Les attaquants s’appuient de plus en plus sur des techniques d’attaque qui n’utilisent pas de malwares ou bien qui sont de type ‘sans fichier’ (fileless) pour accéder à distance aux réseaux de leurs victimes.
Ces agents d’accès à distance sont tristement célèbres pour être difficiles à détecter et à bloquer en raison de leur configurabilité et de leur capacité à se cacher au sein de vos défenses.
La Protection Dynamic Shellcode est un nouvel composant, des plus intéressants, intégré à Sophos Intercept X, et conçu pour empêcher les adversaires actifs d’atteindre l’un de leurs objectifs préférés : à savoir utiliser des agents d’accès à distance pour obtenir les privilèges de type “hands on keyboard“.
Les adversaires adorent les agents d’accès à distance
Les adversaires installent des agents pour leur permettre d’accéder à distance à un système et de lancer des attaques qui auront un impact plus important. Il s’agit d’un outil de post-exploitation assez répandu et utilisé dans les attaques de type “living off the land“. Ces dernières permettent à l’attaquant d’envoyer des commandes, de cibler l’environnement d’une victime ou de lancer un ransomware.
Les agents d’accès à distance ont récemment été utilisés dans des attaques majeures comme SolarWinds et Gootloader. L’adversaire prend alors le contrôle d’un processus déjà en cours et le contrôle à ses propres fins.
En utilisant l’analogie d’un détournement d’avion, alors que d’autres étapes de la chaîne d’attaque permettent aux attaquants d’accéder au cockpit, ce seront les agents d’accès à distance qui leur donneront la possibilité de contrôler véritablement l’avion. Pour rendre la situation encore plus difficile, même après la neutralisation de l’attaquant, le shell qu’ils laissent derrière eux pourra toujours être utilisé pour contrôler l’avion à distance.
La Protection Dynamic Shellcode dans Intercept X
La Protection Dynamic Shellcode est une mitigation au niveau du système qui détecte le comportement des agents d’accès à distance cachés et qui empêche les attaquants de prendre le contrôle des réseaux de la victime.
Cette fonctionnalité innovante est intégrée et activée dans tous les abonnements Intercept X Advanced et Intercept X Advanced with EDR pour les endpoints et les serveurs. Elle protège contre les malwares avancés et furtifs ainsi que les agents de post-exploitation munis d’une mémoire. Elle n’utilise pas de signatures, l’apprentissage automatique (machine learning) ou le Cloud; elle se concentre plutôt sur les comportements suspects.
Les comportements suspects incluent l’identification des processus qui créent un agent distant au sein d’un autre processus. Une telle technique permet aux attaquants d’entrer par le biais d’une application et de migrer vers une autre tout en maintenant une connexion à leurs systèmes command-and-control. De cette façon, ils ont la possibilité de masquer leurs traces et d’établir la persistance au niveau de l’appareil.
Avec la Protection Dynamic Shellcode, les clients d’Intercept X pourront être rassurés en sachant qu’ils disposent désormais d’une protection encore plus forte contre les RAT (Remote Access Trojans), les malwares sans fichier (fileless) et les attaques de ransomwares.
Pour en savoir plus
Pour une analyse approfondie de cette technique d’attaque et pour découvrir comment la Protection Dynamic Shellcode peut la stopper, parcourez l’excellent article de Mark Loman.
Pour en savoir plus sur Intercept X et bénéficier d’un essai gratuit sans engagement, rendez-vous sur notre site Web.
Billet inspiré de Intercept X’s new secret weapon: Dynamic Shellcode Protection, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.