Lundi 25 Septembre 2017
Les 5 derniers articles
Les 5 derniers articles
Commentaires
Les 5 derniers commentaires
L'attaque invisible : la nouvelle arme des cyber-criminels
Les experts de Kaspersky Lab ont découvert une série d’attaques ciblées "invisibles" utilisant exclusivement des logiciels légitimes : des outils très répandus de test de pénétration et d’administration, ou encore le framework PowerShell pour l’automatisation des tâches dans Windows. Ceux-ci n’installent aucun fichier malveillant sur le disque dur, mais se cachent en mémoire. Ce qui permet d’éviter la détection par des techniques de liste blanche et ne laisse aux enquêteurs quasiment aucun indice ou échantillon de malware exploitable.

En fin d'année dernière, les experts de Kaspersky Lab ont été contactés par des banques russes, ayant constaté un usage fréquent du logiciel de test de pénétration Meterpreter à des fins malveillantes, dans la mémoire de leurs serveurs là où il n’était pas censé se trouver. Kaspersky Lab a découvert que le code Meterpreter était associé à un certain nombre de scripts PowerShell légitimes et d’autres utilitaires. Ces outils combinés avaient été adaptés dans du code malveillant capable de se dissimuler en mémoire, pour la collecte invisible des mots de passe des administrateurs système de sorte que des cybercriminels puissent prendre à distance le contrôle de la machine de leurs victimes. L’objectif ultime paraît être d’accéder à des processus financiers.

Kaspersky Lab a depuis découvert que ces attaques s’opèrent à une échelle massive, touchant plus de 140 réseaux d’entreprise dans différents secteurs d’activité, la plupart des victimes se trouvant aux Etats-Unis, en France, en Equateur, au Kenya, au Royaume-Uni et en Russie. Au total, des infections ont été enregistrées dans 40 pays.

Personne ne sait qui se cache derrière ces attaques. En raison de l’utilisation de code d’exploitation open source, d’utilitaires Windows courants et de domaines inconnus, il est quasi impossible d'identifier le groupe responsable, ni même s’il s’agit d’un seul groupe ou de plusieurs groupes partageant les mêmes outils. 

Il faut noter que la détection de ce type d’attaques n’est possible qu’en RAM, sur le réseau et dans la base de registre et qu’en pareil cas, des règles Yara reposant sur l’analyse de fichiers malveillants ne sont d’aucune utilité. Heureusement, les produits Kaspersky Lab sont capables de détecter les opérations employant les tactiques et techniques décrites ci-dessus. 
Publié le jeudi 9 février 2017
SQ 250-300
Les 10 derniers articles