L'essor des non-logiciels malveillants : Comment se défendre contre les infections sans fichier

En tant que professionnel de la cybersécurité, il peut parfois être épuisant d'essayer de se tenir au courant des dernières menaces et tactiques utilisées par les hackers pour s'introduire dans les entreprises. Celles-ci évoluent constamment, les criminels cherchant à échapper à la détection, et c'est une course aux armes constante pour développer de nouvelles méthodes d'attaque et de riposte.

Ces dernières années, une tendance particulière a été l'abandon des méthodes traditionnelles de diffusion des logiciels malveillants. Les tactiques telles que les pièces jointes d’emails infectés ou les téléchargements à la dérobée peuvent souvent être bloquées par un système efficace de détection et de prévention des intrusions, de sorte que les criminels se tournent vers d'autres moyens de pénétrer dans les réseaux.

L'essor des non-logiciels malveillants

Ces dernières années, les infections dites « sans fichier », ou « non-logiciels malveillants », se sont multipliées. Selon les recherches de la société de cybersécurité WatchGuard, le nombre d'attaques sans fichiers a augmenté de près de 900% en 2020 par rapport à l'année précédente.

L’entreprise a noté que ces techniques sont devenues populaires parmi les hackers car elles peuvent souvent échapper à la détection par les solutions d'extrémité traditionnelles et ne nécessitent pas que les victimes fassent autre chose que de cliquer sur un lien pour s'introduire.

Une fois entrés dans un réseau à l'aide d'un logiciel malveillant sans fichier, les hackers peuvent effectuer un large éventail d'activités, du vol d'informations d'identification à l'exfiltration de données précieuses. Par conséquent, la lutte contre ce problème devrait être une priorité pour toute entreprise.

Cependant, nombreuses sont les personnes qui ne savent pas par où commencer. Par exemple, les chiffres de Crowdstrike montrent que si 78 % des entreprises admettent être préoccupées par ces attaques, 83 % des professionnels disent vouloir plus d'informations sur cette menace.

Qu'est-ce qu'un logiciel malveillant sans fichier ?

Les logiciels malveillants sans fichier sont des logiciels malveillants qui ne cachent pas leur code malveillant dans les fichiers exécutables traditionnels qui sont téléchargés sur un système. Ils utilisent plutôt des outils légitimes au sein des logiciels, des applications et des protocoles du système d'exploitation pour exécuter leur mission.

L'une des cibles les plus connues est PowerShell. Les recherches menées par Norton indiquent que les scripts PowerShell malveillants représentent 89 % des attaques sans fichier. Ceux-ci fonctionnent en intégrant un code malveillant dans des scripts PowerShell légitimes, de sorte que lorsque le logiciel exécute ses processus normaux, il active également le code des hackers.

Les menaces des non-logiciels malveillants peuvent pénétrer dans un système de plusieurs autres façons. Par exemple, si un utilisateur clique sur un lien malveillant dans un courriel de phishing, celui-ci se charge dans la mémoire de l'appareil. Cela permet aux hackers de charger à distance des codes via des scripts qui capturent et partagent vos données confidentielles.

Un code malveillant peut également être injecté dans des applications que vous avez déjà installées, comme Microsoft Office ou JavaScript, ou si un utilisateur visite un site Web frauduleux qui recherche des vulnérabilités dans les plugins.

Comme il n'y a pas de fichier exécutable à détecter par les anti-logiciels malveillants et qu'ils utilisent uniquement des outils natifs, ils peuvent être très difficiles à arrêter. Les logiciels malveillants sans fichier sont souvent écrits dans la mémoire plutôt que sur le disque dur, ce qui signifie qu'ils laissent peu de traces de leur présence. De plus, comme les données en mémoire sont effacées au redémarrage du système, il peut être très difficile de déterminer ce qui s'est passé lors d'une analyse médico-légale.

3 types de logiciels malveillants sans fichier que vous devez connaître

La première étape pour se défendre contre les attaques par des non-logiciels malveillants est de comprendre comment ils fonctionnent et ce qu'ils impliquent. Une fois que vous savez ce qu'il faut rechercher et quelles parties de votre système ils ciblent, vous pouvez commencer à travailler sur des stratégies de prévention, de détection et d'atténuation. Voici trois des techniques les plus courantes des logiciels malveillants sans fichier :

Injection de code en mémoire

Cette technique cache un code malveillant dans la mémoire d'applications légitimes, en exploitant les vulnérabilités connues de logiciels tels que Java ou Flash pour y pénétrer. Une fois en mémoire, il se distribue et se réinjecte dans des processus Windows critiques, en profitant du fait que le système fait confiance au code de ces processus.

Manipulation du registre Windows

Ce type d'attaque sans fichier est similaire à l'injection de code en mémoire, sauf qu'au lieu de se cacher en mémoire, il s'installe dans le registre de Windows, ce qui lui permet de rester persistant et indétectable. Ces menaces peuvent s'activer chaque fois que le système d'exploitation est lancé et, comme les outils antivirus n'examinent généralement pas le registre, elles peuvent rester cachées pendant de longues périodes.

Parmi les exemples les plus connus de manipulation du registre figurent Kovter et Powelike, qui peuvent transformer les systèmes infectés en réseaux de zombies en se connectant à des sites Web et en cliquant sur des publicités.

Techniques basées sur des scripts

Les techniques basées sur des scripts peuvent être totalement ou partiellement dépourvues de fichiers et injecter des scripts malveillants dans des outils tels que PowerShell. Le ransomware SamSam en est un exemple. Il est particulièrement difficile à analyser car sa charge utile est déchiffrée au moment de l'exécution. Il est donc difficile de trouver un échantillon du code de la charge utile. Le ransomware évolue constamment, ce qui rend sa défense plus difficile.

Un autre exemple est Operation Cobalt Kitty, une menace persistante avancée qui a utilisé des scripts PowerShell malveillants pour cibler une grande entreprise en Asie. Il a utilisé une campagne de spear-phishing pour infecter des dizaines de PC et de serveurs et n'a pas été détectée pendant des mois.

Principales stratégies d'atténuation des logiciels malveillants sans fichier à déployer

Comme les logiciels malveillants sans fichier n'obéissent pas aux règles « normales » des menaces telles que les virus et les chevaux de Troie, ils peuvent être très difficiles à détecter avec les programmes contre les logiciels malveillants traditionnels. Par conséquent, votre première ligne de défense doit être une solution moderne de détection et de réponse aux points d'accès.

Ils doivent être capables de surveiller en permanence votre réseau, à la recherche Indicateurs d’attaque (IOAs) qui pourraient être le signe que vous êtes infecté par un logiciel malveillant sans fichier. Ils recherchent des séquences d'événements telles que l'exécution de code, les mouvements latéraux et les actions qui semblent dissimuler leur véritable intention.

Comme les IOA examinent l'intention, le contexte et la séquence des activités au sein de votre réseau, et pas seulement au niveau du périmètre, ils peuvent détecter et bloquer les activités malveillantes réalisées à l'aide d'outils ou de comptes légitimes, ce qui est souvent le cas lorsqu'un attaquant utilise des informations d'identification volées et tire parti de technologies comme PowerShell.

De nombreuses attaques de logiciels malveillants sans fichier reposent sur l'erreur humaine pour infecter les systèmes. Veillez donc à appliquer régulièrement des correctifs aux logiciels, à former les utilisateurs à repérer les emails suspects, et à faire attention à ce qu'ils téléchargent. Mieux vaut prévenir que guérir, alors s'assurer que vos employés connaissent les bases est toujours la première étape.