Echapper aux malwares sans fichier : tout ce que vous devez savoir sur la diversification des menaces
L'adoption des nouvelles technologies étend aussi les surfaces d'attaque exploitables par les cybercriminels pour diffuser leurs menaces et compromettre la sécurité globale des entreprises.
Les entreprises qui optent pour la digitalisation ne gagnent pas seulement en agilité, elles optimisent aussi leurs budgets tout en boostant leur compétitivité. Malgré ces performances, l'adoption des nouvelles technologies étend aussi les surfaces d'attaque exploitables par les cybercriminels pour diffuser leurs menaces et compromettre la sécurité globale des entreprises.Les menaces étaient traditionnellement conçues pour exécuter silencieusement des applications indépendantes sur les ordinateurs des victimes, afin de compromettre l'intégrité des applications existantes, en modifiant leur comportement. Pour lutter contre les malwares traditionnels, les solutions de sécurité pour endpoint intègrent des technologies conçues pour analyser les fichiers enregistrés sur le disque, avant leur exécution.
Malwares traditionnels vs. malwares sans fichierCertaines des techniques d'attaque les plus courantes impliquent le téléchargement d'une application malveillante par la victime, qui s'exécute ensuite pour surveiller son comportement, ou exploiter la vulnérabilité d'un logiciel installé, dans le but de télécharger des composants supplémentaires et de les exécuter sans que la victime ne soit au courant.
Les menaces traditionnelles doivent donc accéder au disque de la victime, avant d'exécuter le code malveillant. La détection basée sur les signatures a été précisément créée pour cette raison, puisqu'elle permet d'identifier un fichier connu pour être malveillant et de l'empêcher d'être enregistré ou exécuté sur une machine. Toutefois, de nouveaux mécanismes tels que le chiffrement, l'obfuscation ou le polymorphisme ont rendu les technologies de détection traditionnelles bien moins efficaces, les cybercriminels étant désormais capables de manipuler l'apparence des fichiers pour chaque victime, mais aussi de rendre l'analyse de leur code plus difficile par les moteurs d'analyse de sécurité.
Les malwares classiques, basés sur les fichiers, sont généralement destinés à accéder illégalement à un système d’exploitation et à ses binaires en créant ou en décompressant des fichiers supplémentaires et des dépendances, tels que des fichiers .dll, .sys ou .exe, ayant différentes fonctions.
Ils peuvent également s'installer sous la forme de pilotes ou de rootkits pour prendre entièrement le contrôle du système d’exploitation s'ils parviennent à utiliser un certificat numérique valide leur permettant de ne pas déclencher les technologies de sécurité pour endpoint basées sur les fichiers. Par exemple, le malware très sophistiqué Stuxnet, conçu pour infiltrer une cible particulière tout en étant persistant, en est un excellent exemple. Doté d'une signature numérique, ses différents modules lui permettaient de se propager silencieusement d'une victime à une autre jusqu'à atteindre sa cible.
Les malwares sans fichier sont complètement différents des malwares traditionnels dans leur manière d'exécuter le code malveillant et d'échapper aux technologies de détection classiques. Comme leur nom l'indique, les malwares sans fichier n'ont pas besoin d'enregistrer un fichier sur le disque pour s'exécuter. Le code malveillant peut être exécuté directement dans la mémoire de la machine infectée, ce qui signifie qu'il disparaitra après un redémarrage du système. Toutefois, les cybercriminels ont conçu différentes techniques combinant les capacités des attaques sans fichier et la persistance. Par exemple, un code malveillant placé dans les entrées de registre et exécuté à chaque redémarrage de Windows permet d'allier discrétion et persistance.
L'utilisation de scripts, de shellcodes et même de binaires codés n'est pas rare pour les malwares sans fichier exploitant les entrées de registre, car les systèmes de sécurité pour endpoint traditionnels sont généralement incapables d'analyser les scripts. Les outils et technologies de sécurité classiques s'attachant principalement à analyser des fichiers statiques, les attaques sans fichier peuvent rester pendant une très longue durée sur une machine avant d'être détectées.
La différence principale entre les malwares classiques et les malwares sans fichier réside dans l'emplacement, le mode de stockage et d'exécution de leurs composants. Les malwares sans fichier sont de plus en plus populaires auprès des cybercriminels qui sont parvenus à échapper aux technologies d'analyse des fichiers tout en préservant leur discrétion et leur persistance.
Mécanismes d'infectionTandis que les deux types d'attaque reposent sur les mêmes mécanismes d'infection, comme des pièces jointes infectées ou des drive-by downloads exploitant les vulnérabilités des navigateurs Web ou des logiciels courants, les malwares sans fichier utilisent généralement des scripts et peuvent exploiter des applications légitimes pour exécuter des commandes. Par exemple, les scripts joints à des documents Word piégés peuvent être exécutés automatiquement par PowerShell, qui est un outil natif de Windows. Les commandes qui en découlent peuvent alors envoyer des informations détaillées à l'attaquant sur le système de la victime ou télécharger une charge utile silencieuse qu'une solution de sécurité locale ne pourra pas détecter.
Ce type d'attaque peut aussi passer par une URL malveillante redirigeant l'utilisateur sur un site Web qui exploitera une vulnérabilité de Java pour exécuter un script PowerShell. Le script en lui-même n'étant qu'une série de commandes légitimes susceptible de télécharger et d'exécuter un binaire directement dans la mémoire. Un mécanisme de sécurité classique d'analyse de fichiers ne détectera pas la menace.
Ces attaques pernicieuses ciblent généralement des organisations et entreprises particulières dans l'objectif de dissimuler l'infiltration et l'exfiltration de données.
La nouvelle génération des plates-formes de sécurité pour endpointLes dernières plateformes de sécurité pour endpoint combinent généralement une protection multi-niveau, c'est-à-dire l'analyse des fichiers et la surveillance des comportements, avec des technologies de Machine Learning et un système de sandbox pour la détection des menaces. Certaines technologies reposent uniquement sur les algorithmes d'apprentissage automatique, soit un seul niveau de protection, tandis que d'autres plateformes de protection pour endpoint se servent de technologies englobant plusieurs niveaux de protection, renforcés par l'apprentissage automatique. Les algorithmes sont alors dédiés à la détection des menaces avancées et sophistiquées lors des phases de pré-exécution, d'exécution et de post-exécution.
Aujourd'hui, une erreur très répandue consiste à considérer le Machine Learning comme un niveau de sécurité autonome capable de détecter n'importe quel type de menace. Une plateforme de protection pour endpoint reposant uniquement sur l'apprentissage automatique ne sera pas en mesure de renforcer la sécurité d'une entreprise.
Les algorithmes de Machine Learning sont conçus pour renforcer les différentes couches de sécurité et non pour les remplacer. Le filtrage des spams peut par exemple être consolidé par l'utilisation de modèles de Machine Learning, tout comme la détection des malwares classiques peut s'en servir pour déterminer si des fichiers inconnus sont susceptibles d'être malveillants.
Les couches de sécurité sans signature sont conçues pour offrir plus de protection, de visibilité et de contrôle pour la prévention, la détection et le blocage de tout type de menaces. Compte tenu de ces nouveaux modes d'attaque, les plateformes de sécurité pour endpoint Next-Gen doivent impérativement protéger les utilisateurs contre les outils et techniques exploitant les vulnérabilités connues non corrigées, et bien évidemment les vulnérabilités non connues, des applications.
Nous soulignerons toutefois que les technologies traditionnelles basées sur les signatures ne sont pas obsolètes et qu'elles ne doivent pas être mises au rebut.
En étant capables d'identifier rapidement et avec précision un fichier connu pour être malveillant, elles constituent une couche de sécurité importante. La combinaison du machine learning, des couches de sécurité basées sur les signatures et sur les comportements permet de créer des solutions de sécurité en mesure de gérer les malwares connus, mais aussi de lutter contre les menaces inconnues afin de renforcer la sécurité des entreprises.