Les outils d’administration Windows, clés de la furtivité des attaquants

Donner l’illusion de la légitimité. Que faire de mieux pour passer inaperçu au sein de l’infrastructure dans laquelle on vient de s’introduire illégalement ? C’est probablement la réflexion à laquelle certains cybercriminels ont répondu par l’utilisation d’outils couramment utilisés par les administrateurs de parcs Windows.

En avril dernier, Carbon Black l’assurait d’ailleurs : PowerShell est régulièrement mis à profit par les pirates pour lancer leurs attaques. Sur un échantillon de 1100 incidents de sécurité étudiés par l’éditeur avec ses partenaires, 38 % ont impliqué l’utilisation de PowerShell. Et pas uniquement pour des attaques ciblées ou avancées : celles-ci ne représentent que 13 % de l’échantillon considéré. L’étude de Carbon Black venait ainsi conforter les conclusions auxquelles FireEye avait abouti au mois de décembre précédent.

De son côté, Kaspersky a découvert un groupe de cybercriminels spécialistes des attaques ciblées particulièrement friand de l’outil d’administration Windows. Baptisé FruityArmor, il se distingue par l’utilisation d’une « plateforme d’attaque entièrement construire autour de PowerShell » : « le principal implant malveillant de ce groupe est écrit en PowerShell, et toutes les commandes des opérateurs sont envoyées sous la forme de scripts PowerShell », explique l’éditeur. Avant cette étape, les membres de FruityArmor ont l’habitude de s’infiltrer sur un poste utilisateur via une vulnérabilité affectant le navigateur Web, combinée avec une autre permettant l’élévation de privilèges.

De son côté, FireEye vient de publier les fruits de l’analyse d’un logiciel malveillant utilisant les mécanismes d’instrumentation de Windows à des fins d’administration (WMI) pour détecter les bacs à sable et tenter ainsi de résister à l’examen des chercheurs en sécurité. Ou comment, là encore, détourner des outils légitimes afin de garantir sa furtivité.