Les cybercriminels contournent avec succès la détection des ordinateurs Windows et de leurs outils d’administration légitimes que l’on trouve couramment sur le système d’exploitation.
Il s’agit de la conclusion majeure du Rapport 2019 des SophosLabs sur les Menaces, qui décrit comment cette technique est passée du stade marginal à celui de composante principale d’un nombre croissant de cyberattaques.
Connu dans le jargon sécurité comme la technique “Living Off the Land” ou “LoL”, car elle évite de télécharger des outils dédiés, elle cible particulièrement PowerShell, un puissant shell en ligne de commande qui est livré par défaut sur tous les ordinateurs Windows récents, même si peu d’utilisateurs en ont déjà entendu parler.
D’autres cibles alternatives sont Windows Scripting Host (WScript.exe), Windows Management Instrumentation Command line (WMIC), ainsi que des outils externes populaires tels que PsExec et WinSCP.
C’est une stratégie simple qui fait de la détection un véritable casse-tête. Selon le rapport, la suppression de ces outils est une option mais présente des inconvénients, que peu d’administrateurs seraient prêts à accepter :
PowerShell fait également partie intégrante des outils permettant aux administrateurs de gérer des réseaux de presque toutes les tailles. Par conséquent, ils doivent être présents et activés pour que ces administrateurs puissent effectuer des opérations telles que, par exemple, la modification des stratégies de groupe.
Bien entendu, les pirates le savent et se sentent souvent assez téméraires pour enchaîner une séquence de script et d’interfaces de commande, chacune s’exécutant via un processus Windows différent.
Selon les SophosLabs, les attaques pourraient commencer par une pièce jointe JavaScript malveillante, permettant d’invoquer wscript.exe, avant de télécharger un script PowerShell personnalisé. Les personnes ciblées font face à un défi de taille :
Avec un large éventail de types de fichiers comprenant plusieurs scripts de type “texte brut”, enchaînés sans ordre particulier et sans prévisibilité spécifique, le challenge consiste à distinguer le fonctionnement normal d’un ordinateur du comportement anormal d’une machine assaillie et en train d’être infectée par un malware.
Attaques par des macros 2.0
Pendant ce temps, les attaquants ne montrent aucun signe d’abandon concernant les nouvelles variantes d’attaques à base de macros Microsoft Office, une autre voie pour lancer des exploits sans avoir besoin d’exécutables classiques.
Ces dernières années, des protections telles que la désactivation de macros dans des documents ou l’utilisation du mode aperçu ont ralenti l’utilisation de cette technique.
Malheureusement, les attaquants ont mis au point des techniques permettant de persuader les utilisateurs de les désactiver à l’aide d’outils macro builder permettant de packager Office, Flash et d’autres exploits au sein d’un document qui génèrent des invites de type ingénierie sociale sophistiquées.
En outre, les cybercriminels ont actualisé leur ancien stock de failles logicielles en faveur de nouvelles, plus dangereuses et plus récentes. L’analyse des documents malveillants menée par les SophosLabs a révélé que 3% seulement des exploits dans les builders remontaient à avant 2017.
Avec une bonne utilisation des types de fichiers maintenant bloqués ou surveillés par la sécurité des systèmes Endpoint, la tendance est d’utiliser des types de fichiers plus exotiques pour lancer des attaques, surtout ceux apparemment plus anodins qui peuvent être appelés à partir d’interpréteurs Windows tels que .cmd (fichier de commande), .cpl (panneau de configuration), .HTA (Windows Script Host), .LNK (raccourci Windows) et .PIF (Program Information File).
Les déplacements latéralement
De manière surprenante, l’exploit EternalBlue (CVE – 2017-0144) est devenu une matière première de premier choix pour les créateurs de malwares, bien que Microsoft ait publié un correctif avant sa première utilisation par WannaCry en mai 2017.
Les cryptomineurs sont des inconditionnels d’EternalBlue, l’utilisant pour se déplacer latéralement sur les réseaux et infecter autant de machines que possible.
Les pirates combinant ces innovations (outils Windows LoL, attaques de macros, nouveaux exploits et cryptominage) représentent un réel défi, car ils parviennent à fausser les hypothèses faites par les cibles de leurs cyberattaques.
L’adoption de ces approches plus complexes et ésotériques a été motivée, ironiquement, par le succès du secteur de la cybersécurité dans la lutte contre les malwares traditionnels. Joe Levy, directeur technique de Sophos, a conclu :
Nous prévoyons d’avoir éventuellement moins d’adversaires, mais ils seront plus intelligents et plus forts.
Pour en savoir plus, découvrez sans plus attendre le Rapport 2019 des SophosLabs sur les Menaces.
Billet inspiré de Cybercriminal techniques – SophosLabs 2019 Threat Report, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.