Logiciels malveillants non détectables : 9 conseils pour s’en prémunir

3
202

Les logiciels malveillants non détectables ne sont pas les malwares les plus connus car ils diffèrent des logiciels malveillants traditionnels. En effet, ils ne nécessitent pas l’installation d’un programme pour infecter l’ordinateur de leur victime.  Au contraire, le logiciel tire parti des vulnérabilités existantes de l’ordinateur et tourne dans la mémoire RAM. Ainsi, pour exécuter une attaque, il utilise des outils communs du système et injecte des lignes de code dans des fichiers normalement sécurisés et fiables tels que javaw.exe ou iexplore.exe.

Tribune par Vincent Dely, Solutions Architect, Digital Guardian – Ces logiciels malveillants ne nécessitant aucun téléchargement de fichiers, il peut donc être difficile de les prévenir, de les détecter et de les éradiquer. Cependant, la bonne nouvelle est qu’il est possible de couper court à une attaque : en redémarrant l’ordinateur. En effet, la mémoire RAM ne conserve les données que lorsque l’ordinateur est allumé. Mais cela est malgré tout suffisant aux hackers pour accéder aux données et les subtiliser voire même installer d’autres formes de logiciels malveillants qui leur permettraient de perpétuer l’attaque. Il arrive par exemple que ces logiciels programment des scripts qui s’exécutent lorsque le système redémarre.

Des malwares discrets difficiles à identifier

Le problème de ces logiciels est qu’ils n’ont pas de ligne de code identifiable ou de signature permettant aux outils antivirus classiques de les détecter. Ils n’ont pas non plus de comportement prédictible. Ils tournent simplement dans la mémoire RAM de l’ordinateur et utilisent des processus natifs du système d’exploitation pour effectuer l’attaque. Il leur arrive même d’être associé à d’autres types de logiciels malveillants et d’être ainsi capable de contourner le système d’approbation des applications. Ils tirent également parti des applications approuvées déjà installées sur le système d’exploitation.

Il existe de nombreuses techniques que les pirates informatiques peuvent utiliser pour mener une attaque de ce type. Par exemple, une bannière publicitaire sur laquelle on cliquerait sans savoir qu’il s’agit d’un « malvertissement » et redirigerait en fait vers un site internet, apparemment légitime mais développé en Flash (malheureusement criblé de vulnérabilités). En effet, Flash utilise l’outil Windows PowerShell qui télécharge ainsi et exécute des fichiers malveillants à partir d’un botnet (un groupe d’ordinateurs infectés et contrôlés par un pirate à distance) ou d’un autre serveur également touché, et recherche des données qui pourront ensuite être envoyées aux pirates informatiques.

Des attaques en hausse que les entreprises ne doivent pas négliger

La plupart des attaques signalées impliquent surtout des organisations du secteur financier. En février 2017, il a été signalé que les logiciels malveillants non-détectables ont touché les réseaux d’au moins 140 banques et sociétés financières, dans au moins 40 pays. Ces logiciels étant très difficiles à détecter, ce nombre pourrait être en fait beaucoup plus élevé.

L’utilisation des logiciels malveillants non détectables est en hausse. En effet, 42% des entreprises interrogées par le Ponemon Institute ont rapporté avoir connu au moins une attaque en 2017. Elles ont également indiqué qu’environ 30% de toutes les attaques étaient de ce type et que 77% de toutes les attaques réussies étaient non traçables.

Le Ponemon Institute estime également que ce laxisme des organisations risque de coûter jusqu’à 5 millions de dollars aux entreprises. Les experts estiment que l’augmentation de ce type d’attaques est influencée par le fait que les logiciels malveillants non traçables sont facilement disponibles. Certains cybercriminels les proposent également en tant que service.

Procédures de protection

Bien qu’il n’y ait pas de nouveaux fichiers installés ou de comportements typiques qui rendrait évidente une attaque malveillante sans fichier, il y a quelques signes avant-coureurs à surveiller :

  • La première consiste à vérifier s’il y a des traces d’activités inhabituelles sur le réseau, comme par exemple la connexion de votre ordinateur à des botnet.
  • La seconde est de rechercher les signes d’activité dans la mémoire RAM ainsi que d’autres artéfacts qui pourraient avoir été laissés par un code malveillant.

Pour éviter d’être infecté par ces logiciels ou limiter son exposition, les entreprises doivent mettre en place avant toute chose, un certain nombre d’actions simples telles que

  • Garder son logiciel à jour et sécuriser PowerShell
  • Si certaines fonctionnalités système ne sont pas utilisées, les désactiver
  • Désactiver également les services et fonctionnalités du programme non utilisé
  • Désinstaller les applications dont on n’a pas l’utilité
  • S’assurer que les différents points d’entrée et les périphériques, y compris ceux connectés à distance, sont sécurisés
  • Restreindre l’accès et les privilèges accordés aux différents utilisateurs et administrateurs
  • Surveiller le trafic en vérifiant notamment les rapports d’activité
  • S’assurer également que tous les utilisateurs savent utiliser internet en toute sécurité
  • Changer les mots de passe si une attaque venait à être déclarée et après la mise à terme de celle-ci

Les attaques de ces logiciels malveillants non traçables usent de la discrétion bien plus que de la persistance. Cela leur arrive, en étant associés à d’autres logiciels, d’user des deux.

Ces attaques ayant dix fois plus de chances de réussir que les malwares classiques (enquête du Ponemon Institute), les organisations sont dans le devoir de créer une stratégie de protection, en intégrant à la fois des solutions de sécurité et la formation des employés afin de lutter contre ces menaces.

3 Commentaires

Les commentaires sont fermés.