Blog WatchGuard

Anatomie d’une attaque prenant pour cible le poste de travail

Les outils et services accessibles sur le Dark Web, voire le Web surfacique, permettent à des pirates peu expérimentés d’élaborer des menaces très évasives, d’où l’émergence de cyberattaques de plus en plus sophistiquées. Malheureusement, la plupart des malwares modernes échappent aux services anti-malware traditionnels qui reposent sur des bases de signatures, et parviennent à infecter les postes de travail avec une redoutable facilité. Faute d’une approche multiniveau de la sécurité, les entreprises se retrouvent donc souvent dans une situation précaire. De plus, les cybercriminels excellent aujourd’hui dans le vol de données d’identification, que ce soit via des techniques de phishing ou simplement par force brute (grâce à la pratique généralisée de réutilisation des mots de passe).

Si le paysage des cyber-menaces a beaucoup évolué au cours des dix dernières années, les attaques envers les postes de travail n’ont pas faibli. Ce qui a changé, c’est la façon dont ces derniers sont compromis. Les cybercriminels ont appris à se montrer plus patients après avoir infiltré un système et à prendre le temps d’analyser et de profiler leur victime.

280 jours pour identifier et neutraliser une fuite de données

Dans l’attaque de ransomware massive subie par l’industriel Norsk Hydro par exemple, l’infection initiale s’est produite trois mois avant que le cybercriminel n’exécute le ransomware et ne bloque une grande partie des systèmes informatiques de l’entreprise. C’est plus de temps qu’il n’en fallait à Norsk pour détecter la violation et éviter le pire. Le problème est que la plupart des entreprises ne disposent pas de stratégie de sécurité multiniveau sophistiquée.

Si l’on en croit le dernier rapport d’IBM sur le coût d’une violation de données, il faut en moyenne 280 jours aux entreprises pour identifier et endiguer une fuite de données. Autrement dit, pendant plus de 9 mois, un cybercriminel présent sur le réseau peut planifier ses actions avant de porter son coup de grâce. Alors à quoi les cybercriminels occupent-ils ce temps ? Comment se fraient-ils un chemin jusqu’aux postes de travail sans être détectés ?

Tout commence en général par du phishing

La plupart des rapports s’accordent sur ce point : environ 90 % des cyberattaques débutent par du phishing. L’issue d’une attaque par phishing réussie va de la compromission des identifiants à l’exécution d’un cheval de Troie d’accès à distance sur l’ordinateur. En ce qui concerne le phishing de données d’identification, les cybercriminels se sont récemment mis à utiliser des sous-domaines personnalisables de services Cloud bien connus pour héberger des formulaires d’authentification d’apparence légitime.

Dans le cas des attaques de phishing avec malware, les pirates les plus performants ont largement cessé de joindre des programmes malveillants exécutables à leurs emails. De nos jours, pratiquement tout le monde sait que lancer un logiciel joint à un email est une mauvaise idée. La plupart des services et clients de messagerie électronique sont d’ailleurs équipés de protections techniques pour empêcher les dégâts que pourraient causer les rares personnes encore inconscientes du danger. Les cybercriminels préfèrent par conséquent faire appel à des fichiers de type « injecteur » (dropper), qui se présentent habituellement sous forme de documents Office contenant des macros ou de fichiers JavaScript.

La méthode des documents est plus efficace encore lorsque les destinataires n’ont pas mis à jour leurs installations Microsoft Office ou n’ont pas été formés pour se méfier des documents qui contiennent des macros. Technique populaire plus récente, la méthode JavaScript tire parti du moteur de script intégré de Windows afin de lancer l’attaque. Dans les deux cas, la seule fonction du fichier injecteur est d’identifier le système d’exploitation, puis de se connecter à distance à un serveur pour récupérer une charge utile secondaire. Celle-ci correspond le plus souvent à un cheval de Troie d’accès à distance ou à un botnet quelconque comprenant une suite d’outils, tels que des enregistreurs de frappe, des injecteurs de scripts shell et la possibilité de télécharger des modules complémentaires. Passé ce stade, l’infection ne se limite généralement pas très longtemps à un seul poste de travail.

Une fois dans la place, les cybercriminels en profitent pour repérer d’autres cibles

Les choses sont encore plus simples si les hackers réussissent à s’emparer d’identifiants valides et que l’entreprise n’a pas déployé d’authentification multifacteur. La porte d’entrée numérique du réseau leur est alors grande ouverte. Ils peuvent ensuite exploiter les services de la victime comme les moteurs de script intégrés de Windows et les services de déploiement de logiciels dans une attaque de type hors sol (ou « Living-off-the-Land ») pour mener à bien des actions malveillantes. Il est fréquent de voir des cybercriminels déployer des malwares sans fichier au moyen de PowerShell afin de chiffrer et/ou d’exfiltrer des données critiques.

Dans une attaque récente, les cybercriminels étaient déjà présents sur le réseau de la victime depuis un certain temps après avoir compromis au moins un compte local et un compte à privilèges. Il n’a pas été possible de déterminer précisément comment ils avaient obtenu les identifiants, ni depuis combien de temps ils sévissaient sur le réseau, mais dès que les services de Threat Hunting ont été activés, les indicateurs de violation sont immédiatement passés au rouge. Dans cette attaque, les cybercriminels ont combiné des scripts Visual Basic et deux boîtes à outils PowerShell populaires (PowerSploit et Cobalt Strike) pour cartographier le réseau de la victime et exécuter un malware. Le décodeur de code shell de Cobalt Strike leur a par ailleurs permis de télécharger des commandes malveillantes, de les charger en mémoire et de les exécuter directement à partir de cet emplacement, le tout sans introduire de code sur le disque dur de la victime.

Les cybercriminels ciblent les entreprises sans distinction, même les plus petites. Une seule couche de protection n’est plus suffisante pour assurer la sécurité. Quelle que soit la taille de l’entreprise, il est important d’adopter une approche multiniveau de la sécurité, capable de détecter et de neutraliser les attaques modernes qui ciblent les postes de travail. Cela suppose la mise en place de mesures de protection s’étendant du périmètre réseau aux postes de travail, ainsi que la formation et la sensibilisation des utilisateurs. L’authentification multifacteur joue également un rôle essentiel : elle peut faire toute la différence entre contrer une attaque et venir grossir la liste des victimes de violations de données.