Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Publication d’une enquête sur la technique émergente "living of the land" utilisée par les cyber attaquants

juillet 2017 par Symantec

Symantec publie une enquête portant sur une technique émergente utilisée par les cyber attaquants que nous appelons « living off the land ». Celle-ci consiste pour les attaquants à utiliser des programmes légitimes disponibles pour propager des logiciels malveillants et a été par ailleurs évoqué dans le 22e rapport ISTR de Symantec publié en avril dernier.

Voici les principaux enseignements de l’enquête :

• Les quatre principales techniques d’attaque « living off the land » concernent la mémoire, des attaques persistantes sans fichiers, des outils à double usage et des attaques de fichiers non-PE : les cybercriminels adoptent ces tactiques pour propager des attaques par ransomware ou des Trojans financiers, des techniques également utilisées par des groupes d’attaquants liés à des Etats. Les attaques récentes du groupe Calicum / Fin7 contre des restaurants aux États-Unis ont montré l’efficacité de ces tactiques.

• L’outil à double usage le plus courant en 2017 était sc.exe, suivi d’outils d’accès à distance tels que VNC : ce type d’outils est omniprésent et permet à un cyber attaquant de s’infiltrer sans s’exposer. Le système et les outils à double usage sont fréquemment utilisés pour recueillir des informations sur un système récemment compromis. Ces outils ont également été exploités pendant un mouvement latéral ou pour exfiltrer des données volées. Cette activité s’intègre dans un travail normal d’administration du système, ce qui rend la détection plus difficile.

• L’incorporation de scripts malveillants dans le registre représente une des méthodes de persistance sans fichier la plus utilisée, vue sur environ 5 000 ordinateurs par jour : le mécanisme de point de charge sans fichier stocke un script malveillant dans le registre Windows. Trojan.Poweliks, Trojan.Kotver et Trojan.Bedep utilisent fortement cette technique. Jusqu’à présent, en 2017, Symantec a détecté et bloqué environ 4 000 attaques Trojan.Kotver par jour.




Voir les articles précédents

    

Voir les articles suivants