Comment se protéger des attaques de Living off the Land ?

Publié: 2020-05-29

Les attaques de vivre hors de la terre ont gagné du terrain ces derniers temps, nous pouvons donc extrapoler en toute sécurité que les pirates réutilisent désormais d'anciennes stratégies et techniques. Les concepts associés à Living off the Land ne sont pas nouveaux. Les outils système étaient autrefois couramment utilisés comme portes dérobées et les vulnérabilités connues étaient exploitées dans les systèmes.

Les attaques Living off the Land (LotL) sont incroyablement difficiles à défendre car elles incluent parfois des attaques sans fichier en tant que sous-ensemble. D'autres fois, les pirates exploitent des outils à double usage et de mémoire, ce qui est une combinaison mortelle. Dans ce guide, nous avons l'intention de vous dire tout ce que vous devez savoir sur les attaques de Living off the Land et comment vous pouvez vous protéger ou protéger votre organisation contre elles.

Que sont les attaques Vivre de la Terre ?

Les attaques « Living off the Land » sont des attaques dans lesquelles les attaquants utilisent des outils déjà installés ou existants sur les ordinateurs des victimes pour accroître leurs moyens (voler des informations ou de l'argent, prendre le contrôle de systèmes, etc.). Ces attaques sont uniques en ce sens que les pirates impliqués n'utilisent pas de programmes malveillants, que les programmes d'application de sécurité sont programmés pour surveiller. Étant donné que les attaquants utilisent des outils réguliers ou même des scripts simples, la détection des menaces devient très difficile.

Dans les attaques sans fichier, par exemple, les cybercriminels sont capables d'opérer dans la mémoire volatile, dans des parties correspondant à PowerShell et WMI. Dans de tels scénarios, les antivirus et les applications anti-malware ne parviennent pas à détecter et à trouver les menaces, car même leurs entrées ne sont pas stockées dans les journaux. Après tout, très peu de fichiers (ou aucun fichier) sont créés pendant l'attaque.

Les attaquants ont suffisamment de raisons de se passer de fichiers. Ils ont probablement compris que moins il y a de fichiers créés, moins les menaces sont détectées par les utilitaires de sécurité. Et pour la plupart, les attaquants ont raison. Les applications de sécurité ont souvent du mal à détecter les attaques de Living off the Land jusqu'à ce qu'il soit trop tard, car elles ne savent pas à quoi faire attention en premier lieu.

Les attaques LotL n'impliquent pas de logiciels malveillants, mais les attaquants (s'ils y parviennent) disposent de suffisamment de temps pour s'attarder sur des ordinateurs compromis dans des zones où ils ne peuvent pas être détectés. Et au fil du temps, les attaquants ont finalement la possibilité d'infiltrer des composants sensibles et de détruire des données ou des opérations (s'ils le souhaitent).

Peut-être avez-vous entendu parler des attaques Petya/NotPetya, qui ont secoué le monde en 2017. Les victimes de ces attaques (individus et organisations) ne les ont jamais vues venir car les attaquants sont entrés dans leurs systèmes via des programmes fiables, qui n'ont pas éveillé les soupçons, puis injecté ces applications avec du code malveillant. Les systèmes de protection traditionnels ont échoué ; leurs défenses n'ont pas été déclenchées par l'utilisation inhabituelle d'un logiciel apparemment fiable.

Avec les techniques Living off the Land, les cybercriminels peuvent entrer sans complications dans les systèmes informatiques et y passer beaucoup de temps sans déclencher d'alarme ni éveiller les soupçons. Par conséquent, compte tenu des circonstances qui définissent de telles attaques, les experts en sécurité ont du mal à identifier la source de l'attaque. De nombreux criminels considèrent les tactiques Vivre hors de la terre comme la méthode idéale pour exécuter des attaques.

Comment rester à l'abri des attaques de Living off the Land (conseils pour les utilisateurs réguliers ou les particuliers)

En prenant les précautions nécessaires et en étant proactif, vous réduisez les risques que vos ordinateurs ou réseaux soient exposés aux cybercriminels par le biais de tactiques LotL.

  1. Surveillez ou vérifiez toujours l'utilisation des utilitaires à double usage dans vos réseaux.
  1. Utilisez la liste blanche des applications lorsqu'elle est disponible ou applicable.
  1. Lorsque vous recevez des e-mails inattendus ou suspects, vous devez faire preuve de prudence. Il vaut toujours mieux ne pas cliquer sur quoi que ce soit (liens ou pièces jointes) dans de tels messages.
  1. Téléchargez et installez toujours les mises à jour pour toutes vos applications (programmes) et systèmes d'exploitation (Windows, par exemple).
  1. Faites preuve de prudence lorsque vous utilisez des pièces jointes Microsoft Office qui nécessitent l'activation de macros. Il vaut mieux ne pas utiliser de tels accessoires en premier lieu - si vous pouvez vous permettre de ne pas les utiliser.
  1. Configurez les fonctionnalités de sécurité avancées dans la mesure du possible. Par fonctionnalités de sécurité avancées, nous entendons l'authentification à deux facteurs (2FA), les notifications ou invites de connexion, etc.
  1. Utilisez des mots de passe uniques forts pour tous vos comptes et profils (sur tous les réseaux ou plates-formes). Obtenez un gestionnaire de mots de passe - si vous en avez besoin pour vous aider à vous souvenir de tous les mots de passe.
  1. N'oubliez jamais de déconnecter votre profil ou votre compte des réseaux lorsque vous avez terminé votre session.

Comment éviter les attaques Living off the Land (conseils pour les organisations et les entreprises)

Étant donné que les tactiques Living off the Land constituent certaines des techniques de piratage les plus sophistiquées, elles posent un grand défi pour les organisations à identifier et à éviter. Néanmoins, il existe encore des moyens pour les entreprises de réduire les risques de telles attaques (ou d'atténuer les effets de telles attaques - si jamais elles se produisent).

  1. Maintenir une bonne cyber-hygiène :

Cette astuce peut sembler simple ou basique lorsqu'elle est prise au pied de la lettre, mais c'est probablement la plus importante du lot. La majorité des cyberattaques de l'histoire - y compris celles où des tactiques LotL ont été employées - ont réussi en raison de la négligence ou du manque de pratiques de sécurité. De nombreuses entreprises ne prennent pas la peine de mettre à jour ou de corriger les outils ou les programmes qu'elles utilisent. Les logiciels ont généralement besoin de correctifs et de mises à jour pour colmater les vulnérabilités et les failles de sécurité.

Lorsque les correctifs ou les mises à jour ne sont pas installés, la porte est laissée ouverte aux acteurs de la menace pour trouver des vulnérabilités et en tirer parti. Les organisations ont le devoir de s'assurer qu'elles tiennent un inventaire des applications. De cette façon, ils peuvent identifier les programmes obsolètes et non corrigés et même les systèmes d'exploitation ; ils savent également quand ils doivent effectuer les tâches de mise à jour essentielles et comment respecter le calendrier.

En outre, le personnel doit être formé à la sensibilisation à la sécurité. Cela va au-delà du simple fait d'apprendre à un individu à ne pas ouvrir les e-mails de phishing. Idéalement, les travailleurs devraient apprendre comment fonctionnent les fonctionnalités et le code intégrés de Windows. De cette façon, ils peuvent repérer les anomalies ou les incohérences dans le comportement, les activités malveillantes et les applications ou scripts suspects s'exécutant en arrière-plan et essayant d'échapper à la détection. Le personnel connaissant bien les activités d'arrière-plan de Windows a généralement une longueur d'avance sur les cybercriminels réguliers.

  1. Configurez les droits d'accès et les autorisations appropriés :

Par exemple, un employé cliquant sur un lien malveillant dans un e-mail ne devrait pas nécessairement entraîner l'atterrissage du programme malveillant sur le système de l'employé. Les systèmes doivent être conçus de manière à ce que, dans le scénario décrit, le programme malveillant se déplace sur le réseau et atterrisse sur un autre système. Dans ce cas, nous pouvons dire que le réseau a été suffisamment bien segmenté pour garantir que les applications tierces et les utilisateurs réguliers disposent de protocoles d'accès stricts.

L'importance de la pointe mérite autant de points forts que possible. L'utilisation de protocoles solides concernant les droits d'accès et les privilèges accordés aux travailleurs peut contribuer grandement à empêcher la compromission de vos systèmes ; cela peut faire la différence entre une attaque LotL réussie et une autre qui ne mène nulle part.

  1. Utilisez une stratégie de chasse aux menaces dédiée :

Lorsque les chasseurs de menaces travaillent ensemble pour trouver différentes formes de menaces, les chances de détection des menaces augmentent considérablement. Les meilleures pratiques de sécurité exigent que les entreprises (en particulier les grandes organisations) emploient des chasseurs de menaces dédiés et les fassent parcourir différents segments de leur infrastructure informatique pour vérifier les signes, même faibles, des attaques les plus meurtrières ou les plus sophistiquées.

Si votre entreprise est relativement petite ou si vous ne pouvez pas vous permettre d'avoir une équipe interne de chasse aux menaces, vous feriez bien de sous-traiter vos besoins à une entreprise de chasse aux menaces ou à un service de gestion de la sécurité similaire. Vous trouverez probablement d'autres organisations ou équipes de pigistes qui seront intéressés à combler cette lacune critique. Quoi qu'il en soit, tant que les opérations de chasse aux menaces sont menées, tout va bien.

  1. Configurez la détection et la réponse des points de terminaison (EDR) :

L'échec silencieux est un terme important lorsqu'il s'agit de parer aux cyberattaques. Une défaillance silencieuse fait référence à un scénario ou à une configuration dans laquelle le système de sécurité ou de défense dédié ne parvient pas à identifier et à se défendre contre une cyberattaque et aucune alarme ne se déclenche après l'attaque.

Considérez ce parallèle avec l'événement projeté : si un logiciel malveillant sans fichier parvient d'une manière ou d'une autre à franchir vos couches de protection et à accéder à votre réseau, il peut rester dans votre système pendant longtemps, essayant d'analyser l'intégralité de votre système en vue d'un plus grand attaque.

À cette fin, pour surmonter le problème en vue, vous devez mettre en place un système solide de détection et de réponse aux points finaux (EDR). Avec un bon système EDR, vous serez en mesure de comprendre et d'isoler les éléments suspects existant aux points de terminaison et même de les éliminer ou de vous en débarrasser.

  1. Évaluez les événements et les scénarios lorsque vous vous faites pirater (si vous vous faites pirater) :

Si vos machines sont piratées ou si votre réseau est compromis, vous feriez bien d'examiner les événements qui ont précédé l'attaque. Nous vous conseillons de jeter un œil aux fichiers et programmes qui ont joué un rôle majeur dans la réussite des attaquants.

Vous pouvez employer des analystes en cybersécurité et leur demander de se concentrer sur les outils et les systèmes qu'ils peuvent utiliser pour évaluer les attaques historiques. La plupart des scénarios où les entreprises sont victimes d'attaques se caractérisent par des clés de registre suspectes et des fichiers de sortie inhabituels, ainsi que par l'identification de menaces actives ou encore existantes.

Après avoir découvert certains des fichiers concernés ou d'autres indices, vous feriez bien de les analyser en profondeur. Idéalement, vous devriez essayer de comprendre où les choses se sont mal passées, ce qui aurait dû être mieux fait, etc. De cette façon, vous en apprendrez plus et obtiendrez des informations précieuses, ce qui signifie que vous serez en mesure de combler les lacunes de votre stratégie de sécurité pour prévenir de futures attaques LotL.

CONSEILLÉ

Protégez votre PC contre les menaces avec Anti-Malware

Vérifiez sur votre PC les logiciels malveillants que votre antivirus pourrait manquer et supprimez les menaces en toute sécurité avec Auslogics Anti-Malware

Auslogics Anti-Malware est un produit d'Auslogics, certifié Microsoft Silver Application Developer
TÉLÉCHARGER MAINTENANT

POINTE

La sécurité est le thème principal de ce guide, nous n'aurons donc pas de meilleure occasion de vous parler d'une excellente proposition. Si vous cherchez à renforcer la sécurité de vos ordinateurs ou de vos réseaux, vous voudrez peut-être vous procurer Auslogics Anti-Malware. Avec cet utilitaire de protection de premier ordre, vous pouvez améliorer votre configuration de sécurité actuelle, qui pourrait ne pas être assez dynamique pour faire face à plusieurs menaces.

Dans la lutte contre les programmes malveillants, les améliorations sont toujours les bienvenues. Vous ne pouvez jamais savoir quand quelque chose dépasse votre application de sécurité actuelle, ou peut-être que vous n'en utilisez même pas une. Vous ne pouvez pas non plus dire avec certitude que votre ordinateur n'est pas actuellement compromis ou infecté. Dans tous les cas, vous feriez bien de télécharger et d'exécuter l'application recommandée pour vous donner une meilleure chance (qu'avant) de rester en sécurité.