Selon les chiffres, seulement 20 % des entreprises déchiffrent et analysent le trafic HTTPS. C’est pourtant l’un des vecteurs de prolifération des attaques qui augmente le plus dans le paysage de la cybersécurité.
L’introduction de HTTPS a été une étape cruciale pour sécuriser les connexions internet, permettant des communications chiffrées entre les utilisateurs et les sites web. Des millions de certificats TLS sont actuellement utilisés sur le web. Leur objectif est de permettre à un navigateur de vérifier qu’il communique avec le bon site web. Cette précaution interdit toute attaque de type « man in the middle ». Les attaquants ne peuvent donc pas détourner la connexion, à moins qu’ils ne soient en mesure d’obtenir un certificat valide pour ce domaine. Et c’est précisément ce genre d’attaque qui s’est multipliée ces derniers mois.
Le dernier rapport trimestriel sur la sécurité internet de WatchGuard constate une augmentation spectaculaire du nombre de maliciels diffusés via des connexions chiffrées HTTPS. Au deuxième trimestre 2021, 91,5 % des logiciels malveillants ont été propagés via une connexion chiffrée, « ce qui représente une augmentation spectaculaire par rapport au trimestre précédent », affirme le rapport. « C’est une mauvaise nouvelle pour les administrateurs informatiques qui n’exploitent pas les capacités de décryptage TLS de leurs Firebox ou de leurs contrôles de sécurité réseau. Si vous ne décryptez pas les connexions web pour les analyses de sécurité, vos contrôles réseau manqueront la plupart des logiciels malveillants arrivant au deuxième trimestre », prévient l’éditeur.
Ils désactivent les contrôles de sécurité via PowerShell
L’équipe du Threat Lab de WatchGuard a analysé les données provenant du Firebox Feed de WatchGuard, des renseignements sur les menaces internes et partenaires, ainsi que d’un honeynet (réseau de « pots de miel ») de recherche, afin de fournir une analyse des principales menaces sur internet. Ce trimestre, deux variantes des logiciels malveillants, XML.JSLoader et AMSI.Disable.A, ont représenté plus de 90 % des détections de logiciels malveillants sur des connexions web sécurisées, et 12 % des détections de Gateway AntiVirus en général.
Par ailleurs, l’étude met en lumière une augmentation inquiétante du volume de maliciels sans fichier, une croissance spectaculaire des rançongiciels (WatchGuard estime que le volume d’attaques par rançongiciels aura augmenté de 150 % en 2021 par rapport à 2020), et des attaques réseau, entre autres.
Détaillant le modus operandi des malfaiteurs du net, les chercheurs ont trouvé que les logiciels malveillants utilisent des outils PowerShell pour contourner les protections, y compris les plus robustes. AMSI.Disable.A est apparu dans la section des maliciels de WatchGuard pour la première fois au premier trimestre connaissant immédiatement une forte progression au cours du trimestre, pour atteindre la deuxième place de la liste en termes de volume et la première place pour l’ensemble des menaces chiffrées. Cette famille de malwares utilise des outils PowerShell pour exploiter diverses vulnérabilités de Windows.
Des manœuvres évasives « intéressantes »
Mais ce qui la rend particulièrement « intéressante », c’est sa technique d’évasion », explique le rapport. WatchGuard a découvert que AMSI.Disable.A manie un code capable de désactiver l’interface d’analyse antimaliciels (AMSI) dans PowerShell, ce qui lui permet de contourner les contrôles de sécurité des scripts avec sa charge utile malveillante sans être détecté.
Une autre menace semble monter en flèche parmi les modes utilisés : « les attaques sans fichier deviennent encore plus évasives », prévient le rapport. Au cours des six premiers mois de l’année 2021, les détections de logiciels malveillants provenant de moteurs de script comme PowerShell ont déjà atteint 80 % du volume total des attaques initiées par script de l’année dernière, ce qui représente une augmentation substantielle par rapport à l’année précédente. « Au rythme actuel, les détections de logiciels malveillants sans fichier en 2021 sont en passe de doubler en volume par rapport à l’année précédente », conclut le rapport.