Fileless Malware: L'Attacco che Vive nella Memoria

Malware

Gli antivirus tradizionali basati su firma funzionano scansionando i file su disco e confrontandoli con un database di malware noti. Ma cosa succede se un attacco non usa alcun file malevolo? Questo è il principio del Fileless Malware (malware senza file).

Come Funziona un Attacco Fileless?

Invece di installare un eseguibile dannoso sul disco fisso, questo tipo di attacco sfrutta strumenti e processi legittimi, già presenti nel sistema operativo, per eseguire le sue operazioni. L'attacco vive interamente nella memoria RAM del computer e non lascia tracce facili da trovare sul disco.

La catena di attacco tipica è:

  1. Punto di Ingresso: L'attacco inizia spesso con uno script malevolo (es. in una macro di un documento Office o su una pagina web) che sfrutta una vulnerabilità.
  2. Sfruttamento di Strumenti Legittimi ("Living off the Land"): Una volta ottenuto un punto d'appoggio, lo script non scarica un file `.exe`, ma lancia strumenti di sistema legittimi per i suoi scopi. Lo strumento più abusato è PowerShell su Windows.
  3. Esecuzione in Memoria: L'aggressore può usare PowerShell per scaricare ed eseguire uno script dannoso direttamente in memoria, senza mai salvarlo su disco. Questo script può poi rubare credenziali, muoversi lateralmente nella rete o comunicare con un server di Comando e Controllo.

Perché è Così Pericoloso?

  • Difficile da Rilevare: Gli antivirus basati su firma sono inefficaci, perché non c'è nessun file da scansionare.
  • Poche Tracce Forensi: Poiché opera in RAM, lascia poche tracce sul disco fisso. Se il computer viene riavviato, gran parte delle prove svanisce.
  • Sfrutta Processi "Fidati": L'attività malevola viene eseguita da processi legittimi come `powershell.exe`, rendendo più difficile per gli amministratori di sistema distinguerla da un'attività normale.

Come Difendersi?

La difesa contro il fileless malware richiede un approccio più moderno, basato non sulla firma dei file ma sul comportamento.

  • Endpoint Detection and Response (EDR): Soluzioni di sicurezza avanzate che monitorano il comportamento dei processi in tempo reale e usano l'analisi comportamentale e l'AI per rilevare attività sospette (es. "perché il processo di Word sta lanciando uno script PowerShell che si connette a un indirizzo IP sconosciuto?").
  • Limitare l'Uso di Strumenti di Scripting: Configurare policy per limitare o monitorare attentamente l'esecuzione di PowerShell e altri strumenti di scripting.

Hai bisogno di una soluzione su misura?

Dalla Web App al gestionale custom, trasformiamo le tue idee in software performante. Contattaci per una consulenza gratuita.

Richiedi una consulenza
← Torna a tutti gli articoli