LMi-MAG 12 mars - Flipbook - Page 57
Le blocage du DNS, sous quelque forme que
Dans un rapport récent de l’équipe BlackBAROMÈTRE CESIN :
ce soit, constitue en soi un défi, mais main- LES RSSI POURSUIVENT Berry Research and Intelligence, les auLE RENFORCEMENT
tenant, étant donné que les requêtes et les
teurs de logiciels malveillants utilisent de
DE LA CYBERSÉCURITÉ
réponses DNS sont cryptées via HTTPS, il
plus en plus des langages de programmaArticle
devient fastidieux pour les professionnels
tion peu courants, notamment pour mieux
de la sécurité d’intercepter, de distinguer et
échapper à la détection. Les principaux land’analyser le trafic suspect parmi les nomgages utilisés sont Go, D, Nim et Rust. Ces
langages ajoutent de la complexité de plubreuses requêtes HTTPS entrant et sortant
du réseau. Le chercheur Alex Birsan, qui a
sieurs façons. Premièrement, la réécriture
démontré la technique de confusion des déd’un logiciel malveillant dans un nouveau
cutt.ly/Barometre-Cesin
langage signifie que les outils de détection
pendances pour pirater de manière éthique
basés sur les signatures ne le signaleront
plus de 35 grandes entreprises technoloplus (du moins jusqu’à ce que de nouvelles signatures
giques, a pu maximiser son taux de réussite en utilisant
soient créées). Deuxièmement, les chercheurs de Blackle DNS (port 53) pour exfiltrer des informations de base.
Alex Birsan a choisi le DNS en raison de la forte probaBerry ont déclaré que les langages eux-mêmes agissent
comme une couche de dissimulation. Par exemple, un
bilité que les pare-feu des entreprises ne bloquent pas le
logiciel malveillant de premier niveau utilisé pour détrafic DNS, en raison des exigences de performance et des
utilisations légitimes du DNS.
coder, charger et déployer d’autres logiciels malveillants
courants est écrit dans un langage peu courant, ce qui
peut aider à échapper à la détection sur le terminal.
Avoir recours aux LOLBin
Le concept familier des logiciels malveillants sans fichier
utilisant des binaires « living-off-the-land» (LOLBin) reste
une technique d’évasion valable. Les LOLBin font référence à des exécutables légitimes signés numériquement,
tels que les exécutables Windows signés par Microsoft,
qui peuvent être utilisés par les attaquants pour lancer
des codes malveillants avec des privilèges élevés ou pour
échapper aux produits de sécurité des points finaux tels
que les antivirus. Le mois dernier, Microsoft a partagé
des conseils sur les techniques défensives que les entreprises peuvent adopter pour empêcher les attaquants
d’abuser des LOLBin d’Azure de Microsoft.
Dans un autre exemple, un logiciel malveillant pour Linux
et macOS récemment découvert présentait un taux de
détection zéro parfait parmi tous les principaux produits
antivirus. Le code binaire contenait un code obscurci.
Cependant, une enquête plus approfondie a également
révélé que le logiciel malveillant avait été construit à
l’aide de centaines de composants open source légitimes et qu’il menait ses activités malveillantes, comme
l’obtention de privilèges administratifs, de manière
identique à celle des applications légitimes. Si les logiciels malveillants obfusqués, les packers d’exécution,
l’évasion de la VM ou la dissimulation de la charge utile
malveillante dans des images sont des techniques d’évasion connues utilisées par les menaces avancées, leur
véritable puissance réside dans le contournement des
produits de sécurité ou dans le fait de passer sous leur
radar. Et cela est possible lorsque les charges utiles sont
combinées, dans une certaine mesure, avec des composants logiciels, des protocoles, des canaux, des services
ou des plateformes de confiance.
Les chercheurs de Blackberry ont noté qu’il existait
actuellement peu de stratégies de brouillage personnalisées pour les logiciels malveillants écrits dans ces
langages. L’une des plus courantes est Gobfuscate pour
les logiciels malveillants codés en Go. Il est capable de
manipuler les noms de paquets, de fonctions, de types
et de méthodes, ainsi que les variables globales et les
chaînes de caractères.
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
cutt.ly/pod-tactiques-cybercriminels
LIRE EN LIGNE
Article
cutt.ly/tactiques-cybercriminels
57