Vos propres appareils peuvent être utilisés contre vous ! – Comment se prémunir contre les attaques de type « Living Off the Land » (LOTL)

18 août 2023
newscred
Créez votre propre

Quand on pense à n'importe quel crime, en général, les criminels choisissent la voie de la moindre résistance. La voie qui leur permet d’entrer et de sortir sans se faire remarquer ni laisser de traces. Les cybercriminels ne font pas exception. Une fois qu’ils repéré leur cible, les pirates informatiques utilisent des tactiques faciles à mettre en œuvre qui leur permettent de passer inaperçus. Ils espèrent s’introduire dans le système, exfiltrer des données et repartir sans laisser de traces avant que l’entreprise ne s’en rende qu'elle a ont été piratées. À mesure que les solutions antivirus de nouvelle génération et EDR ont évolué pour mieux lutter contre les logiciels malveillants, de plus en plus de cybercriminels se tournent plutôt vers les attaques de type « living off the land » (LOTL).  

 

Qu'est-ce qu'une attaque LOTL ?  

Les ordinateurs intègrent des outils puissants qui sont essentiels au bon fonctionnement d'un système d'exploitation. Une attaque LOTL consiste à utiliser ces outils informatiques ou d'autres logiciels légitimes à des fins malveillantes. Les pirates informatiques manipulent ces outils intégrés et utilisent votre ordinateur contre vous pour mener à bien leur objectif, qui consiste généralement à voler vos données.  

 

Quels outils les pirates informatiques utilisent-ils dans le cadre des attaques LOTL ? 

87 % des cyberattaques actuelles utilisent PowerShell, ce qui en fait de loin le vecteur d'attaque LOTL le plus répandu. PowerShell est une interface shell intégrée à Windows qui offre aux administrateurs informatiques un outil puissant pour interagir avec le système d'exploitation et automatiser des tâches. Les pirates informatiques utilisent couramment PowerShell pour exécuter des scripts dans les environnements cibles afin d'installer des portes dérobées, d'exfiltrer des données et d'installer des ransomwares. Une fois qu'un cybercriminel a accès à PowerShell sur l'ordinateur d'une victime, il peut contrôler cet ordinateur et potentiellement accéder à tous les ordinateurs partageant le même réseau.  

 

Même si PowerShell est sans doute l'outil le plus couramment utilisé à des fins malveillantes, chaque système d'exploitation contient de nombreux autres outils intégrés puissants que les pirates peuvent exploiter. Windows Management Instrumentation (WMI) est souvent utilisé pour manipuler les images de volume, déterminer quel antivirus est installé et désactiver le pare-feu. Rundll32 est souvent utilisé pour contourner le contrôle des applications, détourner des DLL légitimes et exécuter des DLL malveillantes. Les cybercriminels vont même jusqu’à détourner le Registre Windows en modifiant certaines clés de registre afin de voler des identifiants et de contourner d’autres contrôles de sécurité. Malheureusement, dès que les défenseurs trouvent un moyen de se prémunir contre une méthode d’attaque particulière, les cybercriminels découvrent un nouvel outil à exploiter pour accéder aux données, et le cycle se poursuit.   

 

À lire également : ThreatLocker Webinaire «Les applications intégrées peuvent être détournées et utilisées contre vous » 

 

Pourquoi les attaques LOTL sont-elles si répandues ?  

 

  • Les outils sont facilement accessibles. 
    Les attaques LOTL sont très prisées par les cybercriminels pour commettre leurs méfaits. Ces outils signés et légitimes sont intégrés par défaut aux ordinateurs, ce qui les rend facilement accessibles.  

  •  

  • Les attaques de type LOTL sont difficiles à détecter. 
    Comme les ordinateurs s'appuient sur ces outils natifs pour leurs fonctions opérationnelles normales, il est difficile pour les EDR et les antivirus de nouvelle génération de faire la distinction entre une utilisation normale et attendue et une attaque exploitant ce même outil. Les attaques perpétrées à l'aide de techniques LOTL sont considérées comme « sans fichier », ce qui facilite à les dissimuler aux outils de sécurité.  

  •  

  • Les attaques LOTL peuvent permettre aux cybercriminels d'assurer leur persistance. 
    Comme elles sont difficiles à détecter, les acteurs malveillants peuvent utiliser ces fonctions intégrées pour s'assurer une persistance, ce qui signifie que l'adversaire peut conserver un point d'ancrage dans un environnement. Cette persistance permet aux cybercriminels de observer et d'explorer l'environnement cible au fil du temps, découvrant ainsi toutes les clés du royaume sans être détectés.  

  •  

  • Les attaques de type LOTL sont difficiles à prévenir. 
    Les outils natifs utilisés de manière abusive dans les attaques LOTL sont préinstallés sur tous les ordinateurs Windows et sont indispensables au bon fonctionnement des tâches administratives. De ce fait, la plupart des environnements ne peuvent simplement désactiver, désinstaller ou bloquer ces vecteurs d'attaque courants. Les attaques sans fichier ne peuvent être évitées à l’aide des solutions traditionnelles de sécurité des terminaux, car elles ne sont pas considérées comme des « logiciels malveillants » par ces systèmes de détection et de réaction .  

  •  

Comment ThreatLocker contribuer à atténuer les risques liés aux attaques LOTL ?  

Vous comprenez donc pourquoi il est difficile de contrer les attaques LOTL. La bonne nouvelle, c'est que difficile n'est pas impossible, et ThreatLocker peut aider à atténuer les risques associés aux attaques LOTL. ThreatLocker fonctionne différemment des outils traditionnels de sécurité des terminaux pour aider à créer un environnement Zero Trust. La Application Allowlisting empêche l'exécution de toute application, script ou DLL non autorisé. Comme ces outils intégrés sont nécessaires aux fonctions administratives normales, la création d'une règle visant à bloquer leur exécution ne fonctionnera pas dans la plupart des environnements. Bien que vous ne pouvez pas les bloquer sans endommager un ordinateur, si un acteur malveillant parvient à accéder à l’un de ces outils natifs de Windows et tente d'exécuter un script non autorisé, celui-ci sera bloqué.  

 

Pour réduire encore davantage les risques, ThreatLocker a développé la technologie Ringfencing™ . Ringfencing™ crée des barrières autour applications autorisées afin de déterminer avec quoi ces applications autorisées peuvent interagir, bloquant ainsi les interactions non autorisées avec d'autres applications, le registre, vos fichiers et Internet. Empêchez les applications d'interagir avec PowerShell, WMI, Rundll32 et toute autre application avec laquelle n'a pas pas besoin d’accéder, ce qui aide à empêcher un acteur malveillant d’accéder à PowerShell via une autre application, par exemple en utilisant un document Word malveillant pour exécuter un script PowerShell. Supposons qu’un cybercriminel parvienne à accéder à PowerShell. Avec Ringfencing activé, PowerShell ne peut accéder à Internet pour recevoir d’autres instructions d’un centre de commande et de contrôle ou pour copier vos fichiers vers une URL malveillante.   

 

Résumé 

Les attaques LOTL offrent aux cybercriminels un moyen efficace de voler des données sensibles sans déclencher d'alerte auprès des outils de sécurité. Ces outils intégrés font partie intégrante de Windows, ce qui signifie qu'ils ne peuvent être désinstallés ni bloqués. Si les attaques LOTL posent des défis aux cyberdéfenseurs, leurs risques peuvent être atténués à l’aide d’outils adaptés. ThreatLocker La liste blanche prend en charge un environnement Zero Trust, et toutes les applications, scripts et bibliothèques non autorisés seront bloqués par défaut, offrant ainsi une protection contre les scripts malveillants. ThreatLocker Ringfencing™ vous permet de mettre en place des garde-fous autour de vos et vos outils natifs afin d'empêcher les applications d'interagir de manière non approuvée avec d'autres applications et les puissants outils natifs. Le ThreatLocker vous permet d’atténuer les risques associés aux attaques LOTL.  

 

Bien qu'il n'y ait aucun produit ne peut à ce jour prévenir ou atténuer tous les risques, le ThreatLocker plateforme de protection des terminaux vous offre de nombreux outils pour vous aider à garder le contrôle de votre environnement. Réservez une démonstration en direct du produit dès aujourd'hui et découvrez par vous-même comment ThreatLocker protège contre les attaques LOTL et atténue d'autres vulnérabilités informatiques. 

 

Cet article est sponsorisé.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Obtenez une démo Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est un engagement envers des conditions flexibles, un partage des risques et un soutien dédié à votre entreprise.

Explorer Partner First Pledge

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Le cloud ou l'infrastructure sur site : le grand débat informatique

Le cloud a représenté une avancée spectaculaire dans le domaine de l'informatique. Du point de vue de l'utilisateur final, des outils tels que Gmail stockent vos

Lire l'article de blog