Les logiciels malveillants ? Essentiellement pour s’infiltrer

Les attaquants n’auraient finalement que relativement peu recours à des logiciels malveillants : pour l’essentiel, ils s’appuieraient sur des logicels parfaitement légitimes. C’est du moins ce qu’affirme LightCyber, l’un des spécialistes de l’analyse comportementale appliquée à la sécurité, dans une nouvelle étude.

Et celle-ci tend à souligner les limites des systèmes de protection des points de terminaison conventionnels – basés principalement sur des listes de signatures : « nous avons identifié 1 109 outils responsables de comportements d’attaque, et la majorité d’entre eux n’était pas malicieuse. Bien sûr, les logiciels malveillants jouent un rôle ». Mais pas toujours le même. Dans le cadre de campagnes de masse, « les attaquants installent des logiciels malveillants pour voler des informations personnelles ou conduire des attaques opportunistes comme la production de bitcoins ou des fraudes au clic ».

Mais, dans des attaques ciblées, les logiciels malveillants ne semblent jouer qu’un rôle limité à la compromission initiale : « 99 % de la reconnaissance réseau interne et des opérations de déplacement latéral provient d’applications légitimes ou à risque, comme les scanners » : Angry IP Scanner, PingInfoView, ou encore Nmap. Une demi-surprise alors que Carbon Black assurait, mi-avril que PowerShell, outil d’administration de systèmes tout ce qu’il y a de légitime, occupe une place de plus en plus importante dans l’arsenal des cybercriminels. LightCiber indique avoir également observé plusieurs clients SSH et Telnet, BeyondExec Remote Service ou même vSphere Client, ainsi que des outils d’administration à distance comme TeamViewer et des clients VNC.

Mais l’éditeur affirme en outre que « la majorité des variantes de logiciels malveillants installées sur les points de terminaison ne correspond pas à des logiciels malveillants ou des à signatures antivirales connues ». Et c’est sans compter avec des familles entières « observées uniquement sur un site unique ».

Et c’est bien là tout le danger. Car selon LightCyber, la phase de compromission initiale ne dure que quelques secondes ou minutes tout au plus alors que celle d’attaque active, dont relèvent la reconnaissance et le déplacement latéral se déroule sur plusieurs semaines voire mois. Entre temps, l’attaquant a pu effacer certaines traces de la compromission initiale, sinon toutes. Et peut donc œuvrer en toute sérénité sur l’infrastructure.

Enfin presque, en l’absence de systèmes de détection appropriés. Car LightCyber souligne que l’activité de reconnaissance représente plus de 50 % de l’activité de l’attaquant : « c’est un processus naturellement itératif d’essai et d’échec. Puisqu’il ne connaît pas l’environnement ni où trouver sa cible, l’attaquant doit généralement passer par plusieurs étapes de reconnaissance et de déplacement latéral à la recherche d’actifs de valeur ». Et c’est là une véritable opportunité : « cela rend le comportement de l’attaquant facile à détecter si l’on dispose de la bonne sonde ». Où des bons pièges, comme les spécialistes des leurres seraient tentés d’ajouter, comme TrapX ou Illusive Networks.

Pour atteindre ces conclusions, LightCyber s’est penché sur l’analyse du trafic réseau (Network Traffic Analytics, NTA) chez ses clients, à travers le monde – soit des « centaines de milliers de points de terminaison à partir de plus de 60 sites, sur une période de six mois. Les organisations de l’échantillon comptent entre 1000 et 5000 collaborateurs et évoluent dans les secteurs des services financiers, de la santé, du transport, de l’administration, des télécommunications et des nouvelles technologies.

En outre, LightCyber indique avoir analysé les fichiers suspects en les comparant à des condensats de logiciels malveillants connu via plusieurs moteurs antiviraux, et en les exécutant dans des bacs à sables.