What is Fileless Malware?

Historiquement, la plupart des logiciels malveillants étaient livrés sous forme de fichiers, qui étaient téléchargés sur un ordinateur, enregistrés dans sa mémoire, puis exécutés. Cette conception a rendu ces types de logiciels malveillants plus faciles à détecter pour certaines solutions de sécurité. Le logiciel malveillant sans fichier n'existe cependant que dans la mémoire de l'ordinateur infecté et n'écrit rien sur le disque.

Tendances en matière de cyberattaques Demander une démo

Fonctionnement

La plupart des applications et des logiciels malveillants basés sur des fichiers commencent par un fichier qui est écrit sur le disque. Lorsque ce fichier est exécuté, une copie est chargée dans la mémoire et les commandes du programme sont exécutées. Le logiciel malveillant sans fichier saute l'étape de l'écriture sur le disque et n'existe que dans la mémoire.

Voici quelques-uns des moyens mis en œuvre pour y parvenir :

  • Vivre de la terre : La plupart des actions effectuées par le logiciel malveillant peuvent être accomplies par des fonctionnalités légitimes du système. Fileless logiciel malveillant utilise généralement PowerShell afin d'accéder aux fonctions API intégrées de Windows qui seraient normalement utilisées dans un fichier exécutable malveillant.
  • Documents malveillants : Un document Microsoft Office peut contenir des macros malveillantes qui utilisent PowerShell pour exécuter des commandes. Cela peut inclure le téléchargement et l'exécution d'un logiciel malveillant supplémentaire sans l'écrire sur le disque.
  • Exploitation de la vulnérabilité : Une application peut contenir un débordement de mémoire tampon ou une autre vulnérabilité d'exécution de code à distance (RCE). En exploitant cette vulnérabilité, un attaquant peut exécuter des commandes malveillantes au sein du processus vulnérable sans rien écrire sur le disque.
  • Détournement de processus : Une fois qu'un fichier est chargé en mémoire, son espace mémoire peut être modifié. logiciel malveillant peut écrire du code dans l'espace mémoire d'un processus existant et lancer sa fonctionnalité malveillante au sein de ce processus.
  • Logiciel malveillant basé sur le registre : Le registre de Windows contient des informations de configuration pour le système d'exploitation Windows, y compris les programmes automatiques. Fileless logiciel malveillant peut définir une exécution automatique qui lance un code malveillant via LoLBins au démarrage du système ou lorsqu'un utilisateur se connecte.

Que peut faire le logiciel malveillant sans fichier ?

Le logiciel malveillant sans fichier peut faire tout ce qu'une variante traditionnelle du logiciel malveillant basée sur des fichiers peut faire. Il peut s'agir d'un voleur d'informations, d'un logiciel rançonneur, d'une trousse d'accès à distance (RAT) ou d'un cryptomineur.

La principale différence entre les logiciels malveillants sans fichier et les logiciels malveillants à base de fichier est la manière dont ils mettent en œuvre leur code malveillant. Le logiciel malveillant sans fichier s'appuie généralement sur les fonctions intégrées du système d'exploitation plutôt que de mettre en œuvre une fonctionnalité malveillante dans un exécutable autonome.

Étapes d'une attaque sans fichier

Une attaque par logiciel malveillant sans fichier ressemble beaucoup à une attaque par logiciel malveillant avec fichier. Voici quelques-unes des étapes clés :

  1. Accès initial : le logiciel malveillant a besoin d'un moyen d'accéder aux systèmes d'une organisation. Fileless logiciel malveillant peut délivrer un document malveillant via le phishing ou exploiter une application Web vulnérable.
  2. Exécution : Le logiciel malveillant sans fichier peut exécuter du code par différents moyens. Par exemple, un document malveillant peut utiliser l'ingénierie sociale pour inciter le destinataire à activer des macros, permettant ainsi à des macros malveillantes d'exécuter des commandes PowerShell.
  3. Persistance : Une fois que le logiciel malveillant a obtenu l'accès à un système cible, il souhaite conserver cet accès. L'ajout de clés d'exécution automatique au registre Windows est un moyen courant d'assurer la persistance et peut être réalisé sans écrire de code sur le disque.
  4. Objectifs : le logiciel malveillant est conçu pour accomplir une certaine tâche. Fileless logiciel malveillant peut tenter de voler des informations d'identification, de crypter des fichiers, de télécharger des logiciels malveillants supplémentaires ou d'effectuer d'autres activités malveillantes.

Détection et protection contre les attaques de logiciels malveillants sans fichier

Le logiciel malveillant sans fichier est conçu pour être plus difficile à détecter que les variantes traditionnelles du logiciel malveillant basées sur des fichiers. En effet, certaines solutions de sécurité des postes se concentrent sur l'analyse des fichiers d'un système et n'inspectent pas les processus en cours d'exécution à la recherche de codes malveillants ou d'activités anormales.

Cependant, plus difficile à détecter ne veut pas dire indétectable. Voici quelques-uns des moyens dont dispose une organisation pour se protéger contre les attaques par logiciel malveillant sans fichier :

  • Fonctionnalité de verrouillage : Le logiciel malveillant sans fichier "vit souvent sur le terrain", en utilisant des fonctionnalités intégrées pour atteindre ses objectifs. La désactivation ou la surveillance des applications à haut risque, telles que PowerShell, peut contribuer à la prévention et à la détection des attaques par logiciel malveillant sans fichier.
  • Gérer les macros : Les macros de Microsoft Office sont une méthode courante d'accès initial et d'exécution pour les logiciels malveillants sans fichier. La désactivation des macros peut contribuer à bloquer ce vecteur d'infection.
  • Rattrapage de la vulnérabilité : des attaquants peuvent exploiter des vulnérabilités telles que des débordements de mémoire tampon pour exécuter du code au sein d'une application vulnérable. L'application de correctifs et la mise en œuvre de correctifs virtuels avec un système de prévention des intrusions (IPS) limitent le risque d'exploitation de la vulnérabilité.
  • Authentification sécurisée : Les cybercriminels utilisent de plus en plus des informations d'identification compromises et des solutions d'accès à distance, telles que RDP, pour déployer et exécuter des logiciels malveillants. La mise en œuvre d'une authentification multifacteurs (MFA) et d'une politique de sécurité de confiance zéro peut limiter l'impact potentiel d'un compte compromis.

La suite Harmony et la plateforme XDR de Check Point

Fileless logiciel malveillant est l'une des nombreuses menaces auxquelles les organisations sont confrontées. Pour en savoir plus sur le paysage actuel des cybermenaces, consultez le rapport 2022 Mid-Year attaque cybernétique Trends Report de Check Point.

Implementing defense in depth is essential to managing the risk of sophisticated malware and other leading cyber threats. Check Point Infinity XDR provides centralized visibility and threat management across an organization’s IT infrastructure, while Harmony Endpoint secures the endpoint.

Find out how Check Point can help improve your organization’s malware defenses. Sign in for a free demo of Harmony Endpoint today.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK