P
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Cómo detectar malware que no deja archivos en el disco

El malware que no deja archivos en el disco puede poner las capacidades de detección de malware empresarial en un bucle. Aprenda a detectarlo.

Una nueva capacidad permite al malware infectar un sistema sin dejar ningún archivo en el disco. ¿Cómo funciona esto? ¿Qué se puede hacer para detener el malware como este?

Un método probado y verdadero para identificar si una computadora ha sido comprometida es mirar su sistema de archivos para encontrar nuevos archivos que fueron guardados recientemente en el equipo. Muchas veces en respuesta a incidentes, una computadora bajo investigación sería apagada y el disco duro sería investigado de manera forense para encontrar nuevos archivos guardados. Una vez que se encuentran los archivos, los indicadores de compromiso podrían ser creados y se puede hacer una investigación más profunda en otros sistemas.

Sin embargo, al no escribir archivos en el sistema de archivos, los atacantes pueden evadir estos pasos de respuesta a incidentes. En este caso, la respuesta al incidente tendría que recuperar el malware desde la memoria o el tráfico de la red, que puede ser mucho más difícil.

El investigador de malware Kafeine escribió una entrada de blog sobre el nuevo malware que no escribe un archivo en el sistema de archivos local. Este malware funciona al forzar a un programa vulnerable a descargar código malicioso que se ejecutará en la memoria e inyectará código malicioso en un proceso en ejecución. Este tipo de malware puede ser quitado de la memoria usando una herramienta forense con Volatility y luego investigado.

Una de las mejores formas en que las empresas puede detener el malware sin archivos es parchando el software con prontitud y regularidad en el punto final, para que no pueda ser explotado en primer lugar. Además, las empresas deben utilizar ya sea un aparato de red antimalware para bloquear el tráfico de red malicioso o software antimalware que puede detectar este tipo de malware. Si se descubre el malware sin archivos, los encargados de la respuesta a incidentes deben ver los registros de tráfico de la red e identificar los procesos utilizados para enviar el tráfico de red malicioso para identificar los procesos maliciosos.

Otras técnicas de endurecimiento basadas en host, como implementar cuentas menos privilegiadas, listas blancas, etc., también deberían estar instaladas para detener los ataques de malware sin archivos.

Este artículo se actualizó por última vez en mayo 2015

Profundice más

¿Qué necesita resolver?

Por favor, añada un título para su pregunta

Obtenga respuestas de un experto de TechTarget en lo que sea que necesite resolver

Usted será capaz de añadir detalles en la siguiente página

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close