Ce que vous apprendrez dans cet article
- Les malware sans charge utile ont souvent recours à des outils intégrés, à des scripts, à la mémoire ou à l'ingénierie sociale, plutôt qu'à une diffusion évidente par le biais de fichiers.
- Ces attaques sont plus difficiles à détecter, car elles ne comportent pas nécessairement de pièce jointe malveillante ni de charge utile malveillante visible.
- Parmi les exemples courants, on peut citer la fraude commise par un PDG, l'usurpation d'identité d'un fournisseur et les demandes visant à obtenir des identifiants.
- Pour se prémunir contre les malware sans charge utile, il est nécessaire de recourir à une détection basée sur le comportement, de renforcer les contrôles d'identité et d'améliorer la visibilité sur les e-mails, les terminaux et l'activité des utilisateurs.
- Les équipes de sécurité devraient enquêter sur ces attaques en établissant des corrélations entre les signaux provenant des e-mails, des identités, des terminaux et du contexte de communication.
Toutes les cyberattaques ne commencent pas nécessairement par une pièce jointe malveillante ou par une charge utile clairement identifiable dans un fichier. Certaines attaques s'appuient sur des outils d' s réputés fiables, des messages d'apparence normale et le comportement des utilisateurs pour progresser tout en laissant moins de traces évidentes derrière elles.
C'est pourquoi il est si important de bien comprendre les attaques sans charge utile. Elles peuvent s'intégrer dans les flux de travail courants, contourner les modèles traditionnels de détection des malware et pousser les utilisateurs à effectuer des actions dangereuses sans jamais ressembler à une attaque de malware classique.
Qu'est-ce qu'une attaque sans charge utile ?
Les attaques sans charge utile sont des activités malveillantes qui ne reposent pas sur l'injection d'une charge utile traditionnelle sous forme de fichier ni sur l'exécution d' s selon le mode habituel. Cela ne signifie pas pour autant qu'il n'y ait ni code ni commandes. Cela signifie que l'attaquant parvient souvent à échapper aux traces de fichiers évidentes que les malware traditionnels et les logiciels antivirus sont conçus pour détecter. Au contraire, les malware de type « » sans charge utile peuvent s'appuyer sur des outils intégrés, l'exécution de scripts malveillants, un comportement en mémoire, le contenu des e-mails, les sessions d' s du navigateur ou l'ingénierie sociale.
C'est l'une des principales différences entre les payloadless malware et les traditional malware. Le malware traditionnel s'appuie généralement sur une charge utile malveillante identifiable, un fichier exécutable suspect ou une pièce jointe malveillante de type « ». Les attaques de malware sans charge utile réduisent le recours à ces éléments visibles et utilisent plutôt des processus de confiance, des outils natifs d' , ainsi que des flux de travail d'apparence normale pour mener à bien leurs activités malveillantes. Dans de nombreux cas, l'attaque ressemble moins à une attaque classique par malware qu'à une communication professionnelle ordinaire ou à un comportement normal du système.
Exemples courants d'attaques sans charge utile
Ces attaques réussissent souvent en s'intégrant dans des processus de travail fiables ou dans des échanges courants, plutôt qu'en se présentant de manière manifestement malveillante. Quelques exemples courants illustrent comment une activité sans charge utile peut fonctionner dans la pratique :
- Fraude au « CEO » : un message semblant provenir d’un cadre supérieur incite le destinataire à agir rapidement, souvent sans liens ni pièces jointes.
- Usurpation d'identité d'un fournisseur : un pirate se fait passer pour un fournisseur connu et demande des modifications de paiement ou la mise à jour des coordonnées bancaires .
- Demandes visant à obtenir des identifiants : le pirate se fait passer pour un membre du service informatique, des ressources humaines ou d’un autre service de confiance et demande à l’utilisateur de lui communiquer directement ses mots de passe, ses codes d’authentification multifactorielle ou des informations sensibles.
Ces exemples sont importants car l'attaque peut tout de même aboutir sans lien malveillant, sans charge utile déposée ni exploit technique évident de type « ». Dans bien des cas, c'est le message lui-même qui constitue la véritable arme.
Comment fonctionnent les attaques sans charge utile
Les attaques sans charge utile commencent souvent par un message, une invite ou une action du système qui semble banale. La livraison est peut-être simple , mais c'est lors des étapes suivantes que les problèmes surviennent.
Utilisation abusive des scripts natifs et des outils système
Les pirates peuvent exploiter PowerShell ou Windows PowerShell pour exécuter des commandes sans avoir recours à un fichier déposé de manière classique. Ils peuvent utiliser un script PowerShell ou tout autre code malveillant par l'intermédiaire de processus système de confiance, ce qui peut donner à l'activité un aspect moins suspect qu'une infection classique par un malware. Certaines attaques ont également recours à l'exécution de scripts, à des activités d' s résidant en mémoire ou à des LOLBins pour exécuter des commandes, se déplacer latéralement ou faciliter l'accès à distance, tout en laissant derrière elles moins de traces évidentes d' s liées aux fichiers.
Activités liées au navigateur, aux documents et aux sessions
Le malware sans charge utile peut également comporter des macros malveillantes dans des documents, des sessions de navigateur actives ou des activités Web de confiance , ce qui aide le pirate à faire progresser l'attaque. Dans d'autres cas, l'attaque commence par un message de phishing de type « texte seul »,ou un message de spear phishing qui ne contient absolument aucune pièce jointe ni aucun lien malveillant apparent. Cela rend l'activité initiale plus facile à négliger , surtout lorsqu'elle se fond dans le comportement habituel des utilisateurs ou dans la communication professionnelle quotidienne.
L'ingénierie sociale après le premier contact
Ce premier contact débouche souvent sur l'étape suivante. L'attaquant peut recourir à l'usurpation d'identité, à des demandes de paiement urgentes, àdes tentatives de Phishing visant à obtenir vos identifiants de connexion , ou à des demandes visant à transférer la conversation vers d'autres canaux, tels que des appels, des discussions en ligne ou des applications de messagerie. C'est l'une des raisons pour lesquelles les attaques sans fichier et les malware sans charge utile fonctionnent si bien : le courriel initial peut ne pas paraître technique ou dangereux, mais il peut néanmoins servir à mettre en place une fraude, à compromettre un système ou à préparer une attaque plus importante Ransomware ultérieurement.
Pourquoi les attaques sans charge utile sont-elles plus difficiles à détecter ?
Les attaques sans charge utile sont plus difficiles à détecter, car elles contournent souvent les indices évidents liés aux fichiers que de nombreux contrôles traditionnels de l' sont conçus pour détecter. Au lieu de recourir à une charge utile malveillante visible, ils peuvent utiliser des outils fiables, des schémas de communication normaux de type « » ou des activités qui se fondent dans le comportement habituel.
Moins d'artefacts techniques visibles
Les attaques sans charge utile sont plus difficiles à détecter, car de nombreux contrôles traditionnels sont conçus pour inspecter les fichiers, les signatures et les s pièces jointes malveillantes connues. Lorsqu'il n'y a pas de fichier évident à analyser, ou lorsque l'attaquant utilise un outil légitime déjà présent dans l'environnement, la détection devient beaucoup plus difficile.
Un recours accru au contexte métier et à l'ingénierie sociale
Ces attaques reposent également en grande partie sur le contexte, la confiance et l'ingénierie sociale, plutôt que sur des indicateurs techniques évidents. Un message de Phishing imitant un dirigeant ou un fournisseur connu peut paraître suffisamment anodin pour contourner les filtres de base, surtout lorsque l'attaquant connaît le poste de la cible, ses fournisseurs ou sa hiérarchie.
Les signaux sont répartis sur plusieurs systèmes
Un autre défi réside dans le fait que les malware sans charge utile laissent souvent des traces sur plusieurs systèmes, plutôt que de provenir d'une source unique et identifiable. Un indice peut apparaître dans un e-mail, un autre dans le comportement d’un terminal, et un autre encore dans l’activité liée à l’identité ou au navigateur, ce qui fait qu’il est facile de passer à côté de l’ensemble du schéma d’ , à défaut d’une visibilité plus globale.
Un besoin accru de détection tenant compte du comportement et de l'identité
Comme ces attaques se fondent dans les flux de travail habituels, elles nécessitent souvent davantage que des règles statiques ou une simple correspondance d' s de signatures. Les équipes de sécurité ont besoin d'une surveillance basée sur le comportement, d'une analyse contextuelle, d'une compréhension des relations entre les entités et d'une meilleure visibilité sur les identités au niveau de l' , afin de détecter les activités suspectes avant qu'elles n'aillent trop loin.
Menaces et techniques associées aux attaques sans charge utile
Les activités sans charge utile sont souvent associées à un ensemble bien connu de cybermenaces et de techniques d'ingénierie sociale. La différence réside dans le fait que ces techniques peuvent se déclencher sans charge malveillante visible.
- Business email compromise: technique consistant à utiliser des communications professionnelles trompeuses pour obtenir des paiements, des validations ou la divulgation d'informations sensibles.
- Fraude au « PDG » : consiste à usurper l'identité d'un dirigeant pour pousser les utilisateurs à prendre des mesures urgentes ou inhabituelles.
- Usurpation d'identité d'un fournisseur : consiste à faire passer des demandes frauduleuses pour des demandes courantes en se faisant passer pour un fournisseur ou un partenaire de confiance.
- Demandes visant à obtenir des identifiants : incite les utilisateurs à communiquer directement leurs identifiants de connexion, leurs codes d'authentification multifactorielle (MFA) ou d'autres données d'accès .
- Spear phishing : technique consistant à utiliser des messages personnalisés destinés à une personne, un service ou un poste spécifique.
- Ingénierie sociale : elle s'appuie sur le sentiment d'urgence, la confiance, l'autorité ou la peur pour inciter à adopter des comportements dangereux.
- Activation progressive d'un malware ou d'un Ransomware : cela ouvre la voie à une attaque plus importante par un malware ou un Ransomware même lorsque la première étape ne commence pas par une charge utile visible.
Ces tendances montrent pourquoi les attaques de malware sans charge utile ne doivent pas être considérées comme un problème marginal. Elles se recoupent souvent avec les attaques de type « BEC » , les campagnes de Phishing, l'usurpation d'identité et les compromissions ultérieures, qui peuvent s'avérer tout aussi préjudiciables que les malware traditionnels.
Comment les organisations peuvent-elles se protéger contre les attaques sans charge utile ?
Pour se prémunir contre les malware sans charge utile, il faut se concentrer sur le comportement, l'identité et le contexte plutôt que de se fier uniquement à l' , qui repose sur l'analyse des fichiers. Étant donné que bon nombre de ces attaques dépendent autant de l'action de l'utilisateur que de leur mise en œuvre technique, la prévention doit prendre en compte à la fois les risques technologiques et les risques liés au facteur humain.
Détection basée sur le comportement
La détection basée sur le comportement permet d'identifier les activités suspectes en se fondant sur les actions et les schémas de comportement plutôt que sur les signatures de fichiers s seules. Il s'agit là de l'un des moyens les plus efficaces de prévenir les attaques de malware sans fichier et d'autres activités sans charge utile qui, sans cela, pourraient passer inaperçues au niveau des contrôles de base ( ).
Visibilité EDR et XDR
Les solutions EDR et XDR offrent aux équipes de sécurité une meilleure visibilité sur le comportement des terminaux, les chaînes de processus, l'exécution des commandes et les signaux liés à l' . Cela permet de détecter les attaques de malware sans fichier qui s'appuient sur la mémoire, des scripts ou des outils natifs du système plutôt que sur une charge utile traditionnelle.
Contrôle via des scripts et PowerShell
Limiter les utilisations abusives de PowerShell et restreindre l'exécution des scripts peut permettre de réduire l'impact d'une technique majeure de type « fileless ». Si les attaquants ne peuvent pas utiliser librement des outils de script fiables, leur capacité à se déplacer discrètement au sein de l'environnement s'en trouve limitée.
Principe du privilège minimal
Le principe du « privilège minimal » réduit la marge de manœuvre des attaquants en limitant, par défaut, les actions que les utilisateurs et les processus peuvent effectuer. Si un compte « » compromis ou un script malveillant dispose de droits d'accès limités, l'ampleur des dégâts est moindre.
Contrôle des applications
Le contrôle des applications permet de limiter les outils et les fichiers binaires pouvant être exécutés. Cela complique la tâche d'un pirate qui chercherait à détourner un outil légitime de ou LOLBin à des fins malveillantes.
« Zero Trust »
Le modèle « zero trust » réduit la confiance implicite entre les utilisateurs, les appareils et les demandes d'accès. Cela est important car de nombreuses attaques de type « » sans charge utile reposent sur le fait d'être considérées comme normales par défaut.
Un renforcement de la protection de l'identité
Des mesures de protection renforcées en matière d'identité peuvent réduire l'utilisation frauduleuse des identifiants et limiter l'impact des comptes piratés. L'authentification multifactorielle (MFA), l' , l'accès conditionnel et la surveillance des identités jouent tous un rôle important dans ce contexte, en particulier lorsque le phishing d'identifiants fait partie du parcours de l'attaque .
Étant donné que de nombreuses attaques sans charge utile trouvent leur origine dans les e-mails, la sécurité des e-mails et la réduction des risques liés au facteur humain restent des enjeux essentiels. Des signaux d'alerte d' s plus efficaces, une détection plus performante de l'usurpation d'identité et des utilisateurs mieux informés peuvent mettre fin à l'attaque avant que l'activité d' technique n'ait le temps de prendre de l'ampleur.
À quoi les équipes de sécurité doivent-elles prêter attention lorsqu’elles enquêtent sur des activités sans charge utile ?
Lorsque les équipes de sécurité enquêtent sur des malware sans charge utile ou sur des activités malveillantes sans fichier, elles doivent rechercher des signes indirects d' , plutôt que de se limiter aux seuls fichiers évidents. Ces indicateurs revêtent souvent une importance particulière lorsqu’ils apparaissent conjointement, notamment l s concernant les e-mails, les identités, les terminaux et les activités de communication.
Les indicateurs les plus courants sont les suivants
- Utilisation inhabituelle de PowerShell : cela peut indiquer une utilisation abusive des outils de script natifs.
- Chaînes de processus suspectes : elles peuvent révéler le comportement caché d'un attaquant derrière des applications de confiance.
- Utilisation anormale d'outils d'administration : cela peut indiquer une utilisation abusive d'utilitaires légitimes à des fins malveillantes.
- Exécution inattendue d'une commande : peut indiquer des actions non autorisées s'écartant du comportement normal.
- Tentatives d'usurpation d'identité : elles traduisent souvent des tentatives visant à abuser de la confiance par le biais de communications trompeuses.
- Signaux d'urgence : peuvent indiquer une manœuvre d'ingénierie sociale visant à pousser les utilisateurs à agir rapidement.
- Demandes visant à passer à d'autres canaux de communication : cela peut laisser supposer une tentative de contourner la surveillance des e-mails.
Les équipes devraient analyser ces signaux ensemble, et non chacune de leur côté. Un single security event ne permet pas nécessairement de confirmer une attaque par un malware de type « » sans fichier, mais la combinaison de plusieurs indices liés entre eux, provenant des e-mails, des identités, des terminaux et des schémas de communication, peut révéler un scénario de menace plus grave.
La réaction doit également être rapide, car la mise en place rapide de mesures de confinement, la vérification des identifiants, l'analyse de la portée de l'attaque et la reconstitution de l' e du comportement revêtent une importance particulière lorsque l'attaquant se fond dans le comportement normal du système ou des utilisateurs. Plus cette activité reste sans être traitée, plus il devient facile pour l'attaquant d'étendre ses droits d'accès, de mener des attaques consécutives, de ou de mener une cyberattaque de plus grande envergure.
Se protéger contre les malware sans charge utile
Les attaques sans charge utile sont préoccupantes car elles exploitent des outils fiables, des processus de travail courants et le comportement humain, tout en réduisant l' s traces évidentes sur lesquelles reposent de nombreux dispositifs de contrôle. Même s’ils ne ressemblent pas à des malware traditionnels, ils peuvent néanmoins entraîner des fraudes, une compromission de la sécurité, une fuite de données ou une attaque par Ransomware de plus grande ampleur.
C'est pourquoi les organisations ont besoin de mesures de prévention et de détection plus efficaces en matière de messagerie électronique, d'identité, de terminaux et de risques liés à l' , notamment ceux liés aux utilisateurs. Mimecast peut contribuer à renforcer ces niveaux de protection en améliorant la visibilité sur les comportements suspects, en réduisant l'exposition aux techniques d'ingénierie sociale de type « » et en facilitant la détection précoce des malware sans charge utile et d'autres attaques sophistiquées avant qu'elles ne s'aggravent .