Sécurité

Attaques basées sur des scripts, qu’est-ce que c’est et comment pouvons-nous nous protéger

Les cybercriminels recherchent toujours personne pour pouvoir détecter leurs attaques. Une façon pour eux d’atteindre leurs objectifs consiste à utiliser des attaques basées sur des scripts. Dans cet article, nous allons vous expliquer comment cela fonctionne et comment nous protéger contre cette menace qui devient progressivement populaire.

La plupart des produits de sécurité détectent bien les attaques basées sur des fichiers. Cependant, les scripts sont un moyen de contourner les capacités de détection des menaces de la plupart des produits de sécurité. C’est un excellent moyen pour les attaquants d’éviter d’apporter des modifications à un disque, ce qui le rend difficile à détecter.

Actuellement, les scripts fournissent un accès initial, permettent l’évasion et facilitent également les mouvements latéraux après l’infection. Les attaquants utilisent généralement les scripts de deux manières. Le premier moyen serait de l’utiliser directement sur l’équipe que vous souhaitez attaquer. La deuxième façon serait d’intégrer ce script dans des documents Office et PDF, puis de les envoyer à votre victime par e-mail.

Evolution des cyberattaques avec des scripts ces dernières années

Les attaques basées sur des scripts ont commencé à gagner en popularité en 2017 et ont depuis augmenté de plus de 100 %. Au cours de cette même période, les États-nations et les groupes de cybercriminels ont adopté l’utilisation de scripts sans fichier et de logiciels malveillants comme l’un de leurs moyens préférés pour atteindre leurs objectifs. Selon le 2020 Ponemon Institute Security Report, les attaques basées sur des scripts représentent actuellement 40 % de toutes les cyberattaques.

Entre 2019 et 2018, il y a eu une utilisation accrue des méthodes d’attaque sans fichier. L’utilisation d’applications légitimes et d’outils natifs tels que PowerShell pour infecter les ordinateurs était particulièrement suspect à l’époque. Un script peut aller de simples scripts système aux langages de script avancés utilisés pour les configurations système, ainsi qu’à l’automatisation de tâches complexes et à d’autres fins générales.

Les langages de script les plus courants sont :

  1. VBScript.
  2. JavaScript.
  3. PowerShell.

Contrairement aux applications qui s’exécutent après la compilation en code machine, les ordinateurs interprètent directement les scripts.

Voici comment les cybercriminels utilisent les scripts

Après une infection initiée par un script, deux mouvements se produisent :

  1. La charge utile qui effectuera les actions que l’attaquant souhaite exécuter. De cette manière, la collecte d’informations, le cryptage de fichiers ou la communication avec une porte dérobée sont recherchés.
  2. Le mouvement latéral qui conduit à l’infection d’ordinateurs supplémentaires au sein du réseau.

L’utilisation de scripts présente de nombreux avantages pour les cybercriminels. La raison en est qu’ils sont faciles à écrire et à exécuter, triviaux à masquer et extrêmement polymorphes. De plus, nous pouvons utiliser de nombreux types de fichiers de script pour mener une attaque. Les plus populaires sont les scripts PowerShell, JavaScript, HTA, VBA, VBS et batch.

Un fait que nous ne devons pas oublier est que les attaques se produisent sans fichiers en mémoire. Cela rend inutile la détection de fichiers statiques traditionnelle. Les scripts compliquent également l’analyse, car de nombreux éléments liés à l’attaque n’existent que dans la mémoire de l’ordinateur et peuvent être écrasés ou supprimés par un redémarrage.

Si nous voulons détecter ces scripts, nous le ferons en utilisant une analyse heuristique et comportementale , qui dans ce cas peut nous permettre de détecter des activités malveillantes en mémoire. Les attaques basées sur des scripts s’exécutent sur pratiquement tous les systèmes Windows . Si l’on tient compte du fait qu’ils sont les plus utilisés dans nos ordinateurs de bureau et portables, on peut dire qu’ils augmentent considérablement les risques d’attaque ou d’infection.

Le plus gros inconvénient des attaques basées sur des scripts est que, à moins d’être implémentées via un exploit, l’interaction de l’utilisateur est requise pour qu’elles s’exécutent. Un cas typique peut être celui du script contenu dans un fichier de courrier électronique. Pour l’exécuter, une action de l’utilisateur est nécessaire pour activer les macros dans un document et exécuter une macro VBA. Dans RedesZone, nous vous recommandons de ne pas ouvrir de fichiers ou d’exécuter des fichiers dont la source n’est pas totalement fiable. Cependant, toujours vérifier ces fichiers avec un antivirus ou un antimalware ne fait jamais de mal.

Au cas où vous ne le sauriez pas, de nombreux types de logiciels malveillants utilisent des scripts. Par exemple, vous pouvez télécharger un fichier PE (Portable Executable), l’enregistrer sur disque ou l’exécuter à partir de la mémoire, selon votre niveau de sophistication. Ensuite, ce script peut effectuer des actions malveillantes telles que l’obtention d’informations sur la victime, le nom de l’ordinateur et même les mots de passe enregistrés.

Deep Instinct Threat Intelligence, en étudiant une série d’exemples d’attaques, a découvert que 75 % des campagnes sans fichier utilisaient des scripts pendant au moins une étape de l’attaque. Principalement du type PowerShell, HTA, JavaScript et VBA.

Par exemple, le groupe OilRig basé en Iran utilise des scripts dans l’attaque. Pour ce faire, il utilise un document Microsoft Word qui exploite la vulnérabilité CVE-2017-0199 et délivre un script HTA exécuté par le processus Windows qui utilise l’exécutable HTML mshta.exe. Une fois exécuté, le script lance l’attaque, délivrant le cheval de Troie Helminth sous forme de fichiers PowerShell et VBS.

PowerShell, JavaScript, HTA et VBScript pour les attaques basées sur des scripts

PowerShell est un framework utilisé pour la gestion de la configuration et l’automatisation des tâches, avec une boîte de ligne de commande et un langage de script. Cela en fait un outil utile et polyvalent pour les administrateurs système qui automatisent les processus de gestion informatique (technologie de l’information).

Les attaquants utilisent PowerShell dans leurs attaques pour charger les logiciels malveillants directement dans la mémoire sans écrire sur le disque. Empêche ainsi de nombreux produits de sécurité de les détecter. Il est également utilisé par PowerShell pour automatiser les processus d’exfiltration et d’infection des données à l’aide de frameworks tels que Metasploit ou PowerSploit.

Une attaque bien connue avec cette méthode était le malware Cobalt , qui exploite la vulnérabilité CVE-2017-11882. Lorsque l’utilisateur ouvre le document, l’exploit contenu dans le document télécharge un JavaScript, qui exécute à son tour plusieurs scripts PowerShell, dont le dernier incluait la DLL Cobalt dans le code du script. Ceux-ci sont terminés dans la mémoire PowerShell sans être vidés sur le disque. En utilisant cet exploit, les attaquants ont exécuté une attaque sans fichier, dans laquelle la seule action entreprise par l’utilisateur était d’ouvrir le compte-gouttes de document.

Un autre élément utilisé pour attaquer avec des scripts est JavaScript. Au cas où vous ne le sauriez pas, c’est une langue utilisée dans les pages Web, les applications Web et les navigateurs. De plus, JavaScript peut manipuler et modifier des fichiers PDF avec des objets implémentés, des liens vers des pages Web, etc.

Dans ce cas, la plupart des attaques basées sur PDF utilisent un logiciel de lecture de PDF ou un lecteur basé sur un navigateur pour exécuter du code JavaScript sur la machine de la victime.

De plus, des scripts malveillants peuvent être créés qui affectent :

  1. L’Application HTML (HTA ) qui est un fichier Microsoft Windows destiné à s’exécuter dans Internet Explorer et qui combine du code HTML avec des scripts compatibles Internet Explorer tels que VBScript ou JScript. Les fichiers HTA sont exécutés via le moteur HTA de Microsoft (mshta.exe).
  2. VBScript (Microsoft Visual Basic Scripting Edition) est un langage de script Microsoft basé sur VBA (Visual Basic pour Applications). Plutôt que le développement d’applications complet offert par VBA, VBS offre une utilisation plus simple, visant à automatiser les tâches des administrateurs système. La prise en charge par Microsoft de l’encodage des scripts sous forme de fichiers VBE est une autre raison pour laquelle les attaquants la trouvent utile.

Ainsi, vous pouvez vous protéger des attaques basées sur des scripts

De nombreuses attaques basées sur des scripts se produisent chaque jour. Nous, ainsi que les entreprises, devons être prêts à les combattre. La première étape de base que toute organisation devrait envisager est de classer les employés dans l’un des trois groupes suivants :

  1. Ceux qui exécutent des scripts dans leur travail quotidien.
  2. Ceux qui n’exécutent généralement pas de scripts, mais qui devraient parfois les utiliser.
  3. Ceux qui n’ont pas besoin d’exécuter des scripts.

Enfin, une fois les groupes de travail créés, les équipes de sécurité doivent s’assurer que les scripts ne peuvent être exécutés qu’à partir d’emplacements en lecture seule et accessibles par des machines spécifiques. De plus, ces équipes de sécurité doivent restreindre et observer l’utilisation de PowerShell interactif dans l’entreprise. Si c’est fait de cette façon, il sera plus facile d’éviter les attaques basées sur des scripts.

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba