Itinéraire d’un malware

Infection des postes : quel est l’itinéraire d’un malware ? | Stormshield

Fichiers informatiques, e-mails, clés & câbles USB, puces en tout genre… mais d'où viennent les malwares qui infectent les terminaux ? Et où se cachent -ils une fois le terminal infecté ? Comment se prémunir ? Un papier pédagogique pour retracer l’itinéraire d’un malware.

 

Quels chemins d’accès pour un malware ?

Les malwares utilisent de nombreuses méthodes de transit pour atteindre leur cible et infecter les systèmes informatiques ; il est alors question d’exposition du système d’information ou de surface d’attaque. Plus ou moins importante, elle ouvrira un champ des possibles certain aux cyber-criminels pour se créer un itinéraire propre en fonction du niveau de protection de la cible visée.

Certains vecteurs d’infections principaux se dégagent toutefois avec les services de messagerie ou la chaîne d’approvisionnement comme sur une dimension logicielle. Plus ou moins élaborées, des techniques de phishing visent à faire installer un malware par l’utilisateur ou à récupérer dans un premier temps ses identifiants pour accéder à distance à son poste de travail. Pour cela, plusieurs méthodes sont possibles, du faux site web au keylogger dissimulé derrière un fichier corrompu. Une fois les identifiants récupérés, les cyber-criminels les utiliseront pour accéder au système d’information. Toujours dans cette dimension logicielle, les principales plateformes d’applications, Play Store, App Store, Google Play Store…, sont régulièrement concernées par des applications infectées – malheureusement souvent téléchargées par des milliers voire des millions de personnes avant d’être retirées des plateformes. D’un siphonnage de la base de contacts jusqu’au détournement des navigateurs web, les malwares présents dans ces applications peuvent également servir à voler les mots de passe temporaires envoyés par SMS par exemple. Conseil rapide : avant de télécharger une application, pensez à vérifier l’origine de celle-ci et l’identité de son développeur. Mais tout n’est pas si simple, et l’exemple de l’application officielle des Jeux Olympiques de Pékin en 2022 – destinée aux athlètes et à leur staff – interroge plus encore sur cette question de confiance. En l’espèce, des chercheurs en cybersécurité y avaient repéré de vraies lacunes de sécurité, comme l’absence de chiffrement de données transmises ou la collecte de données personnelles. En parallèle, les cyberattaques dites à la supply-chain se multiplient également, avec des effets dévastateurs ; les cyber-criminels contaminent alors directement un logiciel en espérant infecter ensuite les clients de celui-ci, généralement en profitant d'une mise à jour. Fin 2020, près de 18 000 clients de l’entreprise SolarWinds auraient été infectés par le malware Sunburst dans le cadre d’une telle attaque.

Plus complexes à mettre en place, et surtout plus coûteux, la menace peut aussi être issue d’une dimension matérielle où les supports physiques deviennent des vecteurs d’infection. L’exemple le plus évident car le plus connu étant celui de la clé USB infectée, utilisée dans le civil comme dans des secteurs plus sensibles telle l’industrie, et désormais livrée à domicile avec malware… Et il existe des supports encore moins classiques. Si les exemples d’un thermomètre d’aquarium dans un casino ou encore de babyphones connectés sont exceptionnels et semblent assez lointain du quotidien professionnel, d’autres sont beaucoup plus proches de tout un chacun. Télécopieur, imprimante, souris d’ordinateur ou encore câbles USB et Lightning sont désormais régulièrement mis en avant comme sources d’entrée potentielles dans les postes de travail et donc dans les réseaux informatiques. Et s’il vous venait l’idée de boucher les ports USB de vos appareils, ceux-ci ne seraient pas pour autant hermétique à toute menace : en ce début d’année 2022, un rootkit dissimulé dans la puce SPI Flash d’une carte mère d’ordinateur a par exemple été découvert… Anticybersecurity-by-design.

 

Quand le malware a infecté la machine

Mais identifier qu’un terminal est infecté par un malware n’a rien de simple, tant l’objectif des cyber-criminels est de passer sous le radar des solutions de cybersécurité. Si des signes peuvent être révélateurs, comme un ralentissement du système d’exploitation, une quantité inhabituelle de pop-ups ou encore la multiplication soudaine d’écrans bleus, d’autres sont plus furtifs. Et sont à aller identifier du côté des comportements suspects sur un poste de travail.

Une fois un logiciel malveillant téléchargé, où se localise le malware sur un terminal ? En premier lieu, il s’installe dans les répertoires utilisateurs temporaires. Les systèmes d’exploitation contiennent en effet une multitude de dossiers temporaires allant des données des applications aux caches des navigateurs. Ces fichiers accessibles en écriture par défaut aux utilisateurs ont un niveau de sécurité intrinsèquement faible, qui permet aux logiciels malveillants de les utiliser comme une rampe de lancement. L’objectif du malware est alors d’interpréter du code malveillant, qu’il soit sous la forme d’un script ou d’un exécutable. Il est également possible de trouver des traces d’installation de malwares dans le registre Windows.

 

Comment se débarrasser d’un malware ?

L’adage « mieux vaut prévenir que guérir » prend ici tout son sens, pour éviter une réinstallation complète du poste. Mieux vaut donc encore prévenir l’infection : avant même de parler du terminal, c’est l’utilisateur qui est généralement ciblé. En essayant de détourner son attention ou en misant sur sa méconnaissance du sujet, la crédulité de l’utilisateur est ainsi la première fenêtre d’attaque d’un cyber-criminel sur un système. Et tous les profils d’une entreprise sont concernés par cette notion de base d’hygiène numérique. Les fenêtres pop-up, les pièces-jointes suspectes venues d’utilisateurs inconnus ou l’installation de logiciels via des sites non-officiels ou de torrent sont autant de dangers potentiels qu’il faut éviter. Au-delà de la simple vigilance, une mise à jour régulière du système d’exploitation et des navigateurs permet de mettre en place un premier niveau de protection du SI contre les malwares.

En parallèle, des solutions techniques existent pour se prémunir des malwares. Au niveau des flux réseaux, les solutions de détection d’intrusion et de filtrage de messagerie sont autant de bonnes pratiques. Elles permettent dans une certaine mesure de « nettoyer » les liens et les pièces-jointes. Quant au postes et serveurs (comme des protections comportementales et/ou du contrôle de périphériques), boucher les ports USB des ordinateurs n’est plus une nécessité pour contrer les malwares transmissibles par des vecteurs physiques. Les fonctions de protection de postes (EPP) vont assurer dans un premier temps le blocage des attaques les plus sophistiquées, avant que celles de détection (EDR) ne fournissent des éléments d’analyses ultérieures.

 

Mais si le malware parvient tout de même à infecter un poste, tout n’est pas perdu pour autant. Premier réflexe : une fois le malware repéré, il est judicieux de se déconnecter d’Internet pour procéder à son élimination. Il faudra ensuite veiller à supprimer le fichier malveillant, mais aussi les fichiers temporaires ainsi que les mécanismes de persistance comme les clés de registre. Les antivirus de base, présents sur la majeure partie des postes Windows par exemple, permettent de mettre en quarantaine ou supprimer certains programmes malveillants – à condition qu’ils soient capables de les reconnaître... Mais dans certains cas plus complexes, il faudra aller jusqu’à la réinstallation complète du système. … Dans tous les cas, une aide extérieure sera toujours intéressante – à l’image du dispositif de cybermalveillance.gouv.fr, qui offre diagnostic et assistance en ligne. Le changement de ses mots de passe, la mise à jour de ses logiciels et de son système d’exploitation sont également des incontournables afin d’éviter une réinfection immédiate.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Pour répondre à ces problématiques de protection des postes, nos équipes ont mis au point la solution Stormshield Endpoint Security (SES). Cette protection autonome est capable d’adapter de manière dynamique ses opérations de sécurité en fonction de son environnement. Et d’analyser dans le même temps l’accès aux applications et aux ressources de l’entreprise selon l’emplacement du poste.
Vous avez un doute avant d’ouvrir la pièce-jointe dans le dernier email que vous avez reçu ? Notre solution de sandboxing Breach Fighter comporte en accès libre un portail de détection de malware. Grâce à ce service gratuit de détonation dans le Cloud, contrôlez tous vos fichiers avant de les ouvrir.

À propos de l'auteur

mm
Sébastien Viou
Directeur Cybersécurité Produits & Cyber-Évangeliste, Stormshield

Adepte des sports de combats (ju-jitsu, kick-boxing, hockey sur glace), Sébastien se passionne également pour la mécanique. La vraie, celle où on démonte et remonte toutes les pièces jusqu'à en comprendre tous les mécanismes. Un parallèle évident avec ses missions chez Stormshield, où il est en charge d'apporter un éclairage sur les évolutions, les innovations et les tendances sur les cyber-menaces du moment.