Attaques sans fichier : Gartner avertit les RSSI

Echapper à la détection. C’est l’un des principaux objectifs des pirates informatiques. Déjà, en juin 2015, les chercheurs de Kaspersky avaient découvert une nouvelle mouture du tristement célèbre Duqu. Celle-ci présentait une originalité importante : l’essentiel de la charge utile résidait exclusivement en mémoire vive, s’exécutant dans l’ombre de processus légitimes liés à des suites de sécurité, et fournissant des fonctions complètes d’accès à distance et d’espionnage.

Il y a un an, les chercheurs de Palo Alto Networks mettaient de leur côté la main sur un nouveau logiciel malveillant, comparable à ceux de la famille ursnif, mais ne s’appuyant sur aucun fichier déposé sur le poste compromis : il est propagé via des documents Word ; une macro malicieuse invoque le service WMI pour lancer une instance cachée de powershell.exe pour exécuter un script chiffré téléchargé à la volée. PowerShell, dont de nombreux scripts s’avèrent malicieux, attire d’ailleurs de plus en plus les attaquants. 

En février, les chercheurs de Kaspersky ont indiqué avoir avoir découvert une nouvelle menace tout aussi furtive, dans le système d’information d’une banque, « après détection de code Meterpreter dans la mémoire physique d’un contrôleur de domaine ». Participant à l’enquête, les chercheurs de l’éditeur ont ensuite « découvert l’utilisation de scripts PowerShell dans le registre Windows », ainsi que le recours à l’utilisateur Netsh pour cacher les échanges entre l’hôte compromis et les serveurs de commande et de contrôle de l’attaquant dans un tunnel. Pour les équipes de Kaspersky, « la détection de cette attaque n’est possible qu’en mémoire vive, dans le réseau et dans le registre ».

Dans une note d’information à ses clients, Gartner sonne le tocsin : « les attaques intégralement menées sans programme malveillant exécutable sont en train de se généraliser ». Et si celles-ci s’appuient souvent sur des vulnérabilités connues, « dans la plupart des entreprises, la gestion des correctifs logiciels n’est pas alignée sur les vulnérabilités les plus fréquemment ciblées ». 

Surtout, « les attaques sans fichier modernes n'écrivent pas de fichiers sur le disque ni ne chargent de nouveaux processus en mémoire. […] la charge utile est injectée dans l'espace mémoire d'une application existante ou un script est exécuté dans une application approuvée, telle qu'Office ou PowerShell ». 

Ce mode opératoire « présente un problème considérable », relève le cabinet, « car les techniques traditionnelles de détection et de prévention […] ont besoin d'un fichier pour procéder à l'analyse. Même les produits de détection de programmes malveillants dits "de prochaine génération" peuvent laisser passer ces attaques jusqu'à ce que la charge utile ait réussi à s’exécuter ». 

Gartner formule dès lors plusieurs recommandations, comme la limitation de l’accès à PowerShell aux « seuls utilisateurs ayant véritablement besoin de l’outil » ou encore « désactiver le service WMI sur les points de terminaison de l’entreprise et bloquer les ports réseau utilisés par WMI ». Et lorsqu’il est indispensable, « les entreprises doivent exporter la journalisation des événements associée à VMI dans un [système de gestion des informations et des événements de sécurité [SIEM] ». 

Le cabinet suggère également, faute de mieux, d’utiliser EMET de Microsoft « comme protection tactique temporaire jusqu’à la fin de son support en 2018 ». Mais il encourage à « évaluer les solutions établies d’EPP s’agissant de la protection contre l’exploitation de vulnérabilités logicielles et les attaques sans fichier ». Enfin, Gartner invite à limiter « ce à quoi une application ou un processus peut accéder (par exemple, les fichiers, le registre, les ressources réseau) via l’isolation des applications. Et l’on pense là notamment à l’exemple de la solution développée par Bromium.