Small nick 01

Jérôme BENBIHI

Intensification des attaques fileless

 haussedesattaques

Depuis deux ans les attaques sans fichier ont considérablement augmenté. Pour ne plus être détectés par les antivirus et les pare-feu ("firewall"), les pirates informatiques exploitent cette méthode, dite sans fichier, "fileless attack" en anglais, car il n’y a plus besoin de télécharger un "document" infecté. Le code malveillant s'exécute directement dans la mémoire de la machine infectée, en se servant d’un module système parfaitement légitime, comme powershell.exe, WMI ou une macro dans Word, Excel...

On distingue deux groupes d’attaques sans fichier :

- les « évadés » sont des malwares qui quittent le système juste après leur tâche malveillante terminée. Ils récupèrent des données techniques sur le système d’exploitation et l’infectent avec d’autres logiciels malveillants. Parmi les plus connus de cette catégorie sont PowerSniff (déguisé en un fichier macro qui peut contenir le code d’un virus très agressif) et USB Thief Speaking.

Ce dernier se dissimule dans les appareils portatifs de stockage de données. Lorsqu’ils se connectent à un ordinateur, l’infection commence à collecter les données sur le système d’exploitation de la victime sans aucune trace.

-les “résidents » peuvent fonctionner dans votre système tout en restant indétectables. Ils exécutent un script codé dans un registre de l’ordinateur. Par exemple Kovter, le plus connu de cette catégorie, crée des clés de registre illisibles qui transportent des scripts malveillants.

« S'appuyer sur des scripts pour effectuer des attaques sans fichier est une méthode intéressante, car les scripts sont initialement utilisés pour exécuter des commandes. Les scripts sont de nature inoffensifs, mais utilisés à des fins malveillantes, ils peuvent permettre d'exfiltrer des données sensibles ou télécharger d'autres composants malveillants sur l'ordinateur de la victime », explique Arsène Liviu, spécialiste sécurité chez Bitdefender.

Une récente étude de l’institut Ponemon pour Barkly nous alerte aussi sur l’importance de la menace fileless. L’institut a interrogé plus de 18000 professionnels de l’IT et de la cybersécurité aux Etats-Unis. Le constat est le suivant : les attaques sans fichier représentent 39 % des attaques, et on estime qu’elles vont augmenter encore plus en 2018. En fait, 54 % des sondés ont subit au moins une attaque sur les postes de travail au cours des 12 derniers mois. Et dans 77 % des cas, il s’agis d’une attaque sans fichier, ou d’un exploit inédit.

Seulement 31 % des sondés estiment que leur antivirus existant peut stopper les menaces actuelles ; 53 % considèrent que leurs solutions de protection en place ne protègent pas correctement des attaques. « En conséquence, une majorité de sondés indiquent que leurs entreprises investissent dans de nouvelles technologies », en remplacement ou en complément. Ainsi, Pacifica/Crédit Agricole Assurances a récemment choisi le déploiement de SentinelOne. Par ailleurs, le coût moyen d’une attaque réussie s’élève à 5 M$, selon l’institut Ponemon, précisant qu’il s’agit en grande partie de pertes de productivité et des indisponibilités.

Article publié sur LinkedIn

Source 

Laissez un commentaire