Attaques, protection et détection de logiciels malveillants sans fichier

Fileless Malware est peut-être un nouveau terme pour la plupart, mais l'industrie de la sécurité le connaît depuis des années. L'année dernière, plus de 140 entreprises dans le monde ont été touchées par ce logiciel malveillant sans fichier,(Fileless Malware –) y compris des banques, des télécommunications et des organisations gouvernementales. Fileless Malware , comme son nom l'indique, est une sorte de malware qui ne touche pas le disque et n'utilise aucun fichier dans le processus. Il est chargé dans le cadre d'un processus légitime. Cependant, certaines entreprises de sécurité affirment que l'attaque sans fichier laisse un petit fichier binaire dans l'hôte compromettant pour lancer l'attaque du logiciel malveillant. Ces attaques ont connu une augmentation significative au cours des dernières années et elles sont plus risquées que les attaques de logiciels malveillants traditionnelles.

malware sans fichier

Attaques de logiciels malveillants sans fichier

Attaques de logiciels malveillants sans fichier(Fileless Malware) , également appelées attaques non malveillantes(Non-Malware attacks) . Ils utilisent un ensemble typique de techniques pour pénétrer dans vos systèmes sans utiliser de fichier malveillant détectable. Au cours des dernières années, les attaquants sont devenus plus intelligents et ont développé de nombreuses façons différentes de lancer l'attaque.

Les logiciels(Fileless) malveillants sans fichier infectent les ordinateurs en ne laissant aucun fichier sur le disque dur local, contournant ainsi les outils traditionnels de sécurité et de criminalistique.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

Le logiciel malveillant sans fichier réside dans la mémoire à accès aléatoire(Random Access Memory) de votre système informatique et aucun programme antivirus n'inspecte directement la mémoire. C'est donc le mode le plus sûr pour les attaquants de s'introduire dans votre PC et de voler toutes vos données. Même les meilleurs programmes antivirus passent parfois à côté des logiciels malveillants qui s'exécutent dans la mémoire.

Certaines des récentes infections de logiciels malveillants sans fichier(Fileless Malware) qui ont infecté des systèmes informatiques dans le monde entier sont – Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 , etc.

Comment fonctionne Fileless Malware

Le logiciel malveillant sans fichier lorsqu'il atterrit dans la mémoire(Memory) peut déployer vos outils intégrés Windows natifs et administratifs du système tels que (Windows)PowerShell , SC.exe et netsh.exe pour exécuter le code malveillant et obtenir l'accès administrateur à votre système, afin de transporter sur les commandes et voler vos données. Les logiciels malveillants sans fichier(Fileless Malware) peuvent également parfois se cacher dans les rootkits ou le registre(Registry) du système d'exploitation Windows.

Une fois dedans, les attaquants utilisent le cache Windows Thumbnail pour masquer le mécanisme des logiciels malveillants. Cependant, le logiciel malveillant a toujours besoin d'un binaire statique pour entrer dans le PC hôte, et le courrier électronique est le moyen le plus couramment utilisé pour le même. Lorsque l'utilisateur clique sur la pièce jointe malveillante, celle-ci écrit un fichier de charge utile crypté dans le registre Windows(Windows Registry) .

Fileless Malware est également connu pour utiliser des outils comme Mimikatz et Metaspoilt pour injecter le code dans la mémoire de votre PC et lire les données qui y sont stockées. Ces outils aident les attaquants à s'introduire plus profondément dans votre PC et à voler toutes vos données.

Analyse comportementale et logiciels(Fileless) malveillants sans fichier

Étant donné que la plupart des programmes antivirus classiques utilisent des signatures pour identifier un fichier malveillant, le logiciel malveillant sans fichier est difficile à détecter. Ainsi, les entreprises de sécurité utilisent l'analyse comportementale pour détecter les logiciels malveillants. Cette nouvelle solution de sécurité est conçue pour lutter contre les attaques et comportements antérieurs des utilisateurs et des ordinateurs. Tout comportement anormal indiquant un contenu malveillant est alors notifié par des alertes.

Lorsqu'aucune solution de point de terminaison ne peut détecter le logiciel malveillant sans fichier, l'analyse comportementale détecte tout comportement anormal tel qu'une activité de connexion suspecte, des heures de travail inhabituelles ou l'utilisation de toute ressource atypique. Cette solution de sécurité capture les données d'événement lors des sessions où les utilisateurs utilisent n'importe quelle application, naviguent sur un site Web, jouent à des jeux, interagissent sur les réseaux sociaux, etc.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Comment se protéger et détecter les logiciels malveillants sans fichier(Fileless Malware)

Suivez les précautions de base pour sécuriser votre ordinateur Windows(precautions to secure your Windows computer) :

  • Appliquez(Apply) toutes les dernières mises à jour Windows,(Windows Updates –) en particulier les mises à jour de sécurité de votre système d'exploitation.
  • Assurez(Make) -vous que tous vos logiciels installés sont corrigés et mis à jour vers leurs dernières versions
  • Utilisez un bon produit de sécurité capable d'analyser efficacement la mémoire de votre ordinateur et également de bloquer les pages Web malveillantes susceptibles d'héberger des Exploits . Il devrait offrir une surveillance du comportement(Behavior) , une analyse de la mémoire(Memory) et une protection du secteur de démarrage .(Boot Sector)
  • Soyez prudent avant de télécharger des pièces jointes(downloading any email attachments) . Ceci afin d'éviter de télécharger la charge utile.
  • Utilisez un pare- feu(Firewall) puissant qui vous permet de contrôler efficacement le trafic réseau .(Network)

Lire ensuite(Read next) : Que sont les attaques de Living Off The Land(Living Off The Land attacks) ?



Martin Saligny

About the author

Je suis un technicien Windows 10 et j'aide les particuliers et les entreprises à tirer parti du nouveau système d'exploitation depuis de nombreuses années. J'ai une richesse de connaissances sur Microsoft Office, y compris comment personnaliser l'apparence et personnaliser les applications pour différents utilisateurs. De plus, je sais utiliser l'application Explorer pour explorer et rechercher des fichiers et des dossiers sur mon ordinateur.


Related posts