Bomber Code

Informática => [In]Seguridad Informática => Mensaje iniciado por: Rock Lee en 01 Abril de 2018, 10:47 am

Título: Fileless malware [Aporte]
Publicado por: Rock Lee en 01 Abril de 2018, 10:47 am
(https://scontent.faep5-1.fna.fbcdn.net/v/t1.0-9/29595394_10215604143192273_581841189335831778_n.jpg?_nc_cat=0&_nc_eui2=v1%3AAeGYqZuZu0MHpQJ83Qmw-iqoAYefjdJlKTd_2k9RKO3F3zKeMM_Wg46QGaovDYPJfBY6sKtU6uQeQf8-kEcfWPBAGrtA4YOctkJIINrDilCXIw&oh=a1da99b62c76f89c0e29cc879f131ef3&oe=5B6B6850)
(https://scontent.faep5-1.fna.fbcdn.net/v/t1.0-9/29683186_10215604143512281_8939924680730239636_n.jpg?_nc_cat=0&_nc_eui2=v1%3AAeFsnA4o6_AGhw-l89_lN0NBIKQrpUmaxwz6OsqcCOwaeop-uoM8d4JNtYmY9qKBTdlbktUpH3dgd4zcS6jHL5YUM0DKiHlH0p_NJu1GDolNYQ&oh=ebc72f99b41ea6c9c8044cbbf80d2166&oe=5B2721D3)

¿Me creen si les digo que existe malware que no requiere archivos para infectarte y funcionar? Se llama "fileless malware", traducido al español malware sin archivo, y te cuento como funciona esta pieza en particular. Se llama nJRAT y se propaga con un script (entregado en forma de .vbs o por browser scripts), pero a diferencia del resto del malware, no descarga mas archivos o requiere un archivo en la carpeta de Windows para seguir funcionando.

Esta amenaza primero lanza vbscript.exe para ejecutar el script y acto seguido conhost.exe. Inmediatamente inyecta el proceso de Windows MSBUILD.exe (process hollowing) y se deposita en la memoria operativa. Crea un archivo autorun que se inicia junto con Windows para poder inyectar el mismo proceso una y otra vez cada vez que el sistema se inicia.

Al ser fileless malware, y tener únicamente como indicio, MSBUILD.exe inyectado, ningún antivirus tradicional puede eliminarlo sin romper Windows y dejarlo casi inutilizable. En cuanto la amenaza, es RAT malware. Remote Access Trojan, troyanos informáticos del tipo backdoor, sirven para espiar y hasta controlar remotamente una PC. La -casi- única manera de que no joda es la prevención, ya que deshacerse de él es bastante complicado, y las opciones para eso son:

Saludos Familia!

Nota: Si deseas el archivo para su testing personal o análisis comentarlo y recuerden virtualizar el entorno además utilizar VPN. Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.