Explication des attaques de logiciels malveillants sans fichier (avec exemples)
Un malware est un logiciel malveillant qui agit à l'encontre des intérêts de l'ordinateur qui l'héberge. Les virus, vers et chevaux de Troie sont tous types de logiciels malveillants . La manière standard par laquelle un appareil est infecté par un logiciel malveillant consiste à copier un programme exécutable sur la machine de la victime. Ce fichier est souvent déguisé en un format de fichier différent tel qu'un PDF ou un JPEG, ou il est caché dans un fichier porteur comme un fichier zip compressé.
Les logiciels malveillants sans fichier sont-ils un virus ?
Lorsque le malware est exécuté, les instructions du fichier sont chargées en mémoire. C’est ce processus actif qui cause les dégâts. Les logiciels malveillants sans fichier sont identiques aux virus traditionnels dans la mesure où il s’agit d’un processus qui opère en mémoire. La différence entre ce nouveau type de malware et les virus traditionnels est que le code du malware sans fichier n'est pas stocké dans un fichier ni installé sur la machine de la victime . Les logiciels malveillants sans fichier se chargent directement dans la mémoire sous forme de commandes système et s'exécutent immédiatement. Souvent, il continuera à fonctionner jusqu’à ce que le périphérique hôte soit mis hors tension : mettre un ordinateur en mode veille ne tuera pas le processus malveillant. La grande majorité des logiciels malveillants sans fichier ciblent les ordinateurs Windows.
Voir également: Guide complet de suppression et de prévention des logiciels malveillants Windows
Origines des logiciels malveillants sans fichier
Personne ne sait qui a inventé le concept de malware sans fichier. Cependant, ce type d'exploitation est apparu pour la première fois en 2017. Les premiers exemples de ce malware étaient Frodon, Number of the Beast et The Dark Avenger.
La signification de « sans fichier »
Bien que le modèle sans fichier soit nouveau, il s’appuie sur des techniques standards de malware utilisées depuis les années 1990. Il serait difficile de charger un programme en mémoire sans aucun fichier. Le fonctionnement proprement dit de l'installation est géré par un programme distinct, qui implique un fichier. La stratégie consistant à regrouper des programmes malveillants spécialisés est une pratique courante dans l’architecture des chevaux de Troie.
Cependant, le système sans fichier n’implique pas de deuxième programme téléchargé par un installateur de malware. Au lieu de cela, les programmes résidents et fiables s’exécutent d’une manière qui les rend malveillants. Le service informatique qui a rendu possible les logiciels malveillants sans fichier est PowerShell de Microsoft.
Pourquoi maintenant?
Les attaques de logiciels malveillants sans fichier sont devenues plus répandues depuis 2017 grâce à la création de kits d'attaque intégrant des appels à PowerShell. Ces kits sont des environnements de création de virus. Les frameworks sans fichier incluent Empire et PowerSploit . Ces kits créent la phase d'intrusion d'une attaque. Les cadres d'attaque qui créent des scripts PowerShell intrusifs et dommageables pour une diffusion ultérieure incluent Métasploit et CobaltStrike.
La méthode standard de création d’attaques sans fichier a connu une explosion de ce type de malware. Le Rapport sur l'état des risques liés à la sécurité des points finaux du Ponemon Institute on estime que 77 % des attaques détectées en 2017 étaient sans fichier. Les auteurs du rapport estiment que les attaques sans fichier sont dix fois plus de succès que les attaques basées sur les fichiers.
Un plus récent rapport a montré une augmentation de 888 % de la détection des logiciels malveillants sans fichier en 2020.
À propos de PowerShell
PowerShell est un interpréteur de script. Un script est un ensemble de commandes qui peuvent être exécutées individuellement en les saisissant . Cependant, lorsque vous écrivez un fichier texte brut contenant une série de commandes du système d'exploitation, ça devient un script . Un script ne fera rien si vous cliquez simplement dessus. Dans son état de base, le script est simplement un fichier texte brut. Plutôt , vous devez passer le script en paramètre à un programme interpréteur . L'interpréteur lit ensuite le fichier et exécute chaque commande qu'il contient.
Le programme PowerShell s'exécute dans la mémoire système qui ne peut pas être interrogée ou recherchée, de sorte que rend les activités PowerShell malveillantes presque impossibles à détecter . PowerShell a un accès complet au système d'exploitation principal d'un ordinateur Windows, donc cela peut faire des ravages totals car en sapant toutes les fonctionnalités de sécurité, telles que les comptes d'utilisateurs . Il peut même manipuler la définition des comptes d'utilisateurs et la protection par mot de passe.
Dois-je supprimer Powershell ?
PowerShell est très utile et il est largement utilisé par de nombreux programmes standards, notamment les utilitaires Microsoft . Le programme peut être exécuté à distance et peut également exécuter des commandes sur d'autres ordinateurs auxquels l'ordinateur hôte est connecté via un réseau ou Internet. Les fonctions d'exécution à distance de PowerShell sont en réalité gérées par un autre outil natif de Windows, appelé WinRM. . Les routines PowerShell ne sont pas bloquées par les pare-feu ou les programmes antivirus, car elles sont omniprésentes dans les environnements informatiques modernes et leur blocage entraînerait l'arrêt d'une grande partie de l'activité réseau.
Un autre programme natif pouvant être utilisé pour des attaques sans fichier est le Instrumentation de gestion Windows (WMI) . L'utilisation de WMI consiste à transmettre des commandes vers PowerShell. Un exemple de fonction utile que WMI peut exécuter pour un pirate informatique sans fichier est la possibilité de réveiller WinRM s'il a été désactivé sur une machine. WMI permet également au pirate informatique d'accéder au registre d'un ordinateur.
Nous avons couvert PowerShell plus en détail dans notre Aide-mémoire PowerShell article.
Exécution de logiciels malveillants sans fichier
Le programme d’installation qui démarre les logiciels malveillants sans fichier n’a pas besoin de résider longtemps sur un ordinateur. Il ne devrait pas perdurer sur le périphérique hôte. Au lieu de cela, une méthode de livraison courante pour lancer des programmes malveillants sans fichier consiste à utiliser des pages Web.
Lancements sur le Web
Une page Web est écrite en HTML. Il s'agit simplement d'un langage de formatage sans capacités de programmation. Donc, un certain nombre de langages de script sont apparus qui permettent d'exécuter des fonctions de programme dans des pages Web . JavaScript est un exemple de langage de script Web. Il est tout à fait normal qu'une page Web inclue du JavaScript, et les programmes anti-malware tentent rarement de l'analyser.
Le JavaScript qui crée des logiciels malveillants sans fichier fait appel à PowerShell et lui transmet une série de commandes. Chaque commande s'exécute en mémoire sans avoir à parcourir un fichier sur le disque . Une fois toutes les commandes exécutées, le JavaScript ferme la fenêtre PowerShell et il n'y a aucune trace de l'exécution d'un script. Bien que le code de la page Web soit temporairement stocké sur le disque pendant son chargement dans le navigateur, lorsque cette page Web est fermée, le code qui l'a créée est effacé .
Autres transporteurs
Un autre support courant de logiciels malveillants sans fichier est le système de lecture vidéo Flash. Les macros des outils Microsoft Office peuvent également être utilisées par les pirates pour diffuser des logiciels malveillants sans fichier.
Le fait que les dégâts causés par les logiciels malveillants sans fichier soient causés par des instructions envoyées à des programmes natifs, plutôt que par du code malveillant, donne à ce type d'intrusion le nom de « attaque non malveillante .»
Persistance des logiciels malveillants sans fichier
Lorsque vous éteignez un ordinateur, tous les processus actifs s'arrêtent. Les processus qui sont des services du système d'exploitation sont redémarrés lorsque vous allumez l'ordinateur . Vous devez attendre un certain temps entre le clic sur le bouton d'alimentation de votre ordinateur et le moment où le bureau est chargé et vous pouvez commencer à ouvrir des applications. Même une fois le bureau prêt, vous remarquerez que votre ordinateur est toujours très occupé car il continue de démarrer des processus en arrière-plan.
Scripts de persistance
Les logiciels malveillants sans fichier écrivent leur script dans le registre de Windows. Il s'agit d'une fonction du système d'exploitation qui lance des programmes soit au démarrage du système, soit selon un calendrier. . Le code qui exécute le malware sans fichier est en réalité un script. Un script est une liste de commandes en texte brut, plutôt qu'un fichier exécutable compilé.
Il n’est pas nécessaire de stocker de courtes listes d’instructions dans un fichier. Cependant, les scripts plus longs et plus compliqués sont stockés pour être relancés au démarrage du système. Dans ces cas, bien que le programme soit classé comme « sans fichier », un fichier est en réalité impliqué.
Identificateurs de processus
Comme le malware sans fichier lance des programmes natifs du système d'exploitation au lieu de son propre programme, les opérations de ces instructions n'apparaissent pas dans Gestionnaire des tâches sous le nom du programme malveillant. Au lieu de cela, toute personne examinant les processus actifs verra le nom de l'interface qui a géré le lancement du script, comme PowerShell, puis verra les processus courants fonctionnant sous leur propre nom.
Exemples d'attaques de logiciels malveillants sans fichier
Le phénomène des logiciels malveillants sans fichier est relativement récent et il n’existe donc pas encore beaucoup d’exemples. Voici cependant quelques-unes des attaques qui ont eu lieu depuis 2017.
Frodon
Bien que Frodon ne soit pas vraiment un virus sans fichier, il est inclus dans cette liste car il est considéré comme l’un des précurseurs du genre. L'aspect du virus qui le distingue comme précurseur des logiciels malveillants sans fichier est qu'il s'est chargé dans le secteur de démarrage d'un ordinateur.
Frodon a été découvert en octobre 1989 . C'était relativement inoffensif dans la mesure où il s'agissait d'une farce plutôt que d'un morceau de code destructeur. Son but était de flasher le message « Frodon vit ' sur l'écran de l'ordinateur infecté. Cependant, le programme était si mal écrit qu’il risquait d’endommager accidentellement son hôte.
Le vengeur noir
Il s'agit d'un autre précurseur de la méthodologie des virus sans fichier, et il a été découvert pour la première fois en septembre 1989. Ce virus nécessitait un fichier comme système de transmission, mais opérait ensuite en mémoire.
Son objectif était d'infecter les fichiers exécutables chaque fois qu'ils étaient exécutés sur un ordinateur infecté. Il infecterait même les fichiers chaque fois qu'ils seraient copiés . Le créateur de ce virus est devenu connu sous le nom de Dark Avenger.
Majeur 2.0
Kaspersky Labs, basé à Moscou, est devenu l'un des principaux producteurs de logiciels anti-malware au monde. En 2015, ils ont découvert l'une des premières infections de logiciels malveillants sans fichier attaquant leur propre système informatique. .
Ce virus a été nommé Majeur 2.0 par les chercheurs de Kaspersky, qui ont calculé que le virus n'avait pas été détecté sur le réseau pendant au moins six mois. Les caractéristiques de Duqu 2.0 l'ont identifié comme une variante de Stuxnet, créé par les services secrets américains et israéliens.
Opération Cobalt Kitty
Il s’agissait d’une menace avancée et persistante qui a duré au moins un an avant d’être mise en œuvre. détecté en mai 2017 .
Le malware a été exécuté sur le système d’une société asiatique et les scripts PowerShell impliqués ont pu communiquer avec un serveur de commande et de contrôle externe. Cela lui a permis de lancer une série d’attaques, parmi lesquelles le virus Cobalt Strike Beacon.
Mètre-interprète
Le programme Meterpreter a trouvé sa place dans la mémoire des ordinateurs de plus de 100 banques réparties dans 40 pays en février 2017. Meterpreter est un élément intégré du kit malveillant, appelé Metasploit .
Cette attaque visait à contrôler les distributeurs automatiques de billets et à faciliter un vol d'argent liquide. La découverte du logiciel malveillant a déjoué les tentatives de braquage dans tous les pays sauf un. En Russie, des pirates ont réussi à contrôler les distributeurs automatiques de huit succursales bancaires et à retirer 800 000 dollars. . Kaspersky Labs a découvert cette attaque furtive lorsqu'une banque infectée l'a appelé pour enquêter sur l'intrusion.
UIWIX
L’attaque du ransomware WannaCry en mai 2017 a suscité une large couverture médiatique. UIWIX a été déployé peu de temps après, mais avec moins de succès. UIWIX utilise le même exploit que WannaCry, appelé Eternal Blue. Cependant, il dispose d'un système d'exécution sans fichier . La publicité qui a entouré le déploiement de WannaCry a incité Microsoft à proposer un correctif qui corrigeait une faiblesse de la version XP de Windows.
L'urgence avec laquelle les propriétaires de machines XP ont mis fin à cet exploit en installant le correctif signifiait qu'il restait peu d'ordinateurs vulnérables au moment du lancement d'UIWIX. UIWIX est un exemple de la façon dont Bleu éternel est de plus en plus utilisé dans les attaques sans fichier. Il s'agit d'une attaque contre rançon avec des demandes écrites en anglais. Le programme ne fonctionnera pas en Russie, au Kazakhstan ou en Biélorussie.
Je veux le mien
L’exploit Eternal Blue est également utilisé par les pirates mineurs de crypto-monnaie et dirigé vers les grands serveurs d’entreprises. Ce malware sans fichier exploite la crypto-monnaie sur l'ordinateur hôte .
Grâce au caractère furtif du modèle sans logiciel malveillant, bon nombre de ces infections persistent pendant des mois. Le virus a été repéré pour la première fois en mémoire sans aucune trace d'un programme basé sur un fichier à la mi-2017, et de nouvelles infections sont en cours. Le but de WannaMine est la création de Monéro .
Misfox
Misfox a été identifié pour la première fois par l'équipe Microsoft Incident Response en avril 2016 . Misfox utilise les techniques classiques sans fichier pour exécuter des commandes via PowerShell et obtenir la persistance grâce à une infection du registre.
Les créateurs de Misfox ont eu la malchance de faire repérer leur malware par une équipe clé de sécurité de Microsoft. . Cela a conduit Microsoft à regrouper une solution à ce malware dans Windows Defender.
Tendances des logiciels malveillants sans fichier
Bien qu'il y ait eu une augmentation marquée du nombre d'attaques de logiciels malveillants sans fichier début 2017, le succès de cette technique semble faiblir . L’essor de 2017 est dû à la découverte et à la définition de la technique et à sa formulation dans des boîtes à outils pour hackers, ce qui a rendu la méthodologie facile à mettre en œuvre.
Cycle de vie des logiciels malveillants
Le manque flagrant de succès d'UIWIX par rapport à son prédécesseur immédiat WannaCry le montre les techniques de piratage les plus efficaces sont les nouvelles. La rapidité avec laquelle le secteur de la cybersécurité s’empresse désormais de déjouer les exploits réduit considérablement la durée de vie des nouveaux virus et méthodes d’infection.
Réponse de la défense
Bien que les logiciels malveillants sans fichier sont plus difficiles à détecter que les infections traditionnelles basées sur des fichiers , le ciblage spécifique des services Windows a posé un défi à Microsoft, et ils ont pleinement relevé ce défi. La réponse aux attaques sans malware est venue de Microsoft lui-même plutôt que de l’industrie anti-malware.
Les processus système utilisés par les logiciels malveillants sans fichier sont si essentiels aux systèmes d'exploitation Microsoft et aux développeurs de logiciels Windows qu'ils ils ne peuvent pas être désactivés sans perdre la plupart des capacités logicielles de l’infrastructure informatique d’une entreprise .
Donc, Microsoft a mis à niveau son package Windows Defender pour détecter les activités irrégulières de PowerShell et WMI . Le réglage fin de Windows Defender a permis à Microsoft de doubler le nombre d'incidents bloqués par le pare-feu au deuxième trimestre 2017 par rapport au trimestre précédent. Ce succès contre Misfox permettrait également de piéger d’autres virus exploitant PowerShell.
Développements de défense Windows
Microsoft a créé toute une gamme de produits de support commercial sous le nom générique Microsoft 365 . Cette suite regroupe des mesures de sécurité améliorées ainsi qu'une version mise à jour de Microsoft Office .
Étant donné que les logiciels malveillants sans fichier attaquent presque exclusivement Windows, il s’agit d’un problème Microsoft et la réponse de l’entreprise devrait rapidement réduire la menace d’attaques sans logiciel malveillant.
Comment arrêter les logiciels malveillants sans fichier
La principale défense contre tout type de malware est de maintenir votre logiciel à jour. Étant donné que Microsoft a pris des mesures très actives pour bloquer l'exploitation de PowerShell et de WMI, l'installation de toutes les mises à jour de Microsoft devrait être une priorité.
Ne tuez pas JavaScript
Bien que JavaScript est un canal majeur pour les logiciels malveillants sans fichier , le désactiver dans les navigateurs n’est pas vraiment une solution à long terme au problème des logiciels malveillants. En effet, la plupart des JavaScript apparaissent dans les pages Web pour une raison. Si vous le bloquez en gros, vous constaterez que de nombreuses pages Web que vous visitez sont soit vides, soit des éléments manquants. Une autre raison pour laquelle filtrer JavaScript ne sera probablement pas utile est que il existe également un interpréteur JavaScript intégré à Windows et qui peut être appelé depuis une page Web sans avoir besoin de JavaScript.
Les autres mesures que vous pouvez prendre pour bloquer l’intrusion de logiciels malveillants sans fichier sont :
1. Définir des politiques de messagerie
Avertissez les employés de ne pas cliquer sur les liens contenus dans les e-mails. Attirer quelqu'un au sein du réseau pour un site Web contenant le code malveillant est le moyen le plus simple d’installer des logiciels malveillants sans fichier sur un ordinateur Windows.
Mettez également en garde les travailleurs contre l’ouverture de pièces jointes dans des e-mails qui ne proviennent pas de sources fiables. Deux types de documents sont particulièrement dangereux :
- Documents Microsoft Office
Bien que le format PDF est largement utilisé en entreprise , c'est également un excellent moyen de propagation de logiciels malveillants de tous types. Les logiciels malveillants sans fichier sont aidés par la possibilité de charger immédiatement des fichiers PDF dans les navigateurs. plutôt que de les télécharger. Ces fichiers PDF peuvent être livrés sous forme de pièces jointes à un courrier électronique ou sous forme de « livres blancs » disponibles sur des sites Web.
Si un PDF est téléchargé avant son ouverture, votre pare-feu a la possibilité de détecter tout code malveillant qu'il contient. Aussi, l'un des problèmes liés au traçage d'une attaque sans fichier est de déterminer d'où elle provient . Si le fichier est téléchargé, il est disponible pour analyse ultérieure. C'est préférable à la disparition d'un code malveillant qui ne laisse aucune trace de son existence une fois l'onglet de visualisation PDF dans le navigateur fermé.
Désactivez la capacité des fichiers PDF à charger dans les navigateurs. Tu devrais aussi empêcher vos lecteurs PDF d'activer JavaScript .
Macros Microsoft Office
L'utilisation de Macros Microsoft Office pour propager des logiciels malveillants est bien connu dans la communauté de la cybersécurité. Les logiciels de productivité Microsoft sont désormais livrés avec les fonctionnalités de macro désactivées. Les employés à qui l'on envoie des pièces jointes au format Word ou Excel peuvent être tentés d'activer les macros lorsqu'ils y sont invités.
Une attaque de macro n’est pas vraiment un canal de malware sans fichier. Cependant, la disponibilité en ligne des produits Microsoft, notamment des visionneuses de documents de productivité pour ceux qui ne possèdent pas la suite Office, crée des opportunités pour exécuter des macros dans le navigateur et lancer des appels vers PowerShell ou WMI .
Sensibilisation des employés
Expliquez aux employés qu'ils doivent n'activez jamais les macros Microsoft Office dans aucun document . Bien que les macros soient idéales pour automatiser des tâches, elles sont devenues un tel danger potentiel qu'il est préférable de trouver d'autres méthodes pour générer des formulaires et des documents. Il est préférable que vos collaborateurs ne se familiarisent pas avec la possibilité d'exécuter des macros dans des documents.
2. Désactivez Flash
Tout comme son homologue d'Adobe, PDF, le système de diffusion de vidéos Web Flash est devenu connu comme une fonctionnalité adaptée aux logiciels malveillants dans une page Web . La plupart des sites Web ont déjà supprimé Flash et l'ont remplacé par HTML5 pour l'inclusion vidéo. Par conséquent, il n’est pas très difficile d’empêcher ce système d’apparaître dans vos navigateurs.
Actions du navigateur
Microsoft Bord n’acceptera pas le code Flash, donc si tel est votre navigateur préféré, vous n’avez rien à faire. Les deux Firefox et Chrome vous donnent la possibilité de bloquer Flash dans leurs écrans de paramètres et Internet Explorer ne chargera pas Flash si vous désactivez ActiveX .
En savoir plus ici sur pourquoi Flash n'est pas sécurisé .
3. Interdire l’utilisation personnelle des ressources de l’entreprise
Introduisez une politique interdisant aux employés d’utiliser les ordinateurs de l’entreprise pour accéder à leur messagerie personnelle ou à des sites de loisirs. Cela peut être impopulaire, mais vous pouvez créer un réseau wifi distinct qui permet aux employés d'utiliser des appareils personnels afin de pouvoir accéder à Internet pendant les périodes de pause.
Relations industrielles
De tels services sont populaires auprès des travailleurs et éliminent la tentation du personnel d'enfreindre les règles et d'essayer d'accéder à Internet via le réseau principal de l'entreprise. Le réseau « pour usage propre » peut être complètement séparé du système principal de l'entreprise. pour réduire le risque d’infection croisée. Mettre en place un système wifi séparé et payer pour un autre forfait Internet coûte bien moins cher que les pertes que vous pourriez subir en cas d’attaque de malware .
4. Protégez vos navigateurs
Créez une stratégie de bureau qui n'autorise qu'un seul type de navigateur sur les bureaux de l'entreprise. Installez ensuite la protection du navigateur sur chaque ordinateur. Microsoft produit Protection des applications Windows Defender . Ceci fait partie d'Office 365 et a été écrit avec procédures spécifiques pour se protéger contre les attaques de logiciels malveillants sans fichier . Cette protection couvre uniquement Internet Explorer et Microsoft Bord .
scribe à vent
Si vous décidez d'utiliser Firefox ou Chrome comme navigateur de bureau, puis installez l'extension Windscribe sur chaque navigateur. Cet utilitaire examinera chaque page Web chargée par le navigateur et bloquera toute page contenant du code malveillant. L'extension est principalement un VPN. Cependant, tant que l'extension est installée, la protection du navigateur reste active même si le VPN est désactivé. L'extension dispose également d'une fonctionnalité facultative qui supprimera les boutons « J'aime » des réseaux sociaux. . Ces boutons représentent un risque pour la sécurité et peuvent également contenir du code, qui pourrait potentiellement être un vecteur à charger dans les instructions PowerShell.
5. Renforcer l'authentification des utilisateurs
Microsoft suggère que la propagation des logiciels malveillants sans fichier n'est pas causée par l'existence de PowerShell, mais plutôt par l'existence de PowerShell. c'est le résultat d'une faible authentification des utilisateurs sur les réseaux et les serveurs de l'entreprise . Une attaque non malveillante se propage sur tout le réseau si elle est installée sur un ordinateur dont l'utilisateur dispose de droits d'accès de haut niveau à un grand nombre de ressources du système informatique. Le Chaton Cobalt les logiciels malveillants ont pénétré dans le système en ciblant les directeurs et les administrateurs d'infrastructure de l'entreprise victime. Ces superutilisateurs ont tendance à avoir accès à toutes les parties du réseau.
Mot de passe de protection
Employer coffres-forts de mots de passe et créez différents points d'authentification pour chaque équipement ou service du réseau. Vous devriez également envisager de mettre en œuvre authentification à deux facteurs cela nécessite un gadget physique générateur de code pour fournir une deuxième couche de mot de passe que les logiciels malveillants ne peuvent pas émuler.
Problèmes de logiciels malveillants sans fichier
Les logiciels malveillants sans fichier sont une méthode relativement récente d’intrusion de pirates informatiques dans un réseau. C'est inquiétant parce que c'est nouveau et il y a peu de personnes dans la communauté de la cybersécurité qui possèdent les connaissances et l'expérience nécessaires pour résoudre ce problème. . En fait, l’industrie traditionnelle de la lutte contre les logiciels malveillants semble avoir continué à négliger cette méthodologie.
Faille antimalware
L'ensemble du système opérationnel des programmes antimalware est basé sur la vérification des fichiers . Ainsi, le passage à un système sans fichier a été une décision très intelligente de la part de pirates informatiques qui ont pris au dépourvu les procédures antivirus traditionnelles. Bien que les fabricants d'antivirus aient du mal à réinventer leurs stratégies, Microsoft n'a pas hésité à consacrer des ressources à ce problème et a contribué à réduire le nombre d'attaques réussies sur les ordinateurs Windows.
Développements futurs
Tout de suite, les logiciels malveillants sans fichier attaquent uniquement le système d'exploitation Windows . Cependant, les pirates semblent disposer d’un pipeline standard d’attaques d’écriture pour Windows, puis d’adaptation de ces stratégies pour Mac OS et Linux par la suite. Les attaques Android viennent généralement ensuite et iOS est touché en dernier.
La possibilité de transmettre du code via les navigateurs devrait permettre aux logiciels malveillants sans fichier de s'adapter très facilement à d'autres systèmes d'exploitation. Le seul problème auquel les pirates informatiques sont confrontés lors du portage de cette stratégie d'attaque est la nécessité de découvrir un service équivalent sur Linux et Mac qui correspondra à l'utilité de PowerShell . Le fait qu’ils n’aient pas encore trouvé cette fonctionnalité est probablement dû au fait qu’ils sont actuellement très occupés à exploiter PowerShell.
Préparation du système
La défense numéro un contre les logiciels malveillants sans fichier consiste à maintenir tous vos logiciels à jour. . La deuxième défense consiste à arrêter la faiblesse de sécurité du navigateur, et la troisième action est de informez vos employés sur les sites Web qu’ils visitent et les pièces jointes aux e-mails qu’ils peuvent rencontrer .
Commencez maintenant
La bonne nouvelle est que tout les principales stratégies de défense contre les malwares sans fichier ne coûtent rien à mettre en œuvre . Rien ne devrait donc vous empêcher de mettre en œuvre une politique visant à renforcer les défenses de votre entreprise contre les logiciels malveillants sans fichier.
En rapport:
10 outils gratuits de suppression de virus et de logiciels malveillants
Malware changeur DNS
Images:
Échec de PowerShell par Philippe Stewart autorisé CC BY-SA 2.0
Paramètres du plugin par Demandez à Xmodulo autorisé CC BY-SA 2.0
