Tu quoque mi programme

Pour se faire une idée un peu plus détaillée et précise de cette menace, commençons par définir ce qu’est une fileless attack. Également nommée non-malware attack (attaque sans malware), zero-footprint attack (attaque sans empreinte) ou living-off-the-land attack (attaque hors sol), la particularité de ce type de menace est qu’elle n’impose pas à l’attaquant d’installer un programme sur la machine cible pour exécuter des actions malveillantes. En effet, le principe même de l’attaque est de détourner l’usage d’outils ou de programmes parfaitement licites et déjà installés sur les équipements informatiques à des fins, elles, illicites. Comment procèdent donc les attaquants pour arriver à leurs fins ?

Dans la majorité des cas, Pour établir cette tête de pont, ils utilisent la plupart du temps des techniques classiques de phishing ou spear-phishing. En effet, il est important de bien garder à l’esprit que la particularité de cette typologie d’attaque consiste dans la non-installation du programme malveillant chez la cible, ce qui ne préjuge pas de l’utilisation de fichiers à d’autres moments (comme lors d’un phishing). Alternativement, des attaques par force brute ou la mise à profit d’exploit permettant l’exécution de code à distance peuvent également permettre d’accéder à la machine cible et de perpétrer des attaques sans fichiers.

Quelle que soit la technique utilisée, l’objectif final est, comme on l’a vu, de détourner l’usage d’un programme légitime. La cible principale de ce « programme-jacking » est PowerShell (Windows Management Instrumentation étant également un bon client). Cet outil système, installé de manière native sur certaines machines tournant avec un système d’exploitation Windows, a la particularité de pouvoir exécuter des tâches instruites depuis la console de commande directement dans la mémoire vive de l’appareil. Dans certains cas, une simple macro bien construite sur un fichier Word malveillant, l’exploitation d’une faille de Flash ou la redirection vers un site malveillant suffit à invoquer PowerShell. Une fois celui-ci ouvert, il se connecte alors à un serveur de command & control et télécharge un script malveillant qui s’exécute donc depuis la mémoire vive et qui peut procéder à toute une variété d’actions, comme par exemple localiser et envoyer des données vers l’attaquant ou miner des crypto-monnaies. Des fileless attacks exploitant les vulnérabilités de Java (Java Process) sont également connues.

 Malware : le grand remplacement

Et il faut croire que cette typologie d’attaque est facile à mettre en œuvre si on jette un œil aux chiffres.  , pour 77% des entreprises reconnaissant avoir subi une attaque ayant réussi à compromettre le système d’information de l’entreprise, la technique utilisée est une fileless attack. Symantec a signalé en juillet dernier qu’entre le premier semestre 2017 et le premier semestre 2018, l’usage malveillant de PowerShell avait augmenté de 661%. Ainsi, Carbon Black a annoncé dans son rapport de menace 2017 que 97% de ses clients avaient subi une tentative de la sorte et que les attaques sans fichier utilisant des failles PowerShell ou WMI ont représenté au global 52% du total des attaques en 2017, dépassant pour la première fois de l’histoire les attaques classiques utilisant des malwares installés en dur sur la machine cible.

La raison principale de l’explosion de cette typologie de menaces trouve son origine dans la façon même qu’ont les organisations de se défendre. d’analyser de manière statique les signatures des fichiers sur le disque afin d’identifier les programmes illicites, et éventuellement de les exécuter dans des bacs à sables. La plupart de ces antivirus utilisent une fonctionnalité de l’OS pour être notifiés des nouvelles écritures sur le disque et ainsi déclencher un scan. Or, pas de fichier, pas de notification, et pas de notification, pas de scan. Les attaquants étant des personnes pragmatiques, ils ont simplement décidé de court-circuiter cette étape et de mettre ainsi en défaut l’ensemble des défenses basées sur ces anti-virus traditionnels fonctionnant par base de signatures, ces derniers devenant de plus en plus performants.

Les pirates de leur côté s’équipent afin de procéder plus facilement aux attaques en systématisant et simplifiant les manipulations à faire pour contourner ces anti-virus. Certains outils d’attaque actuels, comme Metasploit, facilitent les fileless attacks grâce à la construction de charges utiles malveillantes clefs en main à charger directement depuis Powershell.

Comment chasser un malware qui n’existe pas ?

Les méthodes de défense traditionnelles étant peu adaptées, il est nécessaire de repenser son approche. Si certaines menaces peuvent être stoppées simplement en redémarrant la machine (son arrêt stoppant les programmes actifs), les hackers ont trouvé la parade par l’installation d’un script dans le registry de Windows, entraînant la résurgence de la brèche au redémarrage par son exécution automatique avec le reste des scripts systèmes, eux légitimes. Si ce script est suffisamment court, il n’a même pas besoin d’être enregistré dans un fichier. Certaines attaques plus complexes peuvent demander l’enregistrement de leur script dans un fichier, ce qui en fait une catégorie hybride de fileless attack, où si un fichier est effectivement nécessaire, ça n’est toujours pas le malware en lui-même.

Depuis quelques années, le développement des solutions de type Endpoint Detection Response se trouve être au cœur de l’activité des éditeurs antivirus. Ces produits ne se limitent plus à la simple analyse de fichiers mais adoptent des techniques d’étude comportementale. L’idée derrière cette nouvelle façon de procéder est d’identifier les activations de programmes qui, individuellement, seraient légitimes mais dont l’exécution en parallèle ou séquentielle est suspicieuse. Par exemple, la consultation du web, l’utilisation d’une macro Microsoft Word ou l’exécution de PowerShell est légitime. En revanche, leur activation concomitante peut résulter d’un phishing réussi emmenant l’utilisateur sur un site web malveillant, déclenchant l’activation en cascade de PowerShell à travers une faille du premier. La solution antivirale peut donc réaliser qu’il ne s’agit pas d’une situation normale de fonctionnement et procéder aux actions de sécurité nécessaires.

Néanmoins, ces solutions étant basées sur des heuristiques, elles sont par définition faillibles. L’équilibre entre l’exhaustivité des détections et le nombre de faux positifs, entraînant potentiellement des incidents d’exploitation, est difficile à atteindre. Des solutions de plus en plus stables et performantes apparaissent néanmoins progressivement sur le marché, et permettent de lutter contre cette menace grandissante de manière efficace, pour peu que les terminaux utilisateurs en soient équipés.

Cet article Fileless attack : Le retour à la terre est apparu en premier sur RiskInsight.

Face à la multiplicité des événements, les entreprises prennent de plus en plus conscience des enjeux de la gestion de crise et certaines font le choix d’investir dans un outillage dédié. Ces outils permettent d’industrialiser la gestion de crise via de nombreuses fonctionnalités.

Pour autant, avant de s’outiller, l’entreprise doit au préalable avoir mis en place un dispositif de gestion de crise préparé, testé et viable dans la durée, l’outil permettra uniquement d’accompagner ce processus, mais il ne doit pas être utilisé dans le but de le définir sous peine de prendre de mauvaises orientations.

Le choix d’un outil peut s’avérer parfois compliqué. De nombreuses solutions existent, souvent complexes et peu ou mal utilisées. Comment choisir ? Voici quelques conseils qui vous guideront dans votre état des lieux pour vous permettre de définir au mieux votre besoin et de cibler les critères d’évaluation.

Définir ses besoins en matière d’outillage…

La gestion de crise un processus dynamique qui évolue rapidement et qui peut être définie selon 3 phases temporelles :

• La phase d’alerte : détection d’une situation de crise et remontée de l’information aux instances décisionnelles ;
• La phase de pilotage : évaluation de la situation, mobilisation de la cellule de crise en cas de crise avérée, gestion de la crise;
• La phase de sortie de crise : évaluation de l’expérience vécue pour permettre à la cellule de crise de capitaliser les acquis et comprendre les défaillances.

Au fil des années, différents types d’outils ont émergé permettant d’accompagner les organisations sur chacune de ces phases. Le marché s’est initialement développé dans les années 2000 aux États-Unis, sous l’impulsion de réglementations fédérales, avec des acteurs connus tels que Everbridge, AtHoc (racheté par Blackberry en 2015), Mir3, ou encore RSA Archer. En Europe le marché se développe de plus en plus avec Fact24 en Allemagne, Iremos en France, et on voit de plus en plus apparaitre sur le marché des outils d’alerte, surtout depuis les derniers attentats, des acteurs de télémarketing ou de relation client qui ont su adapter leurs plateformes à la transmission d’alertes (avec par exemple : Retarus et Gedicom).

Certaines de ces éditeurs proposent des solutions “tout-en-un” intégrant sous forme de modules les fonctionnalités suivantes :

• Veille : Un dispositif de veille permet à l’entreprise d’être informé en temps réel sur la survenue d’événements de toute nature susceptible d’affecter ses sites (alertes météo), ses actifs (cyber veille), ou encore son image (veille médiatique). La prise en compte des signes avant-coureurs d’une crise fait partie intégrante de la phase de veille et permet d’apporter aux cellules décisionnelles une vision globale de la situation.

• Remontée d’incidents : Les informations, souvent incomplètes, remontent de manière désordonnées et rendent d’autant plus difficile la compréhension de la situation, ce qui se répercute au moment des prises de décisions. Certains outils de gestion de crise proposent pour cela un module dédié à la déclaration d’incident. Les collaborateurs peuvent déclarer en quelques clics un événement sur des formulaires pré formatés, ce qui permet ainsi d’automatiser et centraliser la remontée d’incidents, d’accéder à l’information en temps réel et d’alerter automatiquement les bonnes personnes en fonction de la nature et de la gravité de l’événement.

• Coordination :

 – Mobilisation de(s) cellule(s) de crise: Les outils de coordination permettent à l’entreprise de définir des schémas d’alertes avec le contenu du message à envoyer selon la nature de la crise, la liste les personnes à contacter avec l’éventuelle escalade en cas de non réponse et les moyens de communications à utiliser (SMS, mail, serveur vocal interactif, etc…).

– Espace d’échange et de communication : Le recours à une cellule de crise virtuelle est utilisé pour permettre le rassemblement virtuel des membres de la cellule de crise où qu’ils soient dans le monde et ainsi optimiser la rapidité des échanges et le partage de l’information au bon moment.

– Suivi des événements : Les éditeurs proposent des modules de suivi des événements permettant la tenue d’échanges entre plusieurs cellules de crise constituées pour le traitement d’un même événement. Ces solutions proposent également de centraliser la documentation nécessaire à la gestion de crise (BIA, procédures, annuaires,…).

• Alerte en masse : Dans certains types de crise (incendie, inondation, attentat, etc…), l’entreprise doit pouvoir alerter largement et rapidement une population plus ou moins importante (collaborateurs, clients, fournisseurs, etc.). Pour se faire, il est possible de faire appel à un outil d’alerte en masse, aussi appelé « EMNS » (pour Emergency Mass Notification System). Comme pour la mobilisation de la cellule de crise, un système d’alerte va permettre de mettre en place des scénarios d’urgences afin d’alerter des milliers de personnes dans des délais très courts.

Avant un lancement de projet, ces fonctionnalités doivent être passées au crible pour distinguer celles qui serviront à accompagner la gestion de crise de celles qui constitueront uniquement un plus. Il ne faut pas négliger que la mise en place d’un outil de gestion de crise est un réel investissement. Le prix des solutions packagées varie suivant le mode de licence et le nombre d’utilisateurs : soit en achat unique de licences (compter entre 50 et 70 k€) , soit avec des abonnements de l’ordre de 5 k€ / mois auquel il faudra ajouter des frais d’implémentation (~6 k€).

… pour choisir l’outil le plus adapté

Après avoir défini ses besoins en matière d’outillage et les principaux cas d’usage, il va maintenant falloir faire un choix parmi toutes les solutions proposées sur le marché. Bien choisir son outil est donc une étape essentielle et peut se réaliser à partir d’une méthodologie de sélection basée sur les 4 étapes suivantes :

La première étape consiste à lister les caractéristiques essentielles que l’outil devra posséder pour atteindre les objectifs fixés. Il existe plusieurs critères permettant de choisir son outillage. Le premier, et peut être le plus important, est les fonctionnalités attendues entre la veille, la remontée d’incident, l’alerting ou encore la coordination. Viennent ensuite la simplicité et l’accessibilité d’utilisation, facteur clé d’adoption de la solution. La robustesse de l’outil devra également être évalué, il ne faudrait pas que l’outil ne soit pas utilisable le jour d’une crise. Ce critère est particulièrement important pour les crises cyber qui peuvent mettre à mal la grande partie du SI de l’entreprise, il faut alors prévoir de pouvoir faire fonctionner le système en dehors de l’entreprise. Et à la vue des données manipulées et de leur sensibilité, des éléments quant à la confidentialité (authentification, chiffrement…) et à la sécurité de la solution doivent aussi être pris en compte.

Finalement, comme pour tout projet d’acquisition de logiciel, il faudra être attentif au coût total de la solution (acquisition mais aussi maintenance), aux références de l’éditeur, à sa maturité et à sa solidité financière.

Une fois les critères définis, la deuxième étape concerne l’évaluation des solutions disponibles sur le marché. Il faudra alors construire la grille d’analyse qui permettra de valider l’adéquation de la solution avec les besoins exprimés et d’évaluer la capacité de l’outil à s’intégrer dans le système d’information. Il s’agira ensuite de mettre en concurrence les différents éditeurs et de dresser une liste restreinte de solutions qui répondra le mieux aux besoins et aux exigences définies durant la phase de recherche. Afin de garantir une liste pertinente, les critères d’évaluation seront pondérés pour refléter l’importance relative accordée à chacune des exigences techniques et fonctionnelles.

À cette phase, il est pertinent d’organiser des démonstrations avec les éditeurs short-listés afin d’évaluer la manière dont l’outil fonctionne sur des cas concrets. Après avoir procédé à la qualification des solutions et après avoir rencontré les éditeurs, on peut considérer que tous les éléments sont réunis pour pouvoir apprécier les outils sélectionnés et procéder au choix final.

Ces différentes étapes pourront être suivies par un groupe de travail transverse mobilisant les équipes de gestion de crise évidemment mais aussi les responsables sécurité de l’information et la DSI.

Investir dans un outil, un effort à maintenir dans la durée pour en tirer toute la valeur

Usuellement cette démarche de choix d’outillage nécessite un délai d’approximativement 3 mois dans les grandes entreprises. La mise en œuvre complète de l’outil peut-elle nécessiter jusqu’à 6 mois, en particulier lorsqu’un grand réseau d’acteurs devra être formé à utiliser l’outil.

Mais attention à bien prendre en compte que cet outillage doit vivre dans le temps. C’est un point important à ne pas négliger au risque de voir les investissements initiaux perdus au bout de quelques mois.

Cet investissement dans la durée devra être réparti entre tous les acteurs de la gestion de crise, pour qu’ils restent familiers avec l’outillage et se l’approprient. Point clé également, utiliser l’outil lors des exercices. Même si cela peut paraître évident, c’est parfois négligé.

Cet article Comment évaluer et choisir son outil de gestion de crise ? est apparu en premier sur RiskInsight.