I fileless malware – così denominati per la loro prerogativa di non lasciare file o tracce permanenti sull’hard disk dopo un loro attacco – furono rilasciati per la prima volta nel 2001, sotto forma del worm “Code Red”. Al tempo, l’attacco subìto fu determinante per 359.000 server web basati sul sistema IIS di Microsoft, dei quali il worm provocò il crash improvviso, esplicitatosi tramite la notifica “Welcome to http://www.worm.com ! Hacked by Chinese!” apparsa su tutte le homepage dei server infetti.
Tra il 2017 e il 2021 la minaccia da parte di queste tipologie di malware si è accresciuta notevolmente, lo afferma un’analisi sui trend e le tecniche di attacco malware condotta da Stormshield, azienda europea specializzata in cybersecurity.
Nel 2017, ad esempio, Equifax testimoniò il trapelare illecito di milioni di dati ai danni dei clienti dell’azienda a causa di un attacco di fileless malware, originatosi da una vulnerabilità di Apache Struts, un framework per applicazioni web in uso da Equifax. Nel 2018, invece, data la grande notorietà che il nome “fileless” oramai portava con sé, la piattaforma ransomware-as-a-service Grand Crab optò per includere il malware tra le sue tecniche di attacco, infettando oltre 50.000 computer in tutto il mondo.
Come agisce un fileless malware
I processi di attacco che sono generalmente osservabili prevedono tre fasi. Nella prima, i cybercriminali devono procurarsi un accesso iniziale, attraverso campagne di phishing e spear phishing. La seconda consiste nel rendere l’accesso permanente tramite il riavvio del computer, azione che consentirà di introdurre successivamente ulteriori malware. Il riavvio comporta la lettura di chiavi di registro legittime da parte delle applicazioni e la loro manipolazione, in modo che contengano un codice per scaricare ed eseguire un payload come parametro di PowerShell. Tuttavia, nonostante questo attacco sia privo di file, una traccia che lascia dietro di sé c’è: l’URL del payload. Questo URL deve dunque essere mascherato in modo che non venga riconosciuto quale indicatore di compromissione. Il terzo e ultimo passo consiste infine nel perpetrare l’effettivo furto di credenziali, l’esfiltrazione di dati o la creazione di una backdoor.
Come proteggersi da un malware non rilevabile?
Data la sua difficile rintracciabilità e uno specifico modus operandi non pienamente riconosciuto, è tuttavia possibile difendersi da una minaccia fileless? Siccome questi attacchi non sfruttano file caricati sul disco rigido, non possono essere rilevati da antivirus basati su meccanismi di rilevamento delle impronte dei file. Infatti, per contrastare il fileless malware sono stati introdotte nuove metodologie di rilevamento degli attacchi.
La più comune si basa sul meccanismo di firma dei file eseguibili di Windows, procedimento che renderebbe più difficile far avvenire una sostituzione del file in memoria (dopo che la firma è stata validata), facendo credere al sistema operativo che il file sostituito sia l’eseguibile originale o modificare l’applicazione alla fonte. Oppure si potrebbe pensare di perfezionare l’uso delle black list per contenere anche i pattern utilizzati, ad esempio stringhe di caratteri o comandi riconoscibili quali parte di un processo dannoso. In questo caso si parla di IOA, o “indicatori di attacco”.
Un’ultima strategia impiegabile è l’analisi comportamentale, che consentirebbe di monitorare le attività sospette e i cui meccanismi sono in grado di rilevare se un programma sta subendo un buffer overflow o l’iniezione di codici, o se l’utilizzo di un’applicazione avviene da parte di un utente che non dispone dei necessari privilegi.
Ma il tempo della fine dell’epoca fileless è ancora lontano, perché sempre nuove sono le tattiche di camuffamento sfruttate dai cybercriminali, che consentono loro di operare fuori dal radar degli strumenti di sicurezza. E l’emergere di attori specializzati nella fornitura di accesso iniziale (IAB, initial access brokers) suggerisce purtroppo che gli attacchi tramite fileless malware saranno sempre più diffusi in futuro.
Oggi più che mai, le aziende devono implementare strumenti per rilevare gli indicatori di attacco, lavorando al contempo sulla sensibilizzazione dei dipendenti verso l’importanza dell’igiene digitale.