Les attaques de logiciels malveillants sans fichier sont en augmentation alors que de plus en plus de pirates les utilisent pour dissimuler leurs activités néfastes. Ces menaces exploitent les applications existantes et approuvées d'un ordinateur ainsi que sa puissance de calcul contre lui-même. C'est ce que les professionnels de la sécurité appellent des menaces « vivre de la terre ».
Les logiciels malveillants sans fichier sont une menace avancée et persistante qui se présente sous la forme d'attaques furtives et sans signature qui peuvent retourner un ordinateur contre lui-même et compromettre les systèmes pour voler des informations. Cela ne laisse aucune trace pour que les professionnels de la sécurité puissent effectuer une analyse médico-légale pour en découvrir la cause.
Les détections de logiciels malveillants sans fichier ont augmenté de 265 % cette année par rapport au premier semestre 2018, selon le Rapport de sécurité mi-année 2019 de Trend Micro. Le rapport a également révélé que les utilisations les plus courantes des logiciels malveillants sans fichier se présentaient sous la forme de logiciels malveillants de minage de cryptomonnaie, de rançongiciels et de chevaux de Troie bancaires.
Qu'est-ce que les logiciels malveillants sans fichier ?
Les logiciels malveillants typiques doivent être exécutés pour faciliter une attaque. Les logiciels malveillants sans fichier ne nécessitent aucun téléchargement de fichier et ne laissent aucune signature, ce qui les rend beaucoup plus difficiles à enquêter et à remédier.
Qu'est-ce que les logiciels malveillants sans fichier ?
Les logiciels malveillants sans fichier sont un composant logiciel malveillant basé sur la mémoire qui réside dans la mémoire vive (RAM). Les attaques sans fichier utilisent des composants intégrés d'un système d'exploitation pour retourner un ordinateur contre lui-même.
Les pirates utilisent des logiciels malveillants sans fichier en injectant du code malveillant, des scripts ou des bibliothèques dans des documents et des pages Web. Ce code est appelé LOLBins, ou binaires vivant de la terre, et aide les pirates à automatiser les attaques sur les logiciels de test de pénétration et d'administration.
Les LOLBins utilisent des applications logicielles légitimes et approuvées qui existent sur l'appareil ciblé, mais les utilisent avec une intention malveillante. Les outils couramment abusés incluent PowerShell, PsExec ou Windows Management Instrumentation (WMI).
Les pirates insèrent des binaires, des scripts et des bibliothèques dans des documents quotidiens et les livrent à leur cible par e-mail. Alternativement, ils stockent les LOLBins dans le HTML d'une page Web. Une fois ouverte, le script déclenche une série de tâches qui opèrent et lancent des outils d'administration qui commencent à mener des activités malveillantes en mémoire. Ces activités peuvent inclure le déploiement de rançongiciels, l'exfiltration d'informations sensibles ou la connexion à un serveur distant pour télécharger et exécuter une charge utile malveillante.
Quelques cas notables d'attaques de logiciels malveillants sans fichier incluent le cheval de Troie bancaire de 2018 qui a infecté plus de 100 000 ordinateurs en deux mois, un certain nombre d'attaques de rançongiciels ciblant les hôpitaux en 2019, ainsi qu'une série de fausses mises à jour Adobe Flash contenant des logiciels malveillants. Deux des attaques les plus médiatisées incluent le piratage de 2016 du Comité national démocrate (DNC) et la violation de données d'Equifax en 2017.
Types de logiciels malveillants sans fichier
Basé sur des documents — Les macros stockées dans des documents à l'apparence innocente sont l'un des moyens les plus courants de faciliter une attaque. Les macros sont conçues pour automatiser des actions afin de faire gagner du temps aux gens. Bien qu'elles soient incroyablement utiles pour beaucoup, les pirates peuvent facilement cacher une macro contenant un script exécutable dans l'un de ces documents.
Par exemple, dans un cadre professionnel, il n'est pas rare qu'un employé reçoive une feuille de calcul Microsoft Excel de l'un de ses collègues. Il peut être facile pour un attaquant d'envoyer une feuille de calcul Excel malveillante avec une macro conçue pour exécuter PowerShell et automatiser des tâches comme le téléchargement d'un mur de paiement malveillant.
Basé sur le Web — Les attaques provenant de sites en ligne malveillants fonctionnent un peu différemment. Les attaques basées sur le Web utilisent une myriade de langages de script exécutables via une page Web, le plus courant étant JavaScript. Selon une enquête Stack Overflow de 2018 auprès de plus de 100 000 développeurs, environ 72 % des développeurs utilisent JavaScript.
Dans ce scénario, une page Web se charge, exécute et lance une commande JavaScript pour ouvrir PowerShell et déclencher un certain nombre d'actions. PowerShell se lancera et suivra les commandes du script qui pourraient inclure la connexion à un serveur distant et l'extraction d'informations sensibles ou le téléchargement et l'exécution de fichiers malveillants.
Pourquoi les attaques sans fichier deviennent-elles plus courantes ?
Applications de confiance — Parce que les logiciels malveillants sans fichier reposent sur des applications légitimes et de confiance, il existe peu de moyens de les prévenir. Plutôt que de télécharger des fichiers, ce qui nécessite généralement une approbation d'administrateur, le script malveillant s'appuie sur l'application native. Ces outils sont détournés par l'attaquant.
L'utilisation d'outils légitimes permet à ces processus de se produire en mémoire plutôt que sur le disque dur de l'ordinateur. Cela ne laisse aucune trace de l'attaque, opérant uniquement dans la RAM. Cela permet à l'attaque de fonctionner en secret et de cacher les logiciels malveillants dans la RAM où ils sont indétectables par les logiciels antivirus traditionnels.
Opération en mémoire — Il y a quelques avantages du côté de l'attaque à exécuter des commandes en mémoire, mais le plus évident est l'évasion des antivirus. Les logiciels antivirus se concentrent généralement sur l'analyse des téléchargements ou des applications nouvellement installées. Les logiciels malveillants sans fichier ne nécessitent aucune de ces actions, ce qui fait que la plupart des outils antivirus manquent l'attaque.
Un autre avantage est le manque d'attention résultant d'une détection échouée. Cela permet aux pirates de cacher des logiciels malveillants dans des endroits que la plupart des outils de sécurité ne peuvent pas accéder. Dans certains cas, l'opération en mémoire permet aux logiciels malveillants de continuer à fonctionner lorsque l'appareil est éteint.
Potentiellement indépendant du système d'exploitation — Bien que les systèmes Windows soient plus susceptibles aux attaques sans fichier, les systèmes Mac et Linux peuvent également être vulnérables. Parce que les logiciels malveillants sans fichier reposent sur les outils natifs d'un ordinateur, le système d'exploitation de l'appareil pourrait devenir sans importance.
Les attaques peuvent résulter d'un script ouvert sur un ordinateur Mac ou exécuter des commandes à partir d'un serveur distant. Ces cas sont beaucoup moins courants que les attaques sans fichier basées sur Windows, mais pourraient fonctionner de manière similaire en utilisant des outils administratifs natifs de Mac et Linux en théorie.
Comment se protéger contre les logiciels malveillants sans fichier
Certains professionnels de la sécurité soutiennent que les logiciels malveillants sans fichier sont indétectables en temps réel. Mais, rien n'est complètement indétectable. La solution la plus communément acceptée pour se protéger contre les logiciels malveillants sans fichier est de mettre en œuvre une solution de détection et réponse des points de terminaison (EDR).
Ces outils combinent la fonctionnalité des solutions antivirus traditionnelles et de protection des points de terminaison avec des capacités de détection d'anomalies et de remédiation des menaces. Si un appareil de point de terminaison tente de communiquer en dehors d'un réseau spécifié ou si un utilisateur télécharge un fichier contenant un script malveillant, la solution EDR détecte et résout le problème à sa source.
Les analyses de comportement des utilisateurs et des entités (UEBA) sont un marché émergent de solutions de sécurité qui utilise l'apprentissage automatique pour développer une base de référence des activités et comportements typiques effectués par un utilisateur. Si le système remarque des activités anormales ou des demandes provenant d'un appareil ou d'un emplacement étrange, les équipes de sécurité seront alertées. En plus de prévenir les attaques sans fichier, l'UEBA est capable de détecter les menaces internes, les comptes compromis et les violations de données.
De plus, si vous utilisez une machine Windows, il serait sage de désactiver PowerShell et WMI à moins que vous ne les ayez ouverts manuellement. À moins que vous n'utilisiez des macros dans Microsoft Excel ou Word, il peut également vous être bénéfique de désactiver les macros pour ces applications.
En dehors des solutions techniques, la formation à la sensibilisation à la sécurité peut aider les entreprises à éduquer les employés sur la façon d'identifier les e-mails de spam et les sites Web malveillants. Consultez notre catégorie de logiciels de formation à la sensibilisation à la sécurité pour trouver les outils dont votre équipe a besoin pour éduquer votre personnel et protéger votre entreprise.
Vous voulez en savoir plus sur Logiciel d'apprentissage automatique ? Découvrez les produits Apprentissage automatique.
Aaron Walker
Aaron has been researching security, cloud, and emerging technologies with G2 for more than half a decade. Over that time he's outlined, defined, and maintained a large portion of G2's taxonomy related to cybersecurity, infrastructure, development, and IT management markets. Aaron utilizes his relationships with vendors, subject-matter expertise, and familiarity with G2 data to help buyers and businesses better understand emerging challenges, solutions, and technologies. In his free time, Aaron enjoys photography, design, Chicago sports and lizards.
