L’équipe de sécurité de Microsoft a lancé un avertissement au sujet des campagnes malveillantes de diffusion du malware Astaroth à l’aide de techniques sans fichier (fileless) qui empêchent les solutions antivirus traditionnelles de détecter les attaques en cours. Le cheval de Troie Astaroth est une souche de logiciels malveillants capable de voler des informations sensibles telles que les informations d’identité de ses victimes à l’aide d’un module d’enregistrement des clés, l’interception des appels du système d’exploitation et la surveillance du presse-papiers.
Astaroth est également connu pour son utilisation abusive de binaires LOLbins, tels que l'interface de ligne de commande de la ligne de commande WMIC (Windows Management Instrumentation), pour télécharger et installer de manière furtive des charges utiles de logiciels malveillants en arrière-plan.
Les attaques ont été détectées par l'équipe derrière Windows Defender ATP, la version commerciale de l'antivirus gratuit Windows Defender de la société.
Appelées « file-less » ou « zero-footprint » ces attaques n’ont pas besoin d’enregistrer de fichier sur la machine pour s’exécuter et ne chargent pas de nouveaux processus en mémoire. Elles utilisent généralement des outils légitimes pour exécuter des commandes malveillantes. Par définition, il n’existe donc pas de signature de fichier et ces attaques échappent aux traditionnels systèmes de détection. Les malwares sans fichier ne sont pas nouveaux mais étant donné leur fonctionnement l’intérêt des cybercriminels, pour ceux-ci, grandit.
Il n’est donc plus nécessaire de piéger une cible et l’inciter à télécharger un fichier infecté ; ces attaques misent sur la discrétion. Le code s’exécute directement en mémoire dans un processus existant en détournant l’utilisation d’applications légitimes comme PowerShell, Visual Basic, JavaScript, WMI… Ces attaquent utilisent principalement des vulnérabilités logicielles, par exemple, le plug-in d’un navigateur (Java, Flash…) qui ne serait pas à jour permettrait d’exécuter du code dans la mémoire du processus appartenant au navigateur (ce qui permet de contourner également les méthodes de fonctionnement en liste blanche des applications).
Andrea Lelli, membre de l'équipe Windows Defender ATP, a affirmé que « parmi les préoccupations majeures de l’industrie de la sécurité aujourd’hui, la perception qui prévaut actuellement est que les solutions de sécurité sont impuissantes face à ces menaces supposées invincibles. Étant donné que les attaques sans fichier exécutent les données utiles directement en mémoire ou utilisent des outils système légitimes pour exécuter du code malveillant sans avoir à déposer de fichiers exécutables sur le disque, elles constituent un défi pour les solutions traditionnelles basées sur des fichiers ».
Et d’assurer que ce type d’attaque n’est pas sans faille : « mettons les choses au clair: une attaque sans fichier n’est pas synonyme d’attaque invisible; cela ne signifie certainement pas que c’est une attaque indétectable. La cybercriminalité parfaite n’existe pas ». Selon lui, même les logiciels malveillants sans fichiers laissent une longue traînée de preuves que les technologies de détection avancées peuvent détecter et arrêter.
La campagne de vol d'informations via une attaque sans fichiers
Andrea Lelli raconte : « Je faisais un examen standard de la télémétrie lorsque j'ai remarqué une anomalie d'un algorithme de détection conçu pour intercepter une technique spécifique sans fichier. La télémétrie a fait apparaître une nette augmentation de l’utilisation de l’outil WMIC (Windows Management Instrumentation) en ligne de commande pour exécuter un script (technique que MITRE désigne comme traitement de script XSL), ce qui indique une attaque sans fichier. Après quelques recherches, j'ai découvert la campagne qui visait à gérer la porte dérobée Astaroth directement en mémoire ».
La campagne de programmes malveillants découverte par l'équipe de recherche Microsoft Defender ATP utilise plusieurs techniques et un processus d'infection en plusieurs étapes qui commence par un courrier électronique contenant un lien malveillant qui a conduit les victimes potentielles vers un fichier LNK.
Lorsque vous double-cliquez dessus, le fichier LNK provoque l'exécution de l'outil WMIC avec le paramètre “/ Format”, qui permet le téléchargement et l'exécution d'un code JavaScript. Le code JavaScript à son tour télécharge des données utiles en abusant de l'outil Bitsadmin.
Toutes les données utiles sont codées en Base64 et décodées à l'aide de l'outil Certutil. Deux d'entre eux donnent des fichiers DLL simples (les autres restent chiffrés). L'outil Regsvr32 est ensuite utilisé pour charger l'une des DLL décodées, qui décryptent et chargent d'autres fichiers jusqu'à ce que la charge finale, Astaroth, soit injectée dans le processus Userinit.
Ci-dessous, ce schéma montre la chaîne d’attaque
« Il est intéressant de noter que, tout le long de la chaîne d’attaque, les fichiers exécutés sont des outils systèmes. Cette technique s'appelle “living off the land” : utiliser des outils légitimes déjà présents sur le système cible pour se faire passer pour une activité régulière », note l’ingénieur.
Il précise que « la chaîne d'attaque ci-dessus ne montre que les étapes d'accès initial et d'exécution. À ces étapes, les attaquants ont eu recours à des techniques sans fichier pour tenter d'installer le logiciel malveillant en mode silencieux sur les machines cibles. Astaroth est un voleur d’informations notoire, doté de nombreuses autres fonctionnalités postérieures à une violation qui ne sont pas abordées dans ce blog. Prévenir l'attaque à ces étapes est essentiel ».
Conclusion
Pour Andrea Lelli, « abuser des techniques sans fichiers ne place pas les logiciels malveillants au-delà de la portée ou de la visibilité des logiciels de sécurité. Au contraire, certaines techniques sans fichiers peuvent être si inhabituelles et anormales qu'elles attirent immédiatement l'attention sur les logiciels malveillants, de la même manière qu'un sac d'argent se déplaçant par lui-même ».
En février, Cybereason a observé une autre campagne Astaroth qui exploitait les techniques living off the land et abusait des binaires living off the land (LOLbin) pour dérober les informations de cibles en Europe et au Brésil.
La technique est devenue incroyablement populaire auprès des auteurs de logiciels malveillants au cours des trois dernières années et est maintenant largement utilisée.
La prochaine étape de l'évolution des produits antivirus modernes consiste sans doute à passer d'un mode de fonctionnement classique de détection de signature de fichier à une approche axée sur le comportement, dans laquelle ils peuvent également détecter des actions « invisibles » telles que l'exécution sans fichier (en mémoire) et l’utilisation de techniques de type living off the land où des outils légitimes sont utilisés à mauvais escient pour des opérations malveillantes.
Source : Microsoft
Et vous ?
Qu'en pensez-vous ?
Ce genre d'attaque est-il le signe que les solutions anti-virus doivent évoluer dans leur mode de fonctionnement ?
Comment protégez-vous les informations sur vos dispositifs ?
Si vous utilisez un antivirus, pouvez-vous préciser son nom ? Utilisez-vous la version gratuite ou payante ? Pourquoi ?
Voir aussi :
Les États-Unis auraient placé des logiciels malveillants au cœur du réseau électrique russe, d'après le New York Times
HiddenWasp : un programme malveillant détecté sur Linux, capable de contrôler totalement les machines infectées
Les dispositifs de streaming piratés sont truffés de logiciels malveillants, selon un nouveau rapport d'étude
La NSA publie en open source Ghidra, son framework d'ingénierie inversée de logiciels, pour « aider à analyser les codes malveillants »
Microsoft avertit qu'une campagne de diffusion du malware voleur d'informations Astaroth est en cours
Via des attaques sans fichier
Microsoft avertit qu'une campagne de diffusion du malware voleur d'informations Astaroth est en cours
Via des attaques sans fichier
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !