> Sécurité > Techniques d’évasion et contournement des analyses antimalware

Techniques d’évasion et contournement des analyses antimalware

Sécurité - Par Sabine Terrey - Publié le 10 septembre 2019
email

Les cybercriminels ne cessent de rechercher de nouvelles opportunités d'attaque et passent par des procédés très sophistiqués et furtifs… Quatre techniques à retenir !

Techniques d’évasion et contournement des analyses antimalware

Les techniques d’évasion

Les cybercriminels déjouent les analyses antimalware. Pour exemple, une campagne de spam illustre comment les assaillants affinent les techniques contre leurs cibles : un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante (l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire …). Une de ses propriétés recherche plus particulièrement une variable xIDate….

Prenons aussi l’exemple du cheval de troie bancaire Dridex “qui modifie le nom et les hash des fichiers à chaque connexion de la victime” (identification difficile du malware sur les systèmes hôtes infectés).

Les attaques furtives
Le malware Zegost de détournement de données présente des techniques intrigantes. L’objectif est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Zegost se distingue “par sa furtivité avec une fonction de « nettoyage » des logs applicatifs qui masque sa présence”.

Les auteurs de Zegost utilisent tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes.

Téléchargez gratuitement cette ressource

6 Questions stratégiques avant de passer à Office 365

6 Questions stratégiques avant de passer à Office 365

Migrer une partie des services d’un système d’information vers Office 365 s’inscrit dans une démarche plutôt moderne. Mais elle va impliquer un certain nombre de changements majeurs qui bien souvent ne sont pas pris en compte lors de la décision d’acquisition du service, découvrez nos 6 recommandations clés !

Le ciblage
Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon (phase approfondie de reconnaissance avant le déploiement du ransomware sur des systèmes identifiés avec précision)

Un nouveau ransomware appelé Sodinokibi se distingue par son vecteur d’attaque “puisqu’il exploite une nouvelle vulnérabilité permettant l’exécution de code arbitraire et n’ayant pas besoin d’interaction de la part de l’utilisateur”.

Le patching est donc prioritaire, tout comme la sensibilisation des collaborateurs aux risques de cybersécurité.

La surface d’attaque
Côté systèmes intelligents, les choses évoluent très rapidement compte tenu de l’augmentation de l’activité ciblant ces dispositifs de contrôle (capteurs environnementaux, caméras de sécurité, systèmes de sécurité…)

“Une signature liée aux solutions de gestion techniques du bâtiment a été émise par 1% des entreprises”, c’est bien peu !
La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, notamment pour les environnements de travail distants (sécurité des accès).

 

Source Fortinet Global Threat Landscape Report – Threat Landscape Index 

Sécurité - Par Sabine Terrey - Publié le 10 septembre 2019