Les attaques contre votre entreprise sont aggravées lorsqu’elles ne peuvent pas être détectées et arrêtées immédiatement. Lorsque des attaquants pénètrent dans votre système et s’y installent à votre insu, la situation devient alarmante, et ces attaques sont connues sous le nom de “Living off the land”.
Plusieurs types d’agressions ont été observés dans le cyber monde. Le vol d’informations d’identification, les installations de logiciels malveillants, les vers et les virus, ainsi que les menaces internes sont parmi les menaces les plus courantes susceptibles d’endommager un réseau. Les attaquants utilisent fréquemment une variété d’outils et de tactiques afin de mener à bien ces attaques.
Qu’est-ce qu’une attaque “Living off the land” (LotL)?
Une attaque “living off the land” (LotL) est une cyberattaque dans laquelle un hacker utilise les outils et les caractéristiques du système ciblé pour effectuer une opération nuisible. Les attaques LotL sont classées comme sans malware ou sans fichier car elles ne laissent aucune trace et sont donc difficiles à détecter.
Dans de nombreux cas, les attaquants utilisent des outils administratifs légaux pour pénétrer dans les systèmes tout en restant non détectés. Ils inséreront des scripts dangereux ou du code d’exploitation sur votre système, puis attendront des semaines, voire des mois, pour voir si le code est remarqué. Sinon, ils sauront qu’ils peuvent continuer leur assaut. Malheureusement, les pare-feu et les logiciels antivirus ne détecteront pas les assauts de LotL.
Pourquoi les cybercriminels préfèrent les attaques LotL ?
Un logiciel antivirus, par exemple, se synchronise en permanence avec une base de données contenant les informations les plus récentes sur les virus et les menaces connus. La cybersécurité avancée, telle que le SIEM, utilise encore plus de capacités de pointe pour repousser les intrus. Ils utilisent une incroyable variété d’apprentissage automatique et d’intelligence artificielle pour développer des modèles complexes de vos utilisateurs et de votre réseau.
Cela implique que les fraudeurs et les utilisateurs non autorisés devront concevoir de nouvelles méthodes pour infiltrer votre système. C’est la principale cause de la croissance des attaques LotL, car elles sont beaucoup moins susceptibles de déclencher des capteurs d’avertissement.
C’est l’une des raisons pour lesquelles les assauts LotL sont si efficaces. Selon une étude récente, les attaques sans fichier sont 10 fois plus efficaces que les logiciels malveillants.
De nombreux capteurs des centres d’opérations de sécurité (SOC) ne seront pas déclenchés par les outils d’attaque LotL. Si les attaquants installent des logiciels malveillants, ce sera beaucoup plus tard.
À ce moment-là, le pirate informatique a peut-être installé un ransomware et vous a exclu de votre réseau. C’est une illustration fantastique de la raison pour laquelle vous devriez vous méfier des agressions par LotL. Le fait qu’un bon nombre de ces groupes puissent être soutenus par des gouvernements officiels est un autre drapeau rouge, car ils utilisent peut-être certaines des technologies les plus avancées disponibles pour commettre leurs crimes.
Pourquoi les attaques living off the land (LotL) sont-elles devenues si populaires ?
-
Les outils intégrés de Network sont toujours puissants : Les organisations disposent souvent de versions logicielles mises à niveau ou premium. Cela implique que les attaquants peuvent perturber le réseau en utilisant un instrument puissant qui y est déjà présent.
-
Le développement d’un nouvel outil peut être une affaire coûteuse : La création de programmes, d’outils ou de tactiques uniques basés sur la posture de sécurité de diverses entreprises peut être une entreprise coûteuse et chronophage pour les attaquants. L’attaquant peut effectuer un assaut sans faute avec peu d’effort en exploitant les fonctionnalités intégrées du réseau.
-
Possibilité d’éviter toute détection : Les attaquants peuvent contourner la détection en utilisant les outils actuels. Lorsque les attaquants utilisent un outil sur liste blanche ou régulièrement utilisé, le système de sécurité n’émet pas d’alarmes. En conséquence, ils peuvent mener une attaque en volant sous le radar.
Types courants d’attaques living off the land (LotL)
Cela ne signifie pas pour autant que les attaques LotL ne menacent pas la sécurité de votre réseau. Au lieu de logiciels malveillants et d’exécutables, cependant, les attaques LotL laissent derrière elles des scripts PowerShell dangereux ou du code d’exploitation dont les cybercriminels peuvent profiter après coup.
Les scripts PowerShell sont de loin le type d’attaque LotL le plus courant contre les machines Windows. Les systèmes basés sur Linux sont cependant vulnérables aux fichiers malveillants écrits en PHP.
Les attaques LotL peuvent même utiliser des commandes apparemment anodines comme WGET. Ceux-ci peuvent être utilisés pour lancer une suite d’attaques, dont aucune ne laisse derrière elle de fichiers suspects.
Les attaques LotL peuvent rester inactives pendant longtemps, ce qui est l’un de leurs principaux risques. Une fois qu’un pirate a pénétré dans votre système ou votre réseau, il n’est pas pressé de révéler sa présence.
En fait, il est souvent avantageux pour eux de laisser les systèmes compromis tranquilles aussi longtemps que possible. Si un système compromis n’est pas détecté dans un délai d’un mois, c’est bon signe qu’ils ont les clés du royaume.
Les attaques LotL peuvent vivre presque n’importe où. Il peut s’agir d’un morceau de code sur votre RAM qui s’avère être des acteurs malveillants, par exemple. Ils peuvent même résider à un point final, attendant juste une chance de faire leurs dégâts.
Étapes d’une attaque Living off the land (LotL)
Les attaques LotL sont relativement simples à réaliser et peuvent aider un attaquant à accéder et à se déplacer latéralement sur un réseau. Ils sont trompeurs et aussi efficaces qu’une cyberattaque élaborée. Ce qui suit est un résumé des étapes d’une attaque LotL :
-
Incursion : Les acteurs de la menace tirent fréquemment parti d’une vulnérabilité d’exécution de code à distance pour exécuter du code shell directement en mémoire. Ils peuvent même envoyer un e-mail malveillant avec un script caché dans un document ou un fichier hôte. Ils peuvent également accéder aux outils système en utilisant des informations d’identification volées.
-
Persistance : Les installations externes peuvent ou non être utilisées dans la deuxième étape de l’attaque. Ceci est déterminé par ce que l’attaquant a l’intention de mener au sein du réseau.
-
Charge utile : Pour mener à bien une attaque, les acteurs de la menace recherchent fréquemment des outils à double usage au sein d’un réseau, tels que PowerShell, Process Explorer, PsExec et Process Hacker.
Parce qu’aucun outil ou procédure externe n’est utilisé, chaque environnement est vulnérable à une attaque LotL. Étonnamment, les attaquants déploient fréquemment des attaques LotL même sur des réseaux bien surveillés ou sécurisés. Cela est dû au fait que l’assaut devient beaucoup plus efficace dans un réseau sécurisé.
Une fois qu’un attaquant découvre une méthode pour utiliser les outils d’administration à son avantage, les agressions peuvent aller de l’exfiltration de données à l’installation de rançongiciels. De plus, comme l’attaquant utilise des applications et des processus légaux, il pourra se fondre dans d’autres processus légitimes avant d’effectuer un exploit secret.
Comment les attaques living off the land (LotL) se produisent-elles?
Les attaques LOTL ne sont pas nouvelles. Il existe des vulnérabilités dans tous les principaux systèmes d’exploitation qui les laissent ouverts aux attaques LOTL. Pourtant, d’une manière ou d’une autre, les équipes de cybersécurité ne parviennent jamais à combler complètement les lacunes.
Malgré le fait que les attaques LotL sont sans fichier, les pirates utilisent des techniques d’ingénierie sociale pour déterminer qui cibler. De nombreuses agressions se produisent lorsqu’un utilisateur visite un site Web dangereux, lit un e-mail de phishing ou utilise un périphérique USB contaminé. Le kit d’attaque, y compris le script sans fichier, est inclus sur ces sites Web, e-mails ou appareils multimédias.
Le kit analyse ensuite les programmes système à la recherche de vulnérabilités et exécute le script pour exploiter les programmes sensibles lors de la prochaine étape de piratage. En utilisant simplement des applications système, l’attaquant peut désormais accéder à distance à la machine et voler des données ou créer des portes dérobées de vulnérabilité.
Se défendre contre une attaque LotL
Il existe trois techniques pour réduire la probabilité d’agressions de type LotL.
-
Les administrateurs informatiques peuvent commencer par déployer des détections incomplètes.
-
Pour éviter l’utilisation abusive des outils système, utilisez le contrôle des applications.
-
Configurez les limites logicielles sur chaque appareil pour empêcher les choses de fonctionner dans des endroits où elles ne devraient pas fonctionner.
-
Mettez en place une configuration et une administration strictes des points de terminaison. Pour prévenir les attaques, utilisez des technologies de détection du comportement des terminaux.
-
La mise en place d’un système de détection des menaces est cruciale pour détecter les anomalies des utilisateurs telles que le comportement suspect des utilisateurs non administrateurs.
-
Travail pour déterminer quand un exécutable ne devrait pas s’exécuter dans un certain environnement. Ne vous y trompez pas, il s’agit d’une tâche difficile qui aura une influence négative sur la productivité de votre équipe si elle est effectuée à grande échelle seule.
Beaucoup d’agressions peuvent être tout aussi destructrices que tout autre type de cyberattaque. Il est essentiel de surveiller en permanence le réseau, d’identifier les risques le plus rapidement possible et de prendre des mesures correctives contre ces agressions.