Qu’est-ce qu’un malware sans fichier et comment vous protéger ?

Qu’est-ce qu’un malware sans fichier ?

Un malware sans fichier est un code malveillant qui infiltre un système informatique sans laisser de trace évidente, contrairement aux virus traditionnels ou autres types de malwares qui créent généralement des fichiers traçables. À la place, le malware sans fichier réside entièrement dans la mémoire vive (RAM) d’un ordinateur et exploite des outils système fiables pour exécuter des processus nuisibles et voler des données.

Le malware sans fichier se cache profondément dans la mémoire système plutôt que sur le disque.

Les pirates informatiques qui lancent des attaques de malwares sans fichier utilisent souvent des programmes et commandes légitimes intégrés à votre PC pour se fondre dans l’activité système normale. Voici certains des outils que le malware sans fichier peut exploiter :

• PowerShell

• Windows Management Instrumentation (WMI)

• VBScript

• JScript

• Fichiers de commandes (batch)

• Utilitaires système, tels que mshta.exe et rundll32.exe

Le malware sans fichier se fondant généralement dans l’activité système normale, sa détection est difficile, car les programmes antivirus recherchent habituellement des fichiers infectés comme preuve de la présence d’un malware quelque part sur le système. Sans cette preuve basée sur des fichiers, les logiciels antivirus traditionnels peuvent complètement ignorer la présence d’un malware sans fichier.

Comment fonctionne un malware sans fichier ?

Les infections par malware sans fichier commencent généralement lorsqu’une victime télécharge un document d’apparence inoffensive ou exécute un script qu’elle pense inoffensif, mais qui est en réalité infecté par du code malveillant. Cette action déclenche un programme comme PowerShell qui s’active en arrière-plan, et le code malveillant est chargé directement dans la RAM.

Une fois actif, le malware sans fichier peut télécharger des charges utiles supplémentaires, déployer des spywares, récolter des données sensibles ou modifier les paramètres système, tout en se fondant dans l’activité système normale.

Cette technique détourne les outils système légitimes pour en faire des armes, permettant aux attaquants de passer inaperçus et d’opérer sans laisser les traces de fichiers habituellement associées aux malwares traditionnels.

Une fois que la victime télécharge le malware, il s’infiltre dans la RAM et envoie les données volées au pirate.

Voici une description plus détaillée du développement d’une attaque de malware sans fichier :

Obtention de l’accès

D’abord, le pirate doit obtenir un accès non autorisé au système qu’il cible. Les attaques sans fichier commencent généralement par un contact avec la victime via un lien malveillant dans un e-mail de phishing, une pièce jointe infectée, un téléchargement furtif (malware automatiquement téléchargé depuis un site web infecté), ou du code caché injecté dans une application de confiance via une « porte dérobée ».

Si l’utilisateur réagit comme prévu, en cliquant sur un faux lien ou en téléchargeant un document compromis, par exemple, le malware sans fichier peut déclencher un programme intégré pour exécuter un script, permettant au code malveillant de s’exécuter dans la mémoire de l’appareil.

Établissement de la persistance

Une fois en place et activé, le malware sans fichier vise à passer inaperçu pour pouvoir exécuter davantage de processus nuisibles ou voler plus de données avant d’être détecté.

Il opère légèrement, continuant de s’exécuter dans la RAM et évitant de créer des fichiers qui pourraient le trahir lors d’une analyse antivirus ou antimalware. Il peut stocker des scripts dans des clés de registre, configurer des événements WMI qui relancent automatiquement le malware au redémarrage de votre système ou créer des tâches planifiées discrètes.

Exfiltration de données

Le malware sans fichier utilise des outils et commandes intégrés courants sur les ordinateurs, tels que PowerShell, CertUtil ou mshta.exe, pour se déplacer dans le système ou exfiltrer discrètement des données. Certaines menaces sans fichier peuvent même chiffrer vos fichiers ou voler des mots de passe depuis la mémoire. Comme les données volées se fondent généralement dans le trafic réseau normal, ces attaques peuvent se déchaîner sans éveiller de soupçons.

Types courants de malwares sans fichier

Comme les malwares classiques, les malwares sans fichier existent sous de nombreuses formes différentes. Mais ils ont tous un point commun : une absence de traces de fichiers habituelles qui caractérisent les malwares traditionnels. À la place, ils s’exécutent dans la mémoire temporaire et détournent les outils système intégrés, rendant la détection de tout type de malware sans fichier plus difficile que la détection d’attaques classiques basées sur des fichiers.

Voici quelques-unes des variétés les plus courantes de malwares sans fichier :

Malware résident en mémoire

Le malware résident en mémoire s’installe dans la RAM d’un système. Il couvre ses traces en écrivant rarement sur le disque, rendant le travail des outils antivirus traditionnels extrêmement difficile. Ce super-vilain sans fichier infecte généralement les systèmes informatiques via les passerelles réseau et les pare-feu et ne s’exécute que lorsque le système est sous tension, effectuant ses tâches discrètement en arrière-plan.

Duqu 2.0 est exemple connu qui a secoué le secteur de la sécurité informatique en 2015. Cet outil de cyberespionnage très sophistiqué a infecté des ordinateurs dans des hôtels en Autriche et en Suisse, sites de négociations internationales sur le programme nucléaire iranien.

Malware basé sur le registre

Le malware basé sur le registre cache son code malveillant ou ses commandes dans le registre Windows, qu’il utilise à la fois comme rampe de lancement et mécanisme pour établir la persistance. Au lieu de s’appuyer sur un fichier exécutable traditionnel, il intègre des scripts ou des charges utiles encodées directement dans les clés de registre. Cela permet astucieusement au malware de se recharger à chaque démarrage du système.

Les variantes de cheval de Troie, Poweliks et Kovter, sont devenues tristement célèbres pour avoir utilisé cette technique et être restées profondément cachées tout en ne laissant pratiquement aucune trace.

Poweliks a été l’une des premières menaces sans fichier largement reconnues, stockant son JavaScript malveillant directement dans le registre et utilisant des outils système légitimes pour l’exécuter. Kovter a commencé comme une menace basée sur des fichiers mais a ensuite évolué vers une famille de malwares principalement sans fichier, utilisant des charges utiles stockées dans le registre pour soutenir la fraude au clic, l’injection publicitaire et le contrôle par des attaquants distants tout en minimisant son empreinte sur le disque.

Attaques basées sur WMI ou des scripts

Ces attaques exploitent des outils Windows de confiance tels que WMI et PowerShell pour exécuter des commandes malveillantes directement depuis la mémoire de l’appareil. Elles « exploitent les ressources locales », se fondant dans l’activité système normale et visant à ne rien écrire de suspect sur le disque pour éviter de s’incriminer.

Ces méthodes basées sur des scripts figurent parmi les formes les plus courantes d’attaques sans fichier, car elles s’appuient sur des outils auxquels le système d’exploitation fait déjà confiance. Au lieu de déposer un fichier exécutable traditionnel, les attaquants abusent de PowerShell, WMI ou d’autres moteurs de script pour charger du code malveillant directement dans la mémoire ou le récupérer depuis un serveur distant. La campagne d’intrusion FIN7, qui a fréquemment exploité PowerShell et des chargeurs basés sur JavaScript pour mener des opérations furtives sans fichier, est l’une des attaques de malwares sans fichier basées sur des scripts les mieux documentées.

Détection d’un malware sans fichier

L’approche LOTL du malware sans fichier signifie qu’il peut contourner les défenses comme les logiciels antivirus traditionnels et tous les systèmes de cybersécurité qui reposent uniquement sur la détection par signature (recherche de fichiers connus), les listes blanches et le sandboxing.

Les victimes potentielles confrontées à ces menaces doivent plutôt s’appuyer sur des logiciels qui se concentrent sur la détection basée sur le comportement, surveillant les activités de script inhabituelles, l’utilisation anormale de PowerShell et les processus suspects s’exécutant en mémoire.

Voici deux des principales façons dont les programmes ou applications de cybersécurité modernes visent à détecter les malwares sans fichier :

Indicateurs d’attaque contre indicateurs de compromission

Étant donné que les malwares sans fichier n’impliquent aucun fichier compromis que les outils de détection par signature peuvent identifier comme risqué (preuves réactives ou « indicateurs de compromission »), la défense contre les malwares sans fichier s’appuie sur des preuves proactives ou « indicateurs d’attaque ». Ceux-ci peuvent inclure des signes qu’une activité suspecte se produit, comme PowerShell exécutant des processus inhabituels ou des scripts inattendus en cours d’exécution.

Le déploiement d’outils capables de repérer un comportement suspect au moment où il se produit, plutôt que de simplement détecter les conséquences, est la clé pour attraper une attaque et, espérons-le, l’arrêter avant qu’elle ne cause des dommages réels.

Techniques d’analyse comportementale

Le fondement de la détection des malwares sans fichier est l’observation des actions du système, et non des fichiers qu’il crée ou stocke. Les fonctions de cybersécurité comme la surveillance en temps réel, l’enregistrement des blocs de script et le suivi détaillé du comportement des processus peuvent repérer une activité inhabituelle au moment où elle se produit, exposant des menaces qui seraient invisibles pour une sécurité purement basée sur les signatures.

Pour identifier les anomalies, les outils de cybersécurité doivent souvent commencer par créer une base de référence de ce à quoi ressemble un comportement normal, un processus de plus en plus basé sur les technologies d’IA et de Machine Learning.

Comment prévenir les attaques de malwares sans fichier

Les défenses efficaces contre les malwares sans fichier doivent être proactives, car elles doivent attraper le malware en train d’exploiter des outils système de confiance, au lieu de détecter les preuves qu’il laisse derrière lui. Et, comme les attaques sans fichier reposent sur bon nombre des mêmes méthodes d’exposition que les malwares traditionnels, la connaissance des vecteurs d’attaque courants des cybermenaces comme le phishing, les logiciels compromis et les pièces jointes infectées est également essentielle.

Voici quelques-unes des meilleures façons de protéger vos appareils contre le risque posé par les malwares sans fichier :

• Évitez les liens et pièces jointes suspects. De nombreuses infections par malware sans fichier commencent par des attaques de phishing, soyez donc prudent lorsque vous ouvrez ou interagissez avec des e-mails, liens, messages de réseaux sociaux ou pièces jointes inattendus. Il pourrait s’agir d’un stratagème d’ingénierie sociale pour contourner vos défenses, espérant que vous agissiez sans réfléchir et donniez par inadvertance au malware l’accès à votre système.

• Maintenez votre système d’exploitation et autres logiciels et applications à jour. Le maintien de votre système d’exploitation et des applications ou programmes individuels à jour avec les derniers correctifs permet de renforcer votre protection contre les vecteurs d’attaque qui visent à exploiter les failles des versions logicielles obsolètes.

• Utilisez un logiciel de sécurité de confiance. Bien que certaines applications antivirus traditionnelles ne soient pas d’une grande aide contre les malwares sans fichier, les solutions modernes comme Avast Antivirus Gratuit combinent la protection par signature avec une surveillance comportementale et d’autres fonctions qui peuvent vous aider à vous défendre contre les arnaques, les ransomwares, les menaces Zero Day et d’autres types de malwares.

• Désactivez les macros dans les fichiers Office. De nombreuses attaques sans fichier impliquent des scripts déclencheurs de code malveillant dans des documents afin d’extraire des informations sensibles ou causer d’autres effets dommageables. La désactivation de la fonction macro dans votre suite Office peut aider à empêcher les virus de macro de le faire, bloquant efficacement les attaques sans fichier ultérieures.

• Utilisez des stratégies PowerShell restreintes. La modification de votre stratégie PowerShell vous donne plus de contrôle sur ce que les scripts sont autorisés à faire, ou même s’ils peuvent s’exécuter, ce qui peut neutraliser l’une des principales méthodes d’attaque par malware sans fichier. Si vous disposez des droits d’administrateur, vous pouvez, par exemple, basculer PowerShell en mode de langage contraint ou appliquer des stratégies d’exécution (comme AllSigned (tous les scripts signés) ou Restricted (exécution retreinte)).

• Activez l’enregistrement PowerShell. L’enregistrement PowerShell crée un registre de toutes les commandes exécutées, vous aidant à repérer rapidement les demandes inhabituelles. Cela peut faciliter l’investigation de ce qui s’est passé si vous remarquez des signes suspects qui semblent indiquer une infection par malware.

Stratégies de prévention au niveau de l’entreprise

Les malwares sans fichier peuvent également cibler les entreprises. Mais une approche de sécurité à plusieurs volets qui comprend le maintien à jour des systèmes, l’utilisation d’outils de détection basés sur le comportement et la formation des employés peut aider à réduire le risque de compromission des systèmes internes.

Un centre d’opérations de sécurité (SOC) ou une équipe de recherche de menaces gérée peut surveiller toute activité inhabituelle. Dans le même temps, les outils de sécurité EDR/XDR surveillent les appareils en temps réel et signalent les comportements suspects. Les entreprises peuvent également utiliser la liste blanche d’applications pour autoriser uniquement l’exécution des applications approuvées.

L’accès à des outils système puissants comme PowerShell et WMI doit être limité aux personnes qui en ont réellement besoin. Le respect des autorisations de moindre privilège ou de confiance zéro aide à garder les systèmes plus sûrs en contenant les dommages.

En bref, une prévention efficace ne consiste pas à bloquer les fichiers, mais à contrôler le comportement et à utiliser des outils pour repérer l’activité malveillante avant qu’elle ne cause des dommages. La bonne nouvelle pour les équipes informatiques qui combattent ces nouvelles menaces est que bien qu’il existe de nombreuses variantes de malwares sans fichier, elles ont tendance à fonctionner de manière très similaire.

Renforcez la protection de votre système contre les malwares sans fichier dès aujourd’hui

Avast Antivirus Gratuit offre une combinaison de fonctions qui peuvent vous aider à vous défendre contre les malwares traditionnels, les malwares sans fichier et d’autres menaces en ligne. Avec l’analyse comportementale, la protection en temps réel pour sécuriser davantage vos appareils lorsque vous naviguez en ligne et son assistant de détection des arnaques basé sur l’IA, il peut renforcer votre protection contre les divers vecteurs d’attaque exploitables par les cybercriminels. Téléchargez Avast Antivirus Gratuit maintenant et gardez une longueur d’avance sur les menaces évolutives.