O que é um ataque Fileless?

Como o próprio nome diz: ataque fileless (ataque sem arquivo), trata-se de um ataque que burla o sistema de detecção de algumas soluções de antivírus do mercado, pois não irá copiar um PE (portable executable) para a unidade de disco.

O que isso significa?

Algumas soluções tradicionais do mercado ou do tipo Free, não possuem camada de prevenção, atuando somente com assinaturas de malwares já conhecidos, ainda que essa base seja constantemente atualizada, não terá a capacidade de barrar um ataque de um arquivo que não utiliza um executável para sua ação.

Os tipos mais comuns de fileless são também exploits e kits, que atuam diretamente nos programas em memória, alguns malwares resistentes no Register da máquina e códigos maliciosos contidos em URLs.

Atualmente existe uma infinidade de técnicas para comprometer o sistema nessa modalidade, algumas delas de forma legítima com um acesso de usuário da própria organização, uma vez que este não estabelece para as suas senhas padrões seguros.

Um exemplo de padrão seguro para senha: (números, letras maiúsculas e minúsculas, caracteres especiais e dupla autenticação).

“A Verizon em seu relatório ‘Data Breach Investigations Report’, aponta que 81% das violações de dados envolvia senhas fracas, padrão ou roubadas, que permitiu ao invasor acessar diretamente o sistema com o perfil do usuário e executasse as ações maliciosas sem ao menos ter baixado qualquer arquivo no sistema infectado.”

O que queremos dizer, quando utilizamos o termo prevenção?

Se já sabemos que os antivírus do tipo legacy são projetados para localizar assinaturas de malwares conhecidos e que os ataques sem arquivos não executam um malware, o antivírus nada irá detectar. Ainda que falássemos de AI (inteligência artificial) e machine learning (aprendizado de máquina), esses módulos utilizariam análises baseadas em comportamento e listas de bons processos, sendo o ataque sem arquivo um explorador de vulnerabilidades em aplicativos legítimos, nada seria detectado.

Isso vale para o módulo sandbox, uma vez que os ataques sem arquivos não usam arquivos PE, não há nada para ser detonado em rede ou micro virtualização.

Em resumo as técnicas tradicionais não são eficientes contra ataques do tipo fileless, para tal existe a necessidade de uma abordagem direta ao usuário final, após gerar um relatório de risco do seu comportamento e das aplicações deste endpoint.

Hoje a Inova CWB tem como principal fabricante o Bitdefender, sendo este o único que possui relatórios preventivos que detalham o comportamento do usuário, a vulnerabilidade de aplicações e scores de riscos desde a versão mais básica para o público corporativo. Munido dessas informações, regras de controle de acesso podem ser estabelecidas bem como padrões de senhas complexas, análise de aplicações e treinamentos específicos para a segurança da informação.

Hoje a Inova CWB fornece aos seus clientes de base toda a expertise e treinamento necessárias, para que políticas de segurança sejam definidas e que a equipe de TI (segurança da informação), seja capaz de administrar a plataforma integrada de segurança Bitdefender.

Na Inova CWB, você encontra soluções Bitdefender nas seguintes versões:

GravityZone Business Security

GravityZone Business Security Premium

GravityZone Business Security Enterprise

Verifique com um de nossos consultores, qual a melhor versão para o seu tipo de negócio.