Que sont les attaques d'exploitation des ressources locales (LOTL) ?

L’exploitation des ressources locales ou LOTL (Living off the land) est une technique de cyberattaque par logiciel malveillant sans fichier ou LOLbins dans laquelle le cybercriminel utilise des outils natifs et légitimes au sein du système de la victime pour poursuivre et faire progresser une attaque.

Comment fonctionnent les attaques d’exploitation des ressources locales (LOTL) ?

Contrairement aux attaques de logiciels malveillants traditionnelles, qui exploitent des fichiers de signature pour exécuter leur plan d’attaque, les attaques d’exploitation des ressources locales (LOTL) sont sans fichier, ce qui signifie qu’elles ne nécessitent pas qu’un cyberattaquant installe du code ou des scripts dans le système cible. Au lieu de cela, le cyberattaquant utilise des outils déjà présents dans l’environnement, tels que PowerShell, Windows Management Instrumentation (WMI) ou l’outil de sauvegarde de mots de passe Mimikatz, pour mener à bien l’attaque.

L’utilisation d’outils natifs rend les attaques d’exploitation des ressources locales (LOTL) beaucoup plus difficiles à détecter, surtout si l’entreprise utilise des outils de sécurité traditionnels qui recherchent des scripts ou des fichiers malveillants connus. En raison de cette lacune dans l’ensemble des outils de sécurité, le pirate est souvent capable de rester inaperçu dans l’environnement de la victime pendant des semaines, des mois, voire des années.

Outils d’exploitation des ressources locales (LOTL)

Si les pirates qui utilisent des attaques d’exploitation des ressources locales n’ont pas besoin d’installer de code pour lancer une attaque par logiciel malveillant sans fichier, comment parviennent-ils à accéder à l’environnement pour manipuler ses outils natifs et atteindre leurs objectifs ? Ils peuvent obtenir un accès de plusieurs manières différentes, par exemple en utilisant les méthodes suivantes :

• Kits d’exploit
• Outils natifs piratés
• Logiciel malveillant présent dans le Registre
• Logiciel malveillant en mémoire uniquement
• Ransomware sans fichier
• Identifiants volés

Kits d’exploit

Les exploits sont des éléments de code, des séquences de commandes ou des ensembles de données. Les kits d’exploit sont quant à eux des ensembles d’exploits. Les cyberadversaires utilisent ces outils pour exploiter les vulnérabilités connues d’un système d’exploitation ou d’une application installée.

Les exploits constituent un moyen efficace de lancer une attaque de logiciel malveillant sans fichier, comme une attaque d’exploitation des ressources locales (LOTL), puisqu’ils peuvent être injectés directement dans la mémoire sans aucune écriture de code sur le disque. Les cyberadversaires peuvent les utiliser pour automatiser les compromissions initiales à grande échelle.

Un exploit commence toujours de la même façon, que l’attaque soit sans fichier ou utilise un malware traditionnel. En général, un e-mail de phishing ou une technique d’ingénierie sociale permet d’appâter la victime. Le kit d’exploit comprend généralement des exploits pour plusieurs vulnérabilités et une console de gestion que le cyberattaquant peut utiliser pour contrôler le système. Dans certains cas, il est en mesure de rechercher les vulnérabilités du système ciblé, puis d’élaborer et de lancer un exploit personnalisé à la volée.

Outils natifs piratés ou outils à double usage

Dans les attaques d’exploitation des ressources locales (LOTL), les cyberadversaires détournent généralement des outils légitimes pour élever leurs privilèges, accéder à différents systèmes et réseaux, voler ou chiffrer des données, installer des logiciels malveillants, définir des points d’accès via une porte dérobée ou faire progresser le chemin d’attaque. Voici des exemples d’outils natifs ou à double usage :

• Clients FTP (File Transfer Protocol) ou fonctions système, telles que PsExec
• Outils d’investigations informatiques tels que l’outil d’extraction de mots de passe Mimikatz
• PowerShell, un framework de lancement de scripts offrant de nombreuses fonctionnalités pour l’administration des appareils Windows
• WMI, une interface d’accès à divers composants Windows

Logiciel malveillant présent dans le Registre

Ce type de logiciel malveillant s’installe lui-même dans le Registre Windows dans le but d’y rester durablement tout en échappant à la détection.

Les systèmes Windows sont généralement infectés via le téléchargement d’un fichier malveillant par un injecteur. Mais comme ce fichier malveillant reste actif dans le système ciblé, sa détection par un antivirus reste possible. Un logiciel malveillant sans fichier peut également recourir à un injecteur, mais celui-ci ne télécharge pas de fichier malveillant. À la place, l’injecteur écrit lui-même le code malveillant directement dans le Registre Windows.

Le code malveillant peut être programmé pour s’exécuter chaque fois que le système d’exploitation est lancé. Le fichier malveillant reste invisible ; et le code malveillant est dissimulé dans des fichiers natifs que l’antivirus n’analyse pas.

Poweliks est la plus ancienne variante de ce type d’attaque, mais de nombreuses autres ont émergé depuis lors, notamment Kovter et GootKit. Un logiciel malveillant qui modifie des clés de Registre a la possibilité de s’implanter durablement tout en restant masqué.

Logiciel malveillant en mémoire uniquement

Ce type de logiciel malveillant réside uniquement en mémoire, ce qui lui permet d’échapper à toute détection pendant de longues périodes. C’est le cas, par exemple, du ver Duqu. Duqu 2.0 existe en deux versions : la première consiste en une porte dérobée qui permet au cyberadversaire de s’implanter dans une entreprise. Celui-ci peut ensuite utiliser la version avancée de Duqu 2.0, qui propose des fonctionnalités supplémentaires, telles que la reconnaissance, le déplacement latéral et l’exfiltration de données. Duqu 2.0 a permis de mener à bien des compromissions contre des entreprises du secteur des télécommunications et au moins un éditeur de logiciels de sécurité réputé.

Ransomware sans fichier

Les cyberadversaires ne se limitent pas à un seul type d’attaque. Ils exploitent toutes les technologies à leur disposition pour parvenir à leurs fins. Aujourd’hui, les opérateurs de ransomwares utilisent des techniques sans fichier pour incorporer du code malveillant dans des documents au moyen de langages de script natifs, comme les macros, ou pour écrire le code malveillant directement en mémoire grâce à l’utilisation d’un exploit. Le ransomware détourne ensuite des outils natifs comme PowerShell pour chiffrer les fichiers pris en otage, sans jamais inscrire une seule ligne sur le disque.

Identifiants volés

Un cyberattaquant peut lancer une attaque sans fichier en utilisant des identifiants volés pour accéder à sa cible sous le couvert de l’identité d’un utilisateur légitime. Une fois à l’intérieur, il peut utiliser des outils natifs tels que WMI ou PowerShell pour mener son attaque. Pour s’établir durablement, il peut dissimuler du code dans le Registre ou le noyau ou créer des comptes utilisateurs qui lui donnent accès au système de son choix.

Pourquoi les attaques d’exploitation des ressources locales (LOTL) sont-elles si populaires ?

Le plus récent rapport sur les menaces mondiales de CrowdStrike, qui analyse annuellement le panorama des menaces et le monde des cyberadversaires, dévoile que lors du dernier trimestre 2021, 62 % des détections répertoriées par CrowdStrike Security Cloud étaient dépourvues de logiciels malveillants. Au lieu de cela, les cibles criminelles se servaient d’identifiants légitimes et d’outils intégrés, une pratique courante pour l’exploitation des ressources locales dans les attaques, pour avancer dans leur démarche offensive.

Les attaques d’exploitation des ressources locales sont de plus en plus courantes, car elles ont tendance à être plus efficaces que les attaques de logiciels malveillants traditionnels. En effet, elles sont beaucoup plus difficiles à détecter avec les outils de sécurité existants, ce qui augmente les chances de succès et donne au pirate plus de temps pour élever ses privilèges, voler des données et définir des portes dérobées pour un accès futur.

Autres raisons pour lesquelles les attaques d’exploitation des ressources locales (LOTL) séduisent les cybercriminels :

• Un grand nombre de vecteurs d’attaque qui exploitent les ressources locales (LOTL), comme WMI et PowerShell, se trouvent sur la liste verte du réseau victime. C’est une couverture idéale pour les cyberadversaires lorsqu’ils réalisent des activités malveillantes fréquemment négligées par le Centre des opérations de sécurité (SOC) et par d’autres mesures de sécurité.
• Les attaques d’exploitation des ressources locales (LOTL) n’utilisent ni fichiers ni signatures, ce qui signifie que les attaques ne peuvent pas être comparées ou connectées, ce qui rend plus difficile leur prévention à l’avenir et permet au criminel de réutiliser ses tactiques à sa guise.
• L’utilisation d’outils légitimes et l’absence de signature rendent difficile l’attribution des attaques d’exploitation des ressources locales (LOTL), alimentant ainsi le cycle d’attaque.
• Le cyberadversaire est capable d’établir et de lancer des attaques complexes et sophistiquées grâce à de longues périodes d’implantation tranquilles. Lorsque la victime prend conscience du problème, elle dispose souvent de peu de temps pour réagir efficacement.

Prévention et détection des attaques d’exploitation des ressources locales (LOTL)

Les attaques de ransomware sans fichier et d’exploitation des ressources locales (LOTL) sont très compliquées à repérer en utilisant des approches conventionnelles telles que les signatures, les anciens logiciels antivirus, les listes d’autorisation, les analyses en environnement sandbox ou même les analyses basées sur le machine learning. Comment les entreprises peuvent-elles alors se protéger contre ce type d’attaque courante et potentiellement dévastatrice ?

Nous vous proposons ci-dessous une liste concise de mesures de sécurité. Lorsqu’elles sont mises en place de manière coordonnée, ces mesures peuvent contribuer à empêcher et à repérer l’exploitation des ressources locales, les logiciels malveillants sans fichier, les ransomwares inconnus et des techniques d’attaque similaires :

Indicateurs d’attaque (IOA)

L’une des stratégies les plus efficaces pour réduire le risque d’attaques d’exploitation des ressources locales (LOTL) est de se concentrer sur les indicateurs d’attaques (IOA) plutôt que sur les indicateurs de compromission (IOC).

Les indicateurs d’attaques sont une méthode de détection proactive qui scrute les signaux qui indiquent qu’une attaque pourrait être en train de se produire. L’exécution de code, les mouvements latéraux et les actions qui semblent destinés à masquer la véritable intention de l’intrus sont des exemples de ces indicateurs.

Les IOA sont efficaces pour détecter les attaques sans fichier, car ils ne se concentrent pas sur le lancement ou l’exécution des étapes. Le lancement de l’attaque à partir d’un fichier sur le disque dur ou à partir d’une technique sans fichier importe peu. Ce qui compte, c’est l’action menée, sa relation avec d’autres actions, sa position dans une suite d’événements, et les gestes qui en sont issus. Ces indicateurs mettent en lumière les intentions et les buts réels qui se cachent derrière ces actions et les événements qui les accompagnent.

Puisque les attaques sans fichier utilisent des langages de script courants tels que PowerShell et qu’elles ne sont jamais enregistrées directement sur le disque, elles échappent à la détection par des approches comme les signatures, les listes d’autorisation et les analyses en environnement sandbox. Même les méthodes de machine learning ne parviennent pas à analyser les logiciels malveillants sans fichier. Mais les indicateurs d’attaque (IOA) recherchent des séquences d’événements que même les logiciels malveillants sans fichier doivent exécuter pour accomplir leur mission.

Et comme ces indicateurs examinent l’intention, le contexte et l’ordre des actions, ils peuvent même détecter et bloquer les activités malveillantes effectuées à l’aide d’un compte légitime, ce qui est souvent le cas lorsqu’un cyberattaquant utilise des identifiants volés ou détourne des programmes légitimes.

Threat Hunting managé

Le Threat Hunting lié aux logiciels malveillants sans fichier est un travail long et laborieux qui nécessite la collecte et l’uniformisation de grandes quantités de données. Cette démarche est pourtant essentielle pour se protéger contre les attaques sans fichier, et c’est pourquoi l’approche la plus pragmatique pour la majorité des entreprises consiste à confier leurs tâches de Threat Hunting à un fournisseur expert.

Les services de Threat Hunting managé veillent 24 heures sur 24, à la détection proactive d’intrusions, surveillent votre environnement et repèrent les actions discrètes qui pourraient échapper aux méthodes de sécurité classiques.

Le Threat Hunting représente une pratique cruciale adoptée par un nombre croissant d’entreprises pour contrer les attaques sournoises avant qu’elles ne deviennent d’énormes failles de sécurité. En optant pour un service de Threat Hunting managé, vous faites appel à une équipe d’experts en détection de menaces pour accomplir une tâche à la fois simple et importante : une surveillance constante des données de sécurité de votre entreprise, afin de repérer les moindres signaux d’attaques sophistiquées. Ces services sont soigneusement adaptés pour répondre spécifiquement à cette lacune essentielle, quel que soit le type d’entreprise.

Surveillance des comptes

La surveillance des comptes et les contrôles de gestion vous offrent une vue à 360 degrés de vos environnements de travail, vous permettant de détecter et d’empêcher les activités non autorisées. Elle est votre rempart contre la perte de données due à ces activités et aux violations d’identifiants, tout en vous donnant le contrôle absolu sur l’accès aux données et en garantissant qu’aucune autorisation inappropriée ne passe inaperçue.

Inventaire des applications

Cette procédure détecte activement les applications et les systèmes d’exploitation obsolètes et non patchés, vous permettant ainsi de gérer toutes vos applications en toute sécurité dans votre environnement. La rationalisation de votre inventaire d’applications avec une solution d’hygiène IT résout simultanément les problèmes de sécurité et de coûts. Grâce à cette solution, vous disposez d’une visibilité capable de prévenir les exploits liés aux correctifs et aux mises à jour du système. Elle optimise également la configuration de vos logiciels. En fournissant des informations en temps réel et un historique sur l’utilisation des applications, cette solution vous permet d’identifier les logiciels inutiles que vous pouvez désinstaller. Votre entreprise pourra ainsi économiser des milliers de dollars en frais de licence.

Inventaire des actifs

L’inventaire des actifs vous offre une vision claire des ordinateurs qui s’exécutent sur votre réseau. Vous pourrez ainsi mettre en place de manière efficace votre système de sécurité pour empêcher le déroulement discret de toute activité malveillante dans votre environnement. Il permet aux équipes de sécurités informatiques de distinguer les actifs gérés, non gérés et ingérables dans votre environnement et de prendre les mesures appropriées pour améliorer la sécurité globale.

Récupération après une attaque d’exploitation des ressources locales (LOTL)

Étant donné que les cybercriminels qui lancent des attaques d’exploitation des ressources locales peuvent échapper à la détection pendant des semaines, voire des mois, la récupération après ces événements peut être extrêmement complexe et prendre beaucoup de temps. Les entreprises qui ont des raisons de croire qu’elles courent le risque d’une telle attaque doivent collaborer avec un partenaire de cybersécurité de confiance. Ce dernier peut les aider à réaliser une évaluation de la compromission afin de déterminer si elles ont été effectivement victimes d’une violation et, le cas échéant, à quel stade de l’attaque elles se trouvent.

Pendant l’évaluation de la compromission, l’équipe chargée de la sécurité analysera en détail les événements récents et passés. Elle recherchera des indicateurs d’attaques passées, tels que des clés de Registre ou des fichiers de sortie suspects, tout en identifiant également les menaces en cours. De nombreux cybercriminels expérimentés passent des mois, voire des années, à l’intérieur des réseaux de leurs cibles sans être détectés. Une analyse historique approfondie effectuée lors de l’évaluation de la compromission est donc indispensable pour déterminer si une telle situation s’est produite.

Si l’évaluation de la compromission confirme une attaque passée ou en cours, l’équipe chargée de la sécurité travaillera en étroite collaboration avec l’entreprise. Son objectif sera de limiter les dégâts, de restaurer les systèmes touchés, et de renforcer la sécurité de votre réseau pour prévenir de futures intrusions.

Afin d’empêcher de nouvelles attaques, le partenaire de sécurité devra effectuer une analyse en profondeur de l’environnement du client. Cette étape vise à garantir que le cyberattaquant n’a laissé aucun point d’accès afin de l’utiliser ultérieurement. Le partenaire recommandera probablement également des outils et des services avancés pouvant contribuer à réduire la probabilité d’attaques sans fichier à l’avenir.

Comment CrowdStrike peut empêcher les attaques d’exploitation des ressources locales (LOTL) et sans fichier dans votre entreprise

Comme nous l’avons vu, les techniques sans fichier sont extrêmement difficiles à détecter si vous utilisez des méthodes telles que les signatures, l’analyse en environnement sandbox, les listes d’autorisation ou même les méthodes de protection par machine learning.

Pour vous protéger contre les attaques furtives et sans fichier, CrowdStrike utilise une approche combinée spéciale qui regroupe plusieurs méthodes en une seule, offrant ainsi une protection exceptionnelle pour vos endpoints. CrowdStrike Falçon® offre, grâce à sa plateforme, un éventail complet de mesures de prévention et de détection, assurant une protection cloud native des endpoints de nouvelle génération, et ce, au moyen d’un seul agent léger :

• L’inventaire des applications détecte toutes les applications exécutées dans votre environnement et identifie toutes les vulnérabilités potentielles qui doivent être corrigées ou mises à jour afin qu’elles ne puissent pas être la cible de kits d’exploit.
• Le blocage des exploits arrête l’exécution d’attaques sans fichier via des exploits qui tirent parti de vulnérabilités non corrigées.
• Les indicateurs d’attaque identifient et bloquent les activités malveillantes dès les premiers stades d’une attaque, avant qu’elle ne puisse s’exécuter pleinement et infliger des dégâts. Cette fonctionnalité protège également contre les nouvelles catégories de ransomwares qui n’utilisent pas de fichiers pour chiffrer les systèmes des victimes.
• Le contrôle des scripts offre une visibilité et une protection étendues contre les attaques lancées à l’aide de scripts sans fichier.
• L’analyse avancée de la mémoire protège contre les attaques sans fichier et sans logiciel malveillant comme les APT, les ransomwares et les outils à double usage comme Cobalt Strike en mémoire.
• Le Threat Hunting managé est constamment à la recherche d’activités malveillantes utilisant des méthodes sans fichier dans le but de les détecter de manière proactive.