La plupart des gens considèrent les logiciels malveillants comme des fichiers exécutables malveillants téléchargés depuis un e-mail ou le Web, mais les logiciels malveillants sans fichier ajoutent une nouvelle touche à la protection des données. Au lieu d’utiliser des fichiers chargés chaque fois qu’un utilisateur démarre son système, un logiciel malveillant sans fichier se charge à partir du registre Windows et démarre directement dans la mémoire ou charge un logiciel malveillant à l’aide d’un code malveillant stocké dans un document. Les logiciels malveillants sans fichier sont conçus pour contourner les logiciels antivirus. Il faut donc des couches de sécurité supplémentaires pour les arrêter.
Qu’est-ce qu’un logiciel malveillant sans fichier ?
Un logiciel malveillant sans fichier est un type de logiciel malveillant qui fonctionne entièrement dans la mémoire d’un ordinateur, ce qui signifie qu’il ne crée aucun fichier sur le disque dur. Avec les logiciels malveillants classiques, l’auteur du logiciel exécute un fichier exécutable et doit trouver un moyen de le transmettre à une cible. Par exemple, l’auteur d’un logiciel malveillant peut créer un e-mail pour convaincre un employé du datacenter d’ouvrir un script qui téléchargera ensuite l’exécutable. L’exécutable charge le code malveillant dans la mémoire. À chaque redémarrage, le fichier exécutable est rechargé dans la mémoire.
Les logiciels malveillants sans fichier sont beaucoup plus légers que les logiciels malveillants basés sur des fichiers. Avec un logiciel malveillant sans fichier, le code est chargé dans le registre Windows, ou le code malveillant est chargé dans la mémoire sans fichier exécutable nécessaire. Par exemple, un script PowerShell peut être chargé dans la mémoire du serveur et utilisé pour envoyer des données à un serveur contrôlé par un attaquant sur Internet.
Fonctionnement des logiciels malveillants sans fichier
La plupart des attaques commencent par un e-mail d’hameçonnage malveillant, mais les hackers peuvent également utiliser des téléchargements sur disque hébergés sur leurs serveurs Web. L’ingénierie sociale est un autre moyen courant de lancer une attaque. Un attaquant peut contacter une cible par message texte et la convaincre d’ouvrir une page Web contenant des scripts malveillants. Les attaques d’hameçonnage par redirection malveillante sur le Web ou d’homme du milieu sur un point d’accès Wi-Fi malicieux sont plus rares, mais possibles dans les attaques de logiciels malveillants.
Les logiciels malveillants sans fichier ciblent généralement les machines Windows. PowerShell est donc le langage de script couramment utilisé dans ces attaques. Un utilisateur est d’abord convaincu d’exécuter le script PowerShell, généralement joint à un message électronique, et le script PowerShell exécute les instructions. Les instructions peuvent consister à installer un ransomware, à voler des données sur l’ordinateur de l’utilisateur, à écouter en silence les mots de passe ou à installer des rootkits pour le contrôle à distance de la machine locale. PowerShell peut exécuter les applications actuelles installées sur l’ordinateur de l’utilisateur, ce qui permet aux logiciels malveillants sans fichier d’essayer de créer un document avec un code malveillant ou d’injecter un code malveillant dans un document existant. Lorsque l’utilisateur partage le document avec un autre utilisateur, le code malveillant s’exécute et transmet sa charge utile.
Vecteurs d’attaque courants
Le vecteur d’attaque le plus courant pour la plupart des charges utiles est le phishing, et il est également le plus courant pour les attaques sans fichier. Pour fournir une charge utile par e-mail, l’attaquant doit convaincre l’utilisateur d’ouvrir une pièce jointe malveillante ou de l’orienter vers un site Web hébergeant le logiciel malveillant. Les entreprises doivent toujours mettre en place une sécurité des e-mails pour empêcher ces messages d’atteindre les boîtes de réception des employés.
Les documents Microsoft Office peuvent stocker des macros et du code pour déclencher l’activité à l’ouverture du document. Les opérations peuvent être inoffensives, mais le code malveillant stocké dans un document Office (par exemple, Word, Excel ou PowerPoint) peut exécuter un certain nombre de charges utiles. Les charges utiles incluent le vol de données, l’installation de rootkits ou la transmission de ransomwares à la machine locale ou à l’environnement réseau.
L’ingénierie sociale peut être un composant d’une attaque. Par exemple, une attaque d’hameçonnage plus sophistiquée implique généralement plusieurs attaquants qui s’efforcent de piéger les employés les plus privilégiés, comme les comptables ou le personnel des ressources humaines. Ces cibles ont accès à des données sensibles, ce qui permet aux auteurs de menaces d’obtenir un retour sur investissement bien plus important. Un auteur de menaces peut faire équipe avec un ingénieur social et appeler une cible pour la convaincre de s’engager dans un e-mail d’hameçonnage.
L’impact des logiciels malveillants sans fichier
Les attaques sans fichier entraînent généralement la perte de données ou des portes dérobées à long terme où les logiciels malveillants peuvent persister même après l’éradication. Pour la plupart des cybercriminels organisés, ils travaillent ensemble pour voler des données. Ransomware est une charge utile courante et peut obliger les organisations à payer des millions pour récupérer leurs données si elles n’ont pas de sauvegardes de données viables.
Les menaces persistantes s’exécutent souvent pendant des mois avant la détection. Ces menaces peuvent être utilisées pour exfiltrer les données en silence. Lorsque les menaces persistantes s’exécutent, elles créent généralement des portes dérobées qui empêchent le personnel de sécurité de les supprimer complètement ou de les contenir. Après la détection et l’éradication, les administrateurs réseau peuvent avoir un faux sentiment de sécurité, tandis que les portes dérobées de la menace persistante permettent aux hackers de rompre à nouveau l’environnement.
La plupart des violations de données entraînent des pertes de revenus dues aux litiges et aux amendes de conformité. Les dommages causés à la marque doivent être maîtrisés, et une perte de confiance des clients pourrait également réduire les ventes. Les logiciels malveillants sans fichier sont conçus pour contourner la détection, ce qui peut être particulièrement dangereux pour la continuité des opérations et les revenus futurs.
Stratégies de détection et de prévention
Pour éviter les conséquences d’une attaque de logiciel malveillant sans fichier, une détection précoce est cruciale. La détection précoce évite de nombreuses exigences de reprise après sinistre pour nettoyer après une violation de données. Les outils de surveillance installés sur l’infrastructure réseau et les terminaux (par exemple, les appareils mobiles des utilisateurs) peuvent détecter les logiciels malveillants sans fichier avant qu’ils ne soient chargés dans la mémoire. Les solutions de surveillance réseau détectent tout comportement anormal lorsque des codes malveillants tentent d’accéder à des fichiers et des données sensibles.
La prévention des intrusions contient automatiquement une menace. La surveillance détecte les logiciels malveillants et alerte les administrateurs, mais la prévention des intrusions va encore plus loin dans la cybersécurité et l’empêche automatiquement de voler des données. Les administrateurs réseau doivent toujours agir, mais les dommages sont atténués par la prévention et le confinement des intrusions.
La surveillance et la prévention actuelles s’appuient sur des schémas d’analyse et de comportement pour détecter les activités malveillantes. Par exemple, un fichier contenant des données sensibles peut ne recevoir qu’une poignée de demandes d’accès tout au long de l’année. Lorsque les logiciels malveillants tentent d’accéder aux fichiers plusieurs fois sur une courte période, les solutions de détection considèrent cela comme une activité suspecte et alertent les administrateurs. Les menaces zero-day peuvent également être détectées à l’aide de benchmarks et de découvertes anormaux.
Conclusion
Les logiciels malveillants sans fichier ne sont que l’un des nombreux risques de cybersécurité auxquels les administrateurs doivent faire face. Vous pouvez minimiser et atténuer les risques grâce aux outils de surveillance, à la détection des intrusions et aux solutions de prévention adaptés. Installer une protection de détection et de réponse aux terminaux (EDR) sur tous les périphériques des utilisateurs, en particulier ceux qui se connectent à des points d’accès Wi-Fi tiers. Enfin, collaborez avec un partenaire technologique de confiance qui propose des solutions qui protègent vos données et priorisent la protection des données.
