Apprenez tout sur les logiciels malveillants sans fichier et comment vous protéger
Le cyber-monde regorge d'incidents de sécurité. Alors que la plupart des cyberattaques nécessitent un certain type d'appât pour infiltrer votre système, le malware sans fichier intrépide vit hors de la grille et infecte en retournant votre logiciel légitime contre lui-même.
Mais comment le malware sans fichier attaque-t-il s'il n'utilise aucun fichier? Quelles sont les techniques les plus courantes qu'il utilise? Et pouvez-vous protéger vos appareils contre les logiciels malveillants sans fichier?
Comment les logiciels malveillants sans fichier attaquent-ils?
Attaques de logiciels malveillants sans fichier en jouant sur les vulnérabilités préexistantes à l'intérieur de votre logiciel installé.
Les exemples courants incluent les kits d'exploitation qui ciblent les vulnérabilités du navigateur pour commander au navigateur d'exécuter du code malveillant, à l'aide de l'utilitaire Powershell de Microsoft ou en ciblant des macros et des scripts.
Étant donné que le code de ces attaques n'est pas stocké dans un fichier ou installé sur la machine de la victime, il charge les logiciels malveillants directement dans la mémoire lorsque le système commande et s'exécute instantanément.
L'absence de fichiers exécutables fait qu'il est difficile pour les solutions antivirus traditionnelles de les repérer. Naturellement, cela rend les logiciels malveillants sans fichier d'autant plus dangereux.
Techniques courantes utilisées par les logiciels malveillants sans fichier
Les logiciels malveillants sans fichier n'ont pas besoin de code ou de fichiers pour se lancer, mais ils nécessitent une modification de l'environnement natif et des outils qu'ils essaient d'attaquer.
Voici quelques techniques courantes utilisées par les logiciels malveillants sans fichier pour cibler les appareils.
Kits d'exploit
Les exploits sont des morceaux de code ou de séquences «exploités» et un kit d'exploit est une collection d'exploits. Les exploits sont le meilleur moyen de lancer une attaque sans fichier car ils peuvent être injectés directement dans la mémoire sans avoir besoin d'écrire quoi que ce soit sur le disque.
Une attaque de kit d'exploit est lancée de la même manière qu'une attaque typique, où la victime est attirée par des e-mails de phishing ou des tactiques d'ingénierie sociale. La plupart des kits incluent des exploits pour un certain nombre de vulnérabilités préexistantes dans le système de la victime et une console de gestion permettant à l'attaquant de le contrôler.
Logiciel malveillant résidant en mémoire
Un type de malware connu sous le nom de malware résidant dans le registre est largement utilisé par les attaques sans fichier. Ce code malveillant est programmé pour se lancer à chaque fois que vous ouvrez le système d'exploitation et reste caché dans les fichiers natifs du registre.
Une fois que les logiciels malveillants sans fichier sont installés dans votre registre Windows, ils peuvent y rester en permanence, évitant ainsi d'être détectés.
Logiciel malveillant en mémoire uniquement
Ce type de malware réside uniquement dans la mémoire.
Les attaquants utilisent principalement des outils d'administration système et de sécurité largement utilisés, notamment PowerShell, Metasploit et Mimikatz, pour injecter leur code malveillant dans la mémoire de votre ordinateur.
Identifiants volés
Le vol d'informations d'identification pour mener une attaque sans fichier est très courant. Les informations d'identification volées peuvent être facilement utilisées pour cibler un appareil sous le prétexte de l'utilisateur réel.
Une fois que les attaquants ont mis la main sur un appareil via une information d'identification volée, ils peuvent utiliser les outils natifs tels que Windows Management Instrumentation (WMI) ou PowerShell pour effectuer l'attaque. La plupart des cybercriminels créent également des comptes d'utilisateurs pour accéder à n'importe quel système.
Exemples d'attaques sans fichier
Les logiciels malveillants sans fichier existent depuis un certain temps, mais ne sont apparus comme une attaque courante qu'en 2017 lorsque des kits intégrant des appels à PowerShell ont été créés par des acteurs de la menace.
Voici quelques exemples intéressants de logiciels malveillants sans fichier, dont vous aurez sans doute entendu parler.
Le vengeur sombre
C'est un précurseur des attaques de logiciels malveillants sans fichier. Découvert en septembre 1989, il nécessitait un fichier comme point de livraison initial mais opéra plus tard à l'intérieur de la mémoire.
L'objectif principal de cette attaque était d'infecter les fichiers exécutables à chaque fois qu'ils étaient exécutés sur un ordinateur infecté. Même les fichiers copiés seraient infectés. Le créateur de cette attaque est connu sous le nom de "Dark Avenger".
Frodon
Frodo n'est pas une attaque sans fichier dans le vrai sens du terme, mais c'était le premier virus qui a été chargé dans le secteur de démarrage d'un ordinateur, le rendant ainsi partiellement sans fichier.
Il a été découvert en octobre 1989 comme une farce inoffensive dans le but de flasher un message «Frodo Lives» sur les écrans d'ordinateurs infectés. Cependant, en raison du code mal écrit, il s'est en fait transformé en une attaque destructrice pour ses hôtes.
Opération Cobalt Kitty
Cette célèbre attaque a été découverte en mai 2017 et a été exécutée sur le système d'une société asiatique.
Les scripts PowerShell utilisés pour cette attaque étaient liés à un serveur de commande et de contrôle externe qui lui a permis de lancer une série d'attaques, dont le virus Cobalt Strike Beacon.
Misfox
Cette attaque a été identifiée par l'équipe Microsoft Incident Response en avril 2016. Elle utilise les méthodologies sans fichier d'exécution de commandes via PowerShell et gagne en permanence grâce à l'infiltration du registre.
Depuis que cette attaque a été repérée par l'équipe de sécurité de Microsoft, une solution de regroupement pour se protéger de ce malware a été ajoutée dans Windows Defender.
WannaMine
Cette attaque est effectuée en minant la crypto-monnaie sur l'ordinateur hôte.
L'attaque a été repérée pour la première fois à la mi-2017 alors qu'elle s'exécutait en mémoire sans aucune trace d'un programme basé sur des fichiers.
Renard violet
Purple Fox a été créé à l'origine en 2018 en tant que cheval de Troie téléchargeur sans fichier qui nécessitait un kit d'exploitation pour infecter les appareils. Il a refait surface sous une forme reconfigurée avec un module de ver supplémentaire.
L'attaque est initiée par un e-mail de phishing qui délivre la charge utile du ver qui recherche et infecte automatiquement les systèmes Windows.
Purple Fox peut également utiliser des attaques par force brute en recherchant les ports vulnérables. Une fois le port cible trouvé, il est infiltré pour propager l'infection.
Comment prévenir les logiciels malveillants sans fichier
Nous avons établi à quel point les logiciels malveillants sans fichier peuvent être dangereux, en particulier parce que certaines suites de sécurité ne peuvent pas les détecter. Les cinq conseils suivants peuvent aider à atténuer tout type d'attaques sans fichier.
1. N'ouvrez pas les liens et les pièces jointes suspects
Le courrier électronique est le plus grand point d'entrée pour les attaques sans fichier, car les utilisateurs de courrier électronique naïfs peuvent être incités à ouvrir des liens de messagerie malveillants.
Ne cliquez pas sur des liens dont vous n'êtes pas sûr à 100%. Vous pouvez vérifier où l'URL se termine en premier ou déterminer si vous pouvez lui faire confiance à partir de votre relation avec l'expéditeur et du contenu de l'e-mail dans le cas contraire.
En outre, aucune pièce jointe envoyée à partir de sources inconnues ne doit être ouverte, en particulier celles contenant des fichiers téléchargeables tels que des PDF et des documents Microsoft Word.
2. Ne tuez pas JavaScript
JavaScript peut être un excellent influenceur pour les logiciels malveillants sans fichier, mais le désactiver complètement n'aide pas.
Outre le fait que la plupart des pages que vous visitez seront des éléments vides ou manquants, il existe également un interpréteur JavaScript intégré dans Windows qui peut être appelé à partir d'une page Web sans avoir besoin de JavaScript.
Le plus gros inconvénient est qu'il peut vous fournir un faux sentiment de sécurité contre les logiciels malveillants sans fichier.
3. Désactivez Flash
Flash utilise l'outil Windows PowerShell pour exécuter des commandes à l'aide de la ligne de commande pendant son exécution en mémoire.
Pour protéger correctement contre les logiciels malveillants sans fichier, il est important de désactiver Flash à moins que cela ne soit vraiment nécessaire.
4. Utilisez la protection du navigateur
La protection de vos navigateurs domestiques et professionnels est la clé pour empêcher la propagation des attaques sans fichier.
Pour les environnements de travail, créez une stratégie de bureau qui n'autorise qu'un seul type de navigateur à être utilisé pour tous les bureaux.
L'installation de la protection du navigateur comme Windows Defender Application Guard est très utile. Faisant partie d'Office 365, ce logiciel a été écrit avec des procédures spécifiques pour se protéger contre les attaques sans fichier.
5. Mettre en œuvre une authentification robuste
Le principal coupable de la propagation des logiciels malveillants sans fichier n'est pas le PowerShell, mais plutôt un système d'authentification faible.
La mise en œuvre de politiques d'authentification robustes et la limitation de l'accès privilégié en mettant en œuvre le principe du moindre privilège (POLP) peuvent réduire considérablement le risque de logiciels malveillants sans fichier.
Battre les logiciels malveillants sans fichier
Ne laissant aucune trace, les logiciels malveillants sans fichier exploitent les outils «sûrs» intégrés à votre ordinateur pour mener à bien les attaques.
Cependant, la meilleure façon de lutter contre les logiciels malveillants sans fichier ou tout autre logiciel malveillant est de prendre conscience et de comprendre les différentes techniques utilisées pour mener ces attaques.