Les attaques sans fichier ou fileless attacks

Qu’est-ce que les attaques sans fichiers ( Fileless attacks) et pourquoi c’est un réel enjeu Cybersécurité ?

Les différentes appellations 

Les cyberattaques ciblées ou non ciblées utilisent différents modes opératoires pour arriver à leurs fins. Parmi ces modes opératoires nous trouvons les attaques sans fichiers. Ces dernières peuvent avoir plusieurs appellations :

• fileless attacks

• zero-footprint attacks

• non-malware attacks

• Living Off the Land


Comment ça marche

L’approche est simple, au lieu de construire, télécharger et exécuter un malware sur la machine victime, l’attaquant utilise des programmes installés par défaut sur le système. Parmi ces programmes nous pouvons citer, Powershell, WMI et PSexec. En effet, sur le système Windows, il existe plus de 100 outils pré-installés pouvant être utilisé par des attaquants dans une approche fileless.

Plus de 70% des attaques analysées ces deux dernières années utilisent l’approche « Fileless ». L’attaque la plus connue qui a utilisé cette approche est NotPetya en 2017. En effet, ce dernier a utilisé les outils Psexec et WMI afin de se propager sur le réseau.


Utilisation des fileless attacks par NotPetya

Pourquoi les hackers utilisent cette technique ? 
L’utilisation de l’approche « Fileless » permet aux attaquants (dans les premières phases de l’attaque) de comprendre l’environnement où ils se trouvent et d’explorer le réseau.

Pourquoi les anti virus n'arrivent pas à détécter ce type d'attaque ?

Le fonctionnement classique d'un antivirus consiste à analyser les logiciels et les comparer à une base de signatures créée préalablement et au fur et à mesure par les analystes. En effet, à l'exécution d'un nouveau logiciel, l'antivirus crée une signture et la compare à sa base de connaissance afin de savoir si le logiciel en question est malvaillant ou pas.

Ce fonctionnement est complétement obsolète pour l'identification des dernières typologies d'attaques et les Fileless attacks et un exemple parmi d'autres.

Vu que le concept ce cette attaque est de détourner l'utilisation d'outils légitimes utilisés par les administrateurs et qu'aucun binaire n'ai téléchargé l'antivirus ne trouve pas d'élément à analyser et permet l'exécution de l'attaque.


Comment Nucleon Smart Endpoint permet de bloquer les fileless attacks ?

Nucleon Smart Endpoint a été conçu avec une philosophie de défense en profondeur. En effet, la brique "Hardening" embarquée sur Nucleon Smart Endpoint permet de spécifier des régles d'accès aux outils d'administration uniquement aux processus légitimes et à la population dans l'entreprise qui peut en faire usage dans le cadre de son métier.

 

Durcissement poste de travail Nucleon Smart Endpoint

L'exemple des régles de durcissement ci-dessus sont relatives à Powershell un outil utilisé par les administrateurs dans leurs activités quotidienne mais aussi très populaire chez les attaquants. Ces règles intérdisent que Powershell soit exécuté par des processus non habilités ou qu'il accède a internet afin d'éviter l'exfiltration de données.

Antoine Botte

"Passionné d'informatique depuis toujours aussi bien en réseau qu'en développement, je me spécialise rapidement en sécurité informatique. Je m'intéresse aux solutions de détection comme le « sandboxing » et les antivirus nouvelle-génération en travaillant sur différents projets de recherche et développement pour contourner les solutions de sécurité. Je me spécialise également sur les technologies et concept de « SOC » et de « SIEM » avant de m'intéresser à l'intelligence artificielle et de son application à la cybersécurité."

Antoine
Chercheur Cybersécurité 
Address

20, Rue Kleber
92320 CHATILLON

Contacts

team@nucleon-security.com
+33 1 73 07 18 41
+33 1 73 07 18 42