Qué aprenderá en este artículo
- El malware sin carga útil suele recurrir a herramientas integradas, scripts, la memoria o la ingeniería social, en lugar de la distribución obvia basada en archivos.
- Estos ataques son más difíciles de detectar, ya que es posible que no incluyan un archivo adjunto malicioso ni una carga maliciosa visible.
- Entre los ejemplos más habituales se encuentran el fraude por parte del director general, la suplantación de identidad de proveedores y las solicitudes para obtener credenciales.
- Para protegerse contra el malware sin carga útil es necesario contar con una detección basada en el comportamiento, controles de identidad más rigurosos y una mayor visibilidad del correo electrónico, los terminales y la actividad de los usuarios.
- Los equipos de seguridad deben investigar estos ataques correlacionando las señales procedentes del correo electrónico, la identidad, los terminales y el contexto de las comunicaciones.
No todos los ciberataques comienzan con un archivo adjunto malicioso o con una carga útil evidente basada en un archivo. Algunos ataques se valen de herramientas de « » de confianza, mensajes de apariencia normal y el comportamiento de los usuarios para avanzar sin dejar rastros evidentes.
Por eso es tan importante comprender los ataques sin carga útil. Pueden integrarse en los flujos de trabajo habituales, eludir los patrones tradicionales de malware y presionar a los usuarios para que realicen acciones peligrosas sin que parezca en ningún momento un ataque de malware convencional.
¿Qué son los ataques sin carga útil?
Los ataques sin carga útil son actividades maliciosas que no dependen de la inserción de una carga útil tradicional basada en archivos ni de la ejecuci , tal y como suele hacerse. Eso no significa que no haya código ni comandos de por medio. Esto significa que, a menudo, el atacante evita los indicios evidentes en los archivos que el malware tradicional y el software antivirus están diseñados para detectar. En cambio, el malware « » sin carga útil puede recurrir a herramientas integradas, a la ejecución de scripts maliciosos, a comportamientos residentes en memoria, al contenido de los correos electrónicos, a las sesiones de del navegador o a la ingeniería social.
Esta es una de las principales diferencias entre el malware sin carga útil y el malware tradicional de tipo « ». El malware tradicional suele basarse en una carga maliciosa reconocible, un archivo ejecutable sospechoso o un archivo adjunto malicioso de tipo « ». Los ataques de malware sin carga útil reducen la dependencia de esos artefactos visibles y, en su lugar, utilizan procesos de confianza, herramientas nativas de y flujos de trabajo de apariencia normal para llevar a cabo actividades maliciosas. En muchos casos, el ataque se asemeja menos a un ataque de malware clásico y más a una comunicación empresarial habitual o a un comportamiento normal del sistema.
Ejemplos habituales de ataques sin carga útil
Estos ataques suelen tener éxito al integrarse en flujos de trabajo de confianza o en comunicaciones rutinarias, en lugar de parecer mente maliciosos. Algunos ejemplos habituales ilustran cómo puede funcionar en la práctica la actividad sin carga útil:
- Fraude del «CEO»: Aparece un mensaje que parece proceder de un alto directivo y que presiona al destinatario para que actúe con rapidez; a menudo sin enlaces ni archivos adjuntos.
- Suplantación de identidad de un proveedor: un atacante se hace pasar por un proveedor conocido y solicita cambios en los pagos o datos bancarios actualizados .
- Solicitudes para obtener credenciales: El atacante se hace pasar por un miembro del departamento de TI, de RR. HH. u otra función de confianza y pide al usuario que comparta directamente contraseñas, códigos de autenticación multifactorial (MFA) o información confidencial.
Estos ejemplos son importantes porque el ataque podría tener éxito incluso sin un enlace malicioso, una carga útil insertada o un exploit técnico evidente de tipo « ». En muchos casos, el arma verdadera es el propio mensaje.
Cómo funcionan los ataques sin carga útil
Los ataques sin carga útil suelen comenzar con un mensaje, una solicitud o una acción del sistema que parece rutinaria. La entrega puede ser sencilla, pero es en las actividades posteriores donde se producen los problemas.
Uso indebido de scripts nativos y herramientas del sistema
Los atacantes pueden hacer un uso indebido de PowerShell o Windows PowerShell para ejecutar comandos sin necesidad de recurrir a un archivo descargado de forma tradicional. Pueden utilizar un script de PowerShell u otro código malicioso a través de procesos del sistema de confianza, lo que puede hacer que la actividad parezca menos sospechosa que una infección clásica por malware. Algunos ataques también recurren a la ejecución de scripts, a actividades de « » residentes en memoria o a LOLBins para ejecutar comandos, desplazarse lateralmente o facilitar el acceso remoto, dejando tras de sí menos rastros evidentes basados en archivos.
Actividad relacionada con el navegador, los documentos y las sesiones
El malware sin carga útil también puede incluir macros maliciosas en documentos, sesiones activas del navegador o actividades web de confianza que ayudan al atacante a avanzar en el ataque. En otros casos, el ataque comienza con un mensaje de phishing de solo texto, o un mensaje de spear phishing que no contiene ningún archivo adjunto ni enlace malicioso evidente. Esto hace que la actividad inicial resulte más fácil de pasar por alto , sobre todo cuando se confunde con el comportamiento habitual de los usuarios o con la comunicación empresarial cotidiana.
Ingeniería social tras el contacto inicial
Ese primer contacto suele dar paso a la siguiente etapa. El atacante puede recurrir a la suplantación de identidad, a solicitudes de pago urgentes, amensajes de phishing para obtener credenciales de o a peticiones para trasladar la conversación a otros canales, como llamadas, chat o aplicaciones de mensajería. Esta es una de las razones por las que los ataques sin archivos y el malware sin carga útil funcionan tan bien: es posible que el correo electrónico inicial no parezca técnico ni peligroso, pero aún así puede sentar las bases para un fraude, una intrusión o un ataque de ransomware de mayor envergadura más adelante.
¿Por qué son más difíciles de detectar los ataques sin carga útil?
Los ataques sin carga útil son más difíciles de detectar, ya que suelen eludir los indicios evidentes relacionados con los archivos que muchos controles tradicionales de « » están diseñados para detectar. En lugar de recurrir a una carga maliciosa visible, pueden utilizar herramientas de confianza, patrones de comunicación normales de tipo « » o actividades que se mimetizan con el comportamiento habitual.
Menos artefactos técnicos evidentes
Los ataques sin carga útil son más difíciles de detectar, ya que muchos controles tradicionales están diseñados para inspeccionar archivos, firmas y archivos adjuntos maliciosos conocidos. Cuando no hay ningún archivo evidente que analizar, o cuando el atacante utiliza una herramienta legítima que ya se encuentra en el entorno, la detección resulta mucho más difícil.
Un mayor recurso al contexto empresarial y a la ingeniería social
Estos ataques también dependen en gran medida del contexto, la confianza y la ingeniería social, más que de indicadores técnicos evidentes. Un mensaje de phishing que se hace pasar por un directivo o proveedor conocido puede parecer lo suficientemente habitual como para eludir los filtros básicos, sobre todo cuando el atacante conoce el cargo de la víctima, sus proveedores o su estructura jerárquica.
Las señales se propagan a través de múltiples sistemas
Otro reto es que el malware sin carga útil suele dejar rastros en varios sistemas, en lugar de tener una única fuente clara. Una señal puede aparecer en el correo electrónico, otra en el comportamiento de un terminal y otra en la identidad o en la actividad del navegador, lo que hace que, sin una visibilidad más amplia, resulte fácil pasar por alto el patrón completo .
Mayor necesidad de una detección basada en el comportamiento y que tenga en cuenta la identidad
Dado que estos ataques se camuflan en los flujos de trabajo habituales, a menudo requieren algo más que reglas estáticas o una simple comparación de firmas . Los equipos de seguridad necesitan una supervisión basada en el comportamiento, un análisis contextual, la capacidad de identificar relaciones y una mayor visibilidad de las identidades de los usuarios de « » para detectar actividades sospechosas antes de que vayan demasiado lejos.
Amenazas y técnicas asociadas a los ataques sin carga útil
Las actividades sin carga útil suelen estar relacionadas con un conjunto conocido de amenazas cibernéticas y tácticas de ingeniería social. La diferencia es que estas técnicas pueden iniciarse sin una carga maliciosa visible.
- business email compromise: consiste en utilizar comunicaciones empresariales engañosas para provocar pagos, aprobaciones o la divulgación de información confidencial.
- Fraude del «CEO»: consiste en suplantar la identidad de un directivo para presionar a los usuarios a que realicen acciones urgentes o inusuales.
- Suplantación de identidad de un proveedor: hace que las solicitudes fraudulentas parezcan rutinarias imitando a un proveedor o socio de confianza.
- Solicitudes para obtener credenciales: Convence a los usuarios para que faciliten directamente sus credenciales de inicio de sesión, códigos de autenticación multifactorial (MFA) u otros datos de acceso .
- Spear phishing: consiste en el uso de mensajes personalizados dirigidos a una persona, un departamento o un cargo concretos.
- Ingeniería social: se basa en la urgencia, la confianza, la autoridad o el miedo para provocar comportamientos poco seguros.
- Activación gradual de malware o ransomware: abre la puerta a un ataque de malware o ransomware de mayor envergadura incluso cuando el primer paso no comience con una carga útil visible.
Estos patrones ponen de manifiesto por qué los ataques de malware sin carga útil no deben considerarse un problema marginal. A menudo se solapan con los ataques de tipo « » (BEC) , las campañas de phishing, el uso indebido de identidades y los ataques posteriores que pueden resultar tan perjudiciales como el malware tradicional.
¿Cómo pueden las organizaciones protegerse contra los ataques sin carga útil?
La defensa contra el malware sin carga útil implica centrarse en el comportamiento, la identidad y el contexto, en lugar de basarse únicamente en un análisis de archivos de tipo « ». Dado que muchos de estos ataques dependen tanto de la actuación del usuario como de la ejecución técnica, la prevención debe abarcar tanto los riesgos tecnológicos como los humanos.
Detección basada en el comportamiento
La detección basada en el comportamiento ayuda a identificar actividades sospechosas a partir de acciones y patrones, en lugar de basarse únicamente en las firmas de los archivos . Esta es una de las formas más importantes de prevenir los ataques de malware sin archivo y otras actividades sin carga útil que, de otro modo, podrían eludir los controles básicos.
Visibilidad de EDR y XDR
Las soluciones EDR y XDR proporcionan a los equipos de seguridad una mayor visibilidad sobre el comportamiento de los terminales, las cadenas de procesos, la ejecución de comandos y las señales relacionadas con el « ». Esto permite detectar ataques de malware sin archivos que se basan en la memoria, en scripts o en herramientas nativas del sistema , en lugar de en una carga útil tradicional.
Control mediante scripts y PowerShell
Limitar el uso indebido de PowerShell y restringir la ejecución de scripts puede reducir una importante técnica sin archivos. Si los atacantes no pueden utilizar libremente herramientas de scripting de confianza, su capacidad para moverse de forma sigilosa por el entorno se ve más limitada.
Privilegio mínimo
El principio del privilegio mínimo reduce la libertad de los atacantes al limitar, de forma predeterminada, lo que pueden hacer los usuarios y los procesos. Si una cuenta de comprometida o un script malicioso tiene menos permisos de acceso, el alcance del impacto es menor.
Control de aplicaciones
El control de aplicaciones permite restringir qué herramientas y archivos binarios pueden ejecutarse. Esto dificulta que un atacante utilice indebidamente una herramienta legítima de o LOLBin con fines maliciosos.
«Zero trust»
El modelo «zero trust» reduce la confianza implícita entre usuarios, dispositivos y solicitudes de acceso. Esto es importante porque muchos ataques de tipo « » sin carga útil se basan en que el sistema los trate como normales de forma predeterminada.
Mayores medidas de protección de la identidad
Unas medidas de protección de la identidad más sólidas pueden reducir el uso indebido de credenciales y limitar las consecuencias de la filtración de cuentas. La autenticación multifactorial (MFA), el acceso condicional de « » y la supervisión de la identidad son aspectos fundamentales en este contexto, especialmente cuando el phishing de credenciales forma parte de la estrategia de ataque « ».
Dado que muchos ataques sin carga útil se inician a través del correo electrónico, la seguridad del correo electrónico y la reducción de los riesgos humanos siguen siendo fundamentales. Unas señales de alerta más eficaces , una detección más eficaz de la suplantación de identidad y unos usuarios mejor informados pueden detener el ataque antes de que la actividad técnica tenga oportunidad de extenderse.
¿Qué deben tener en cuenta los equipos de seguridad al investigar actividades sin carga útil?
Cuando los equipos de seguridad investigan malware sin carga útil o actividades de amenazas sin archivos, deben buscar señales indirectas de « », en lugar de limitarse únicamente a los archivos evidentes. Estos indicadores suelen cobrar mayor importancia cuando se presentan de forma conjunta, especialmente en lo que respecta al correo electrónico, la identidad, los terminales y la actividad de comunicación.
Los indicadores comunes incluyen:
- Uso inusual de PowerShell: podría indicar un uso indebido de las herramientas de scripting nativas.
- Cadenas de procesos sospechosas: pueden revelar el comportamiento oculto de los atacantes tras aplicaciones de confianza.
- Uso anómalo de herramientas de administración: puede indicar un uso indebido de utilidades legítimas con fines maliciosos.
- Ejecución de comandos inesperados: puede indicar acciones no autorizadas ajenas al comportamiento habitual.
- Intentos de suplantación de identidad: suelen indicar intentos de abusar de la confianza mediante comunicaciones engañosas.
- Señales de urgencia: pueden indicar una estrategia de ingeniería social destinada a incitar a los usuarios a actuar con rapidez.
- Solicitudes para cambiar a otros canales: pueden indicar un intento de eludir la supervisión del correo electrónico.
Los equipos deberían analizar estas señales de forma conjunta, no de forma aislada. Es posible que un único incidente de seguridad no confirme un ataque de malware « » sin archivos, pero la presencia de múltiples indicios relacionados en el correo electrónico, la identidad, los terminales y los patrones de comunicación puede revelar una trayectoria de la amenaza más sólida, tal y como se indica en .
La respuesta también debe ser rápida, ya que la contención inmediata, la revisión de credenciales, el análisis del alcance y la reconstrucción del comportamiento son especialmente importantes cuando el atacante se camufla entre el comportamiento normal del sistema o de los usuarios. Cuanto más tiempo permanezca sin tratar dicha actividad, más fácil resultará para el atacante ampliar su acceso, facilitar un compromiso posterior, o preparar un ciberataque de mayor envergadura.
Protéjase contra el malware sin carga útil
Los ataques sin carga útil son importantes porque se aprovechan de herramientas de confianza, flujos de trabajo habituales y el comportamiento humano, al tiempo que reducen los indicios evidentes en los que se basan muchos controles. Puede que no parezcan malware tradicional, pero pueden dar lugar a fraudes, a una violación de la seguridad, a una fuga de datos o a un ataque de ransomware a mayor escala.
Por eso las organizaciones necesitan reforzar la prevención y la detección en lo que respecta al correo electrónico, la identidad, los dispositivos finales y los riesgos de « » (amenazas de origen interno) provocados por los usuarios. Mimecast puede ayudar a reforzar esas capas mejorando la visibilidad de los comportamientos sospechosos, reduciendo la exposición a la ingeniería social de tipo « » y facilitando la detección precoz de malware sin carga útil y otros ataques avanzados antes de que se agraven.