Une nouvelle étude de Netskope, spécialiste du SASE, révèle que les hackers développent constamment de nouvelles stratégies pour échapper aux outils de détection et se fondre dans le trafic courant, en utilisant les protocoles HTTP et HTTPS pour diffuser des maliciels.
Au premier trimestre 2023, cinq utilisateurs professionnels sur 1 000 en moyenne ont tenté de télécharger des logiciels malveillants, et les nouvelles familles et variantes de logiciels malveillants représentent 72 % des téléchargements de maliciels. Parmi les codes malveillants les plus répandus, les chevaux de Troie et les téléchargements d’hameçonnage sont les types de maliciels les plus utilisés. Ils représentant respectivement 60 % et 13 % des téléchargements de logiciels malveillants enregistrés au premier trimestre.
Pour réussir la compromission initiale, les hackers utilisent des techniques éprouvées d’ingénierie sociale, telles que les moteurs de recherche et les applications de messagerie instantanée. Une fois dans la place, et pour éviter de se faire repérer, les attaquants utilisent à présent les protocoles HTTP et HTTPS sur les ports 80 et 443 comme principal canal de communication. Les échantillons de maliciels contournent les recherches DNS (DNS lookup) et contactent directement les hôtes distants via leur adresse IP pour échapper aux contrôles de sécurité basés sur le DNS.
Les pirates utilisent diverses techniques
Une fois infiltrés, les pirates utilisent diverses techniques. Ils peuvent recourir à des techniques telles que les algorithmes de génération de domaine (DGA ou domain generation algorithms), le trafic chiffré, l’injection de contenu malveillant, le saut de port et le tunneling HTTP/HTTPS pour éviter d’être détectés par les outils de sécurité et conserver l’accès aux systèmes compromis.Les DGA permettent aux pirates de générer des noms de domaine aléatoires qui pointent vers leurs serveurs de commande et de contrôle (C & C), ce qui rend difficile le blocage ou le filtrage par les outils de sécurité. Les pirates peuvent utiliser des techniques de chiffrement telles que TLS pour éviter d’être détectés par les outils de sécurité du réseau. Les techniques de saut de port ou port hopping et le tunneling HTTP/HTTPS permettent aux pirates de passer d’un port à l’autre et de passer sans être arrêtés à travers les pare-feu et les autres outils de sécurité qui bloquent les ports non standard. Ces techniques leur permettent de communiquer avec leurs serveurs C & C sans être détectés.
Une stratégie de défense à plusieurs niveaux
L’étude conclut également que 55 % des téléchargements de maliciels via HTTP/HTTPS proviennent d’applications cloud, en particulier de Microsoft OneDrive. Le nombre d’applications associées à des téléchargements de maliciels continue d’augmenter, mais la plupart sont utilisées de manière occasionnelle. Enfin, l’étude souligne la nécessité d’adopter une approche transversale de la sécurité pour réduire les risques et protéger les entreprises.Pour faire face à ces manœuvres évasives, les organisations doivent mettre en œuvre une stratégie de défense à plusieurs niveaux qui comprend des outils de sécurité réseau, la sécurité des terminaux et la formation des utilisateurs afin de prévenir et de détecter ces types d’attaques.