sea. Por lo general, estos tipos de malware aprovechan intérpretes de lenguajes como Python, Perl, etc., para ejecutarse, ya que están escritos en dichos lenguajes.
¿Cómo protegerme del malware?
El mejor consejo es el sentido común. Por supuesto, contar con sistemas de seguridad proactivos, aislamiento, backups de datos críticos, etc., te ayudará a que las amenazas no generen daños mayores. En cuanto a la prevención, pues pasaría por hacer lo mismo que para otras amenazas:
- Actualizar el sistema operativo y software instalado con los últimos parches de seguridad.
- Desinstalar aplicaciones/servicios que no se necesiten.
- Restringir los privilegios.
- Comprobar los logs del sistema con frecuencia y monitorizar el tráfico de red.
- Usa contraseñas robustas.
- No descargues de fuentes poco fiables.