Les attaques sans fichier, la tendance s'accentue

Technologies de Sécurité
Les attaques sans fichier, la tendance s'accentue

Appelées « file-less » ou « zero-footprint » ces attaques n’ont pas besoin d’enregistrer de fichier sur la machine pour s’exécuter et ne chargent pas de nouveaux processus en mémoire. Elles utilisent généralement des outils légitimes pour exécuter des commandes malveillantes. Par définition, il n’existe donc pas de signature de fichier et ces attaques échappent aux traditionnels systèmes de détection. Les malwares sans fichier ne sont pas nouveaux mais étant donné leur fonctionnement l’intérêt des cybercriminels, pour ceux-ci, grandit.

Dans une note de 2017, le Gartner alerte ses clients sur l’augmentation croissante de ce type d’attaque et une étude réalisée par le Ponemon Institute a révélé que la tendance des attaques sans fichier était en hausse chaque année. En 2016 20% des attaques étaient sans fichier, 29% en 2017 et 2018 pourrait atteindre de 35 %.

 

Mais comment ça marche ?

Plus besoin de fichier infecté ces attaques misent sur la discrétion. Le code s’exécute directement en mémoire dans un processus existant en détournant l’utilisation d’applications légitimes comme PowerShell, Visual Basic, JavaScript, WMI… Ces attaquent utilisent principalement des vulnérabilités logicielles, par exemple, le plug-in d’un navigateur (Java, Flash…) qui ne serait pas à jour permettrait d’exécuter du code dans la mémoire du processus appartenant au navigateur (ce qui permet de contourner également les méthodes de fonctionnement en liste blanche des applications).

 

Comment s’en protéger ? 

De fait de l’exécution en mémoire, le redémarrage de la machine arrêtera l’attaque mais là encore les attaquants ont tout prévu. Certains de ces malwares stockent le code malicieux dans le registre de la machine et s’exécutent au redémarrage de la machine.

 

Les bonnes pratiquent restent de mise...

  • Ces attaques utilisent des vulnérabilités logicielles, appliquer les correctifs de sécurité de vos applications et de vos systèmes d’exploitation réduira donc la surface d’attaque.
  • Mettre à jour vos solutions de protection ou opter pour des solutions plus performantes. Ces derniers temps tous les éditeurs ont mis à jour leurs produits en introduisant des fonctions de détection « Next-Gen ».
  • Restreindre l’utilisation de PowerShell aux utilisateurs ayant un véritable besoin et privilégier l’utilisation de PowerShell 5. Désactiver le service WMI s’il n’est pas nécessaire.
  • Journaliser les événements PowerShell et WMI afin de les envoyer et de les analyser dans votre SIEM préféré.
Sébastien V, Consultant Sécurité , Advens