Malware sans fil peut être un nouveau terme pour la plupart mais l’industrie de la sécurité le sait depuis des années. Plus tôt cette année, plus de 140 entreprises dans le monde entier ont été touchées par ce logiciel malveillant sans fil, notamment des banques, des télécoms et des organisations gouvernementales. Comme son nom l’indique, le logiciel malveillant sans fil est un type de logiciel malveillant qui ne touche pas le disque et n’utilise aucun fichier dans le processus. Il est chargé dans le contexte d'un processus légitime. Cependant, certaines entreprises de sécurité prétendent que l'attaque sans fichier laisse un petit fichier binaire dans l'hôte compromettant pour initier l'attaque de logiciel malveillant. Ces attaques ont considérablement augmenté ces dernières années et sont plus risquées que les attaques de logiciels malveillants classiques.
Attaques de logiciels malveillants sans fil
Attaques de logiciels malveillants sans fil, également appelées Attaques non malveillantes. Ils utilisent un ensemble typique de techniques pour entrer dans vos systèmes sans utiliser aucun fichier malveillant détectable. Ces dernières années, les assaillants sont devenus plus intelligents et ont développé de nombreuses manières différentes de lancer l'attaque.
Les logiciels malveillants sans fil infectent les ordinateurs ne laissant aucun fichier sur le disque dur local, contournant ainsi les outils de sécurité et de criminalistique traditionnels.
What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.
Le malware sans fichiers réside dans le Mémoire vive de votre ordinateur et aucun programme antivirus n’inspecte directement la mémoire - c’est donc le mode le plus sûr pour les attaquants de s’immiscer dans votre PC et de voler toutes vos données. Même les meilleurs programmes antivirus manquent parfois les logiciels malveillants qui s’exécutent dans la mémoire.
Certaines des infections récentes de Fileless Malware ayant infecté des systèmes informatiques dans le monde entier sont: Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2, etc.
Comment fonctionne le Filware Malware
Le malware sans fichier quand il atterrit dans le Mémoire pouvez déployer vos outils Windows natifs et administratifs système tels que PowerShell, SC.exe, et netsh.exe exécuter le code malveillant et obtenir un accès administrateur sur votre système, afin d'exécuter les commandes et de voler vos données. Les malwares sans fil peuvent parfois se cacher dans Rootkits ou la Enregistrement du système d'exploitation Windows.
Une fois dedans, les attaquants utilisent le cache Windows Thumbnail pour masquer le mécanisme des programmes malveillants. Cependant, le malware a toujours besoin d'un binaire statique pour entrer dans le PC hôte et le courrier électronique est le support le plus couramment utilisé. Lorsque l'utilisateur clique sur la pièce jointe illicite, il écrit un fichier de charge chiffrée dans le registre Windows.
Les malwares sans fil sont également connus pour utiliser des outils tels que Mimikatz et Metaspoilt injecter le code dans la mémoire de votre PC et lire les données qui y sont stockées. Ces outils aident les attaquants à pénétrer plus profondément dans votre PC et à voler toutes vos données.
Analyse comportementale et malware sans fil
Étant donné que la plupart des programmes antivirus classiques utilisent des signatures pour identifier un fichier de programme malveillant, ce dernier est difficile à détecter. Ainsi, les entreprises de sécurité utilisent des analyses comportementales pour détecter le malware. Cette nouvelle solution de sécurité est conçue pour faire face aux attaques et comportements antérieurs des utilisateurs et des ordinateurs. Tout comportement anormal qui pointe vers un contenu malveillant est ensuite notifié par des alertes.
Lorsqu'aucune solution d'extrémité ne peut détecter le logiciel malveillant sans fichier, l'analyse comportementale détecte tout comportement anormal, tel qu'une activité de connexion suspecte, des heures de travail inhabituelles ou l'utilisation de toute ressource atypique. Cette solution de sécurité capture les données d'événement pendant les sessions où les utilisateurs utilisent n'importe quelle application, surfent sur un site web, jouent à des jeux, interagissent sur les médias sociaux, etc.
Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.
Comment protéger et détecter les malwares sans fil
Suivez les précautions de base pour sécuriser votre ordinateur Windows:
- Appliquez toutes les dernières mises à jour Windows, en particulier les mises à jour de sécurité sur votre système d'exploitation.
- Assurez-vous que tous vos logiciels installés sont corrigés et mis à jour vers leurs dernières versions.
- Utilisez un bon produit de sécurité capable d’analyser efficacement la mémoire de votre ordinateur et de bloquer les pages Web malveillantes susceptibles d’héberger Exploits. Il devrait offrir la surveillance du comportement, l'analyse de la mémoire et la protection du secteur de démarrage.
- Soyez prudent avant de télécharger des pièces jointes. Cela évite le téléchargement de la charge utile.
- Utilisez un pare-feu puissant qui vous permet de contrôler efficacement le trafic réseau.
Si vous souhaitez en savoir plus sur ce sujet, consultez Microsoft et consultez également ce livre blanc de McAfee.
