El malware sans fichier Il est devenu l'un des plus gros casse-têtes pour les équipes de sécurité et les administrateurs système. Contrairement aux logiciels malveillants classiques, il ne repose pas sur des fichiers exécutables stockés sur le disque, mais plutôt Elle vit presque entièrement dans les souvenirs. De plus, il exploite des processus et des outils système légitimes. Par conséquent, de nombreux antivirus traditionnels, qui analysent principalement les fichiers sur le disque, ne le détecteront même pas.
Pour aggraver les choses, les attaquants combinent des logiciels malveillants sans fichier avec outils d'ingénierie sociale, d'exploitation de failles et d'administration comme PowerShell, WMI ou des scripts Office. Résultat : une attaque très furtive, idéale pour les campagnes d’espionnage, le vol d’identifiants, les ransomwares ou les déplacements latéraux prolongés au sein d’un réseau d’entreprise, ne laissant souvent pratiquement aucune trace.
Qu'est-ce qu'un logiciel malveillant sans fichier exactement ?
Quand on parle de logiciel malveillant sans fichier Nous faisons référence à un code malveillant qui Vous n'avez pas besoin d'ajouter de nouveaux fichiers exécutables au système de fichiers. Pour ce faire, l'attaquant injecte généralement sa charge utile dans des processus déjà en cours d'exécution ou exploite les outils de script et d'automatisation du système d'exploitation lui-même pour exécuter sa logique. RAM de l'ordinateur.
Au lieu de déposer un fichier .exe malveillant classique, ce type de menace Elle vise à corrompre des applications fiables. (PowerShell, WMI, navigateurs, applications Office, etc.) ou en exploitant des fonctions intégrées aux documents (macros, DDE, vulnérabilités des lecteurs PDF). De cette manière, le code malveillant s'exécute via des processus qui apparaissent parfaitement légitimes aux yeux de nombreuses solutions de sécurité.
Une conséquence directe est que Il n'y a pas de « fichier rare » à scanner Il n'existe aucune signature évidente à laquelle le comparer. Le code se charge en mémoire, s'exécute, remplit sa fonction (vol de données, déploiement d'une porte dérobée, chiffrement de fichiers, déplacement sur le réseau…) et disparaît souvent au redémarrage, sauf si l'attaquant a mis en place un mécanisme de persistance.
Il est important de préciser que toutes les attaques sans fichier ne laissent pas de traces complètes sur le disque. Parfois, un document, un script ou une faille de sécurité est présent au départ, mais c'est l'action principale (la partie dangereuse) qui est exécutée. directement de mémoire et essayez de supprimer ou de minimiser les traces dans le système de fichiers.
Caractéristiques et raisons pour lesquelles il est si difficile à détecter
L'une des caractéristiques déterminantes des logiciels malveillants sans fichier est leur exécution entièrement en mémoirece qui complique les choses détecter les processus cachés et les rootkitsLe code malveillant est injecté dans des processus existants ou interprété à partir d'un script et reste en mémoire vive tant que l'ordinateur est allumé. De nombreux mécanismes de détection basés sur le disque ne détectent tout simplement pas ce qui se passe.
Une autre caractéristique importante est que, d'une manière générale, il possède un persistance limitée si aucune autre astuce n'est mise au pointLa mémoire RAM étant volatile, le redémarrage du système élimine cette partie de l'attaque. Les cybercriminels le savent et complètent donc souvent la partie sans fichier par des techniques telles que l'utilisation du Registre Windows, des tâches planifiées ou des abonnements WMI pour garantir un accès continu.
De plus, ce type d'attaque repose sur le concept de « vivre de la terre »En utilisant les outils déjà inclus dans le système (PowerShell, WMI, .NET, utilitaires Windows signés par Microsoft) au lieu d'introduire des binaires externes, l'attaquant… Cela se fond dans l'administration légitime. de l'environnement, un élément qui, dans les grands réseaux d'entreprises, passe idéalement inaperçu pendant des mois.
Tout cela rend les solutions basées sur signatures et listes blanches Leur rôle est assez limité. Si l'antivirus est conçu pour identifier les fichiers exécutables suspects ou bloquer les programmes non autorisés, mais que l'attaque est menée au sein de PowerShell, Word ou d'un processus système, sa marge de manœuvre est considérablement réduite.
Enfin, le artefacts médico-légaux Les traces laissées par les logiciels malveillants sans fichier sont souvent rares ou très discrètes. Il peut s'agir simplement d'une clé de registre anormale, d'un abonnement WMI inhabituel ou de commandes atypiques dans les journaux PowerShell. Sans une politique de journalisation rigoureuse et une surveillance active, ces signaux passent inaperçus.
Vecteurs d'entrée et fonctionnement typique d'une attaque sans fichier
Bien que la partie « sans fichier » se concentre sur la mémoire, l'attaque Cela commence presque toujours de la même manière que n'importe quelle autre intrusion.L'attaque se fait initialement par un vecteur qui ouvre la porte à l'adversaire. Les méthodes les plus courantes restent le courrier électronique et le web, souvent associés à l'ingénierie sociale ou à l'exploitation de vulnérabilités.
Il est très fréquent que la victime reçoive un Document Office avec macros, un fichier PDF contenant du JavaScript malveillant ou un lien dans un courriel d'hameçonnage qui redirige vers un site Web compromis. Lorsqu'on l'ouvre ou qu'on clique dessus, le document exécute une macro ou exploite une vulnérabilité et lance une attaque. Script PowerShell ou commande WMI qui télécharge et exécute directement la charge utile malveillante en mémoire.
Dans d'autres scénarios, l'attaquant tire profit identifiants volés L'objectif est d'accéder à un ordinateur et d'y exécuter des scripts d'administration qui chargent le logiciel malveillant en mémoire sans jamais enregistrer de fichier .exe sur le disque. Il existe également des cas d'attaques 100 % sans fichier, où une vulnérabilité réseau est exploitée (par exemple, dans le protocole SMB), permettant ainsi l'injection d'une porte dérobée directement dans le noyau ou les processus système.
Une fois à l'intérieur, le flux typique se déroule en plusieurs phases : accès initial, établissement de la persistance (Si nécessaire), le vol ou le déplacement latéral de données, et enfin l'exfiltration ou l'exécution d'une autre charge utile (comme un rançongiciel). À chacune de ces étapes, les techniques sans fichier peuvent être combinées à d'autres types de logiciels malveillants pour créer des campagnes extrêmement complexes.
Certaines familles de menaces ont abusé massivement de webshells sur les serveurs Dans certaines attaques, des requêtes HTTP transportent des composants malveillants injectés en mémoire sans laisser de trace sur le disque. Des attaques contre des institutions financières ont également été observées, au cours desquelles PowerShell a été utilisé pour manipuler des processus légitimes et dérober des informations sans laisser de fichiers exécutables suspects facilement détectables par les antivirus.
Outils et techniques les plus utilisés dans les attaques sans fichier
Dans l'écosystème Windows, les attaquants ont constamment recours à PowerShell Grâce à sa puissance et à sa flexibilité, c'est un langage de script très complet, offrant un accès à .NET, WMI, au Registre, aux services réseau, aux fichiers et à pratiquement tous les aspects du système. En quelques lignes de code seulement, vous pouvez télécharger du code depuis Internet, l'exécuter en mémoire et effacer toute trace visible.
Un autre élément clé est WMI (instrumentation de gestion Windows)Avec son équivalent standard, CIM, ces interfaces permettent aux utilisateurs d'interroger et de modifier de nombreux objets système, de déclencher des actions en réponse à des événements spécifiques et de gérer à distance les équipements. Les attaquants les utilisent à la fois pour l'exploitation de vulnérabilités et la persistance, en employant des filtres et des consommateurs d'événements qui exécutent des commandes lorsque certaines conditions sont remplies.
El . NET Framework .NET Core (ou .NET Core) constitue le cadre technique sur lequel reposent nombre de ces techniques. Grâce à ses bibliothèques, les logiciels malveillants peuvent interagir avec WMI, COM, DCOM et d'autres composants, à l'instar d'un administrateur utilisant des scripts légitimes.
Il met également en lumière les abus de Registre Windows Il sert de dépôt de code et de mécanisme de démarrage. Dans ces attaques, l'exécutable initial peut s'autodétruire après avoir écrit sa charge utile dans le registre, de sorte que la partie malveillante survit sans laisser de fichier visible, s'activant ultérieurement à partir de clés spécifiques lorsque certaines conditions sont remplies.
Parallèlement à tout cela, les attaquants utilisent Utilitaires signés par Microsoft Il s'agit notamment de rundll32, mshta et d'autres binaires système permettant l'exécution de scripts ou de DLL. Ces composants étant de confiance, leur blocage systématique aurait de graves conséquences sur le fonctionnement normal de l'entreprise et compromettrait la sécurité.
Types de logiciels malveillants et de campagnes exploitant les techniques sans fichier
Dans la catégorie des attaques sans fichier, on trouve plusieurs méthodes d'attaque qui exploitent cette capacité à fonctionner en mémoire ou à s'appuyer sur un minimum de ressources système. L'une des plus connues est la logiciel malveillant résident en mémoireCe code utilise la mémoire d'un processus Windows légitime pour s'exécuter. Il peut rester inactif jusqu'à ce qu'une condition spécifique soit remplie, auquel cas il s'active sans laisser de trace sur le disque.
Une autre variante est la Logiciel malveillant qui s'appuie sur le registre WindowsIci, la charge utile malveillante est stockée dans le registre et exécutée par des scripts ou des processus qui lisent et lancent ce contenu au démarrage du système ou lors d'un événement spécifique. Le fichier exécutable à l'origine du problème a peut-être disparu depuis longtemps, ce qui complique l'enquête.
Utilisation de identifiants volés Cette approche est parfaitement adaptée. Une fois qu'un attaquant obtient un accès avec un compte utilisateur légitime, il peut exécuter des scripts en mémoire, insérer des extraits de code dans le registre ou les abonnements WMI, et se déplacer sur le réseau en se faisant passer pour du trafic administratif normal. Dans les grands environnements, il est très difficile de distinguer ces actions des opérations informatiques légitimes.
Les variantes de ransomware sans fichierDans ces cas, le programme de chiffrement des données est lancé directement depuis la mémoire, parfois via PowerShell ou un autre outil système. La détection n'intervient généralement qu'une fois les fichiers chiffrés, car jusque-là, seuls les processus paraissant fiables sont visibles.
On y trouve également les soi-disant kits d'exploitationIl s'agit d'outils qui détectent les vulnérabilités de la machine de la victime après une intrusion initiale (souvent via un lien malveillant) et créent des exploits personnalisés. Une fois à l'intérieur du système, ils chargent leur code en mémoire et utilisent des scripts pour maintenir le contrôle et élever leurs privilèges.
Impact sur les entreprises et limites des défenses traditionnelles
Pour les organisations, le principal problème des logiciels malveillants sans fichier est que Bloquer les fichiers exécutables suspects ne suffit pas Pour des raisons de sécurité, il est impossible de désactiver PowerShell, de bloquer tous les documents contenant des macros ou d'interdire l'utilisation de WMI sans perturber les processus légitimes d'administration, d'automatisation des tâches ou de productivité quotidienne.
Dans le même temps, les programmes antivirus axés sur les signatures de fichiers et les listes blanches sont quasiment aveugles. L'attaque Il utilise les mêmes pièces que le système. et que les outils informatiques doivent fonctionner. Souvent, il n'y a même pas de hachage complexe à télécharger sur le cloud du fournisseur pour obtenir un verdict : le code a déjà été exécuté en mémoire.
Les tentatives de réponse de nombreux fabricants ont été suivies de blocs ou patchs partiels Ces mesures, qui ne résolvent pas entièrement le problème, consistent notamment à limiter l'utilisation de PowerShell, à renforcer la sécurité des macros Office et à mettre en œuvre des contrôles cloud nécessitant une connectivité permanente. Cependant, les attaquants ont appris à contourner ces obstacles, par exemple en chargeant PowerShell via des DLL, en obfusquant les scripts ou en intégrant du code dans des images et d'autres formats de données.
De plus, la pression commerciale a elle-même conduit certaines solutions à promettre une protection sans fichier avec des approches qui s'avèrent insuffisantes, comme par exemple : analyser statiquement le code macro ou se limiter à la réputation de scripts connus. Étant donné que les adversaires peuvent modifier leurs outils presque à volonté, une approche strictement basée sur les signatures ou des règles statiques tend à devenir rapidement obsolète.
De plus, de nombreux mécanismes de détection côté serveur ou basés sur le cloud ajoutent latence de réponseSi l'agent situé au point de terminaison doit attendre la décision à distance pour agir, la prévention en temps réel devient plus compliquée, notamment lors d'attaques extrêmement rapides comme certains types de ransomware ou de vers informatiques.
Comment détecter les logiciels malveillants sans fichier : concentrez-vous sur le comportement.
La principale leçon à tirer de tous ces cas est claire : le moyen le plus efficace de localiser les logiciels malveillants sans fichier est surveiller le déroulement des processuspas tant les fichiers présents sur le disque, par exemple avec Process Explorer et VirusTotalBien qu'il existe des milliers de variantes différentes, au final, le répertoire des comportements suspects est beaucoup plus limité que celui des fichiers binaires potentiellement malveillants.
des solutions modernes telles que Plateformes comportementales EDR et basées sur l'IA Ils surveillent les appels système, les arguments de ligne de commande, les accès au registre, les connexions réseau, la création de processus enfants, les modifications de scripts, etc. À partir de là, ils construisent une sorte d'« historique » de chaque chaîne d'exécution, ce qui leur permet d'identifier quand un processus légitime devient la source d'une activité anormale.
Certains fabricants présentent cela comme un Chronologie des événements Ceci illustre, par exemple, comment un utilisateur ouvre un document Outlook, lequel déclenche une macro qui lance PowerShell avec des arguments obscurcis, et comment PowerShell tente de télécharger et d'exécuter un programme malveillant depuis Internet. Même en l'absence de fichiers .exe suspects sur le disque, la cohérence du flux d'actions rend l'attaque évidente.
Cette approche centrée sur le comportement a l'avantage d'être indépendant du vecteurPeu importe que l'intrusion provienne d'une faille Flash, d'une macro Word ou d'un lien dans un courriel. Si le processus qui en résulte chiffre des données, injecte du code ou communique avec un serveur de commande et de contrôle, le système peut la détecter et la bloquer.
Combiné aux capacités de retour en arrière ou inversion de modifications malveillantes, cela permet non seulement de stopper l'attaque, mais aussi réparer Windows après une infection graveCela inclut la restauration des fichiers chiffrés, l'annulation des modifications du registre et l'arrêt des processus connectés au réseau malveillant. Du point de vue de la continuité d'activité, cette différence est considérable par rapport à un antivirus qui ne vous alerte que lorsqu'il est trop tard.
Stratégies pratiques pour détecter les fichiers sans fichier dans les environnements Windows
Outre une solution de sécurité avancée pour les terminaux, plusieurs mesures techniques contribuent grandement à… détecter les preuves de logiciels malveillants sans fichier au niveau de l'infrastructure. La première mesure consiste à adopter une politique de journalisation rigoureuse, notamment en ce qui concerne PowerShell et WMI.
Les versions modernes de PowerShell permettent Consignez en détail les commandes exécutées.Les séquences de scripts et l'utilisation de certains paramètres dangereux, comme le contournement de la politique d'exécution (ExecutionPolicy Bypass), sont autant d'éléments à prendre en compte. L'analyse de ces journaux à la recherche de schémas suspects (téléchargements depuis des domaines étranges, chargements en mémoire, obfuscation manifeste) peut révéler des campagnes qui passeraient autrement inaperçues.
Une autre ligne de défense consiste à inspectez périodiquement le référentiel WMI Vous recherchez des abonnements ou des filtres pour les événements inhabituels ? commandes pour diagnostiquer les problèmes PowerShell vous permet de lister des classes telles que __EventFilter, CommandLineEventConsumer ou __FilterToConsumerBinding et de vérifier les éléments qui ne correspondent pas à des tâches administratives légitimes.
Cela vaut également la peine d'être examiné tâches planifiées et clés d'enregistrement de démarrageEn particulier ceux qui lancent des scripts ou des interpréteurs comme PowerShell, cscript ou wscript. De nombreuses attaques sans fichier exploitent ces mécanismes pour récupérer leur code depuis la mémoire, le registre ou un serveur distant à chaque démarrage du système ou connexion de l'utilisateur.
Dans les cas plus avancés, il est recommandé s'appuyer sur des outils comme Sysmon Sysinternals peut générer des événements très détaillés concernant la création de processus, les connexions réseau, les modifications du registre, etc., et les exporter vers un SIEM ou une plateforme d'analyse centralisée. À partir de là, des règles peuvent être créées pour alerter sur les comportements typiques de campagnes connues ou d'utilitaires tels que… RootkitRevealer pour détecter les artefacts persistants.
Meilleures pratiques pour prévenir les infections par des logiciels malveillants sans fichier
En matière de prévention, le premier pilier demeure la minimisation des risques. vecteurs classiques d'infection: empêcher l'utilisateur d'exécuter des documents dangereux, rendre difficile l'exploitation des vulnérabilités et limiter les déplacements latéraux en cas de violation.
C'est presque obligatoire Désactiver ou restreindre les macros Office Dans la mesure du possible, idéalement via les objets de stratégie de groupe (GPO). Les macros ne devraient être autorisées qu'en cas de nécessité réelle et, si possible, signées numériquement. Ce principe s'applique également aux autres contenus interactifs tels que les contrôles DDE ou ActiveX dans les documents.
Il est également important d’avoir solutions de sécurité réseau Ces systèmes surveillent le trafic afin de détecter les failles de sécurité, les kits d'exploitation et les comportements anormaux. Les systèmes de prévention des intrusions (IPS) et les technologies telles que la prévention des attaques réseau peuvent intercepter de nombreuses attaques avant même que les charges utiles sans fichier n'atteignent le terminal.
Au niveau du terminal, il est crucial de déployer des outils capables de analyser la mémoire pour détecter les comportements malveillantsIl ne s'agit pas seulement des fichiers présents sur le disque. Les moteurs d'analyse de la RAM avancés peuvent identifier les schémas typiques d'injection de code, de shellcode, de charges utiles de ransomware ou de portes dérobées dissimulées dans les processus système.
Finalement, rien de tout cela ne fonctionne sans un bonne hygiène de baseAppliquez régulièrement les correctifs de sécurité, maintenez à jour les applications et les systèmes d'exploitation, segmentez le réseau pour entraver les déplacements latéraux, mettez en œuvre l'authentification multifacteur et contrôlez rigoureusement les comptes à privilèges élevés.
La combinaison de tous les éléments ci-dessus, associée à une véritable culture de la sécurité –formation continueLes simulations d'hameçonnage et les procédures claires de réponse aux incidents font toute la différence entre une organisation qui détecte une attaque sans fichier à ses débuts et une autre qui ne s'en aperçoit que lorsque ses serveurs sont déjà cryptés ou que ses données ont été exfiltrées.
