Le cybermonde a été témoin de plusieurs formes d’attaques et s’en est défendu. Parmi les plus courantes connues pour perturber un réseau, citons le vol d’identifiants, l’installation de logiciels malveillants, les vers et les virus, ainsi que les menaces internes. Pour mener à bien ces attaques, les pirates utilisent souvent différents outils et techniques comme l’attaque LotL.
Par exemple, dans une attaque par ransomware, un attaquant peut installer un logiciel malveillant pour crypter tous les fichiers et dossiers de votre réseau et demander une rançon pour récupérer les fichiers. Maze et Ryuk sont des attaques de ransomware notoires qui ont été exécutées à la perfection et qui ont fait grand bruit dans le secteur de la cybersécurité.
Qu’est-ce qu’une attaque LotL?
Une attaque LotL (living off the land) est une cyberattaque dans laquelle un attaquant utilise les outils et les fonctionnalités du système ciblé pour effectuer une action malveillante. La récente attaque par ransomware de la chaîne d’approvisionnement de Kaseya est un exemple d’attaque LotL où l’attaquant a utilisé la propre technologie de l’organisation contre elle. Cela a permis à l’attaquant de perturber le réseau multicouche sans déclencher d’alarme. Les attaques LotL sont considérées comme sans logiciel malveillant ou sans fichier car elles ne laissent aucune trace derrière elles, ce qui les rend difficiles à détecter.
Pourquoi les cyberattaquants préfèrent les attaques LotL
- Les outils intégrés au réseau sont toujours puissants : Les organisations disposent souvent de versions mises à jour ou premium des logiciels. Cela signifie que les attaquants peuvent utiliser un outil puissant déjà disponible au sein du réseau pour le perturber.
- Le développement d’un nouvel outil peut être une affaire coûteuse : Pour les attaquants, la création d’applications, d’outils ou de techniques personnalisés en fonction de la posture de sécurité de différentes organisations peut être une opération coûteuse et chronophage. En utilisant les outils intégrés au réseau, l’attaquant peut exécuter une attaque sans faille sans trop d’efforts.
- Ils peuvent éviter la détection : Les attaquants peuvent éviter d’être détectés en utilisant les outils existants. Le système de sécurité n’envoie pas d’alertes lorsqu’un outil figurant sur une liste blanche ou couramment utilisé est utilisé par les attaquants. Ainsi, ils peuvent passer sous le radar tout en menant une attaque.
Étapes d’une attaque LotL
Les attaques LotL sont assez faciles à exécuter et permettent à un attaquant d’accéder et de se déplacer latéralement sur le réseau d’une organisation. Elles sont subtiles et peuvent être aussi efficaces que n’importe quelle cyberattaque complexe. Voici une brève description des étapes d’une attaque LotL :
- Incursion : Les menaçants exploitent souvent une vulnérabilité d’exécution de code à distance pour exécuter un shellcode directement en mémoire. Ils peuvent également envoyer un courriel malveillant contenant un script caché dans un document ou un fichier hôte. Ils peuvent également utiliser des outils système en se connectant avec des informations d’identification volées.
- Persistance : La deuxième étape de l’attaque peut impliquer ou non des installations externes. Cela dépend de ce que l’attaquant veut faire au sein du réseau.
- Charge utile : Les attaquants recherchent souvent des outils à double usage, tels que PowerShell, Process Explorer, PsExec et Process Hacker, au sein d’un réseau pour exécuter l’attaque.
Étant donné qu’aucun outil ou technique externe n’est impliqué, tout environnement est susceptible de subir une attaque LotL. Il est surprenant de constater que les attaquants utilisent souvent les attaques LotL même sur des réseaux bien surveillés ou verrouillés. Cela s’explique par le fait que l’attaque devient très efficace dans un réseau sécurisé.
Une fois que l’attaquant a trouvé le moyen d’utiliser les outils d’administration à son avantage, les attaques peuvent aller de l’exfiltration de données à l’installation de ransomwares. De plus, comme l’attaquant utilise des programmes et des processus légitimes, il pourra se fondre dans d’autres processus légitimes avant de réaliser un exploit furtif.
Se défendre contre une attaque LotL
Les professionnels de la sécurité doivent s’assurer qu’ils sont équipés pour se défendre contre toutes sortes de cyberattaques. Bien qu’il soit difficile de détecter et d’atténuer une attaque LotL, ce n’est pas impossible. Les organisations peuvent déployer une solution capable de superviser les réseaux et de fournir des informations en temps réel sur le comportement des utilisateurs. La solution doit également être capable de traquer les menaces sur la base de modèles d’attaque prédéfinis.
La cyberhygiène et la cyberdiscipline sont essentielles pour protéger votre réseau contre ces types d’attaques. En outre, les organisations doivent :
- Disposer d’une stratégie dédiée à la chasse aux menaces.
- Revoir régulièrement les droits et les permissions.
- Mettre en place un système solide de détection et de réponse aux terminaux.
- Mettre sur liste blanche les applications qui sont essentielles.
- Surveiller de près les outils à double usage.
Une attaque LotL peut être aussi dévastatrice que toute autre forme de cyberattaque. Il est important de surveiller le réseau en permanence, d’identifier les menaces dès que possible et de prendre rapidement des mesures correctives contre ces attaques.