Las amenazas dentro de la época de Pandemia nos muestran “el malware sin archivos ha estado en los titulares durante el último año”, Según Cisco, “los ataques sin archivos fueron la amenaza más común dirigida a los puntos finales en la primera mitad de 2020”. En ese sentido queremos compartir el articulo de Marc Laliberte, Analista Senior de Seguridad de WatchGuard Technologies, que cubre los conceptos básicos de malware sin archivos y explora una infección del mundo real que el laboratorio de amenazas de WatchGuard detuvo en sus pistas.
Para prevenir este tipo de malware de manera efectiva, las organizaciones deben establecer un conocimiento profundo de cómo funciona en la práctica.
El último artículo de Help Net Security del Analista Senior de Seguridad de WatchGuard Technologies, Marc Laliberte, hace precisamente eso. Como continuación de la reciente columna "Anatomía de un ataque de endpoint" de WatchGuard, el artículo cubre los conceptos básicos del malware sin archivos y explora una infección del mundo real. El laboratorio de amenazas de WatchGuard lo detuvo en seco.
Aquí hay un breve extracto de el articulo:
“Aunque la mayoría del malware sin archivos comienza con algún tipo de archivo de cuentagotas, existen variantes más evasivas que realmente no requieren un archivo. Estas instancias generalmente se originan en una de dos formas, ya sea A) explotando una vulnerabilidad de ejecución de código en una aplicación o B) (y más comúnmente) usando credenciales robadas para abusar de las capacidades de una aplicación conectada a la red para ejecutar comandos del sistema.
En ese sentido el WatchGuard Threat Lab identificó recientemente una infección en curso que utilizó esta última técnica. Investigamos una alerta generada a través de la consola de búsqueda de amenazas Panda AD360, y reunimos indicadores y telemetría desde un servidor en el entorno de la posible víctima para identificar y remediar la amenaza antes de que lograra su objetivo.
Esta infección en particular tenía un punto de entrada poco común: el Microsoft SQL Server de la víctima. Si bien la función principal de SQL Server es almacenar registros de datos, también incluye procedimientos capaces de ejecutar comandos del sistema en el servidor subyacente. Y aunque las mejores prácticas de Microsoft recomiendan el uso de cuentas de servicio con privilegios limitados, muchos administradores aún implementan SQL Server con cuentas de nivel de sistema elevadas, lo que permite que la aplicación de base de datos y cualquier comando que ejecute reinen libremente sobre el servidor.
Antes de iniciar el ataque, el actor de la amenaza obtuvo credenciales para acceder a SQL Server. Si bien no estamos seguros de cómo los adquirieron, es probable que haya sido a través de un correo electrónico de phishing o simplemente mediante la fuerza bruta para atacar credenciales débiles. Una vez que tuvieron acceso a la ejecución de comandos SQL, los atacantes tenían algunas opciones potenciales para ejecutar comandos en el sistema subyacente ".
Este tipo de Malware ataco a los usuarios el 2020 provocando millones de perdidas y robos de datos en el mundo
WatchGuard Technologies, Inc. Siempre pendiente para combatir estos ataques es un líder mundial en seguridad de redes, Wi-Fi seguro, autenticación multifactor, protección avanzada de terminales e inteligencia de redes. Casi 18.000 revendedores de seguridad y proveedores de servicios confían en los productos y servicios galardonados de la empresa en todo el mundo para proteger a más de 250.000 clientes.
La misión de WatchGuard es hacer que la seguridad de nivel empresarial sea accesible para empresas de todos los tipos y tamaños a través de la simplicidad, lo que convierte a WatchGuard en una solución ideal para medianas empresas y empresas distribuidas.
_page-0001.jpg)
