Qu’est-ce qu’une attaque « Living off the Land » (LotL) ?
Souvent, ce qui nous semble normal pose les plus grandes menaces. Dans cet article de Mathias Gut, expert en sécurité, découvrez la tactique qui se cache derrière les attaques « Living off the Land » et comment protéger votre entreprise grâce à trois mesures fondamentales.
Une de ces techniques simple et souvent sous-estimée est l’attaque « Living off the Land » (LotL). Dans cet article, je voudrais vous donner un premier aperçu d’un hacking LotL. En m’appuyant sur un exemple fictif, je vais vous montrer comment une attaque LotL peut, sans grands efforts, craquer des systèmes informatiques en exploitant des moyens déjà présents dans les systèmes – les « portes d’intrusion ». Je voudrais également vous présenter des mesures fondamentales que vous pouvez mettre en œuvre pour vous prémunir contre ces attaques.
Une attaque « Living off the Land », qu’est-ce que c’est ?
« Living off the land » signifie vivre avec les ressources qui sont (déjà) disponibles dans la nature. De manière similaire, les attaques « Living off the Land » exploitent des applications et des processus standards installés sur l’ordinateur de leur victime pour camoufler des activités de phishing.
Sur des systèmes Windows, ces « portes d’intrusion » exploitées font partie du quotidien des administrateurs informatique. Ce sont des outils comme les invites de commande PowerShell ou Windows (CMD.exe) avec leurs nombreuses commandes et extensions.
De mon expérience d’analyste en sécurité, PowerShell reçoit plus d’attention au niveau de la sécurité que CMD.exe. Dans le cadre de mes tests de sécurité, il n’est donc pas surprenant que j’atteigne mes objectifs plus fréquemment en passant par CMD.exe.
De plus, j’utilise des entrées discrètes, du point de vue des contrôles système, comme si celles-ci étaient exécutées de manière légitime par l’utilisateur lui-même ou par un administrateur au niveau d’accès plus élevé. Des menaces similaires pèsent tout autant sur les autres systèmes d’exploitation, mais je vais ici me concentrer sur les techniques utilisées sur les systèmes informatiques exploités par le très répandu Windows.
Comprendre les attaques « Living off the Land » – un exemple fictif
Afin que même les personnes qui n’ont pas de connaissances avancées en informatique puissent comprendre, je vais expliquer ce qui va suivre en utilisant des termes non techniques dans un souci de lisibilité. (Merci de ne pas tenir rigueur de l’extrême simplification qui va suivre)
Pour faire simple, un ordinateur fonctionne selon le schéma entrée-traitement-sortie (pour faire court : le principe IPO pour « input-process-output »). Donc pour que quelque chose se passe sur un ordinateur, il faut une entrée. (Lors de problèmes, personne n’avouera en règle générale jamais avoir exécuté cette entrée – mais c’est une autre histoire 😉)
Imaginez maintenant que vous vous trouviez nez à nez avec un cheval de Troie de cryptage alors que vous exécutez une entrée. Je sais que cette idée est déjà en soit fort désagréable, c’est pourquoi vous pouvez vous imaginer que ce n’est pas vous, mais une personne qui vous a toujours été antipathique qui a effectué l’entrée initiale.
Si ce programme malveillant indésirable est exécuté, celui-ci va tenter de rendre illisibles pour vous ou votre personne fictive toutes les données accessibles grâce à des techniques de cryptage modernes. Du moins jusqu’à ce qu’une somme considérable, généralement en cryptomonnaie, soit versée contre la transmission de la clé de décryptage nécessaire – une rançon venant récompenser l’activité criminelle, donc. (Vous devriez cependant autant que possible éviter de payer, car c’est grâce à ces sommes que ce modèle d’affaire profitable peut gaiement perdurer.)
Remontons au début de notre histoire. Tout commence avec une entrée. Grâce à une bonne sensibilisation sur les questions de sécurité, dans tous les cas grâce à mes formations de sensibilisation (petit encart publicitaire à titre personnel), vous ne cliquerez plus sur la nouvelle application, le document reçu ou sur le lien prétendument légitime et ne serez donc pas à l’origine de l’entrée initiale.
Mais si cela devait tout de même se passer, vous auriez généralement la chance d’être averti ostentatoirement ou parfois plus discrètement par l’ordinateur des problèmes de sécurité menant à une contamination totale. Beaucoup pensent que si, en plus, un antivirus sérieux est en action, il y a toujours une solution de secours. C’est vrai. Lorsqu’il s’agit d’un code malveillant déjà connu ou d’un comportement reconnaissable comme dangereux, les solutions de sécurité modernes sont en effet aujourd’hui généralement très efficaces en matière de détection.
Mais que se passe-t-il alors lorsque, d’un point de vue du système et de la solution de sécurité additionnelle, l’entrée semble d’une part parfaitement normale et que, d’autre part, les applications utilisées sont toutes connues comme étant « bienveillantes » ou font même partie de la configuration de base ? C’est exactement là que l’on parle d’attaque « Living off the Land », donc l’utilisation de moyens se trouvant déjà sur le système de l’ordinateur.
Vous savez maintenant ce qu’est une attaque « Living off the Land » et nous pourrons explorer les technicités plus en profondeur dans de prochains articles de blog. Je voudrais toutefois exposer dans la suite de cet article quelques mesures de protection utiles.
“Pour battre un hacker, vous devez penser comme un hacker” |
3 mesures pour endiguer une attaque « Living off the Land »
Outre la protection numérique de base, ce sont en particulier l’utilisation de listes d’autorisations (« whitelisting ») explicites et la réduction ciblée des chemins d’infection qui sont particulièrement cruciales dans le futur pour se prémunir des attaques « Living off the Land ».
1 Mesures de protection numérique de base selon les standards de la BSI
La protection numérique d’après les standards éprouvés de la BSI fournit en particulier aux PME les bases et les outils qui permettent la mise en œuvre d’un système global de gestion de la sécurité de l’information (ISMS). En plus d’aspects techniques, ces standards comprennent des questions infrastructurelles, organisationnelles et concernant le personnel et rendent possible une démarche systématique pour reconnaître et appliquer les mesures de sécurité nécessaires.
2 Whitelisting explicite d’applications
Ces listes blanches ne contiennent plus que les applications qui sont identifiées comme inoffensives. On constitue ces listes blanches soit manuellement en ajoutant les logiciels connus, soit automatiquement grâce au contrôle des signatures de code, des solutions de réputation et des sources d’installation strictement prédéterminées. Toutes les autres applications sont alors de manière générale considérées comme malveillantes par le système et ne peuvent être installées ni exécutées sous quelque forme que ce soit. Ainsi, un malware envoyé par pièce jointe d’un e-mail ne pourra pas être exécuté, même si l’utilisateur ouvre sciemment l’élément en pièce jointe. Il est également conseillé de combiner l’utilisation d’une liste blanche avec des restrictions actives de l’accès au réseau des applications.
3 Restreindre les droits des utilisateurs
De plus, travailler avec les restrictions de droits d’utilisateurs en incluant une authentification forte reste une condition fondamentale de sécurisation des systèmes. En ces temps d’utilisation croissante du cloud, l’utilisation d’un deuxième facteur de sécurité est devenue incontournable, c’est-à-dire l’inscription grâce à un nom d’utilisateur, un mot de passe et un facteur supplémentaire comme une application d’authentification.
Nos formations en cybersécuritéLa sécurité passe aussi par notre comportement. Sensibilisez-vous et vos collaborateurs aux menaces sécuritaires :
Grâce à nos formations, adoptez la perspective d’un hacker pour renforcer la sécurité de l’infrastructure de votre entreprise : Apprenez à défendre vos systèmes et protéger vos données :
|
La sécurité passe aussi par notre comportement. Sensibilisez-vous et vos collaborateurs aux menaces sécuritaires :
- Sensibilisation des collaborateurs à la sécurité informatique (SITSEC)
Grâce à nos formations, adoptez la perspective d’un hacker pour renforcer la sécurité de l’infrastructure de votre entreprise :
Apprenez à défendre vos systèmes et protéger vos données :
- CISSP – Certified Information Systems Security Professional (CSP)
- CISM – Certified Information Security manager (CS1)
- CISA – Certified Information Systems Auditor (CAM)
- Public Key Infrastructures (PKI)
- Sécurité de l’IoT dans l’industrie, l’entreprise et le privé (IOTSEC)
- ISO/IEC 27005 Risk Manager (HSR)
- ISO/IEC 27001 Foundation (ISF)
- ISO/IEC 27001:2022 Transition (HST)
- ISO/IEC 27001 Lead Auditor (HSI)
- ISO/IEC 27001 Lead Implementer (HSL)
- RGPD/GDPR – Certified Data Protection Officer (CDPO)
- RGPD/GDPR – Foundation (GDPRF)