In memory : les cybercriminels s’y mettent aussi. 140 entreprises piratées « sans traces »

Si la technologie In Memory est bien connue des amateurs de big data ou de business intelligence, les cybercriminels n’hésitent pas à mettre à profit cette technique. Kaspersky détaille ainsi aujourd’hui le modus operandi d’acteurs utilisant cette technique afin d’échapper aux efforts de détection des sociétés d’inforensiques chargées d’analyser les attaques. Ce n’est pas à proprement parler une première : on avait déjà vu l’année dernière que le malware Mirai restait lui aussi dans la mémoire vive des objets connectés qu’il infectait. Mais ici la technique est utilisée pour s’attaquer à des banques et des sociétés de télécommunications, sans laisser de traces faciles à exploiter pour identifier les attaquants.

 

« Pour l’instant, nous ne sommes pas en mesure de déterminer s’il s’agit d’un groupe spécifique ou de plusieurs. Mais la technique nous a paru intéressante et c’est ce que nous souhaitons mettre en avant ici » explique Vicente Diaz, Principal Security Analyst chez Kaspersky lab. Pas de petit surnom à mettre en avant donc, et pas non plus de signature simple à identifier « Les attaquants à l’origine de ce type d’attaque exploitent principalement des logiciels tout à fait légitimes : des outils de pentesting type Meterpreter, ou encore le framework Powershell fourni par Windows. Concrètement, aucun malware n’est installé sur le disque et le code malveillant réside in memory, ce qui rend ce type d’attaque particulièrement difficile à détecter » poursuit Vicente Diaz.

Prends l’oseille et reboot toi

La logique des attaquants est ici de viser un système et non pas de viser un ordinateur. Dans cette optique, la persistance du malware sur la machine n’est pas nécessaire : les attaquants profitent d’une faille généralement connue pour affecter un serveur, puis exploitent Meterpreter ainsi que des scripts Powershell afin de se déplacer dans le réseau puis de prendre par exemple le contrôle du contrôleur de domaine. Les attaquants exfiltrent ensuite les données volées (identifiants principalement) vers leur serveur de contrôle en utilisant NETSH, un autre utilitaire Windows. Au premier redémarrage de la machine, l’ensemble des traces de leur passage disparaît : impossible de retrouver sur le disque des fichiers identifiés comme malveillants par les outils traditionnels d’inforensique.

« Dans ces incidents, les attaquants ont utilisé toutes les techniques anti-investigations possibles et imaginables, faisant la démonstration qu’aucun fichier malveillant n’est nécessaire pour exfiltrer avec succès des données d’un réseau et que l’emploi d’outils légitimes et open source rend une attribution quasi impossible », explique Sergey Golovanov, chercheur principal en sécurité chez Kaspersky Lab.

Au total, Kaspersky a été capable de détecter plus de 40 infections dans différents pays. Les états unis restent le premier pays visé, mais la France pourrait compter environ 10 victimes selon Kaspersky. Mais quelle solution face à ce type d’attaque, que les équipes de Kaspersky décrivent comme quasi indétectable ? « Nous avons mis en ligne plusieurs indicateurs de compromissions à destination des administrateurs qui souhaitent se prémunir. L’autre solution est de surveiller le trafic sur le réseau local afin de détecter des comportements suspects, ou encore vérifier l’activité des comptes utilisateurs sur le contrôleur de domaine principal » explique Vicente Diaz. Dernière alternative : analyser directement la mémoire ram afin d’y retrouver des traces des scripts Powershell utilisés par les attaquants.

Des techniques globalement hors de portée des sociétés qui ne sont pas spécialisées dans la sécurité, mais les attaquants friands de cette technique semblent plus enclins à viser les gros poissons et délaissent le menu fretin. « Ce n’est pas la première fois que nous voyons ce type de technique mis en œuvre. Mais c’est la première fois que nous constatons son utilisation contre de réelles victimes, à plusieurs reprises. Cela pourrait être l’œuvre d’un groupe ou de plusieurs, nous ne savons pas encore » explique Vicente Diaz.