De nombreux vecteurs d’attaques cybercriminelles intègrent des fonctions de contournement des contre-mesures de détection et d’éradication. « Les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter », explique Fortinet dans son dernier rapport des menaces.
Le dernier rapport trimestriel de sécurité Global Threat Landscape Report publié par Fortinet, montre une augmentation de 4 % des activités cybercriminelles d’une années sur l’autre. Mais, hormis l’augmentation numéraire des attaques, le rapport montre que les cybermalfaiteurs cherchent constamment de nouvelles techniques de contournement des contre-mesures.
« Cette étude révèle que les cybercriminels continuent à rechercher de nouvelles opportunités d’effraction sur l’ensemble de la surface d’attaque et qu’ils utilisent des techniques évasives et de contournement des analyses antimalware pour mener leurs attaques de manière plus sophistiquée et furtive », explique le rapport.
Hormis, cette augmentation, le rapport met en lumière certaines techniques d’évitement des outils d’attaque qui deviennent de plus en plus sophistiqués. « Parmi les exemples courants de ces techniques d’anti-analyse, citons les routines qui permettent aux logiciels malveillants de détecter quand ils s’exécutent dans un environnement bac à sable ou un émulateur, les fonctions de désactivation des outils de sécurité sur un système infecté et l’utilisation de données indésirables pour rendre le désassemblage difficile », détaille le rapport.
Une macro aussi malveillante que « futée »
Ce dernier cite en exemple une récente attaque par macro observée lors d’une importante campagne de spam au Japon au dernier trimestre. La campagne impliquait l’utilisation d’un courriel d’hameçonnage avec une pièce jointe qui, dans ce cas, s’est avéré être un document Excel piégé avec une macro malveillante. « Notre analyse a montré que la macro avait des attributs pour désactiver les outils de sécurité, exécuter des commandes arbitrairement, causer des problèmes de mémoire, et s’assurer qu’elle ne fonctionne que sur des systèmes japonais ».
Comme beaucoup d’autres logiciels malveillants, cette macro « malintentionnée » a été conçue pour s’assurer que l’environnement dans lequel elle est exécutée n’est pas un bac à sable ou un émulateur. Elle recherche certains fichiers spécifiques à Excel dans plusieurs endroits au cours de l’exécution pour s’assurer qu’elle tourne bien dans un environnement Office Excel et non dans un environnement factice. La macro « recherchant en particulier la variable xlDate était quelque chose que nous n’avions jamais observé auparavant dans d’autres logiciels malveillants. Il est intéressant de noter que l’attaque n’est, semble-t-il, pas documentée dans la nomenclature de Microsoft, ou du moins, nous n’avons pas été en mesure de la trouver », s’étonne le rapport.
Déployer différentes couches de protection
Les techniques d’évitement comme celles-ci ne sont pas nouvelles, mais leur utilisation semble en augmentation. En juin, les chercheurs en sécurité ont repéré une nouvelle variante du cheval de Troie bancaire Dridex qui a réussi à contourner plusieurs outils antivirus traditionnels en utilisant des Dll 64 bits avec des noms de fichiers de type Exécutables Windows. « Les noms de fichiers et les hachages associés changeaient chaque fois que la victime se connectait, ce qui rendait difficile la création d’une base de signatures des outils antivirus pour détecter les logiciels malveillants sur les systèmes hôtes infectés », détaille le rapport.
La variante Dridex du mois de juin a également profité d’une faiblesse connue de l’Utilitaire Windows Management Instrumentation Command-line (WMIC) pour contourner les mesures de whitelisting des applications et exécuter du code VBS malveillant intégré dans un fichier XSL.
« L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces », conclut Fortinet dans son rapport.
Source : Fortinet