Detección de fileless malware utilizando herramientas de endpoint detection and response

Abstract

Los daños causados por el malware se han disparado en los últimos cinco años. Un tipo de malware es el fileless malware, que aumentó un 900 por ciento en 2020, y se espera que sea la mitad de los ataques contra entornos empresariales en 2022. Para detectar el fileless malware, comparamos los segmentos de código de los ejecutables cargados en la Random Access Memory con el archivo ejecutable original almacenado en el disco duro, utilizando para ello herramientas de Endpoint Detection and Response. Además, probamos la técnica con familias de malware reales, obteniendo una tasa de detección del 77,78 por ciento, con una tasa de sensibilidad del 92,11 por ciento. En resumen, presentamos una técnica para detectar fileless malware, y los resultados de la fase de pruebas parecen prometedores.

Damage caused by malware has been ramping up in the last five years. One kind of malware is fileless malware, which increased 900 percent in 2020, and it is expected to be half of the attacks against enterprise environments in 2022. To detect fileless malware, we matched code segments from the executables loaded into Random Access Memory to the original executable file stored on hard disk, using Endpoint Detection and Response tools to implement it. Furthermore, we tested the technique against real malware families, resulting in a detection rate of 77.78 percent, with a sensitivity rate of 92.11 percent. In summary, we present a technique to detect fileless malware, and the results of the testing phase sound promising.