![\"Fileless](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-701279914-1-300x169.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
La premi\u00e8re apparition d\u2019une attaque par fileless malware remonterait \u00e0 2001. Et malgr\u00e9 des pics d\u2019activit\u00e9 en 2017, 2019 et 2021, ces attaques sans fichier restent le plus souvent mal comprises et interrogent sur leur fonctionnement. Mais quelles sont les caract\u00e9ristiques techniques de ces attaques\u00a0? Les outils de cybers\u00e9curit\u00e9 sont-ils vraiment en capacit\u00e9 de les d\u00e9tecter ?<\/strong><\/p>\n En avril 2020, l\u2019ENISA publie un rapport<\/a> qui explique que les attaques fileless malware <\/em>ont 10\u00a0fois plus de chances de r\u00e9ussir qu\u2019une attaque conventionnelle<\/strong>. D\u00e9cryptage des cyberattaques par fileless malware<\/em>.<\/p>\n <\/p>\n Le terme appara\u00eet pour la premi\u00e8re fois en 2001 avec le ver Code Red<\/a>. Programme exploitant une vuln\u00e9rabilit\u00e9 de buffer overrun<\/em> (d\u00e9passement de la pile m\u00e9moire des serveurs web Microsoft IIS en l\u2019occurrence), ce ver sera le premier programme malveillant cat\u00e9goris\u00e9 comme \u201cfileless malware<\/em>\u201d. Pas moins de 359\u00a0000 serveurs sont alors victimes d\u2019un d\u00e9facement de la page d\u2019accueil affichant un message \u201cWelcome to http:\/\/www.worm.com ! Hacked by Chinese!<\/em>\u201d par un myst\u00e9rieux virus ne laissant aucun fichier et aucune trace permanente sur le disque dur. Et pour cause, apr\u00e8s investigation, le ver ne se serait ex\u00e9cut\u00e9 qu\u2019au travers de la m\u00e9moire de la machine infect\u00e9e<\/strong>\u00a0; une premi\u00e8re.<\/p>\n Durant les deux d\u00e9cennies suivantes, ce m\u00e9canisme aura \u00e9t\u00e9 largement utilis\u00e9 sur les environnements Microsoft. D\u00e8s 2003, le ver SQL Slammer<\/a> utilise ce m\u00eame mode op\u00e9ratoire pour compromettre les instances Microsoft SQL Serveurs, dans le but de lancer un d\u00e9ni de service. En 2013, le trojan bancaire Lurk exploite une vuln\u00e9rabilit\u00e9 du langage Java et t\u00e9l\u00e9charge une DLL malveillante en m\u00e9moire. En 2014, le mode op\u00e9ratoire de l\u2019attaque fileless malware<\/em> \u00e9volue avec l\u2019apparition du trojan Poweliks\u00a0; ce dernier s\u2019installant dans une cl\u00e9 de registre Windows, dont la valeur contient le script malveillant. D\u00e8s lors, le malware obtient alors un \u00e9tat de persistance au travers d\u2019un programme l\u00e9gitime utilis\u00e9 par le syst\u00e8me d\u2019exploitation<\/strong> Windows. En 2015, le ver Duqu 2.0 est utilis\u00e9 comme une bo\u00eete \u00e0 outils au travers d\u2019actions de cyber espionnage gr\u00e2ce \u00e0 des fonctionnalit\u00e9s comme le d\u00e9placement lat\u00e9ral, l\u2019exfiltration de donn\u00e9es ou la reconnaissance de l\u2019h\u00f4te et de son environnement proche. En 2016, avec le malware PowerSniff<\/a>, le mode op\u00e9ratoire \u00e9volue encore, en int\u00e9grant le caract\u00e8re fileless<\/em> dans une partie de l\u2019attaque. <\/strong>L'acc\u00e8s initial se fait ici via un dropper classique, \u00e0 savoir un fichier Word, qui ne rentre pas (du tout) dans le cadre d'une attaque fileless<\/em>. Mais celui-ci contient une macro qui lance PowerShell en mode cach\u00e9 pour t\u00e9l\u00e9charger un fichier distant et ensuite l\u2019ex\u00e9cuter directement dans la m\u00e9moire de PowerShell. C'est donc cette deuxi\u00e8me partie de l'attaque qui est consid\u00e9r\u00e9e comme fileless, sous forme de script et shellcode<\/em>. Mais c\u2019est surtout en 2017 que l\u2019attaque par fileless malware<\/em> fera davantage parler d\u2019elle, avec l\u2019exfiltration de donn\u00e9es de 150 millions de clients de la soci\u00e9t\u00e9 Equifax, au travers d\u2019une vuln\u00e9rabilit\u00e9 du framework d\u2019application web, Apache Struts.<\/p>\n N\u2019utilisant pas de fichier \u00e9crit sur le disque dur, l\u2019attaque fileless malware ne peut \u00eatre d\u00e9tect\u00e9e par les antivirus ayant construit leurs protections sur des m\u00e9canismes de d\u00e9tection par empreinte fichier. La force de cette attaque r\u00e9side dans le fait qu\u2019elle cible des \u00e9l\u00e9ments qui n\u2019\u00e9taient pas pris en compte par les antivirus<\/em>.<\/p>\n Pour S\u00e9bastien Viou<\/strong>, Directeur Cybers\u00e9curit\u00e9 Produit et Cyber-\u00c9vangeliste chez Stormshield, ces innovations prouvent l\u2019avance technologique qu\u2019avaient les cyber-criminels sur les \u00e9diteurs d\u2019antivirus de l'\u00e9poque\u00a0: \u00ab\u00a0N\u2019utilisant pas de fichier \u00e9crit sur le disque dur, l\u2019attaque fileless malware ne peut \u00eatre d\u00e9tect\u00e9e par les antivirus ayant construit leurs protections sur des m\u00e9canismes de d\u00e9tection par empreinte fichier. La force de cette attaque r\u00e9side dans le fait qu\u2019elle cible des \u00e9l\u00e9ments qui n\u2019\u00e9taient pas pris en compte par les antivirus. Les cyber-criminels passaient par un endroit o\u00f9 l\u2019antivirus ne regardait tout simplement pas, une porte restait alors ouverte sur les machines des victimes.<\/em>\u00a0\u00bb<\/p>\n <\/p>\n Memory-only malware<\/em>, non-malware attack<\/em>, zero-footprint attack<\/em> \u2026 plusieurs noms lui sont donn\u00e9, mais qu\u2019est-ce qu\u2019une attaque par fileless malware<\/em>\u00a0?<\/strong> Une attaque par fileless malware<\/em> ou attaque par malware sans fichier est donc un m\u00e9canisme ayant la particularit\u00e9 d\u2019ex\u00e9cuter un programme malveillant sans laisser aucune trace sur le disque, comme l\u2019explique Cyril Cl\u00e9aud<\/strong>, analyste malware<\/a> chez Stormshield\u00a0: \u00ab\u00a0Une attaque fileless malware est une attaque malveillante dont le code distant est r\u00e9cup\u00e9r\u00e9 et ex\u00e9cut\u00e9 sans passer par un fichier interm\u00e9diaire local.\u00a0Par exemple\u00a0: sous la forme de cha\u00eenes de caract\u00e8res r\u00e9cup\u00e9r\u00e9es depuis un serveur Web et ensuite transmis en param\u00e8tre \u00e0 un interpr\u00e9teur de scripts tel PowerShell. Le code malveillant sera ensuite ex\u00e9cut\u00e9 directement dans la m\u00e9moire de ce dernier. C\u2019est une attaque qui ne laisse ainsi aucune trace sur le disque<\/em>.\u00a0\u00bb Et les techniques utilis\u00e9es dans une attaque par fileless malware<\/em> pour ex\u00e9cuter du code malveillant en m\u00e9moire peuvent \u00eatre diverses\u00a0: d\u00e9tournement d\u2019usage de programmes natifs n\u00e9cessaires au bon fonctionnement du syst\u00e8me d\u2019exploitation, injection de code malveillant dans des processus existants, stockage du malware dans des cl\u00e9s de registre Windows \u2026<\/strong> Il existe m\u00eame des kits d\u2019exploitation pr\u00eats \u00e0 l\u2019emploi, comme les outils PowerShell Empire, PowerSploit et Cobalt Strike. \u00c0 l\u2019aide de ces outils, les attaquants peuvent prendre le contr\u00f4le \u00e0 distance de la machine victime et tenter par la suite d\u2019acc\u00e9der \u00e0 un \u00e9tat de persistance sur la machine en cas de red\u00e9marrage. Mais le plus souvent, ces attaques par fileless malware<\/em> se basent sur une vuln\u00e9rabilit\u00e9 connue, dans le but d\u2019obtenir un acc\u00e8s privil\u00e9gi\u00e9 au syst\u00e8me d\u2019exploitation. Et une fois sur place, la mise en \u0153uvre technique est relativement simple comme le souligne Cyril Cl\u00e9aud\u00a0: \u00ab\u00a0Les informations sur ce type d\u2019attaque sont facilement accessibles sur Internet. Et le plus souvent, les lignes de commandes sont tr\u00e8s courtes. Pour un attaquant qui sait comment exploiter la vuln\u00e9rabilit\u00e9, la premi\u00e8re \u00e9tape \u2013 pr\u00e9paratoire \u2013 sera d\u2019exposer un payload malveillant sur un serveur Web \u00e0 sa main et accessible depuis une URL de son choix. La seconde \u00e9tape se d\u00e9roulera lors de l\u2019exploitation de la vuln\u00e9rabilit\u00e9\u00a0: il suffira de demander \u00e0 un interpr\u00e9teur de scripts de t\u00e9l\u00e9charger ce payload puis de l\u2019ex\u00e9cuter.<\/em>\u00a0\u00bb<\/p>\n Comment s\u2019articule une attaque fileless malware<\/em>\u00a0?<\/strong> Le sc\u00e9nario commun\u00e9ment observ\u00e9 se compose de trois \u00e9tapes. Dans un premier temps, les cyber-criminels doivent acqu\u00e9rir un acc\u00e8s initial, le plus souvent au travers de campagnes de phishing<\/em> et de spear phishing<\/em>. Si cette premi\u00e8re phase de l\u2019attaque est uniquement ex\u00e9cut\u00e9e en m\u00e9moire, la seconde \u00e9tape consiste \u00e0 rendre persistant l\u2019acc\u00e8s en cas de red\u00e9marrage. \u00c0 cette \u00e9tape, les cl\u00e9s de registre sont un atout pour les cyber-criminels. Cyril Cl\u00e9aud pr\u00e9cise ainsi que \u00ab certaines cl\u00e9s de registre sont lues pour ex\u00e9cuter des programmes \u00e0 l\u2019ouverture de la session. En \u00e9crivant dans ces cl\u00e9s un code de t\u00e9l\u00e9chargement et d\u2019ex\u00e9cution de payload en param\u00e8tre de PowerShell ou, le cyber-criminel dispose d\u2019une entr\u00e9e persistante pour t\u00e9l\u00e9charger une autre charge virale sur la machine. Le plus pratique pour l\u2019attaquant est que le malware n\u2019est pas stock\u00e9 sur la machine de la victime\u00a0: donc, d\u2019une part, il n\u2019y a pas de fichier et, d\u2019autre part, l\u2019attaquant peut faire des mises \u00e0 jour de son malware en temps r\u00e9el. En revanche, m\u00eame sans fichier, cela laisse une trace\u00a0: l\u2019URL du payload. Tout le jeu devient alors de brouiller cette URL pour qu\u2019elle ne soit pas d\u00e9tect\u00e9e comme un signal de compromission.<\/em>\u00a0\u00bb. La troisi\u00e8me et derni\u00e8re \u00e9tape tient alors aux objectifs initiaux de l\u2019attaque\u00a0: vol d\u2019identifiants, exfiltration de donn\u00e9es ou encore cr\u00e9ation d\u2019une porte d\u00e9rob\u00e9e.<\/p>\n Une autre forte tendance observ\u00e9e est le d\u00e9tournement ou le remplacement d\u2019un programme l\u00e9gitime. Terme apparu pendant la conf\u00e9rence DerbyCon 3<\/a> de 2013, Living Off the Land<\/em> (LotL, ou LOLBins \u2013 pour Living Off The Land Binaries<\/em>) est une pratique permettant d\u2019usurper un programme utilitaire employ\u00e9 sur les syst\u00e8mes d\u2019exploitation<\/strong> et donc reconnu l\u00e9gitime par ces derniers. Les LOLBins fr\u00e9quemment utilis\u00e9s sur les syst\u00e8mes d\u2019exploitation Windows sont par exemple les utilitaires certutil.exe, mavinject.exe, cmdl.exe, msixec ou encore WMI (Windows Management Interface) ainsi que les interpr\u00e9teurs PowerShell et bash. Ces diff\u00e9rents programmes l\u00e9gitimes permettent de d\u00e9cupler l\u2019efficience de l\u2019attaque du fait que certains int\u00e8grent nativement des fonctionnalit\u00e9s comme le t\u00e9l\u00e9chargement de fichier ou la connexion vers une machine \u00e0 distance. L\u2019utilisation d\u2019un LOLBins dans une cyberattaque peut donc poser probl\u00e8me car il est tr\u00e8s difficile de d\u00e9tecter si son utilisation est l\u00e9gitime ou malveillante. Dans certains cas, ces utilitaires sont m\u00eame pr\u00e9sents dans les listes blanches des solutions de s\u00e9curit\u00e9\u2026 Il est donc fr\u00e9quent d\u2019observer l\u2019utilisation de LOLBAS (LOL Binaries And Scripts<\/em>), scripts tiers ex\u00e9cut\u00e9s \u00e0 l\u2019aide des LOLBins et de LOLLibs, librairies d\u00e9velopp\u00e9es pour l'occasion pouvant apporter des fonctionnalit\u00e9s suppl\u00e9mentaires \u00e0 l'ex\u00e9cutable d\u00e9tourn\u00e9.<\/p>\n En 2018, la plateforme de Ransomware-as-a-Service<\/em> Grand Crab int\u00e9grait l\u2019attaque fileless malware<\/em> dans son mode op\u00e9ratoire et infectait alors plus de 50 000 machines \u00e0 travers le monde. Face \u00e0 de telles innovations, quelles actions mettre en \u0153uvre pour d\u00e9tecter une menace ind\u00e9tectable\u00a0?<\/strong><\/p>\n <\/p>\n Face \u00e0 un logiciel malveillant sans fichier, il convient d\u2019innover dans les techniques de protection\u00a0pour compl\u00e9ter les outils de d\u00e9tection traditionnels. Pour rem\u00e9dier \u00e0 cette situation, de nouvelles m\u00e9thodes de d\u00e9tection d\u2019attaques ont vu le jour. La plus commune se base sur le m\u00e9canisme de signature des ex\u00e9cutables de Windows, comme le r\u00e9sume S\u00e9bastien Viou\u00a0: \u00ab\u00a0Par d\u00e9faut, Windows signe ses ex\u00e9cutables. Ce qui complique la t\u00e2che de l\u2019attaquant qui doit soit remplacer le fichier dans la m\u00e9moire apr\u00e8s que la signature ait \u00e9t\u00e9 v\u00e9rifi\u00e9e, soit usurper la destination du fichier en faisant croire au syst\u00e8me d\u2019exploitation que le fichier qui a \u00e9t\u00e9 remplac\u00e9 est bien le fichier original, soit modifier l\u2019application \u00e0 sa source. Cette strat\u00e9gie est un moyen assez simple de se prot\u00e9ger des attaques les moins avanc\u00e9es.<\/em>\u00a0\u00bb<\/p>\n Une seconde strat\u00e9gie r\u00e9side dans le perfectionnement de l\u2019utilisation de listes noires. Des blacklists qui doivent aller plus loin dans le d\u00e9tail de ce qu\u2019elles bloquent et qui contiennent d\u00e9sormais des patterns utilis\u00e9s, comme des cha\u00eenes de caract\u00e8res ou des commandes qui ont \u00e9t\u00e9 d\u00e9tect\u00e9es comme faisant partie d\u2019un processus malveillant. Il est alors question d\u2019indicateurs d\u2019attaque (Indicators of Attack<\/em>, IOA). Un projet open-source intitul\u00e9 LOLBAS<\/a> (Living Off The Land Binaries and Scripts<\/em>) a par ailleurs vu le jour en 2018 sur la plateforme Github et comptabilise aujourd\u2019hui plus de 4 500 utilisations d\u00e9tourn\u00e9es de LOLBins. \u00c0 destination des \u00e9quipes purple et blue team des soci\u00e9t\u00e9s de services en cybers\u00e9curit\u00e9, ce projet est aujourd\u2019hui maintenu par plus de 60 ing\u00e9nieurs b\u00e9n\u00e9voles et cat\u00e9gorise plus de 150 binaires pouvant \u00eatre sujets \u00e0 un d\u00e9tournement. Pour chaque utilitaire, des indicateurs sont mis \u00e0 disposition.<\/p>\nLes premi\u00e8res apparitions d\u2019attaques par fileless malware<\/em><\/h2>\n
S\u00e9bastien Viou<\/strong>, Directeur Cybers\u00e9curit\u00e9 Produit et Cyber-\u00c9vangeliste Stormshield<\/pre>\n<\/blockquote>\n
Fileless malware<\/em>\u00a0: une d\u00e9finition et des techniques qui \u00e9voluent<\/h2>\n
Fileless malware<\/em>\u00a0: comment se prot\u00e9ger contre un logiciel malveillant ind\u00e9tectable\u00a0?<\/h2>\n