- Il malware senza file viene eseguito nella memoria e sfrutta in modo improprio strumenti legittimi come PowerShell o WMI.
- Può rubare dati, crittografare file o spiare computer senza lasciare tracce evidenti sul disco.
- Per un rilevamento efficace è necessario monitorare il comportamento e i processi, non solo i file.
- La difesa richiede EDR, segmentazione, patching e riduzione dell'uso di script e macro.
Negli ultimi anni il malware senza file Il malware fileless è diventato uno dei problemi più seri per i team IT e di sicurezza. Non stiamo parlando del tipico virus che si scarica in un allegato e che si può rimuovere con una scansione antivirus, ma di qualcosa di molto più subdolo che si nasconde nei processi del sistema.
Questo tipo di minaccia trae vantaggio strumenti legittimi del sistema operativoSoprattutto su Windows, può eseguire codice dannoso direttamente nella RAM. Poiché non lascia praticamente alcuna traccia sul disco, può eludere molti programmi antivirus tradizionali e rimanere attivo abbastanza a lungo da rubare informazioni, crittografare file o gestire backdoor senza essere rilevato.
Cos'è esattamente un malware fileless?
Quando parliamo di malware senza file, ci riferiamo a codice dannoso che non dipende da un classico eseguibile su disco per funzionare. Invece di essere installato come qualsiasi altro programma, si basa su componenti già presenti nel sistema (script, servizi, interpreti di comandi, ecc.) per caricare ed eseguire le sue istruzioni direttamente in memoria.
Da un punto di vista tecnico, questo malware di solito da iniettare nei processi già in esecuzione oppure possono essere lanciati tramite comandi che caricano tutto nella RAM. Questo significa che, una volta spento o riavviato il computer, molte varianti scompaiono, ma nel frattempo hanno tutto il tempo per causare gravi danni.
Rispetto al malware basato su file, queste minacce sono più leggero, più discreto e molto più difficile da rintracciareNon troverete un file .exe sospetto sul disco, né necessariamente un programma di installazione dannoso: il problema sta in ciò che accade all'interno di processi che sembrano attendibili.
L'ascesa di questo approccio è aumentata vertiginosamente intorno al 2017, quando le campagne hanno iniziato a combinare tecniche senza file con trojan clicker, adware avanzati e strumenti di accesso remoto (RAT)Oggi sono stati integrati in ogni genere di operazione: dallo spionaggio e dagli attacchi APT al ransomware e al cryptomining.
Come funziona il malware fileless all'interno
Per capire come funziona, vale la pena ricordare che la maggior parte delle applicazioni normali sono distribuite come file che viene scritto sul disco e poi caricato nella memoria quando l'utente lo esegue. Il malware fileless, invece, salta il primo passaggio e si materializza direttamente nella RAM utilizzando meccanismi del sistema operativo stesso.
Molte campagne si basano sull'idea di "vivere della terra" (vivere dei frutti della terra): l'attaccante abusa dei legittimi poteri amministrativi invece di introdurre nuovi file binari. Su Windows, l'esempio principale è PowerShell, ma anche WMI, mshta, rundll32, script VBScript o JScript e altri file binari attendibili (LoLBins) vengono sfruttati.
Uno scenario tipico sarebbe: un utente apre un documento di Office con contenuto dannoso o fa clic su un collegamento di phishing; da lì un script che richiama PowerShell o un altro strumento per scaricare, decifrare o iniettare in memoria il codice per la fase successiva. Tutto questo può avvenire senza creare un file permanente sul disco rigido.
Un altro vettore comune consiste nello sfruttare vulnerabilità di esecuzione di codice remoto, come buffer overflow nei browser, nei plugin o nelle applicazioni server. Sfruttando la vulnerabilità, l'aggressore può eseguire direttamente lo shellcode all'interno del processo vulnerabile e, da lì, caricare il resto dei componenti in memoria.
Alcune varianti ricorrono addirittura a Registro di sistema di Windows o attività pianificate per memorizzare script o comandi che riattivano l'attacco all'avvio del sistema o all'accesso di un utente. Anche se qualcosa viene scritto nel Registro di sistema, la logica dannosa principale continua a essere eseguita in memoria, rendendo difficile il rilevamento con strumenti focalizzati esclusivamente sul file system.
Metodi di infezione e accesso iniziale
La porta d'ingresso è solitamente piuttosto classica: e-mail di phishing, link dannosi e documenti falsificati Rimangono i re dell'accesso iniziale, anche se sotto vengono utilizzate tecniche fileless. Il trucco è che, lungo l'intera catena, si fa tutto il possibile per ridurre al minimo l'ingombro su disco.
In molti incidenti vengono utilizzati Documenti di Microsoft Office con macro Una volta attivate, queste macro richiamano PowerShell o WMI per scaricare ed eseguire la fase successiva dell'attacco in memoria. Anche senza macro, gli aggressori sfruttano le vulnerabilità di Word, Excel, Lettori PDF o il motore di scripting stesso per ottenere l'esecuzione del codice.
Un altro approccio prevede l'utilizzo diretto di eseguibili apparentemente innocui che l'utente riceve via e-mail o scaricato dal web. Questo eseguibile può estrarre un modulo dannoso e caricarlo in memoria utilizzando tecniche come la riflessione in .NET, senza effettivamente salvarlo su disco come file separato.
Esistono anche campagne che prendono di mira server web o applicazioni esposte a Internet, dove la vulnerabilità viene utilizzata per distribuire webshell con componenti senza fileUn esempio recente è l'uso di Godzilla e di strumenti simili, in cui il codice dannoso viaggia all'interno delle richieste HTTP e viene iniettato direttamente nella memoria del server compromesso.
Infine, gli aggressori ricorrono spesso a credenziali rubateSe ottengono il nome utente e la password di un amministratore o di un account privilegiato, possono accedere tramite RDP o altri canali e avviare manualmente script PowerShell, comandi WMI o strumenti amministrativi che caricano il malware nella memoria senza lasciare nuovi eseguibili sul sistema.
Tecniche specifiche utilizzate dal malware fileless
Una delle chiavi di questi attacchi è il riutilizzo di strumenti Windows nativi come veicolo per i loro script. Ciò fa sì che le attività dannose si mescolino alle normali attività amministrative, complicando l'analisi e la risposta.
Tra le tecniche più comuni troviamo l'utilizzo di PowerShell come lanciatore di codice incorporato Direttamente dalla riga di comando. Ad esempio, uno script offuscato viene passato come parametro, la policy di esecuzione viene disabilitata, la finestra viene nascosta e un payload viene scaricato direttamente in memoria, il tutto senza lasciare un file .ps1 o alcun eseguibile sospetto visibile.
Un'altra tattica molto popolare è quella di memorizzare script dannosi nel Abbonamenti a Windows Management Instrumentation (WMI)Di tanto in tanto, WMI attiva lo script, che può eseguire codice dalla memoria, connettersi ai server di comando e controllo o avviare nuove fasi dell'infezione.
Allo stesso modo, molti gruppi utilizzano il Registro di sistema e Utilità di pianificazione di Windows come rifugio per i loro script e comandi. Invece di posizionare un eseguibile nella cartella di avvio, definiscono chiavi di avvio o attività pianificate che eseguono script PowerShell, mshta o rundll32 con codice incorporato o al volo.
Le tecniche si vedono anche in riflessione in .NETdove un file eseguibile leggero contiene assembly crittografati o compressi che vengono caricati direttamente in memoria tramite Reflection.Load, senza mai essere scritti come file .dll su disco. Ciò consente l'implementazione di trojan molto sofisticati all'interno di un singolo processo apparentemente normale.
Cosa può fare un attacco fileless?
Nonostante il nome, un attacco fileless non ha limiti nel suo impatto. Infatti, può eseguire le stesse funzioni del malware tradizionale: furto di informazioni, crittografia dei dati, spostamento laterale, spionaggio, mining di criptovalute o installazione di backdoor permanenti.
Molte campagne senza file si comportano come ladro di credenzialiCiò comporta l'acquisizione di password, token di sessione o hash di autenticazione dalla memoria di processi sensibili. Ciò semplifica l'aumento dei privilegi, la compromissione di più sistemi e il mantenimento di un accesso prolungato senza ricorrere a file binari aggiuntivi.
Altri si concentrano su ransomware senza filedove parte della logica di crittografia e comunicazione viene eseguita direttamente in memoria. Sebbene un componente del disco possa a un certo punto manipolare un gran numero di file, il caricamento iniziale e il controllo dell'attacco vengono eseguiti con tecniche fileless per evitarne il rilevamento precoce.
Gli aggressori possono anche installare rootkit o RAT avanzati Una volta implementati, questi strumenti utilizzano canali fileless per ricevere comandi, spostarsi attraverso la rete e aggiornare i moduli. Poiché sono integrati in processi di sistema o servizi critici, questi strumenti sono particolarmente difficili da eliminare.
Sul fronte economico, l’impatto si traduce in perdita di dati, interruzioni del servizio, sanzioni normative e danni alla reputazionePoiché queste intrusioni spesso non vengono rilevate per mesi, il volume delle informazioni esfiltrate e la portata della violazione possono essere enormi.
Fasi di un attacco malware fileless
Sebbene gli aspetti tecnici siano diversi, il ciclo di vita di un attacco fileless è abbastanza simile a quello di qualsiasi intrusione avanzata. Quali sono i cambiamenti? meccanismi utilizzati in ogni fase e il modo in cui si mimetizzano.
Nella fase di accesso inizialeL'aggressore ha bisogno di un punto d'appoggio iniziale: un clic su un link di phishing, l'apertura di un documento contenente macro, lo sfruttamento di un server vulnerabile o il riutilizzo di credenziali compromesse. Da qui, l'obiettivo è eseguire codice all'interno del sistema di destinazione.
Una volta raggiunto questo passaggio, inizia la fase successiva esecuzione in memoriaÈ qui che entrano in gioco PowerShell, WMI, mshta, rundll32, VBScript, JScript o altri interpreti per caricare e attivare il payload senza generare eseguibili permanenti su disco. Il codice viene in genere offuscato o crittografato e decrittografato solo nella RAM.
Poi inizia l'inseguimento persistenzaSebbene molti payload senza file scompaiano al riavvio del computer, gli aggressori più sofisticati combinano script residenti nella RAM con chiavi di registro, attività pianificate o sottoscrizioni WMI che riavviano il codice ogni volta che viene soddisfatta una condizione specifica, come l'avvio del sistema o l'accesso dell'utente.
Infine, il obiettivi finali Le azioni dell'aggressore includono: furto ed esfiltrazione di dati, crittografia delle informazioni, distribuzione di ulteriore malware, spionaggio continuo e sabotaggio di sistemi critici. Tutto ciò viene fatto cercando di mantenere il profilo più basso possibile per evitare allarmi tempestivi e analisi forensi.
Perché è così difficile da rilevare?
Il grande problema con il malware senza file è che Rompe il classico modello di difesa basato su file e firmeSe non c'è alcun eseguibile sospetto da analizzare, molti motori antivirus rimangono insensibili a ciò che accade nella memoria e nei processi legittimi.
L'assenza di file sul disco implica che Non ci sono oggetti da scansionare periodicamente alla ricerca di pattern noti. Inoltre, sfruttando i file binari firmati dal sistema operativo stesso, come PowerShell.exe, wscript.exe o rundll32.exe, l'attività dannosa viene mascherata dietro nomi di cui l'amministratore normalmente si fida.
Inoltre, molti prodotti ereditati hanno un Visibilità limitata sui processi in esecuzioneSi concentrano sul file system e sul traffico di rete, ma esaminano a malapena le chiamate API interne, i parametri della riga di comando, il comportamento degli script o gli eventi del Registro di sistema che potrebbero tradire un attacco senza file.
Gli aggressori, consapevoli di queste limitazioni, ricorrono a tecniche di offuscamento, crittografia e frammentazione del codiceAd esempio, dividono uno script dannoso in diversi frammenti che vengono assemblati in tempo reale, oppure nascondono istruzioni all'interno di immagini, risorse incorporate o stringhe apparentemente innocue.
Negli ambienti in cui i sistemi vengono riavviati raramente (server critici, terminali di produzione, ecc.), il malware residente in memoria può rimanere attivi per settimane o mesi senza essere scoperti, soprattutto se ci si muove con cautela e si riduce al minimo il volume del traffico o le azioni vistose.
Limitazioni delle difese tradizionali
La risposta iniziale di molti fornitori a questa minaccia è stata quella di provare limitare o bloccare direttamente strumenti come PowerShell o macro di OfficeSebbene possa ridurre alcuni vettori, non rappresenta una soluzione realistica o completa nella maggior parte delle organizzazioni.
PowerShell è diventato un componente chiave per l'amministrazione del sistema WindowsAutomazione delle attività, distribuzione di software e gestione dei server. Bloccarlo completamente paralizzerebbe i flussi di lavoro IT e costringerebbe a rifare numerosi processi interni.
Inoltre, dal punto di vista dell'attaccante, ci sono molteplici modi per aggirare una semplice politica di bloccoEsistono tecniche per caricare il motore PowerShell dalle librerie (dll) utilizzando rundll32, convertire gli script in eseguibili con strumenti come PS2EXE, utilizzare copie modificate di PowerShell.exe o persino incorporare script PowerShell in immagini PNG ed eseguirli con righe di comando offuscate.
Qualcosa di simile accade con le macro di Office: Molte aziende dipendono da loro per automatizzare report, calcoli e processi aziendali. Disattivarli a livello globale può compromettere il funzionamento delle applicazioni interne, mentre affidarsi esclusivamente all'analisi statica del codice VBA spesso si traduce in un tasso di falsi positivi e falsi negativi difficile da gestire.
Inoltre, alcuni approcci basati su rilevamento basato su cloud come servizio Richiedono una connettività costante e, a volte, operano con un ritardo eccessivo per impedire l'esecuzione iniziale del malware. Se la decisione di bloccare il malware viene presa secondi o minuti dopo, il danno potrebbe essere già stato fatto.
Spostamenti di focus: dai file al comportamento
Poiché il file non è più l'elemento principale, le moderne soluzioni di difesa si concentrano su monitorare il comportamento dei processi Invece di limitarsi a ispezionare il contenuto dei file. L'idea è che, sebbene esistano migliaia di varianti di malware, i modelli di attività dannosa sono molto meno diversificati.
Questo approccio si basa sui motori di analisi comportamentale e apprendimento automatico che monitorano costantemente cosa fa ogni processo: quali comandi lancia, quali risorse di sistema tocca, come comunica con il mondo esterno e quali cambiamenti cerca di introdurre nell'ambiente.
Ad esempio, un processo di Office può essere contrassegnato come sospetto se esegue un comando PowerShell offuscato con parametri per disabilitare le policy di sicurezza e scaricare codice da un dominio sospetto. Oppure un processo che, senza apparente motivo, accede improvvisamente a centinaia di file sensibili o modifica chiavi di registro critiche.
L'ultima generazione di sistemi EDR e piattaforme XDR raccolgono telemetria dettagliata di endpoint, server e retee sono in grado di ricostruire storie complete (a volte chiamate StoryLines) su come ha avuto origine un incidente, quali processi sono stati coinvolti e quali modifiche ha subito la macchina interessata.
Un buon motore comportamentale non solo rileva la minaccia, ma può mitigare o invertire automaticamente le azioni dannose: termina i processi coinvolti, isola il computer, ripristina i file crittografati, annulla le modifiche al Registro di sistema e interrompe le comunicazioni con i domini di comando e controllo.
Tecnologie e fonti di eventi chiave in Windows
Per analizzare le minacce senza file in Windows, è particolarmente utile sfruttare meccanismi di telemetria del sistema operativo nativo, che sono già presenti e offrono molte informazioni su ciò che accade dietro le quinte.
Da un lato lo è Traccia eventi per Windows (ETW)ETW è un framework che consente la registrazione di eventi estremamente dettagliati relativi all'esecuzione dei processi, alle chiamate API, all'accesso alla memoria e ad altri aspetti interni del sistema. Molte soluzioni EDR si affidano a ETW per rilevare comportamenti atipici in tempo reale.
Un altro pezzo chiave è Interfaccia di scansione antimalware (AMSI)AMSI è un'API progettata da Microsoft per consentire ai motori di sicurezza di ispezionare script e contenuti dinamici appena prima della loro esecuzione, anche se offuscati. AMSI è particolarmente utile con PowerShell, VBScript, JScript e altri linguaggi di scripting.
Inoltre, i motori moderni vengono analizzati periodicamente aree sensibili come il Registro di sistema, l'Utilità di pianificazione, gli abbonamenti WMI o i criteri di esecuzione degli scriptModifiche sospette in queste aree sono spesso un segnale che un attacco fileless ha raggiunto la persistenza.
Tutto ciò è completato da euristiche che tengono conto non solo del processo attuale, ma anche del contesto di esecuzione: da dove proviene il processo padre, quale attività di rete è stata osservata prima e dopo, se si sono verificati strani guasti, blocchi anomali o altri segnali che, sommati, fanno pendere la bilancia verso il sospetto.
Strategie pratiche di rilevamento e prevenzione
In pratica, proteggersi da queste minacce implica combinare tecnologia, processi e formazioneNon basta installare un antivirus e dimenticarsene: è necessaria una strategia a più livelli, adattata al comportamento reale del malware fileless.
A livello tecnico è fondamentale implementare Soluzioni EDR o XDR con capacità di analisi comportamentale e visibilità a livello di processo. Questi strumenti devono essere in grado di registrare e correlare le attività in tempo reale, bloccare comportamenti anomali e fornire informazioni forensi chiare al team di sicurezza.
È anche conveniente Limitare l'uso di PowerShell, WMI e altri interpreti a ciò che è strettamente necessario, applicando liste di controllo degli accessi, firma degli script (Code Signing) e policy di esecuzione che limitano il codice che può essere eseguito e con quali privilegi.
Dal lato dell’utente, la formazione resta fondamentale: è necessario rafforzare le consapevolezza del phishing, dei link sospetti e dei documenti inaspettatiCiò è particolarmente importante per il personale con accesso a informazioni sensibili o con privilegi di alto livello. Ridurre il numero di clic involontari riduce significativamente la superficie di attacco.
Infine, non si può trascurare l' ciclo di patch e aggiornamento softwareMolte catene fileless iniziano sfruttando vulnerabilità note per le quali esistono già patch. Mantenere aggiornati browser, plugin, applicazioni aziendali e sistemi operativi chiude preziose porte agli aggressori.
Servizi gestiti e caccia alle minacce
Nelle organizzazioni di medie e grandi dimensioni, dove il volume degli eventi è enorme, è difficile per il team interno vedere tutto. Ecco perché stanno diventando sempre più popolari. servizi di monitoraggio e risposta gestita (MDR/EMDR) e centri operativi di sicurezza esterni (SOC).
Questi servizi combinano tecnologia avanzata con team di analisti che monitorano 24 ore su 24, 7 giorni su 7 gli ambienti dei loro clienti, correlando segnali deboli che altrimenti passerebbero inosservati. L'idea è quella di rilevare i comportamenti tipici dei malware fileless prima che si verifichino danni.
Molti SOC si basano su framework come MITRE ATT & CK per catalogare le tattiche, le tecniche e le procedure (TTP) degli avversari e creare regole specifiche orientate all'esecuzione in memoria, all'abuso di LoLBins, al WMI dannoso o ai modelli di esfiltrazione furtiva dei dati.
Oltre al monitoraggio continuo, questi servizi in genere includono analisi forense, risposta agli incidenti e consulenza per migliorare l'architettura di sicurezza, colmare le lacune ricorrenti e rafforzare i controlli su endpoint e server.
Per molte aziende, esternalizzare parte di questa funzione è il modo più fattibile per tenere il passo con minacce così complesse, poiché non tutti possono permettersi un team interno specializzato nella ricerca di malware avanzati.
La realtà è che il malware fileless ha cambiato per sempre il modo in cui concepiamo la sicurezza degli endpoint: I file non sono più l'unico indicatore chiaveE solo una combinazione di profonda visibilità, analisi comportamentale, buone pratiche di gestione e una cultura di sicurezza informatica estesa può tenerlo a bada quotidianamente.
