Comment défendre votre organisation contre les attaques Filess Malware

Comment défendre votre organisation contre les attaques Filess Malware

La menace des logiciels malveillants sans fichiers et son potentiel de nuire aux entreprises augmentent.

Les logiciels malveillants sans fichiers exploitent ce que les acteurs appellent «vivre de la terre», ce qui signifie que les logiciels malveillants utilisent un code qui existe déjà sur un ordinateur Windows moyen. Lorsque vous pensez à la configuration moderne de Windows, vous avez beaucoup de code: PowerShell, WMI (Windows Management Instrumentation), Visual Basic (VB), clés de registre Windows contenant des données exploitables, le framework .NET, etc. Les logiciels malveillants n’ont pas besoin de supprimer un fichier pour utiliser ces programmes à des fins malveillantes.

La combinaison de toutes ces sources de code est généralement appelée processus de retrait – une tactique dans laquelle un logiciel malveillant utilise un processus particulier en tant que conteneur de stockage et mécanisme de distribution de son code. Une attaque récente découverte par FireEye combinait PowerShell, des scripts VB et .NET dans un seul paquet mortel.

Les attaques utilisant PowerShell sont particulièrement à la hausse. L’automne dernier, IRIS (Services de réponse aux incidents et de renseignement d’IBM X-Force) a montré à quel point les exploits basés sur PowerShell pouvaient être puissants, car le code est exécuté directement à partir de la mémoire d’un PC. De plus, PowerShell peut être utilisé pour les attaques par accès à distance et pour contourner les protections de liste blanche d’applications.

Face à cette menace croissante, que peuvent faire les équipes de sécurité pour protéger leurs entreprises contre les logiciels malveillants sans fichiers?

Assurer une hygiène de sécurité solide à l’échelle de l’entreprise

Pour combattre les logiciels malveillants sans fichiers, vous devez avant tout vous assurer que vos ordinateurs Windows sont corrigés et à jour. Dans la mesure où l’un des premiers principes des acteurs de la menace tire parti des systèmes anciens et non mis à jour, retarder la gestion des correctifs consiste à introduire une vulnérabilité dans votre réseau. La diffusion de EternalBlue illustre bien ce phénomène; le correctif était disponible plus d’un mois avant le lancement de l’exploit.

La prochaine étape consiste à vous assurer que votre programme de formation à la sensibilisation à la sécurité est solide. Cela ne signifie pas l’exécution d’exercices annuels ou l’envoi occasionnel d’e-mails de phishing de test. Au lieu de cela, proposez un programme qui fonctionne en permanence et qui sensibilise les utilisateurs aux dangers des pièces jointes aux courriels et en cliquant sur les liens comme bon leur semble. La plupart des campagnes sans fichiers commencent leur vie avec un simple email de phishing. Il est donc important d’essayer de pincer ces points d’entrée rapidement.

Troisièmement, vous devez comprendre le comportement du code Windows intégré afin de pouvoir détecter les anomalies, par exemple lorsque des scripts PowerShell chiffrés sont installés pour s’exécuter en tant que service. La combinaison des deux – le cryptage et la fonctionnalité de service – devrait être un drapeau rouge. Les analystes voient parfois des outils de compression à la place ou en plus du chiffrement. Un autre drapeau rouge est la recherche d’un script PowerShell masqué dans le répertoire \ TEMP; bien que n’étant pas techniquement sans fichiers, ce code se déplace rapidement vers des parties plus dangereuses du système d’exploitation.

Comprenez vos droits d’accès et privilèges

Les entreprises doivent comprendre ce qui se passe lorsque des logiciels malveillants sans fichiers font exploser. Le simple fait qu’un utilisateur ait cliqué sur une pièce jointe illicite ne signifie pas que le logiciel malveillant restera sur son PC. Au lieu de cela, le programme malveillant se déplace généralement sur votre réseau pour trouver une cible plus riche, telle qu’un contrôleur de domaine ou un serveur Web. Pour éviter cela, vous devez segmenter votre réseau avec soin et vous assurer de bien comprendre les droits d’accès, en particulier pour les applications et les utilisateurs tiers.

Une méthode d’attaque courante consiste à augmenter les privilèges lorsque des logiciels malveillants se déplacent sur le réseau, ce qui peut être fait à l’aide de PowerShell, par exemple. Ils ne l’appellent pas PowerShell pour rien: un acteur peut émettre des commandes pour des requêtes DNS (Domain Name System) inversées, énumérer des listes de contrôle d’accès sur n’importe quel partage réseau et trouver les membres d’un groupe de domaine particulier. Cela signifie que l’un des contrôles les plus élémentaires de tout programme malveillant consiste à limiter les droits d’administrateur au nombre minimal de systèmes.

De nombreux exploits sans fichiers comptent sur l’utilisation abusive de droits inutiles ou liés aux utilisateurs ayant quitté la société ou sur des droits obsolètes pour les utilisateurs qui n’accèdent plus aux applications ciblées. Les entreprises devraient développer des méthodes pour détecter le moment où ces situations se produisent et pouvoir les arrêter rapidement. Les organisations doivent également désactiver les programmes Windows non nécessaires. Ce n’est pas tout le monde qui a besoin de PowerShell s’exécutant sur son ordinateur ou de la prise en charge du framework .NET. Encore plus efficace consiste à éliminer la prise en charge d’anciens protocoles tels que SMBv1, qui est à l’origine de tous les problèmes avec WannaCry.

Enfin, bien que PowerShell puisse contourner la liste blanche d’applications, le déploiement de tels contrôles reste une bonne idée. Plus vous en savez sur la manière dont vos utilisateurs consomment les applications, plus vous serez en mesure d’attraper un logiciel malveillant en train de faire quelque chose qu’aucune autre application légitime n’a été observée en train de faire. Une autre solution consiste à désactiver les macros, y compris les macros Office, souvent utilisées par les auteurs de programmes malveillants, bien qu’il ne s’agisse pas d’une solution universelle, car de nombreux utilisateurs en ont besoin pour effectuer leur travail.

En outre, Windows ne peut être utilisé que pour des ordinateurs de bureau, et les acteurs de la menace ciblent parfois les ordinateurs points de vente (PDV) Windows intégrés. L’attraction ici est que ces ordinateurs ont un accès direct aux données des cartes de paiement. Il est donc crucial de protéger davantage cette population.

Combattez les menaces liées aux programmes malveillants sans fil avec une coordination minutieuse

Microsoft n’est pas resté immobile alors que les attaques sans fichiers sont généralisées. En fait, la société a développé une interface ouverte appelée Antimalware Scan Interface, que certains fournisseurs ont commencé à utiliser pour faciliter la détection des «avertissements» du monde sans fichiers, notamment en ce qui concerne l’analyse du comportement des scripts.

En outre, toute personne souhaitant mieux comprendre les attaques sans fichiers devrait consulter le projet open source AltFS. Il s’agit d’un système de fichiers virtuel complet sans fichier qui montre comment fonctionnent ces techniques et qui peut être déployé sur des PC Windows et Mac.

Comme vous pouvez le constater, la lutte contre les programmes malveillants sans fichiers nécessitera des efforts considérables et une coordination minutieuse entre divers outils et techniques. Avec des menaces de logiciels malveillants plus imprévisibles à l’horizon, les entreprises doivent prendre des mesures aujourd’hui pour renforcer leurs défenses.