Logiciel malveillant sans fichier. Comment se protéger ? – eGospodarka.pl

On sait depuis longtemps que les cybercriminels utilisent des méthodes de cyberattaques de plus en plus sophistiquées. L’une des techniques qu’ils utilisent est les attaques de logiciels malveillants sans fichier, appelés logiciels malveillants sans fichier, qui leur permettent d’échapper avec succès aux outils de sécurité. Et bien que les premières attaques de ce type aient été découvertes il y a deux décennies, il s’est avéré que les connaissances à leur sujet sont encore insuffisantes. Qu’est-ce qui vaut la peine d’être connu ?

Lire aussi :

Malware en attaque. Formbook devançait Emotet

De ce texte, entre autres, vous apprendrez :

  • Comment évoluent les techniques utilisées lors des attaques de logiciels malveillants sans fichier ?

  • Comment fonctionne une attaque de malware sans fichier ?

  • Comment se protéger contre les malwares indétectables ?

Selon les experts en cybersécurité informatique de Stormshield, cette forme d’attaque va continuer à proliférer. Pour cette raison, il vaut la peine de mieux connaître ce phénomène et d’appliquer les méthodes de sa détection.

Logiciels malveillants sans fichier : définitions et techniques changeantes

Les logiciels malveillants sans fichier sont apparus pour la première fois en 2001 avec le ver « Code Red ». Il exploitait une vulnérabilité de dépassement de mémoire tampon dans les serveurs Web Microsoft IIS. En conséquence, plus de 350 000 serveurs ont été affectés par une erreur de page d’accueil qui affichait le message « Bienvenue sur http://www.worm.com! » Piraté par les chinois ! ». Le message provenait d’un virus qui ne laissait aucun fichier ni trace permanente sur le disque dur car il ne fonctionnait que dans la mémoire des machines infectées.

Les logiciels antivirus qui offrent une protection basée sur les signatures ne peuvent pas détecter une attaque de malware sans fichier. La force de cette attaque est qu’elle cible des éléments qui ne sont pas présents dans la zone diagnostiquée par certains programmes antivirus, explique Aleksander Kostuch, ingénieur chez Stormshield. « Les logiciels malveillants de mémoire uniquement ou les attaques sans empreintes digitales, quelle que soit la convention de dénomination, constituent toujours une menace actuelle », ajoute-t-il.

photo de pixabay.com

Les logiciels malveillants sans fichier nécessitent des techniques de protection innovantes

Les logiciels antivirus qui offrent une protection basée sur les signatures ne peuvent pas détecter une attaque de malware sans fichier.

Ce mécanisme se caractérise par le fait que le malware ne laisse aucune trace sur le disque. Ceci est possible en téléchargeant du code distant sans utiliser de fichiers locaux.

Cela peut prendre la forme de chaînes de texte extraites du serveur Web, puis transmises en tant que paramètres à un interpréteur de script tel que PowerShell. Le code sera alors exécuté directement en mémoire depuis PowerShell. De cette façon, l’attaque ne laissera aucune trace sur le disque. Les techniques les plus avancées sont utilisées – explique l’expert de Stormshield, le leader européen de l’industrie de la sécurité informatique.

Les vulnérabilités et expositions courantes sont des vulnérabilités et des menaces courantes qui sont signalées dans le programme Vulnérabilités et expositions courantes. Chacun d’eux a son propre identifiant CVE – année d’enregistrement et numéro consécutif. Le registre est géré par la MITRE Corporation, cofinancée par le Department of Homeland Security des États-Unis. Les attaques les plus courantes sont l’utilisation de vulnérabilités inconnues ou déjà enregistrées pour différentes applications.

Les applications sont vulnérables aux attaques car la possibilité de compromission n’est pas détectée ou la mise à jour est abandonnée pour diverses raisons. Ils permettent souvent un accès privilégié au système d’exploitation. Divers types d’activités criminelles peuvent alors être menées sans aucun obstacle. Les techniques utilisées dans ce type d’attaque peuvent être différentes : l’attaquant détourne une application standard nécessaire au bon fonctionnement du système d’exploitation, injecte du code malveillant dans les processus système déjà en cours d’exécution, modifie les clés de registre Windows, etc. Des informations sur ce type d’attaque sont facilement disponibles en ligne. Dans la plupart des cas, les commandes exécutées à partir de la ligne de commande sont très courtes – ajoute Aleksandar Kostuch.

Comment fonctionne une attaque de malware sans fichier ?

Un scénario d’attaque typique se compose de trois phases. Premièrement, les cybercriminels doivent avoir accès à l’appareil de la victime à l’avance, ce qui se fait généralement par le biais de campagnes de phishing traditionnelles. Bien que cette première étape de l’attaque ne soit effectuée que dans la mémoire de l’appareil, la deuxième étape consiste à assurer un accès permanent à l’unité de la victime, même en cas de redémarrage. Les clés de registre sont des atouts pour les cybercriminels à ce stade.

Certaines clés de registre sont lues pour démarrer le programme lorsqu’une session est ouverte. Lors de l’écriture de code à télécharger et à exécuter, le contenu des clés est utilisé comme paramètre PowerShell. De cette manière, un cybercriminel dispose d’un moyen permanent d’entrer dans le système afin de télécharger un autre code et d’effectuer d’autres actions destructrices – commente Aleksandar Kostuch.

La troisième et dernière étape dépend des objectifs initiaux de l’attaque : voler des identifiants, exfiltrer des données ou créer une porte dérobée.

Il existe d’autres moyens de détourner ou de remplacer des logiciels légitimes. Il s’agit de la pratique consistant à se faire passer pour un utilitaire utilisé par les systèmes d’exploitation et donc considéré comme légitime par eux.

L’utilisation de LOLBins, une technique de contournement de sécurité Windows, peut donc être particulièrement problématique car il est extrêmement difficile de détecter s’ils sont utilisés de manière légitime ou malveillante. Dans certains cas, ces outils ont même été whitelistés dans les solutions de cybersécurité, précise un expert de Stormshield.

Comment se protéger contre les malwares indétectables ?

Comme le soulignent les experts de Stormshield, les innovations utilisées par les cybercriminels sont une démonstration de l’avantage technologique qu’ils avaient sur les fabricants de logiciels antivirus à la fin de la deuxième décennie du 21e siècle. Les solutions de sécurité actuellement disponibles rendent le combat plus égal. Cependant, il ne fait aucun doute que les logiciels malveillants sans fichier seront toujours utilisés volontairement par les criminels.

Les logiciels malveillants sans fichier nécessitent des techniques de protection innovantes pour compléter les outils de sécurité informatique traditionnels. Les éditeurs de solutions de cybersécurité ont développé de nouvelles méthodes de détection des attaques. Le plus populaire est basé sur le mécanisme de signature d’exécutable Windows.

Windows signe ses fichiers exécutables par défaut. Cela complique la tâche d’un attaquant qui doit remplacer le fichier en mémoire après avoir vérifié la signature ou usurpé la destination du fichier. Il doit tromper le système d’exploitation en lui faisant croire que le fichier qu’il a remplacé est authentique. Une autre option consiste à modifier l’application à sa source. Cependant, dans les deux cas, la tâche qui attend le criminel est exigeante, ce qui fait de cette stratégie un moyen simple et assez efficace de se protéger contre les attaques moins avancées – explique Aleksandar Kostuch.

Une autre façon de vous défendre est d’utiliser des listes noires. En 2018, un projet open source appelé LOLBAS (Living Off The Land Binaries and Scripts) a été créé sur la plateforme Github, qui comprend actuellement plus de 450 LOLBins, LOLLibraries et LOLScripts développés. Il est actuellement pris en charge par plus de 60 ingénieurs et catégorise plus de 150 binaires potentiellement interceptables. Pour chaque outil il y a des indicateurs d’attaque potentielle (IOA – Indicator of Attack).

Les listes doivent décrire en détail ce qu’elles bloquent, ainsi que les modèles utilisés par les criminels, tels que les chaînes ou les commandes, qui ont été découverts dans le cadre du processus hostile. Ce sont des soi-disant indicateurs d’attaque, explique un expert de Stormshield.

La troisième stratégie est la surveillance comportementale. Il est utilisé par les solutions dites de protection des endpoints (points finaux, c’est-à-dire ordinateur ou serveur), il permet de surveiller les actions possibles, comme se connecter à un serveur de gestion et de contrôle, se connecter à une adresse IP de mauvaise réputation, ou encore se connecter une série d’actions, telles que l’utilisation de scripts de ligne de commande non approuvés, puis la lecture et l’exécution des fichiers.

Détecter des incohérences dans l’utilisation des outils système est un signal fort indiquant une menace potentielle – souligne Aleksandar Kostuch. – De plus, en plus des signatures de fichiers exécutables, il existe des mécanismes de surveillance du comportement. Il est possible de détecter si un programme déborde de la mémoire tampon RAM ou injecte du code, et si l’outil d’administration utilise un compte utilisateur qui n’a pas les permissions appropriées, ajoute-t-il.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *