Cosa imparerai in questo articolo
- Il malware senza payload ricorre spesso a strumenti integrati, script, memoria o tecniche di ingegneria sociale, anziché a metodi di diffusione evidenti basati su file.
- Questi attacchi sono più difficili da individuare poiché potrebbero non contenere allegati dannosi né un payload dannoso visibile.
- Tra gli esempi più comuni figurano le frodi da parte di amministratori delegati, l’usurpazione dell’identità dei fornitori e le richieste di raccolta delle credenziali.
- Per difendersi dal malware privo di payload sono necessari un rilevamento basato sul comportamento, controlli più rigorosi sull’identità e una maggiore visibilità su posta elettronica, endpoint e attività degli utenti.
- I team di sicurezza dovrebbero indagare su questi attacchi mettendo in correlazione i segnali provenienti da e-mail, identità, endpoint e contesto comunicativo.
Non tutti gli attacchi informatici iniziano con un allegato dannoso o con un payload evidente contenuto in un file. Alcuni attacchi si avvalgono di strumenti affidabili , di messaggi dall’aspetto normale e del comportamento degli utenti per procedere, lasciando dietro di sé pochi indizi evidenti.
È proprio questo che rende così importante comprendere gli attacchi senza payload. Sono in grado di integrarsi nei flussi di lavoro di routine, eludere i modelli tradizionali di malware e indurre gli utenti a compiere azioni pericolose senza mai apparire come un attacco malware convenzionale.
Cosa sono gli attacchi senza payload?
Gli attacchi senza payload sono attività dannose che non si basano sul rilascio di un payload tradizionale basato su file e sull'esecuzione di un e secondo le modalità consuete. Ciò non significa che non siano coinvolti né codice né comandi. Ciò significa che l’autore dell’attacco spesso evita gli evidenti indizi a livello di file che il malware tradizionale e i software antivirus sono progettati per individuare. Al contrario, il malware di tipo “ ” privo di payload può avvalersi di strumenti integrati, dell’esecuzione di script dannosi, di comportamenti residenti in memoria, dei contenuti delle e-mail, delle sessioni di navigazione o di tecniche di ingegneria sociale.
Questa è una delle principali differenze tra il malware senza payload e il malware tradizionale di tipo “”. Il malware tradizionale si basa solitamente su un payload dannoso riconoscibile, su un file eseguibile sospetto o su un allegato dannoso di tipo “ ”. Gli attacchi malware senza payload riducono il ricorso a tali elementi visibili e utilizzano invece processi affidabili, strumenti nativi dell’ e e flussi di lavoro dall’aspetto normale per svolgere attività dannose. In molti casi, l’attacco assomiglia meno a un classico attacco malware e più a una normale comunicazione aziendale o a un normale comportamento del sistema.
Esempi comuni di attacchi senza payload
Questi attacchi spesso hanno successo perché si mimetizzano all’interno di flussi di lavoro affidabili o di comunicazioni di routine, anziché apparire palesemente dannosi. Alcuni esempi comuni illustrano come l’attività senza carico utile possa funzionare nella pratica:
- Frode del CEO: viene inviato un messaggio che sembra provenire da un alto dirigente e che esercita pressione sul destinatario affinché agisca rapidamente, spesso senza link né allegati.
- Falsificazione dell’identità del fornitore: un malintenzionato si spaccia per un fornitore noto e richiede modifiche alle modalità di pagamento o l’aggiornamento delle coordinate bancarie .
- Richieste volte al furto di credenziali: l’autore dell’attacco si spaccia per un membro del reparto IT, delle Risorse Umane o di un’altra funzione di fiducia e chiede all’utente di comunicare direttamente password, codici MFA o informazioni sensibili.
Questi esempi sono importanti perché l’attacco potrebbe comunque avere successo anche in assenza di un link dannoso, di un payload iniettato o di un exploit tecnico evidente di tipo “ ”. In molti casi, l’arma vera e propria è il messaggio stesso.
Come funzionano gli attacchi senza payload
Gli attacchi senza payload spesso hanno inizio con un messaggio, una richiesta o un'azione di sistema che sembra di routine. La consegna può essere semplice , ma è proprio nelle attività successive che si verificano i danni.
Abuso degli strumenti di scripting nativi e degli strumenti di sistema
Gli autori degli attacchi potrebbero sfruttare PowerShell o Windows PowerShell per eseguire comandi senza ricorrere al tradizionale metodo di inserimento di un file. Possono utilizzare uno script PowerShell o altro codice dannoso attraverso processi di sistema considerati affidabili, il che può far apparire l’attività meno sospetta rispetto a una classica infezione da malware. Alcuni attacchi ricorrono inoltre all’esecuzione di script, ad attività di tipo “ ” residenti in memoria o a LOLBin per eseguire comandi, spostarsi lateralmente o consentire l’accesso remoto, lasciando dietro di sé un numero minore di tracce evidenti di tipo “ ” basate su file.
Attività relative al browser, ai documenti e alle sessioni
Il malware senza payload può anche avvalersi di macro dannose presenti nei documenti, nelle sessioni attive del browser o in attività web apparentemente affidabili , che aiutano l’autore dell’attacco a portare avanti l’operazione di compromissione. In altri casi, l’attacco ha inizio con un messaggio di phishing di tipo “text-only”, o con un messaggio di spear phishing che non contiene alcun allegato o link apparentemente dannoso. Ciò rende più facile trascurare l’attività iniziale , soprattutto quando si confonde con il comportamento abituale degli utenti o con la comunicazione aziendale quotidiana.
Ingegneria sociale dopo il contatto iniziale
Quel primo contatto porta spesso alla fase successiva. L'autore dell'attacco potrebbe ricorrere all'usurpazione d'identità, a richieste di pagamento urgenti, amessaggi di phishing finalizzati all'ottenimento delle credenziali o a richieste di spostare la conversazione su altri canali, quali telefonate, chat o app di messaggistica. Questo è uno dei motivi per cui gli attacchi senza file e il malware senza payload funzionano così bene: l’e-mail iniziale potrebbe non sembrare tecnica o pericolosa, ma può comunque preparare il terreno per una frode, una compromissione o un attacco più esteso di ransomware in un secondo momento.
Perché gli attacchi senza payload sono più difficili da individuare?
Gli attacchi senza payload sono più difficili da rilevare poiché spesso eludono gli indizi evidenti legati ai file che molti controlli tradizionali di tipo “ ” sono progettati per individuare. Anziché ricorrere a un payload dannoso visibile, potrebbero avvalersi di strumenti affidabili, di normali modelli di comunicazione o di attività che si confondono con il comportamento abituale.
Meno artefatti tecnici evidenti
Gli attacchi privi di payload sono più difficili da individuare poiché molti controlli tradizionali sono progettati per ispezionare file, firme e allegati noti come dannosi. Quando non vi è alcun file evidente da analizzare, oppure quando l’autore dell’attacco si avvale di uno strumento legittimo già presente nell’ambiente, il rilevamento diventa molto più difficile.
Maggiore ricorso al contesto aziendale e all’ingegneria sociale
Questi attacchi dipendono inoltre in larga misura dal contesto, dalla fiducia e dall’ingegneria sociale, piuttosto che da indicatori tecnici evidenti. Un messaggio di phishing che imita un dirigente o un fornitore noto può sembrare abbastanza banale da eludere i filtri di base, soprattutto quando l’autore dell’attacco conosce il ruolo del destinatario, i suoi fornitori o la sua struttura gerarchica.
I segnali si diffondono su più sistemi
Un’altra difficoltà consiste nel fatto che il malware privo di payload spesso lascia tracce su diversi sistemi, anziché in un’unica fonte ben identificabile. Un segnale può manifestarsi nell’e-mail, un altro nel comportamento dell’endpoint e un altro ancora nell’identità o nell’attività del browser; ciò rende difficile cogliere l’ e il quadro completo senza una visibilità più ampia.
Maggiore necessità di un rilevamento basato sul comportamento e sull’identità
Poiché questi attacchi si mimetizzano nei normali flussi di lavoro, spesso richiedono qualcosa di più delle semplici regole statiche o del semplice confronto delle firme . I team di sicurezza necessitano di un monitoraggio basato sul comportamento, di analisi contestuali, di una comprensione delle relazioni e di una maggiore visibilità sull’identità a livello di “ ” per individuare attività sospette prima che la situazione degeneri.
Minacce e tecniche associate agli attacchi senza payload
Le attività prive di payload sono spesso associate a una serie ben nota di minacce informatiche e tattiche di ingegneria sociale. La differenza è che tali tecniche possono avviarsi senza un payload dannoso visibile.
- Business email compromise: ricorre a comunicazioni aziendali ingannevoli per indurre a effettuare pagamenti, concedere approvazioni o divulgare informazioni sensibili.
- Frode del “CEO”: consiste nel fingersi un dirigente per spingere gli utenti a compiere azioni urgenti o insolite.
- Falsificazione dell’identità del fornitore: fa apparire le richieste fraudolente come operazioni di routine, imitando un fornitore o un partner di fiducia.
- Richieste volte all’acquisizione di credenziali: induce gli utenti a condividere direttamente credenziali di accesso, codici MFA o altri dati di accesso .
- Spear phishing: utilizza messaggi personalizzati destinati a una persona, a un reparto o a una figura professionale specifici.
- Ingegneria sociale: si avvale dell’urgenza, della fiducia, dell’autorità o della paura per indurre comportamenti rischiosi.
- Attivazione graduale di malware o ransomware: apre la strada a un attacco più esteso da parte di malware o ransomware anche quando la prima fase non prevede un payload visibile.
Questi modelli dimostrano perché gli attacchi malware senza payload non dovrebbero essere considerati un problema di nicchia. Spesso si sovrappongono agli attacchi BEC () , alle campagne di phishing, all’uso improprio delle identità e alle violazioni successive, che possono essere altrettanto dannose quanto il malware tradizionale.
In che modo le organizzazioni possono difendersi dagli attacchi senza payload?
Per difendersi dal malware privo di payload è necessario concentrarsi sul comportamento, sull’identità e sul contesto, anziché affidarsi esclusivamente a una scansione basata sui file di tipo “ ”. Poiché molti di questi attacchi dipendono tanto dall’azione dell’utente quanto dall’esecuzione tecnica, la prevenzione deve coprire sia i rischi tecnologici che quelli legati al fattore umano.
Rilevamento basato sul comportamento
Il rilevamento basato sul comportamento consente di identificare attività sospette sulla base di azioni e modelli, anziché solo sulle firme dei file . Questo rappresenta uno dei metodi più efficaci per prevenire gli attacchi di malware senza file e altre attività prive di payload che, in caso contrario, riuscirebbero a eludere i controlli di base.
Visibilità EDR e XDR
Le soluzioni EDR e XDR offrono ai team di sicurezza una visibilità più ampia sul comportamento degli endpoint, sulle catene di processi, sull’esecuzione dei comandi e sui segnali relativi all’ . Ciò consente di individuare attacchi malware senza file che si avvalgono della memoria, di script o di strumenti nativi del sistema anziché di un payload tradizionale.
Controllo tramite script e PowerShell
Limitare l'uso improprio di PowerShell e restringere l'esecuzione degli script può ridurre l'efficacia di un'importante tecnica "fileless". Se gli autori degli attacchi non possono utilizzare liberamente strumenti di scripting affidabili, la loro capacità di muoversi in modo invisibile all’interno dell’ambiente risulta più limitata.
Principio del privilegio minimo
Il principio del privilegio minimo riduce la libertà degli aggressori limitando, per impostazione predefinita, le azioni che gli utenti e i processi possono compiere. Se un account compromesso o uno script dannoso dispone di diritti di accesso limitati, l’entità del danno è minore.
Controllo delle applicazioni
Il controllo delle applicazioni consente di limitare quali strumenti e file binari possono essere eseguiti. Ciò rende più difficile per un malintenzionato sfruttare uno strumento legittimo di o LOLBin a fini malevoli.
Zero Trust
L'approccio "zero trust" riduce la fiducia implicita tra utenti, dispositivi e richieste di accesso. Questo è importante perché molti attacchi di tipo “ ” senza payload si basano sul fatto di essere considerati normali per impostazione predefinita.
Maggiore tutela dell’identità
Una maggiore tutela dell'identità può ridurre l'uso improprio delle credenziali e limitare l'impatto della compromissione degli account. L'autenticazione a più fattori (MFA), l'accesso condizionato ( ) e il monitoraggio dell'identità sono tutti elementi fondamentali in questo contesto, soprattutto quando il phishing delle credenziali fa parte del percorso dell'attacco .
Poiché molti attacchi privi di payload hanno origine nelle e-mail, la sicurezza della posta elettronica e la riduzione dei rischi legati al fattore umano rimangono fondamentali. Segnali di allerta più efficaci , un rilevamento più accurato dei tentativi di furto d’identità e utenti meglio informati possono bloccare l’attacco prima che l’attività tecnica abbia modo di espandersi.
A cosa dovrebbero prestare attenzione i team di sicurezza quando indagano su attività prive di payload?
Quando i team di sicurezza indagano su malware privi di payload o su attività di minacce senza file, devono cercare segnali indiretti di piuttosto che limitarsi a individuare i soli file evidenti. Questi indicatori assumono spesso maggiore rilevanza quando si presentano insieme, in particolare se i tra le attività relative alla posta elettronica, all’identità, agli endpoint e alle comunicazioni.
Gli indicatori comuni includono:
- Utilizzo insolito di PowerShell: potrebbe indicare un uso improprio degli strumenti di scripting nativi.
- Catene di processi sospette: possono rivelare comportamenti nascosti degli autori degli attacchi dietro applicazioni affidabili.
- Utilizzo anomalo degli strumenti di amministrazione: potrebbe indicare un uso improprio di utilità legittime a fini malevoli.
- Esecuzione di comandi inattesi: può indicare azioni non autorizzate al di fuori del normale comportamento.
- Tentativi di usurpazione d’identità: spesso indicano tentativi di abusare della fiducia altrui attraverso comunicazioni ingannevoli.
- Segnali di urgenza: possono indicare una strategia di ingegneria sociale volta a spingere gli utenti ad agire rapidamente.
- Richieste di passare ad altri canali: potrebbero indicare un tentativo di eludere il monitoraggio delle e-mail.
I team dovrebbero analizzare questi segnali insieme, non separatamente. A single evento di sicurezza potrebbe non essere sufficiente a confermare un attacco da parte del malware “ ” di tipo fileless, ma l’insieme di indizi correlati provenienti da e-mail, identità, endpoint e modelli di comunicazione può evidenziare un percorso di minaccia più grave, come illustrato all’indirizzo .
Anche la risposta deve essere tempestiva, poiché il contenimento rapido, la verifica delle credenziali, l’analisi dell’ambito e la ricostruzione dell’ e comportamentale rivestono particolare importanza quando l’autore dell’attacco si mimetizza nel normale comportamento del sistema o degli utenti. , più a lungo tale attività rimane senza rimedio, più diventa facile per l’autore dell’attacco ampliare il proprio accesso, consentire ulteriori violazioni, o favorire un attacco informatico di più ampia portata.
Proteggersi dal malware privo di payload
Gli attacchi senza payload sono significativi perché sfruttano strumenti affidabili, flussi di lavoro normali e il comportamento umano, riducendo al contempo gli evidenti su cui si basano molti controlli. Potrebbero non sembrare malware tradizionali, ma possono comunque portare a frodi, compromissione, fuga di dati o a un attacco ransomware su più ampia scala.
Ecco perché le organizzazioni necessitano di misure di prevenzione e rilevamento più efficaci in materia di posta elettronica, identità, endpoint e rischi legati all’ e da parte degli utenti. Mimecast può contribuire a rafforzare tali livelli migliorando la visibilità sui comportamenti sospetti, riducendo l’esposizione all’ingegneria sociale di tipo “ ” e favorendo un rilevamento precoce del malware privo di payload e di altri attacchi avanzati prima che questi si aggravino.