« Purple Dome » étude sur le problème des malwares sans fichier

Thorsten Sick, 22 avr. 2021 14:40:00
Thorsten Sick, 22 avr. 2021 14:40:00

Pour être plus flexible, des opérateurs humains sont parfois impliqués dans les attaques.

Avast lance le projet de recherche « Purple Dome » autour du problème des malwares sans fichier et des attaques complexes utilisant les techniques de Living Of the Land (LOLBins/LOLScripts). Pour cela, nous allons simuler beaucoup de choses : Les réseaux, les attaquants, les systèmes de défense.

Les attaques sur les systèmes informatiques évoluent constamment. Pour être plus flexible, des opérateurs humains sont parfois impliqués dans les attaques. C'est particulièrement fréquent pour les cibles de grande valeur. Comme l'opérateur humain peut utiliser des outils normaux déjà installés sur le système cible, cela peut donner lieu à des logiciels malveillants dits « sans fichier ».

Ces types d'attaques ont commencé il y a des années. Les ordinateurs infectés par des logiciels malveillants étaient reliés entre eux sous forme de réseaux de zombies que les attaquants pouvaient contrôler à distance à partir de leurs serveurs de commande et de contrôle (C&C). Il s'agissait de 95% de logiciels malveillants et de 5% de créativité humaine. Actuellement, nous avons des attaques hybrides (comme Trickbot) qui infectent automatiquement les systèmes et exécutent leurs attaques scriptées.

Si ces systèmes sont « attrayants » (c'est-à-dire s'il s'agit de grandes entreprises très riches, de données précieuses qui peuvent être volées à des fins de chantage, de systèmes de sauvegarde défectueux qui rendent les attaques par ransomware plus efficaces), un opérateur s'implique pour s'approprier totalement la cible en échange d'une rançon plus élevée. Ces opérateurs de botnet ne se contentent pas d'utiliser les fonctions intégrées dans les fichiers malveillants, mais abusent également des fonctions de base du système d'exploitation ainsi que des outils et des scripts d'administration déjà installés par les administrateurs de l'entreprise pour la gestion du système. C'est ce qu'on appelle vivre hors du territoire (LOL comme dans LOLBINs). L'idée est de laisser moins de traces et d'infecter plus profondément les systèmes. Quelques exemples : pirater le serveur Active Directory et supprimer les sauvegardes avant de crypter les fichiers pour obtenir une rançon.

Ce n'est pas nouveau, mais le vecteur de ce changement est visible, et il va se poursuivre. Les entreprises de sécurité se sont déjà adaptées à ces nouveaux vecteurs d'attaque.

Afin d'impliquer les chercheurs dans la résolution de ce problème, Avast a créé le projet dérivé de l'équipe de recherche Avast AI, « Purple Dome ».

Le projet sur lequel porte cet article
Purple Dome vise à créer un réseau informatique simulé à partir d'un fichier de configuration. Nous allons pré-installer quelques capteurs. Ensuite, nous lancerons quelques machines virtuelles d'attaquants et leur demanderons d'exécuter des attaques sur ces systèmes. Nous en retirerons des journaux et des informations contenant les traces laissées par les attaquants. Ces journaux peuvent être analysés à l'aide de techniques d'apprentissage automatique et ces informations peuvent ensuite être transformées en produits améliorés pour l'utilisateur final.
Les principaux avantages de ce projet seront que nous pourrons être flexibles partout et que nous pourrons :

- Essayer différentes configurations de réseaux cibles
- Essayer différents capteurs et fonctionnalités
- Exécuter différents scénarios d'attaque - y compris différents TTPs
- Essayer différents algorithmes d'apprentissage automatique (ML) sur les tonnes de journaux que nous obtiendrons.
Tout doit être entièrement automatisé. En effet, le ML a besoin de beaucoup de données pour identifier les signaux d'alarme qui marquent l'attaque.

Si nous sommes en mesure de simuler différents scénarios tels que le réseau d'une entreprise, d'une PME, d'un réseau universitaire, d'un bureau à domicile ou d'une maison intelligente connectée à l'IdO, nous pouvons mieux comprendre à quoi ressemblent les attaques dont ils font l'objet.

Retrouvez les détails du projet sur le blog dédié : Avast Threat Labs (en anglais)


NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com

Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.