Blog WatchGuard

Attaques Living-Off-the-Land et WatchGuard Advanced EPDR

Dans le domaine de la cybersécurité, les attaques Living-Off-the-Land (LotL) sont devenues de plus en plus difficiles à détecter. Ces attaques exploitent des outils système légitimes comme PowerShell, WMI ou les macros Office au lieu de s’appuyer sur des logiciels malveillants externes, ce qui permet aux attaquants de se déplacer furtivement au sein d’un réseau. Les mesures de sécurité traditionnelles peinent à identifier ces attaques, car elles utilisent des outils fiables et signés numériquement. 

Les attaques LotL séduisent les cybercriminels, car elles échappent à la détection et réduisent le risque d’être tracé. Cette approche discrète augmente les chances de réussite d’une intrusion, car les attaquants restent cachés pendant de plus longues périodes. 

Techniques courantes dans les attaques LotL 

  • PowerShell : exploité pour télécharger et exécuter des scripts malveillants, établir des connexions à distance, ou modifier les paramètres du système sans laisser de traces claires. 
  • WMI : utilisé pour exécuter des commandes à distance, collecter des données système, ou maintenir la persistance sur le système. 
  • Outils d’administration à distance : des outils comme PsExec peuvent être réutilisés pour exécuter des commandes malveillantes à distance. 
  • Macros Office : les macros malveillantes intégrées dans des documents Office exécutent du code à l’ouverture, exploitant la confiance de l’utilisateur. 

Protection contre les attaques LotL avec WatchGuard Advanced EPDR : 

  • Contrôle des applications : limitez l’accès à des outils comme PowerShell et WMI à des utilisateurs et processus spécifiques. 
  • Monitoring et analyse automatisée du comportement : utilisez l’analyse du comportement dans le Cloud pour détecter les activités système inhabituelles, plutôt que de vous fier uniquement aux signatures ou à la technologie des endpoints. 

Pour mettre en œuvre avec succès ces stratégies, WatchGuard Advanced EPDR offre des fonctionnalités qui permettent aux analystes de sécurité de détecter et de répondre rapidement à la présence d’un attaquant utilisant les techniques LotL, en plus de nos services Zero-Trust Application, qui bloque les applications non fiables jusqu’à ce que leur fiabilité soit validée, et Threat Hunting.  

Les analystes peuvent prévenir ces attaques en interdisant des applications comme PowerShell et WMI, ou en détectant automatiquement les comportements typiques utilisés dans les attaques sans fichier et en les cartographiant selon le framework MITRE ATT&CK.  

Désormais, la nouvelle version d’Advanced EPDR permet aux analystes d’enquêter sur ces comportements en accédant à la télémétrie enrichie avec des renseignements sur les menaces depuis un point de console unique. De plus, WatchGuard Advanced EPDR fournit des informations précieuses pour les enquêtes sur les incidents impliquant des applications malveillantes. Il identifie les techniques MITRE ATT&CK, les capacités des activités malveillantes que le programme peut exécuter, ainsi que les fonctions externes qu’il utilise. Cela peut inclure l’invocation des opérations du système d’exploitation ou d’autres bibliothèques en intégrant nativement CAPA, un outil open source pour l’analyse automatique du comportement des applications. 

  • Extension de l’enquête et de la réponse rapide par le biais de Remote Shell : la nouvelle version de WatchGuard Advanced EPDR inclut la possibilité d’ouvrir un shell à distance pour obtenir des fichiers, inspecter des processus et même prendre des mesures directes sur l’endpoint, qu’il s’agisse de Windows, Linux ou macOS. 
  • Ne pas autoriser les connexions si elles présentent un risque : limiter la communication entre différents segments de réseau ou endpoints à l’aide de la segmentation du réseau peut empêcher les attaquants de se déplacer latéralement à l’aide des techniques LotL. La nouvelle version de WatchGuard Advanced EPDR permet aux administrateurs de refuser les connexions à partir d’endpoints non conformes qui présentent un risque pour les endpoints protégés, renforçant ainsi les postures en matière de sécurité des entreprises. 
  • Information et prise de conscience : la formation des employés aux risques des macros et à l’utilisation sûre des outils administratifs peut aider à prévenir l’exécution par inadvertance de scripts malveillants. 

Conclusion 

Les attaques Living-Off-the-Land représentent un défi majeur dans la cybersécurité moderne. En exploitant des outils et fonctionnalités système légitimes, les attaquants peuvent opérer de manière discrète, échappant ainsi à de nombreuses solutions de sécurité traditionnelles. La détection et la prévention efficaces de ces attaques nécessitent une combinaison de contrôles techniques robustes, de surveillance constante et de formation approfondie des utilisateurs en matière de sécurité. Avec la nouvelle version de WatchGuard Advanced EPDR, les entreprises peuvent améliorer leur capacité à détecter, prévenir et répondre à ces menaces sophistiquées, en assurant un environnement plus sûr et plus résilient. 

Pour en savoir plus sur WatchGuard Advanced EPDR, consultez notre page Web et toutes les ressources disponibles dans notre centre de ressources. 

À partager :