Accueil High-Tech Une nouvelle technique de logiciel malveillant sans fichier exploite les journaux d’événements...

Une nouvelle technique de logiciel malveillant sans fichier exploite les journaux d’événements de Windows pour se cacher.

195
0

PARIS, 24 Mai (Bénin Actu/EP) –

Les experts de la multinationale dédiée à la sécurité informatique Kaspersky ont découvert une nouvelle technique permettant de dissimuler des logiciels malveillants sans fichier dans les journaux d’événements des entreprises. Windows.

Windows Events est un outil qui enregistre l’activité du système, y compris les erreurs et les avertissements de l’ordinateur, ce qui le rend particulièrement utile pour comprendre et traiter tout problème informatique.

Les experts de la société ont détecté une campagne de malware ciblée utilisant une technique qu’ils ont qualifiée d' »unique », dans laquelle « l’attaquant a enregistré puis exécuté un « shellcode » crypté à partir des journaux d’événements de Windows », comme l’a souligné le chercheur principal de la société, Denis Legezo, dans une déclaration envoyée à Europa Press.

L’attaque commence par l’infection du système, qui s’effectue par le biais du module Module « dropper (a type de « malware » contenant un fichier exécutable) d’un document téléchargé par la victime.

Lire aussi:  Locus Robotics entre sur le marché espagnol avec son programme de robots "en tant que service" pour les entrepôts.

Les attaquants injectent ensuite le malware dans des fragments de shellcode (qui permettent de contrôler les processus et les fichiers) cryptés dans les journaux d’événements de Windows. Ils sont ensuite décryptés et exécutés.

En outre, ils utilisent une variété de « wrappers » (programmes ou codes qui enveloppent d’autres composants) anti-détection afin de ne pas être détectés. Kaspersky souligne que certains Les modules ont même été signés avec un certificat numérique. pour une plus grande véracité.

Une fois à l’intérieur du système et dans la dernière phase de leur attaque, les cybercriminels utilisent deux types de chevaux de Troie pour prendre davantage le contrôle. Ceux-ci sont régis par deux mécanismes de communication différents : HTTP avec chiffrement RC4 et canaux nommés non chiffrés.


Les cybercriminels s’appuient également sur des outils commerciaux de « pentesting » (ensemble d’attaques simulées pour détecter les faiblesses d’un système). SilentBreak y CobaltStrike. Ainsi, ils combinent des techniques connues avec des décrypteurs personnalisés.

Lire aussi:  L'IFA 2022 revient à Berlin avec le soutien de marques telles que Samsung, Asus, LG et Honor.

Les experts de la société reconnaissent que c’est « la première fois » qu’ils ont observé l’utilisation des journaux d’événements de Windows pour cacher des codes shell et perpétrer une telle attaque.

COMMENT SE PROTÉGER DES « MALWARES » SANS FICHIER.

Pour se protéger contre les logiciels malveillants sans fichier et les menaces similaires, Kaspersky recommande d’utiliser une solution de sécurité des terminaux fiable, capable de détecter les anomalies dans le comportement des fichiers et de lutter contre les attaques de grande envergure, ainsi que d’installer des solutions anti-APT et EDR capables de découvrir et de détecter les menaces, ainsi que d’enquêter et de remédier aux incidents.

Les experts conseillent également de fournir à l’équipe du centre des opérations de sécurité (SOC) un accès aux dernières menaces, ainsi que de mettre régulièrement à jour ses membres par des formations professionnelles.

Article précédentM. Kuleba appelle la communauté internationale à s’abstenir d’acheter à la Russie des « céréales ukrainiennes volées ».
Article suivantCasemiro : « Nous savons qu’une finale ne se joue pas mais se gagne, je me fiche de la manière dont elle se déroule ».