Qu'est-ce qu'un Fileless Malware ?
Un logiciel malveillant ou fileless malware utilise des outils natifs légitimes intégrés à un système pour lancer une cyberattaque. Contrairement à un logiciel malveillant classique, aucun code n'est installé sur le système cible par le cyberattaquant, ce qui complique sa détection.
Cette technique sans fichier, qui consiste à utiliser des outils natifs pour mener une attaque malveillante, est connue sous le nom d'exploitation des ressources locales (« living off the land »).
Téléchargez ce livre blanc pour obtenir une description détaillée des différentes phases d'une intrusion sans fichier, notamment la compromission initiale, la prise de commande et contrôle, l'élévation des privilèges et l'implantation durable.
TéléchargerTechniques courantes d'attaque de Fileless Malware
Dans ce type d'attaque, les cyberattaquants n'ont pas besoin d'installer de code, mais doivent obtenir un accès à l'environnement afin de modifier les outils natifs et ainsi parvenir à leurs fins. Diverses techniques permettent d'obtenir un accès et de mener l'attaque, notamment :
- Kits d'exploit
- Outils natifs piratés
- Logiciel malveillant présent dans le Registre
- Logiciel malveillant en mémoire uniquement
- Ransomware sans fichier
- Identifiants volés
Kits d'exploit
Les exploits sont des éléments de code, des séquences de commandes ou des ensembles de données. Les kits d'exploit sont quant à eux des ensembles d'exploits. Les cyberadversaires utilisent ces outils pour exploiter les vulnérabilités connues d'un système d'exploitation ou d'une application installée.
Les exploits constituent une technique d'attaque de Fileless Malware efficace puisqu'ils peuvent être injectés directement dans la mémoire sans qu'il faille écrire quoi que ce soit sur le disque. Les cyberadversaires peuvent les utiliser pour automatiser les compromissions initiales à grande échelle.
Un exploit commence toujours de la même façon, que l'attaque soit sans fichier ou utilise un malware traditionnel. En général, la victime est appâtée au moyen d'un e-mail de phishing ou d'une technique d'ingénierie sociale. Le kit d'exploit comprend généralement des exploits pour plusieurs vulnérabilités et une console de gestion que le cyberattaquant peut utiliser pour contrôler le système. Dans certains cas, il est en mesure de rechercher les vulnérabilités du système ciblé, puis d'élaborer et de lancer un exploit personnalisé à la volée.
Logiciel malveillant présent dans le Registre
Ce type de malware s'installe lui-même dans le Registre Windows dans le but d'y rester durablement tout en échappant à la détection.
Les systèmes Windows sont généralement infectés via le téléchargement d'un fichier malveillant par un injecteur. Mais comme ce fichier malveillant reste actif dans le système ciblé, il est susceptible d'être détecté par un antivirus. Un Fileless Malware peut également recourir à un injecteur, mais celui-ci ne télécharge pas de fichier malveillant. À la place, l'injecteur écrit lui-même le code malveillant directement dans le Registre Windows.
Le code malveillant peut être programmé pour s'exécuter chaque fois que le système d'exploitation est lancé, ce qui fait qu'aucun fichier malveillant ne risque d'être détecté. Le code malveillant est dissimulé dans des fichiers natifs qui ne sont pas analysés par l'antivirus.
Poweliks est la plus ancienne variante de ce type d'attaque, mais de nombreuses autres ont émergé depuis lors, notamment Kovter et GootKit. Un logiciel malveillant qui modifie des clés de Registre a la possibilité de s'implanter durablement sans être détecté.
Logiciel malveillant en mémoire uniquement
Ce type de malware réside uniquement en mémoire, ce qui lui permet d'échapper à toute détection pendant de longues périodes. C'est le cas, par exemple, du ver Duqu. Duqu 2.0 existe en deux versions : la première consiste en une porte dérobée qui permet au cyberadversaire de s'implanter dans une entreprise. Celui-ci peut ensuite utiliser la version avancée de Duqu 2.0, qui propose des fonctionnalités supplémentaires, telles que la reconnaissance, le déplacement latéral et l'exfiltration de données. Duqu 2.0 a permis de mener à bien des compromissions contre des entreprises du secteur des télécommunications et au moins un éditeur de logiciels de sécurité réputé.
Ransomware sans fichier
Les cyberadversaires ne se limitent pas à un seul type d'attaque. Ils exploitent toutes les technologies à leur disposition pour parvenir à leurs fins. Aujourd'hui, les opérateurs de ransomwares utilisent des techniques sans fichier pour incorporer du code malveillant dans des documents au moyen de langages de script natifs, comme les macros, ou pour écrire le code malveillant directement en mémoire grâce à l'utilisation d'un exploit. Le ransomware pirate ensuite des outils natifs tels que PowerShell pour chiffrer les fichiers pris en otage sans avoir à écrire la moindre ligne sur le disque.
Identifiants volés
Un cyberattaquant peut lancer une attaque sans fichier en utilisant des identifiants volés pour accéder à sa cible sous le couvert de l'identité d'un utilisateur légitime. Une fois à l'intérieur, il peut utiliser des outils natifs, tels que le service WMI (Windows Management Instrumentation) ou PowerShell, pour lancer son attaque. Pour s'établir durablement, il peut dissimuler du code dans le Registre ou le noyau ou créer des comptes utilisateurs qui lui donnent accès au système de son choix.
Caractéristiques d'un Fileless Malware
- Exploitation d'applications approuvées déjà installées sur le système ciblé
- Absence de code ou de signature identifiable susceptible d'être détecté par les antivirus traditionnels
- Absence de comportement spécifique susceptible d'être détecté par des analyses heuristiques
- Basé en mémoire (réside dans la mémoire système)
- Utilisation de processus intégrés au système d'exploitation
- Combinaison possible avec d'autres types de malwares
- Faculté d'implantation dans l'environnement malgré des mesures telles que les listes blanches et l'analyse en environnement sandbox
Les différentes phases d'une attaque sans fichier
Phase 1 – Obtention de l'accès
Technique : exploitation à distance d'une vulnérabilité et utilisation d'un script web pour obtenir un accès à distance (par ex., China Chopper)
Le cyberattaquant obtient un accès à distance au système de la victime afin d'établir la tête de pont de son attaque.
Phase 2 – Vol d'identifiants
Technique : exploitation à distance d'une vulnérabilité et utilisation d'un script web pour obtenir un accès à distance (par ex., Mimikatz)
À l'aide de l'accès obtenu à l'étape précédente, le cyberattaquant tente d'obtenir des identifiants de connexion à l'environnement compromis, indispensables pour accéder facilement à d'autres systèmes de cet environnement.
Phase 3 – Persistance
Technique : modification du Registre pour créer une porte dérobée (par ex., contournement de Sticky Keys)
Le cyberattaquant établit alors une porte dérobée qui lui permettra de revenir à sa guise dans l'environnement sans avoir à répéter les premières phases de l'attaque.
Phase 4 – Exfiltration des données
Technique : utilisation du système de fichiers et d'un utilitaire de compression intégré pour collecter des données, puis du protocole FTP pour les charger
Au cours de cette dernière phase, le cyberattaquant collecte les données souhaitées et prépare leur exfiltration : il les copie dans un emplacement, puis les compresse à l'aide des outils système existants, tels que Compact. Il extrait ensuite les données de l'environnement de la victime en les chargeant via FTP.
Comment détecter un Fileless Malware ?
Les antivirus d'ancienne génération, les listes blanches, l'analyse en environnement sandbox et même le Machine Learning ne peuvent rien contre les attaques sans fichier. Heureusement, les entreprises peuvent se protéger en adoptant une approche intégrée combinant plusieurs méthodes.
Utiliser des indicateurs d'attaque plutôt que des indicateurs de compromission uniquement
Les indicateurs d'attaque (IOA) permettent de réagir proactivement aux attaques sans fichier. Au lieu de se focaliser sur l'exécution d'une attaque, ils recherchent des signes indiquant qu'une attaque est en cours.
Les indicateurs d'attaque repèrent des signes tels que l'exécution de code, les déplacements latéraux et les activités qui semblent avoir des intentions cachées.
Ils ne se focalisent pas sur le lancement ou l'exécution de l'attaque. Peu importe que l'attaque ait pour origine un fichier présent sur le disque dur ou ne fasse appel à aucun fichier. Seule l'opération exécutée compte, de même que ses liens avec d'autres actions, sa position dans une séquence et les actions qui en dépendent. Ces indicateurs révèlent les véritables intentions et objectifs dissimulés derrière ces comportements, ainsi que les événements connexes.
Comme les attaques sans fichier exploitent des langages de script légitimes, comme PowerShell, et ne sont jamais écrites sur le disque, elles ne sont pas détectées par les méthodes basées sur les signatures, les listes blanches et l'analyse en environnement sandbox. Même les techniques de Machine Learning ne parviennent pas à détecter les logiciels malveillants sans fichier. En revanche, les indicateurs d'attaque recherchent des séquences d'événements que même un Fileless Malware doit exécuter pour mener à bien sa mission.
Grâce à l'analyse de l'intention, du contexte et des séquences, les indicateurs d'attaque peuvent même détecter et bloquer les activités malveillantes exécutées à l'aide d'un compte légitime, ce qui est souvent le cas lorsqu'un cyberattaquant utilise des identifiants volés.
Utilisation du Threat Hunting managé
Le Threat Hunting à la recherche de logiciels malveillants sans fichier est une tâche chronophage et laborieuse qui nécessite de collecter et de normaliser un volume considérable de données. Néanmoins, il s'agit d'une étape indispensable pour se défendre contre les attaques sans fichier. C'est pourquoi la majorité des entreprises confient le Threat Hunting à un expert.
Les services de Threat Hunting managé sont à pied d'œuvre sans relâche afin de détecter de façon proactive les intrusions, de surveiller l'environnement et d'identifier les activités subtiles que les technologies de sécurité standard sont incapables de déceler.
Comment CrowdStrike peut-il empêcher les attaques sans fichier à l'encontre de votre entreprise ?
Cette vidéo vous explique comment la plateforme Falcon parvient à détecter une attaque sans fichier en utilisant un shell web :