Sélection de la langue

Bulletin de sécurité maliciel sans fichier

Numéro : AV19-151
Date : 17 juillet 2019

Introduction

Le Centre pour la cybersécurité a appris qu’une campagne d’attaques par maliciel sans fichier ciblant les utilisateurs de Microsoft Windows prenait de l’ampleur. Le maliciel Astaroth est un logiciel malveillant bien connu qui vole de l’information sensible, comme les justificatifs d'identité et d’autres données, et qui enregistre les frappes au clavier. Comme il réside uniquement dans la mémoire, il est beaucoup plus difficile à détecter que les maliciels conventionnels.

Le présent bulletin vise à mieux faire connaître cette situation afin d’améliorer la détection et l’identification des maliciels sans fichier, y compris Astaroth. Il donne un aperçu de ce type de maliciel, des vecteurs d’infection courants et des mesures d’atténuation possibles.

Aperçu

Les maliciels sans fichier ont été découverts dans la nature pour la première fois au début des années 2000. Plusieurs chercheurs en cybersécurité estiment que les auteurs de menace continuent de les privilégier, car ils sont peu visibles et permettent de contourner les mesures de sécurité courantes. Ce type de maliciel utilise souvent les applications par défaut pour masquer ses activités malveillantes. De plus, le fichier exécutable responsable de l’infection n’est généralement pas conservé sur le disque dur du système. Bien qu’il soit impossible de prévenir toutes les infections, les organisations peuvent se protéger contre ce type d’attaque en mettant en œuvre des pratiques de sécurité des TI rigoureuses qui, ensemble, permettront de réduire les risques d’attaque par maliciel sans fichier.

Analyse de l’infection

La source de l’infection est souvent un utilisateur amené par la ruse à ouvrir un fichier infecté ou à visiter un site Web malveillant. Bien qu’il s’agisse du vecteur habituel des attaques par maliciel, dans ce cas ci, la charge de virus ne crée pas de fichier sur le disque dur du dispositif. Elle réside plutôt uniquement dans la mémoire. La prochaine étape de l’attaque peut varier, mais le maliciel sans fichier tentera généralement de créer des entrées dans le registre du dispositif pour assurer sa persistance, ou encore de charger des processus courants, tels que PowerShell ou Windows Management Instrumentation (WMI). Le maliciel pourrait ensuite tenter de se propager aux dispositifs connectés au dispositif infecté, de télécharger d’autres maliciels sur le dispositif infecté, de télécharger des scripts et de les exécuter.

Vecteurs d’infection possibles

  1. Support physique
    Vecteur d’attaque : Un utilisateur connecte un dispositif ou un support infecté à un autre dispositif.
  2. Piratage psychologique (hameçonnage)
    1. Liens infectés
      Vecteur d’attaque : Un utilisateur clique sur un lien dans un courriel qui le dirige vers un site Web malveillant.
    2. Pièces jointes infectées
      Vecteur d’attaque : Un utilisateur clique sur un lien dans un document qui le dirige vers un site Web malveillant.
  3. Application Web
    Vecteur d’attaque : Un auteur de menace exploite une vulnérabilité sur un site Web pour injecter et exécuter du code sur le dispositif de tout utilisateur qui visite le site Web en question.

Mesures d’atténuation possibles

  1. Gérer les correctifs et les mises à jour, notamment en se tenant au courant des nouvelles versions d’applications et des bulletins de sécurité publiés par les fournisseurs.
  2. Établir un environnement de défense TI à couches multiples fondé notamment sur la sécurisation renforcée des points d’extrémité et la désactivation des applications et services non essentiels.
  3. Améliorer la sensibilisation des utilisateurs, notamment en les encourageant à signaler toute activité suspecte et en leur offrant de la formation sur la cybersécurité.
  4. Gérer les journaux, y compris l’examen périodique des journaux système et des journaux de serveur, et la réalisation d’audits périodiques.

Autres ressources

Pour en savoir plus sur les contrôles de cybersécurité de base :

https://cyber.gc.ca/sites/default/files/publications/Contr%C3%B4les%20de%20cybers%C3%A9curit%C3%A9%20de%20base%20pour%20les%20petites%20et%20moyennes%20organisations.pdf

Pour en savoir plus sur la protection de vos données :

https://cse-cst.gc.ca/fr/top10

Avis de non-responsabilité

Les conseils et les lignes directrices contenues dans le présent bulletin ne sauraient être exhaustifs et complets, car c’est aux propriétaires de systèmes qu’il incombe ultimement d’assumer les risques de cybersécurité qui menacent leurs systèmes de technologie de l’information.

Note aux lecteurs :

Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Date de modification :