Introduction
Vous avez probablement vu dans les journaux télévisés un de ces reportages sur des trafiquants de drogue qui trouvent des moyens stupides ou très astucieux de passer de la drogue en contrebande afin d’éviter d’être repérés par la police. La plupart du temps, ils cachent la drogue dans des objets légitimes, tels que des ananas ou tout autre fruit ou légume innocent, des chaussures, des couvertures de magazines, du savon, des conserves, etc. Certains mettent la drogue dans plusieurs couches pour cacher l’odeur et faire en sorte que le paquet final ait l’air d’un objet normal et non suspect qui passera les contrôles de police.
Les pirates emploient souvent des tactiques similaires pour dissimuler leur diffusion de logiciels malveillants. Ils les intègrent dans des courriels ou des publicités d’apparence innocente sur des sites web que vous pourriez visiter. Ils cherchent à obtenir un premier accès aux machines des victimes tout en dissimulant leur activité. L’objectif est d’échapper à la détection par les programmes de protection et les analystes de la cybersécurité.
Quel est donc l’objet de cet article de blog ?
Dans cet article de blog, nous allons passer en revue certaines des techniques utilisées par les acteurs de la menace en 2024 pour diffuser des logiciels malveillants, principalement utilisés pour collecter des informations d’identification et des informations sensibles ou pour cibler des applications bancaires afin de voler de l’argent aux victimes.
J’ai essayé de rendre l’explication simple, claire et ensuite un peu technique. De cette manière, même si vous n’êtes pas très technique, vous pouvez saisir suffisamment d’informations pour éviter d’être victime de ces attaques évasives. Si vous êtes plus technique, je donnerai des détails supplémentaires qui peuvent être utiles à la fois aux membres de l’équipe bleue pour être en mesure de signaler de tels comportements malveillants, et aux membres de l’équipe rouge pour avoir un aperçu des techniques d’accès initiales à tester lors d’un exercice de l’équipe rouge.
Qu’entend-on par « livraison de logiciels malveillants » ?
Il s’agit essentiellement des techniques utilisées par les cybercriminels pour infecter votre appareil avec un programme malveillant. Nous ne parlerons pas ici du programme malveillant lui-même, mais plutôt de la manière dont il peut s’introduire dans votre appareil sans être détecté ou arrêté par les solutions de sécurité. Nous ne parlerons pas non plus du vol d’informations d’identification et de cookies à l’aide d’un proxy inverse de type man-in-the-middle.
Il y a longtemps, ce processus de livraison était si simple. Vous recevez un courrier électronique contenant un fichier en pièce jointe, vous téléchargez quelque chose sur l’internet ou vous branchez une clé USB, et hop ! vous êtes infecté.
Heureusement, avec l’amélioration des solutions de sécurité telles que l’antivirus, la détection et la réponse aux points d’extrémité (EDR), l’anti-spam, l’anti-malware et le filtrage du courrier électronique, ce processus n’est plus une promenade de santé pour les attaquants.
Cependant, à mesure que les défenses contre les tentatives d’infection progressent, les cybercriminels et leurs techniques deviennent de plus en plus sophistiqués. Les attaquants étudient les dernières tactiques de défense et conçoivent des moyens de les contourner, transformant la diffusion de logiciels malveillants en un jeu du chat et de la souris. Les équipes de sécurité améliorent les défenses en fonction des tactiques des attaquants, tandis que ces derniers mettent au point de nouvelles techniques de contournement des défenses mises en œuvre.
En résumé, la diffusion de logiciels malveillants modernes consiste à trouver un moyen d’obtenir un accès initial à un appareil en diffusant et en exécutant un programme malveillant sans qu’aucune solution de sécurité installée sur l’appareil cible ou son réseau connecté ne le détecte ou ne le prévienne.
Pourquoi les cybercriminels veulent-ils diffuser des logiciels malveillants ?
Il existe différents types de cybercriminels ayant des objectifs différents, allant de l’infection de votre appareil par un voleur d’informations, qui essaiera essentiellement de voler des informations juteuses sur votre appareil, telles que des informations de connexion, des courriels, des fichiers, des portefeuilles de crypto-monnaie… à l’infection de votre appareil d’entreprise pour l’utiliser dans des attaques plus sophistiquées, afin de compromettre des applications ou des appareils sensibles dans votre réseau d’entreprise interne.
Il existe différents vecteurs par lesquels les attaquants obtiennent un accès initial. Dans cet article de blog, nous parlerons plus en détail des vecteurs provenant des attaques de phishing.
Cas d’utilisation de scénarios réels d’accès initial
Au cours des derniers mois, j’ai effectué des recherches sur les techniques d’accès initial pour les exercices de l’équipe rouge. Pendant ce temps, j’ai lu de nombreux articles sur les méthodes que les acteurs de la menace utilisent actuellement pour contourner les solutions de détection avancées. Dans les sections suivantes, j’ai essayé de cartographier et d’expliquer les techniques les plus intéressantes utilisées dans les attaques récentes depuis le début de cette année (2024) jusqu’à la date de rédaction de cet article. Plongeons donc dans l’art de la diffusion des logiciels malveillants et des techniques d’accès initial. 😊
L’élément déclencheur final sous les multiples couches de la tromperie
Avant d’entrer dans le détail des attaques, je tiens à préciser que nombre d’entre elles présentent des caractéristiques communes. Plus précisément, je voudrais parler de la façon dont les différents acteurs de la menace utilisent principalement un processus d’infection en plusieurs phases. Les premières phases présentent des fichiers d’apparence légitime et un comportement apparemment bénin. L’étape malveillante n’est déclenchée que plus tard, voire à la fin d’une chaîne d’actions. Ou en tant que combinaison de plusieurs étapes. Les attaquants utilisent cette tactique pour échapper à la détection et tromper les EDR en considérant l’activité comme un comportement légitime. L’étape malveillante passe inaperçue, une fois que la défense est convaincue qu’il ne se passe rien de nuisible. Au cours de ces différentes phases, les attaquants utilisent différents « blocs de construction » (si je peux les appeler ainsi) qui mènent à la charge utile finale.
Beaucoup de ces attaques ont des éléments communs, mais différents acteurs de la menace peuvent les assembler différemment pour créer une charge utile qui ne ressemble pas aux autres. En fin de compte, elles aboutissent au même résultat. Ces éléments de base comprennent des fichiers légitimes que nous utilisons tous les jours. En voici quelques exemples : Fichiers d’archive, HTML, SVG, WSF, JavaScript, raccourcis (.LNK), PDF, documents Office, contenus hébergés dans le cloud, fichiers batch et les fameux scripts PowerShell. Voyons un exemple plus concret.
Archiver le pouvoir du mal
Les fichiers archivés sont un point de départ très courant pour un scénario d’accès initial. Vous recevez un courriel contenant un fichier .zip, dans lequel l’expéditeur vous invite à décompresser le fichier et à ouvrir la facture d’un achat que vous avez effectué. Pourquoi recevriez-vous un fichier archivé ? Parce qu’il a plus de chances d’arriver dans votre boîte aux lettres électronique que d’autres types de fichiers. Quel que soit le client de messagerie que vous utilisez, il devrait y avoir une sorte de filtrage du courrier électronique qui tente de vous protéger contre les pièces jointes malveillantes. Par exemple, les filtres de messagerie peuvent bloquer les extensions telles que .exe (pour un fichier exécutable) ou JS (pour les fichiers JavaScript) et ne pas les transférer, car elles peuvent causer des dommages immédiats lorsqu’elles sont exécutées.
Les fichiers archivés ont une utilité légitime. Vous archivez/compressez normalement certains fichiers et les envoyez à vos collègues ou à vos clients, rien de bien méchant, n’est-ce pas ? Ils sont donc moins susceptibles d’être considérés comme des fichiers figurant sur la liste noire. C’est l’une des raisons pour lesquelles les attaquants les utilisent. Une autre raison est qu’ils peuvent inclure des fichiers cachés, en plus du fichier que la victime ouvrira. Ce fichier caché joue un rôle dans les phases de la chaîne qui mènera à l’exécution finale du logiciel malveillant.
Les fichiers archivés utilisés dans les scénarios d’accès initial se présentent sous différentes formes. Le fichier ZIP est le plus connu. Cependant, les attaquants peuvent également utiliser les formats RAR, tar.gz ou 7z, ou des fichiers images de disque (tels que ISO, IMG et VHD).
Fichiers archivés cryptés
Voici le problème : si un pirate envoie un fichier ZIP normal contenant un fichier suspect, la protection anti-programme malveillant le bloquera dans la plupart des cas. En effet, elle est capable de lire les données contenues dans le fichier ZIP et de détecter le contenu malveillant. Or, certains acteurs de la menace envoient un fichier ZIP crypté (protégé par un mot de passe). Dans ce cas, la protection anti-malware de la messagerie ne peut pas lire le contenu crypté pour détecter s’il est malveillant ou non. Les fichiers archivés cryptés (tels que les fichiers ZIP, RAR ou 7z protégés par un mot de passe) sont donc acceptés.
Contourner la marque du web (MOTW)
La marque du web (MOTW) est une fonction de sécurité qui indique qu’un fichier provient d’Internet. Cela permet à Microsoft Defender SmartScreen d’effectuer une inspection supplémentaire du contenu du fichier marqué. Par exemple, si vous téléchargez un document Word à partir d’Internet, il portera la marque du web, qui désactive les macros par défaut. Même si le document Word se trouve dans une archive ZIP téléchargée depuis l’internet, il devrait toujours porter cette marque.
Toutefois, si la victime utilise un utilitaire tel que 7-Zip pour extraire l’archive, la marque du web peut être contournée. Par exemple, un document Word envoyé dans un fichier 7z n’aura pas la marque du web lorsqu’il sera extrait à l’aide de 7-Zip, et les macros ne seront donc pas désactivées par défaut.
Ainsi, le fichier archivé pourrait servir de premier maillon dans la chaîne d’accès initiale, un schéma observé dans de nombreuses attaques à grande échelle. Par exemple, le groupe iranien de cyberespionnage Mint Sandstorm envoie des courriels contenant des liens permettant de télécharger des fichiers RAR protégés, qui servent de point de départ au déploiement de logiciels malveillants destinés à recueillir des informations sensibles auprès des victimes.
Un autre acteur de la menace a également utilisé un fichier ZIP envoyé directement dans des courriels. Le fichier contient un Jscript qui dépose un fichier batch et un fichier codé en base64. Les attaquants décodent le fichier à l’aide de certuti vers une DLL exécutable portable (PE) qui sera exécutée à l’aide de rundll32.
Autres exemples de la façon dont les acteurs de la menace utilisent les archives comme point de départ : Les cybercriminels ciblent l’Amérique latine avec un système d’hameçonnage sophistiqué, un enregistreur de frappe déguisé en avis de paiement bancaire, le nouveau JinxLoader cible les utilisateurs avec les logiciels malveillants Formbook et XLoader, les chevaux de Troie bancaires ciblent l’Amérique latine et l’Europe.
La légende du raccourci : Un lien vers le contournement
Vous savez que vous pouvez créer un raccourci pour un programme et le placer à l’endroit où vous souhaitez accéder à ce programme, par exemple sur le bureau, alors que le programme se trouve à un autre endroit, n’est-ce pas ? Mais savez-vous que vous pouvez exécuter d’autres commandes dans ce raccourci ? Mais savez-vous que vous pouvez exécuter d’autres commandes dans ce raccourci ? Pourquoi ? Parce que voici à quoi ressemble le raccourci :
Lorsque vous ouvrez le raccourci, la commande figurant dans ce champ cible est exécutée (dans ce cas, il s’agit de l’exécution de l’application de calculatrice). Mais que se passe-t-il si nous y plaçons d’autres commandes ?
Comme vous pouvez le voir dans l’exemple suivant, ce qui ressemblera probablement à un raccourci pdf, peut en fait exécuter une commande comme celle-ci :
L’ouverture du raccourci exécute la commande dans le champ Cible et crée le fichier Link.txt :
Pour un exemple plus concret, un acteur de la menace a utilisé des raccourcis (fichiers .LNK) qui exécutent une commande PowerShell pour lancer un fichier HTA. Le JavaScript contenu dans le HTA décode un décrypteur PowerShell, qui décrypte un chargeur PowerShell. Ce chargeur s’exécute en mémoire et lance le téléchargement et l’exécution de charges utiles telles que les voleurs d’informations Cryptbot, LummaC2 ou Rhadamanthys.
Ce n’est qu’un PDF ! Ce n’est qu’un PDF !
Les PDF sont des documents que vous recevez peut-être tous les jours par courrier électronique ou que vous téléchargez sur l’internet. C’est pourquoi il s’agit d’une cible très tentante pour les pirates. Mais comment peuvent-ils utiliser cet innocent rapport, facture ou nouvelle politique PDF à des fins malveillantes ? Voici une série de scénarios d’accès initiaux réels utilisés par les acteurs de la menace, dont le point de départ est une pièce jointe PDF :
Cette attaque commence par une pièce jointe au format PDF qui se présente sous la forme d’un courrier électronique sur le thème de la facture, comme dans l’exemple ci-dessous. (Il s’agit d’un exemple de démonstration, pas d’une vraie attaque) :
En cliquant sur le lien, vous téléchargez un fichier ZIP contenant un fichier MSI ou HTA. Ce fichier dépose un script VB qui télécharge un autre script VB en vue de son exécution. En conséquence, une DLL Mispadu (un cheval de Troie connu) est injectée et exécutée en mémoire. Cela permet aux attaquants de prendre le contrôle de la machine victime.
D’autres acteurs de la menace ont utilisé un PDF qui télécharge un fichier ZIP contenant un fichier .LNK. L’objectif final est d’injecter une charge utile DarkGate. Les attaquants accèdent alors à l’appareil de la victime pour voler des informations.
Autres exemples d’attaques récentes utilisant des pièces jointes PDF comme point de départ : Des PDF à la charge utile, le RAT Venom ciblant plusieurs secteurs, le cheval de Troie bancaire CHAVECLOAK
(Ne vous fiez pas) à mes paroles
Dans les documents Microsoft Office (comme Word ou Excel), vous pouvez créer ce que l’on appelle une macro pour automatiser certaines tâches dans le document. Cette macro est en fait un morceau de code (Visual Basic for Applications ou VBA). Les attaquants utilisent ces macros pour injecter du code malveillant dans les documents depuis longtemps. C’est pourquoi elles sont devenues un vecteur d’attaque connu. Microsoft et les solutions de sécurité ont pris des mesures pour réduire le risque lié aux macros. Cependant, les attaquants peuvent faire preuve d’une grande créativité pour contourner les obstacles qui se dressent sur leur chemin.
Injection de modèle à distance
Voici un exemple réel de cet acteur de la menace qui a utilisé un document Microsoft Word malveillant comme point d’accès initial. Les attaquants ont utilisé une technique appelée « Remote Template Injection » (injection de modèle à distance). Dans cette attaque, au lieu d’inclure une macro malveillante dans le document envoyé, les attaquants récupèrent la macro à partir d’un modèle distant hébergé sur l’infrastructure de l’adversaire chaque fois que la victime ouvre le document Word trompeur contenant le modèle.
Comment créer un document Word avec un modèle distant contenant une macro malveillante ? Un jeu d’enfant ! Créez un document Word avec la macro malveillante – > enregistrez le document en tant que modèle Word 97-2003 (*.dot) -> l’héberger -> Créez un nouveau document à partir du modèle vierge situé dans C:\NUsers\NAttacker\NDocuments\NModèles bureautiques personnalisés -> Mettez-y du contenu convaincant -> enregistrez le document au format .docx -> Cliquez avec le bouton droit de la souris et ouvrez l’archive -> Naviguez jusqu’à word > Cliquez avec le bouton droit de la souris sur settings.xml.rels et sélectionnez Edit -> Dans ce fichier XML, modifiez la « cible » pour qu’elle corresponde à l’emplacement distant où vous avez hébergé votre modèle -> Envoyez le document à la victime. Vous pouvez également utiliser remoteInjector pour automatiser les choses.
Manipulation de modèles OLE
Les macros ne sont pas les seules choses dont les attaquants abusent dans les documents Office. Voici un autre exemple réel d’acteurs de la menace tirant parti de la manipulation de modèles OLE (Object Linking and Embedding) pour exploiter les modèles de documents Microsoft Office afin d’exécuter un code malveillant tout en échappant à la détection. Pour faire court, les attaquants envoient un document Word protégé par un mot de passe (crypté) pour échapper à la détection. Le document contient les instructions suivantes : télécharger le rapport, saisir le mot de passe et activer l’édition. Le document contient des instructions pour cliquer sur une icône d’imprimante afin d’afficher leur « graphique des salaires ». L’icône est en fait un paquet OLE, une fonction de Microsoft Windows qui permet d’incorporer et de lier des documents et d’autres objets. Lorsque la victime clique sur l’icône, une archive zip contenant un fichier LNK (à nouveau) s’ouvre. Ce fichier LNK dépose un chargeur PowerShell. Quelques étapes plus tard, une clé de registre est établie pour exécuter le cheval de Troie en tant que mécanisme de persistance.
Des contrebandiers vêtus de combinaisons HTML/SVG
Les attaquants essaient toujours d’abuser des fonctionnalités légitimes pour effectuer des actions malveillantes. La contrebande de HTML en est un bon exemple. Objectif final : l’ouverture d’un fichier HTML ou SVG (qui pourrait être envoyé en tant que pièce jointe à un courriel) déclenche le téléchargement d’un fichier sur votre appareil sans autre avis. Ce fichier, qui peut être un ISO, un IMG, un VHD… peut inclure n’importe quelle chaîne de fichiers et de charges utiles qui mèneront finalement à l’infection. Dans cette attaque, le fichier destiné à être téléchargé est encodé dans un bloc de données au sein d’un code JavaScript dans le fichier HTML/SVG. Lorsqu’il est ouvert par un navigateur web, ce bloc de données est décodé en un fichier. Voici une démonstration simple : vous ouvrez un fichier HTML/SVG et vous obtenez ceci :
Mais les pirates vont encore plus loin. Dans cet exemple, au lieu de télécharger directement le fichier, le site web des attaquants hébergé sur Google Sites déclenche une page reCAPTCHA. La charge utile n’est téléchargée qu’après avoir coché avec succès la case « Je ne suis pas un robot ». En outre, contrairement aux scénarios typiques de contrebande HTML dans lesquels les attaquants incluent le fichier malveillant dans le JavaScript au sein du HTML, dans ce cas, les attaquants intègrent le fichier malveillant dans un fichier JSON séparé. Une requête GET extrait le fichier d’un domaine différent lorsque la victime accède à la page. Ainsi, avec ces étapes supplémentaires, les pirates ajoutent un sentiment de légitimité pour que la victime fasse confiance à ce qu’elle clique (la vérification reCAPTCHA), et ils cachent davantage le fichier malveillant aux scanners publics tels que VirusTotal.
Qu’est-ce que le FSM ?
Selon Wikipedia, « un fichier Windows Script (WSF) est un type de fichier utilisé par l’hôte Microsoft Windows Script. Il permet de mélanger les langages de script JScript et VBScript dans un seul fichier, ou d’autres langages de script tels que Perl, Object REXX, Python ou Kixtart s’ils sont installés par l’utilisateur ». L’exécution de Jscript et de VBScript semble très intéressante pour un attaquant.
Les attaquants abusent généralement de WSF et de HTA (application HTML). Cependant, en raison de leur utilisation fréquente dans les attaques, ils sont devenus plus faciles à détecter par les solutions de sécurité. Toutefois, cela n’empêche pas les attaquants de trouver des moyens de continuer à utiliser ces vecteurs.
Une nouvelle vague d’infections par le ver Raspberry Robin utilise des fichiers wsf pour infecter les victimes. Les attaquants peuvent livrer le fichier à la victime par le biais de campagnes de spam ou de malvertising. Ce qui est intéressant dans cette campagne, c’est que les attaquants ont fortement obscurci le fichier wsf. Son taux de détection sur VirusTotal est de 0 %.
Ajouter de l’obscurité
Pour l’obscurcissement, les attaquants ont utilisé plusieurs techniques, notamment l’ajout d’un trop grand nombre de caractères inutiles pour cacher le contenu malveillant. Les attaquants décodent les fonctions et obscurcissent le flux du script. Ils incluent le code inutilisé. Mais ils vérifient également dans d’autres parties du code si ce code inutilisé a été supprimé (éventuellement par un analyste de l’équipe bleue qui tente d’analyser le code). Si le code inutilisé est détecté comme manquant, le script se termine, ce qui complique considérablement l’analyse. En outre, il utilise des techniques anti-débogage et inclut une exception à Microsoft Defender, qui exclut l’ensemble du disque principal de l’analyse antivirus. Si le script détecte que la machine victime utilise une autre solution antivirus, il se termine.
Une fois exécuté et après cette série d’évaluations anti-analyse et anti-machine virtuelle visant à s’assurer que la charge utile ne s’exécute pas dans un environnement virtualisé, la charge utile DLL principale du ver est récupérée sur le serveur distant et exécutée.
Des lots ici, des PowerShells là
Dans de nombreux scénarios d’attaque mentionnés précédemment, les attaquants ont utilisé des fichiers Windows Batch (.bat) ou des scripts PowerShell à un moment ou à un autre de la chaîne d’accès initiale avant de prendre le contrôle final.
Les attaquants peuvent enregistrer les commandes PowerShell qui déclenchent l’étape finale de l’infection dans des fichiers script (.ps1) ou des fichiers batch (.bat). Ils peuvent exécuter le fichier batch directement ou en créant une tâche planifiée qui exécute le fichier batch en fonction d’un déclencheur prédéfini. Ces scripts PowerShell et ces fichiers batch sont souvent fortement obscurcis pour dissimuler les attaquants et échapper à la détection.
Les attaquants utilisent des scripts PowerShell pour contourner l’interface d’analyse anti-malware (AMSI) comme étape d’évasion avant d’exécuter des charges utiles malveillantes. Ils utilisent également PowerShell pour charger et exécuter des charges utiles malveillantes en mémoire sans les écrire sur le disque.
Les fichiers batch sont utilisés pour exécuter des commandes malveillantes, notamment pour récupérer des fichiers, exécuter des scripts PowerShell et supprimer des fichiers pour cacher les traces. Ces fichiers batch sont également obscurcis. Des outils tels que BatCloak ont été identifiés comme étant utilisés par certains acteurs de la menace pour contourner les mécanismes de détection traditionnels.
Oh, vous pensiez vraiment que je ne mentionnerais pas l’IA ici :p
Il n’est pas surprenant que les acteurs de la menace utilisent déjà l’IA pour améliorer leurs charges utiles. ChatGPT, CoPilot et d’autres LLM développés spécialement pour contourner les limitations que certains modèles imposent pour empêcher toute utilisation malveillante, sont déjà utilisés pour aider à développer des logiciels malveillants. Toutefois, ces modèles peuvent également être utilisés dès les premières étapes de l’accès initial. L’IA peut faciliter l’élaboration de courriels d’hameçonnage, les rendant, dans certains cas, plus convaincants que ceux rédigés par des humains.
Le groupe de pirates TA547 est un exemple récent d’acteurs de menaces utilisant l’IA dans des charges utiles d’accès initial. Ce groupe est soupçonné d’utiliser le Large Language Model (LLM) pour générer des scripts PowerShell utilisés dans une nouvelle vague d’attaques par hameçonnage qui a touché des entreprises allemandes avec un logiciel malveillant appelé Rhadamanthys au début du mois d’avril.
Le script PowerShell désobfusqué a révélé certaines caractéristiques qui ne sont probablement pas le fait de programmeurs humains, comme des commentaires grammaticalement corrects et hyper-spécifiques pour chaque ligne du code.
Assemblage des anneaux de chaîne
Avez-vous remarqué ce schéma dans les scénarios d’attaque réels présentés ci-dessus ? Vous voyez PDF -> ZIP -> MSI -> DLL -> infection, ou ZIP -> LNK -> Batch -> PowerShell -> DLL -> InforStealler, ou d’autres combinaisons dans un ordre différent. Cette tendance à enchaîner plusieurs étapes de différents formats de fichiers et à propager le comportement malveillant sur plusieurs composants est adoptée par de nombreux acteurs de la menace pour former une chaîne d’infection complexe. La raison principale est de les aider à passer sous le radar des équipes bleues et de les rendre plus difficiles à détecter par les solutions de sécurité.
0 Alertes : L’art de l’évasion
Comme indiqué précédemment, les acteurs de la menace deviennent de plus en plus sophistiqués dans leurs attaques afin d’échapper aux mécanismes de détection en constante évolution.
L’utilisation d’une chaîne complexe d’attaques d’accès initial en plusieurs étapes semble être une bonne stratégie. Mais à chaque étape, les attaquants utilisent différentes techniques d’évasion. Par exemple, ils utilisent des services en nuage publics et privés pour héberger les pièces qu’ils utiliseront dans les différentes étapes de la chaîne. Cela permet de faire passer les appels malveillants pour du trafic légitime.
En outre, comme nous l’avons vu précédemment, les attaquants utilisent différentes techniques d’obscurcissement aux différents stades de la chaîne d’accès initiale. Qu’il s’agisse du fichier HTML, du code Jscript inclus, du script PowerShell, VBScript, des fichiers batch ou de la DLL finale ou de tout autre type de charge utile, les attaquants utilisent différentes techniques d’encodage, de cryptage et d’obscurcissement pour dissimuler l’intention malveillante réelle des charges utiles.
Les acteurs de la menace continuent d’utiliser les LOLBAS (Living Off The Land Binaries). Bitsadmin et certuril, par exemple, sont fréquemment utilisés pour encoder/décoder et transférer des composants qui seront utilisés dans la chaîne d’accès initiale.
Les attaquants ne cherchent pas seulement à échapper aux antivirus, mais aussi à passer inaperçus aux yeux des solutions de sécurité telles que les EDR. Les groupes de pirates sophistiqués sont mieux informés sur le type de comportement qui déclenchera des alertes sur ces EDR et prennent des mesures supplémentaires pour éviter tout type de déclenchement. Les EDR peuvent être vraiment ennuyeux du point de vue d’un attaquant (ou d’un membre de l’équipe rouge). Mais il est possible d’avoir un scénario d’accès initial complet, depuis la réception du déclencheur initial jusqu’à l’exécution de la charge utile finale, sans déclencher d’alertes. Lorsque vous essayez de contourner l’EDR 99 fois et que vous échouez, le fait de comprendre tous les éléments déclencheurs qui ont conduit à ces 99 alertes vous permettra certainement de passer l’EDR librement lors de la 100e tentative, sans éveiller de soupçons.
Conclusion et recommandations
Dans cet article de blog, j’ai essayé de vous faire visiter cette mascarade de logiciels malveillants en espérant vous donner un aperçu de la façon dont les véritables acteurs de la menace masquent leurs charges utiles pour envahir les personnes et les organisations sans être détectés. Comme on dit, « pour connaître son ennemi, il faut devenir l’ennemi », comprendre les techniques et les tactiques utilisées par les pirates est la première étape pour s’en protéger.
Voici quelques recommandations à votre intention, que vous soyez une personne non technique utilisant l’internet ou une personne technique essayant d’améliorer l’internet pour les autres :
Pour les personnes qui reçoivent des courriels contenant des liens ou des pièces jointes ou qui ouvrent des publicités sur des sites web…
Ne le faites pas. À moins que vous ne fassiez vraiment confiance à l’expéditeur du courrier électronique ou à l’origine du site web, ne cliquez pas sur des choses dont vous n’êtes pas sûr qu’elles sont sûres ou non. Ne téléchargez pas de mises à jour, de programmes ou autres à partir de sources non fiables. La sensibilisation des utilisateurs est cruciale lorsqu’il s’agit de tentatives d’hameçonnage pour obtenir un accès initial. L’être humain est en effet la principale cible de ces tentatives ; c’est pourquoi chacun devrait s’informer suffisamment pour éviter de tomber dans le piège de ces attaques trompeuses.
Pour l’équipe bleue…
Il est essentiel de connaître les tactiques les plus récentes utilisées par les acteurs de la menace pour obtenir un accès initial et échapper à la détection. Grâce à ces connaissances, vous pouvez identifier un comportement malveillant lorsque vous en voyez un, plutôt que de le considérer comme un faux positif simplement parce que vous n’étiez pas au courant de ce vecteur d’attaque. Vous pouvez également améliorer les règles et la configuration de vos solutions de détection afin de les rendre plus utiles pour attraper ces pirates sournois.
Pour l’équipe rouge…
« Oui, vous pouvez ! Les pirates informatiques font de leur mieux pour trouver des moyens de passer sous le radar de n’importe quel mécanisme de détection utilisé. Vous devez les comprendre, trouver des moyens de faire de même et, surtout, partager vos connaissances avec les défenseurs. Oui, c’est cool de contourner les EDR avec 0 alerte, mais pour les hackers éthiques, ce n’est pas le but, n’est-ce pas ? Donc, après un engagement de l’équipe rouge, allez de l’avant et expliquez ce que vous avez utilisé pour échapper à la détection, votre TTPS, quels seraient les IOC qui aideraient à identifier l’attaque. Contribuez à combler ce trou dans le mur de la cyberdéfense. Rendez la tâche plus difficile aux vrais attaquants, sécurisez le cyberespace et sauvez le monde. 😉
