J’écris fréquemment sur la menace des logiciels malveillants et sur la manière dont les auteurs de menaces les utilisent pour tout faire, du vol d’informations personnelles à la prise de contrôle complète des appareils des utilisateurs ou à leur ajout à des botnets. Ces programmes malveillants se propagent via diverses formes de phishing, d’attaques ClickFix, de publicités malveillantes et même d’applications vérifiées et approuvées par Apple et Google.
Cependant, à mesure que les utilisateurs (et les outils de sécurité) identifient mieux les signes d’une infection par un logiciel malveillant et sont suffisamment avisés pour les éviter dès le départ, certains cybercriminels ont changé de tactique : les attaques Living Off the Land (LOTL) exploitent des utilitaires et des outils intégrés au système qui peuvent être moins susceptibles de déclencher des signaux d’alarme.
Comment fonctionnent les attaques Living Off the Land
Comme le décrit Huntress, LOTL fait référence à l’utilisation de ressources locales au lieu d’en importer de nouvelles de l’extérieur. Plutôt que d’introduire des logiciels malveillants personnalisés sur la machine d’un utilisateur, les attaquants exploitent des outils tels que PowerShell, Windows Management Instrumentation (WMI), des utilitaires intégrés et des applications fiables telles que Microsoft Teams à des fins malveillantes. Il est peu probable que les programmes antivirus signalent ces outils comme suspects (dans la plupart des cas, ils ne le sont pas) car ils se fondent dans les processus normaux du système et sont censé être là.
En détournant des outils légitimes, les acteurs malveillants peuvent accéder aux systèmes et aux réseaux, exécuter du code à distance, élever leurs privilèges, voler des données ou même installer d’autres formes de logiciels malveillants. L’interface de ligne de commande PowerShell permet le téléchargement de fichiers et l’exécution de commandes, ce qui en fait un outil populaire pour les mauvais acteurs, aux côtés de WMI, bien que les binaires Unix et les pilotes Windows signés soient également fréquemment exploités.
Les attaquants LOTL peuvent utiliser des kits d’exploitation, qui peuvent propager des logiciels malveillants sans fichier via le phishing ou d’autres formes d’ingénierie sociale, ainsi que des informations d’identification volées et des ransomwares sans fichier pour accéder aux outils natifs. Malwarebytes Labs a récemment identifié une campagne diffusée via de fausses mises à jour de Google Meet pour exploiter une fonctionnalité légitime d’inscription d’appareils Windows, exécutée via un serveur d’attaque hébergé sur une plate-forme de gestion d’appareils mobiles réputée.
Comment détecter une attaque LOTL
De nombreuses tactiques permettant d’identifier, de traiter et de prévenir les attaques LOTL ciblent les organisations disposant de grandes infrastructures à défendre, mais les utilisateurs individuels peuvent (et doivent) également être vigilants face à ce type de menace. Comme toujours, soyez attentif aux signes de phishing et autres formes d’ingénierie sociale que les acteurs malveillants utilisent pour voler des informations d’identification et accéder aux réseaux et appareils. Méfiez-vous des communications non sollicitées contenant des liens, des notifications concernant des mises à jour de logiciels et de sécurité, ainsi que de tout ce qui suscite la curiosité, l’anxiété, l’urgence ou la peur. Installez les mises à jour de sécurité dès qu’elles sont disponibles pour empêcher l’exploitation des vulnérabilités.
Lorsqu’il s’agit de détecter spécifiquement LOTL, Huntress conseille de rechercher un comportement inhabituel plutôt que simplement des fichiers ou des programmes suspects : par exemple, des outils exécutés en dehors de leur contexte normal ou selon des modèles inattendus, ainsi que des connexions réseau inhabituelles provenant d’utilitaires système. Surveillez et enregistrez l’utilisation des outils couramment exploités, et auditez tous les outils d’accès à distance et les inscriptions d’appareils.
