Les logiciels malveillants sans fichier sont un moyen populaire pour les cybercriminels d'infiltrer les systèmes sans se faire remarquer. Également connu sous le nom de non-malware, zero-footprint ou macro-attack, il diffère des malwares traditionnels en ce qu'il n'a pas besoin d'installer de logiciel malveillant pour infecter l'ordinateur de la victime.
Au lieu de cela, il exploite les vulnérabilités existantes sur l'appareil : le logiciel malveillant se niche dans la RAM de l'ordinateur et utilise des outils système courants pour injecter du code malveillant dans des processus normalement sûrs et fiables, tels que javaw.exe ou iexplore.exe .
Techniques d'attaque et fonctionnement des logiciels malveillants sans fichier
Il existe de nombreuses techniques que les cybercriminels peuvent utiliser pour lancer une attaque de malware sans fichier. Par exemple, par le biais de bannières publicitaires malveillantes, appelées "malvertising". Lorsque les utilisateurs cliquent sur l'annonce, ils sont redirigés vers un site Web malveillant qui semble légitime et charge Flash, qui présente malheureusement des vulnérabilités. Flash utilise l'outil Windows PowerShell pour exécuter des commandes à partir de la ligne de commande lors de l'exécution dans la RAM. PowerShell télécharge et exécute ensuite le code malveillant à partir d'un botnet ou d'un autre serveur compromis, après quoi le code recherche les données à envoyer à l'attaquant.
Étant donné que les logiciels malveillants sans fichier ne nécessitent aucun téléchargement de fichier, il est assez difficile de les détecter, de les bloquer et de les supprimer. Il n'a pas de code ou de signature identifiable permettant aux programmes antivirus traditionnels de le détecter. Il n'a pas non plus de comportement spécifique, de sorte que les analyseurs heuristiques ne peuvent pas le détecter. De plus, étant donné que le logiciel malveillant exploite les vulnérabilités des applications approuvées déjà présentes sur le système, il peut également contourner la protection fournie par la liste blanche d'applications, un processus qui garantit que seules les applications approuvées sont installées sur un ordinateur.
Signes de logiciels malveillants sans fichier
Cependant, le redémarrage de votre ordinateur peut arrêter une violation de sécurité des logiciels malveillants sans fichier. En effet, la RAM ne conserve ses données que lorsque l'ordinateur est allumé. Une fois qu'il s'est éteint, l'infection n'est plus active. Cependant, les attaquants peuvent toujours utiliser cette vulnérabilité pour voler des données sur l'ordinateur ou installer d'autres formes de logiciels malveillants pour ajouter de la persistance à la vulnérabilité. Par exemple, un pirate peut configurer des scripts à exécuter au redémarrage du système pour poursuivre l'attaque.
Bien qu'il n'y ait pas de nouveaux fichiers installés ou de comportement révélateur typique qui rendraient évidente une attaque de logiciel malveillant sans fichier, il y a quelques signes avant-coureurs à surveiller. L'un d'eux est des modèles et des traces de réseau inhabituels, tels que l'ordinateur se connectant aux serveurs de botnet. Il convient de rechercher des signes de failles de sécurité dans la mémoire système, ainsi que d'autres artefacts que le code malveillant pourrait avoir laissés dans son sillage.
Meilleures pratiques de protection contre les logiciels malveillants sans fichier
Voici quelques mesures que les entreprises peuvent prendre pour éviter l'infection par Fileless Malware ou limiter les dégâts en cas d'infection :
- Pas de fonctions et d'applications inutiles : les services et les fonctions du programme qui ne sont pas utilisés doivent être désactivés. De plus, les entreprises doivent désinstaller les applications qui ne sont pas utilisées ou qui ne sont pas nécessaires au travail.
- Préservation des privilèges : les organisations doivent limiter les privilèges des utilisateurs administrateurs et n'accorder aux utilisateurs que le nombre d'autorisations nécessaires pour accomplir leur travail.
- Mises à jour régulières du logiciel : Tous les logiciels doivent toujours être à jour et mis à jour régulièrement.
- Surveillance du trafic réseau : le trafic réseau doit être surveillé et les journaux d'activité vérifiés pour les anomalies.
- Protection des terminaux : les organisations doivent s'assurer qu'elles ont mis en place une protection des terminaux et sécuriser chacun de ces appareils, y compris les appareils distants et mobiles, pour protéger leur réseau.
- PowerShell : les meilleures pratiques d'utilisation et de sécurisation de PowerShell doivent également être prises en compte.
- Hygiène des mots de passe : les mots de passe doivent être modifiés après qu'une infection malveillante sans fichier a été identifiée et nettoyée avec succès.
- Formation des employés : une formation approfondie à la sécurité des utilisateurs finaux peut également contribuer grandement à prévenir les infections par des logiciels malveillants sans fichier.
Les logiciels malveillants sans fichier sont facilement accessibles aux criminels car ils sont souvent déjà inclus dans les kits d'exploitation. De plus, certains pirates proposent également des attaques de logiciels malveillants sans fichier en tant que service. Le logiciel malveillant s'appuie sur la furtivité plutôt que sur la persistance, bien que sa flexibilité à s'associer à d'autres logiciels malveillants lui permette de faire les deux. Les organisations doivent donc mettre en œuvre une stratégie de sécurité qui comprend une approche à plusieurs niveaux des meilleures pratiques, des solutions de sécurité et de la formation des employés pour lutter efficacement contre ces menaces.
[idboîteétoile=6]