Blog WatchGuard

Pourquoi et comment de nombreux malwares échappent-ils aux radars ?

De nos jours, les attaquants disposent de nombreux moyens pour infecter des réseaux informatiques. Même si leur outil privilégié est encore et toujours l’email de phishing (dont le rapport coût/efficacité n’a jamais été égalé), il existe de nombreuses autres méthodes pour diffuser des logiciels malveillants.

Des souches de malwares inquiétantes

La cybersécurité fait désormais régulièrement l’actualité et c’est de fait un sujet qui commence à préoccuper une grande partie de la population. Mais malheureusement les attaques de ransomware, de même que les méga-fuites de données, ne représentent qu'une petite partie des menaces réelles auxquelles les organisations sont confrontées. Beaucoup de souches et autres variantes de malwares échappent au radar, et ne sont pas nécessairement repérées alors que leur dangerosité est bien réelle. A l’instar du phishing, le but de ces malwares est de créer une faille initiale dans le réseau, pour y disposer d’un accès, qui sera revendu ou exploité dans le cadre d’une attaque ultérieure, une exfiltration de données, etc. 

Webshells, Laudanum, etc. Comment cela fonctionne ?

Le webshell est une des classes de malwares dont nous avons pu constater récemment la popularité croissante. Concrètement, il s’agit d’un script malveillant qui permet d’exécuter des commandes à distance sur un serveur. Les attaquants exploitent généralement une vulnérabilité dans une application professionnelle (gestion de fiches de paye, messagerie web, etc.) à laquelle des utilisateurs se connectent à distance, pour déposer un fichier sur un serveur et ouvrir ainsi une porte dérobée directement à travers l'application Web. Ils bénéficient ainsi, au passage, des mêmes permissions que le serveur lui-même. Grâce à cet accès initial, l’attaquant peut attaquer d'autres actifs sur le réseau de l'entreprise et même au-delà du périmètre réseau (le Cloud, etc.). 

Conçue en 2014 pour les pentesteurs (testeurs d’intrusion), Laudanum est une des souches de webshell qui devient de plus en plus populaire. Le test d’intrusion est un acte de piratage légitime mais malheureusement beaucoup des bons outils de pentest finissent dans les mains de cybercriminels… Le problème avec les webshells, c'est qu'ils ont tendance à être très efficaces et difficiles à détecter. Une fois qu'ils sont sur le serveur (à moins de disposer d’une protection des endpoints sur les serveurs web ou sur les serveurs dotés d'interfaces web et d’inspecter le trafic vers le serveur web), les webshells sont quasiment impossibles à détecter. 

Derrière les trojans démantelés, le vide est rapidement comblé

Nous avons récemment beaucoup entendu parler du démantèlement de Trojans mondialement connus tels qu’Emotet, mais il existe de nombreuses autres souches de malware dont les entreprises n'ont probablement pas encore entendu parler et dont elles doivent se méfier. C’est le cas de RanumBot, qui a fait son chemin et continue d'infecter discrètement un grand nombre de machines à travers le monde.

Ces malwares évoluent très rapidement pour éviter les détections. A titre d’exemple, nous avons pu détecter tout récemment 36 000 fois un même variant, qui n’a été finalement actif que pendant 4 jours !

Les cybercriminels sont en effet capables d'élaborer rapidement de nouvelles variantes, avec de nouvelles techniques d'évasion ou de nouvelles méthodes d'infection, afin de contourner facilement les lignes de défense en place.

RanumBot, par exemple, est une variante qui cible les entreprises de toutes tailles, une sorte de malware couteau suisse. Il se comporte comme un Trojan d'accès à distance (RAT/Remote Access Trojan) traditionnel, donnant aux attaquants le contrôle de l’ordinateur d’un employé. Il a notamment pour particularité de pouvoir désactiver les protections endpoint comme Windows Defender ou Windows Firewall, pour ensuite déposer d'autres charges utiles telles que des ransomwares. Diablement efficace...

Que peuvent faire les entreprises ?

Pour combattre les webshells, notamment, la seule réponse efficace est la défense en profondeur. L'inspection du trafic vers le serveur web peut aider la majorité des appareils de sécurité réseau actuels à inspecter le protocole HTTPS. Ils effectuent essentiellement une connexion Man-in-the-Middle déchiffrée dans leur petit écosystème, puis re-chiffrée des deux côtés, de sorte que l'utilisateur final et le serveur ont l'impression que rien ne se passe, mais au milieu, on a une visibilité sur ce qui a lieu exactement. Et grâce à cela, il est possible d’exécuter notamment des services de prévention des intrusions pour rechercher des exploits comme ceux d'Exchange Server qui sont apparus il y a quelques semaines, rechercher des charges utiles de malware comme des webshells ou simplement des binaires de malware qui sont déposés sur le serveur, et les exécuter à travers des outils anti-malware.

C'est en combinant ces outils sur le périmètre avec la protection des endpoints et la détection et la réponses endpoints sur le serveur lui-même que l'on peut vraiment se donner une chance de combattre ces problèmes.

Comment prévenir ce type d’attaque ?

On ne le dira jamais assez mais la protection idéale réside dans une approche de sécurité multicouches, allant du périmètre jusqu’au point d’accès. Mais il est également important de prendre du recul et d’examiner toutes les ressources utilisées pour l'accès à distance dans le cadre du télétravail et toutes les ressources que nous allons utiliser lorsque les employés commenceront à revenir au bureau, et de nous assurer que nous le faisons de manière sécurisée. Il faut donc nettoyer tous les éléments informatiques hérités (d’aucuns parleront de dettes informatiques), rechercher les serveurs ou les applications obsolètes qui pourraient avoir besoin de correctifs, rechercher ceux qui n'ont pas de couches de protection adéquates, et se concentrer sur ces derniers, parce que c'est sur eux que les attaquants vont la plupart du temps se focaliser.

En ce qui concerne les défenses en couches, cela signifie essentiellement la détection du périmètre du réseau avec l'inspection et le trafic chiffré HTTPS, chaque fois que c’est possible. Ensuite, une solide protection des endpoints vient appuyer le tout, car il n'y a pas de solution miracle en matière de cybersécurité. On ne peut donc pas compter sur une seule couche pour assurer sa sécurité. A titre d’exemple, ne pas inspecter le trafic chiffré à travers le périmètre de son entreprise, cela revient à perdre une couche entière de sécurité et donc ne compter que sur sa protection des endpoints pour prendre le relais et bloquer tous les éléments malveillants… C’est clairement insuffisant.