Afinal de contas, que vrus esse que se esconde na RAM?

Calma, a gente explica!

hardware.com.br/artigos/afinal-de-contas-que-virus-esse-que-se-esconde-na-ram-calma-gente-explica/

William R. Plaza criou 11/fev/2017 s 14h20

Introduo

Tradicionalmente associamos o funcionamento de um vrus com o despejar de arquivos maliciosos na unidade de

armazenamento do dispositivo, e que a primeira alternativa para coibir o problema contar que um software de
segurana instalado faa o trabalho de empurrar o penetra para fora da festa.

Mesmo sendo amplamente questionado se a sua eficincia vlida ou no, os antivrus ainda ocupam um papel
importante na caada de ameaas digitais. Porm uma coisa certa, os cibercriminosos e suas ameaas se
reinventam numa velocidade assombrosa, buscando caminhos alternativos que os softwares de segurana para o
consumidor final, e at corporativo, no conseguem ir, e claro, contando com as velhas (mais funcionais) tticas de
engenharia social no elo mais fraco da corrente da segurana: o ser humano.

Essa semana foi comprovado mais uma vez a grande capacidade do cibercrime em pensar fora da caixinha. Alm
do Ransomware, que est se tornando cada vez mais popular, que um malware que encripta arquivos e pede
um resgate para que as informaes sejam devolvidas (no ano passado os ganhos do cibercime com essa ameaa
ficou na casa dos US$ 850 milhes), h uma outra categoria de malware, que ainda no to conhecida do grande
pblico, mas que est crescendo vertiginosamente: Fileless Malware. O malware sem arquivos.

1/4
Esse malware passa uma borracha naquela regrinha bsica de mandar arquivos infectados para a unidade de
armazenamento principal, como o HD ou um SSD, o que ele faz ir na memria de acesso aleatrio, a memria
RAM, uma regio que os scans dos antivrus no podem chegar. Ou at mesmo ficar escondido no kernel do
sistema.

Na quarta-feira noticiamos que os pesquisadores da Kaspersky Lab, que fazem um excelente trabalho na
descoberta desses malwares mirabolantes, revelou que um malware fileless j infectou mais de 140 empresas em
mais de 40 pases, que inclui at o Brasil. Dessas 140 empresas, cerca de 40 so bancos (no Brasil 6 bancos j
foram alvos do ataque), alm instituies governamentais e de telecomunicaes.

Assim como o Ransomware, malwares que no injetam arquivos no HD no so uma novidade, inclusive conceitos
parecidos como o dos Rootkits, que se escondem no Kernel do sistema, existem h algum tempo.

O primeiro fileless malware reportado oficialmente foi o Poweliks, descoberto em agosto de 2014 pela Symantec.
Esse malware ficava escondido no registro do Windows, e mantinha a caracterstica fileless, nenhum arquivo era
armazenado no HD.

Enquanto o fileless malware que se esconde na RAM corre o risco de ser comprometido com a reinicializao do
computador, j que a RAM uma memria dinmica, e na falta de energtica eltrica os dados so apagados para
que novos possam ser escritos, uma ameaa que se esconde no registro do sistema est imune a esse problema.
O Poweliks explorava vulnerabilidades zero day para assumir o controle do computador.

Assim como explica o pessoal da Heimidal Security no caso da variao do malware que se aloja na RAM h
muitos cenrios para que a ameaa possa entrar em ao. Um deles pelo navegador web.

2/4
Est lembrando daquela briga para varrer o Adobe Flash Player dos navegadores, devido as inmeras falhas de
segurana que ele vinha apresentando? Ento, falhas de segurana ou simplesmente utilizar uma verso
desatualizada j poderia fazer com que um malware fileless entrasse em ao, j que ele iria explorar a falha e
injetar payload, que a parte do vrus que executa uma ao, diretamente no processo em execuo na RAM.

No caso da nova ameaa descoberta pela Kaspersky, so utilizados scripts de PowerShell combinados ao cdigo
payload do Meterpreater. Est cresendo o uso de scripts maliciosos voltados para Powershell assim como as
ameaas fileless. A Kaspersky diz que mais 70% das infeces detectadas utilizam esses scripts.

O principal objetivo desse novo fileless malware descoberto o ganho financeiro, justamente por isso que a lista
de bancos infectados s aumenta. Alm de falhas nos servidores, a ameaa utiliza ferramentas para coletar senhas
dos administradores do sistema, para ento chegar aos computadores pessoais das empresas e roubar
informaes privilegiadas que permitissem a retirada de dinheiro em caixas eletrnicos.

A prpria Kaspersky j foi vtima de um malware fileless. Em 2015 o Duqu 2.0 infectou os servidores da empresa
de segurana russa, e de acordo com Eugene Kaspersky, CEO da companhia, o principal objetivo era espionar as
tecnologias e as pesquisas em andamento, j que o laboratrio referncia na caada por novas ameaas.

Atualmente os malwares sem arquivo representam cerca de 15% dos ataques conhecidos. Dados de dezembro do
ano passado da empresa de segurana Carbon Black revelam que a taxa de fileless malware entre os seus
clientes saltou de 3% no incio de 2016 para 13% em novembro.

Crescimeno dos ataques fileless que visam Powershell e WMI em 2016

Assim como o Ransomware, a tendncia que os fileless malwares aumentem em 2017. Brian Kenyon, diretor de
estratgia da Symantec, diz que esse tipo de vrus difcil de detectar e que eles se "esquivam" dos antivrus e
de instrues convencionais.Este tipo de ataque aumentou ao longo de 2016 e continuar a ganhar destaque e
2017, provavelmente em ataques voltados para Powershell, que pode executar scripts diretamente na memria"

Dicas de segurana para fileless malware:

Alguns pesquisadores de segurana recomendam certas prticas para a luta contra esse tipo de ameaa. Confira
3/4
algumas delas abaixo:

- Mantenha o sistema operacional e demais softwares atualizados

- As empresas devem observar o trfego inesperado de tunelamento da rede

- Observar o trfego de sada

- Desabilitar o uso de Powershell em redes no utilizadas

- Investir em solues de segurana com proteo contra ataques para Powershell, como o McAfee Applications
Control

Por William R. Plaza. Revisado 11/fev/2017 s 14h20

4/4