Discussion :

[Jade Emy]

Les logiciels malveillants "hunter-killer" sont capables d'identifier et de neutraliser les défenses avancées des entreprises, selon un rapport de Picus Security.

Un nouveau rapport de Picus Security examine des échantillons de logiciels malveillants du monde réel et identifie les techniques les plus courantes utilisées par les attaquants. Selon le rappport, les logiciels malveillants "hunter-killer" sont capables d'identifier et de neutraliser les défenses avancées des entreprises, telles que les pare-feux de nouvelle génération, les antivirus et les systèmes de détection des intrusions (EDR).

Il met en évidence une augmentation du nombre de "hunter-killer" ("chasseurs-tueurs"), ce qui démontre une évolution de la capacité des adversaires à identifier et à neutraliser les défenses avancées des entreprises, telles que les pare-feu de nouvelle génération, les antivirus et les systèmes de détection des intrusions (EDR). Selon le rapport, il y a eu une augmentation de 333 % des logiciels malveillants qui peuvent cibler activement les systèmes défensifs dans le but de les désactiver.

"Nous assistons à une recrudescence des logiciels malveillants ultra-évasifs et très agressifs qui partagent les caractéristiques des sous-marins chasseurs-tueurs", déclare le Dr Suleyman Ozarslan, cofondateur de Picus Security et vice-président de Picus Labs. "Tout comme ces sous-marins se déplacent silencieusement en eaux profondes et lancent des attaques dévastatrices pour déjouer les défenses de leurs cibles, les nouveaux logiciels malveillants sont conçus non seulement pour échapper aux outils de sécurité, mais aussi pour les neutraliser activement. Nous pensons que les cybercriminels changent de tactique en réponse à l'amélioration considérable de la sécurité des entreprises moyennes et aux outils largement utilisés qui offrent des capacités beaucoup plus avancées pour détecter les menaces. Il y a un an, il était relativement rare que des adversaires désactivent les contrôles de sécurité. Aujourd'hui, ce comportement est observé dans un quart des échantillons de logiciels malveillants et est utilisé par pratiquement tous les groupes de ransomware, APT et États-nations".

Parmi les autres conclusions du rapport, 70 % des échantillons de logiciels malveillants analysés utilisent désormais des techniques furtives, en particulier celles qui permettent d'échapper aux mesures de sécurité et de persister dans les réseaux.

L'utilisation de fichiers ou d'informations obscurcis (T1027) a augmenté de 150 %. Cela met en évidence une tendance à entraver l'efficacité des solutions de sécurité et à obscurcir les activités malveillantes afin de compliquer la détection des attaques, l'analyse médico-légale et les efforts de réponse aux incidents.

Le rapport note également une augmentation de 176 % de l'utilisation du protocole de couche d'application T1071, qui est stratégiquement déployé pour l'exfiltration de données dans le cadre de plans de double extorsion.

Méthodologie

Entre janvier 2023 et décembre 2023, Picus Labs, l'unité de recherche de Picus Security, a analysé 667 401 fichiers uniques, dont 612 080 (92 %) ont été classés comme malveillants. Les sources de ces fichiers incluent, sans s'y limiter, les services de renseignement sur les menaces commerciaux et open-source, les vendeurs et chercheurs en sécurité, les bacs à sable de logiciels malveillants, les bases de données de logiciels malveillants et les forums. Ces fichiers ont permis d'extraire un total de 7 754 801 actions, soit une moyenne de 13 actions malveillantes par logiciel malveillant. Ces actions ont ensuite été mises en correspondance avec 7 015 759 techniques MITRE ATT&CK, soit une moyenne de 11 techniques par logiciel malveillant.

Pour établir le Top 10 du Picus Red Report 2024, les chercheurs de Picus Labs ont déterminé le nombre de fichiers malveillants utilisant chaque technique. Ils ont ensuite calculé le pourcentage de logiciels malveillants de l'ensemble de données qui utilisaient cette technique. Par exemple, la technique d'injection de processus T1055 a été utilisée dans 195 044 (32 %) des 612 080 fichiers malveillants analysés.

À propos de Picus Security

Picus Security aide les équipes de sécurité à valider de manière cohérente et précise leur posture de sécurité. La plateforme de validation de la sécurité simule des menaces réelles afin d'évaluer l'efficacité des contrôles de sécurité, d'identifier les voies d'attaque à haut risque vers les actifs critiques et d'optimiser les capacités de prévention et de détection des menaces.

En tant que pionnier de la simulation de brèches et d'attaques, ils sont spécialisés dans la fourniture d'informations exploitables dont leurs clients ont besoin pour être centrés sur les menaces et être proactifs.

Picus a été nommé "Cool Vendor" par Gartner et est reconnu par Frost & Sullivan comme un leader sur le marché de la simulation de brèches et d'attaques (BAS).

Source : "Red Report 2024 : Defend Against the Top 10 MITRE ATT&CK TTPs" (Picus security)

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Les organisations ne parviennent à empêcher que six cyberattaques sur dix, selon le rapport de Picus Security

L'évolution des ransomwares en 2023 et les groupes à surveiller en 2024, un rapport de Searchlight Cyber

L'IA va accroître le nombre et l'impact des cyberattaques : les ransomwares étant susceptibles d'en être les plus grands bénéficiaires au cours des deux prochaines années

[tabouret]

Va falloir qu'on m'explique comment un malware peut "neutralier" une appliance firewall. Tout bonnement impossible,

Par contre niveau evasion la je suis d'accord, même si cela reste relativement difficile de faire de l'évasion sur un firewall next gen.

Neutraliser un EDR ok le malware va kill le processus.
Sauf que les logs d'audit sont normalement forwardés sur un serveur centralisé, et le kill va automatuquement être remonté.
Sans compter la supervision qui va t'afficher un gros CRITICAL parce que l'EDR sur tel serveur est down.

Donc ce que j'en pense c'est que le logiciel "hunter killer" sont cramés en 10 secondes dans une infra digne de ce nom.

Chez une PME par contre...

[Reclad]

Va falloir qu'on m'explique comment un malware peut "neutralier" une appliance firewall. Tout bonnement impossible,

Par contre niveau evasion la je suis d'accord, même si cela reste relativement difficile de faire de l'évasion sur un firewall next gen.

Neutraliser un EDR ok le malware va kill le processus.
Sauf que les logs d'audit sont normalement forwardés sur un serveur centralisé, et le kill va automatuquement être remonté.
Sans compter la supervision qui va t'afficher un gros CRITICAL parce que l'EDR sur tel serveur est down.

Donc ce que j'en pense c'est que le logiciel "hunter killer" sont cramés en 10 secondes dans une infra digne de ce nom.

Chez une PME par contre...

Attention quand même, neutraliser un EDR ne veut pas forcément dire tuer le processus. Les mécanismes d'évasion de l'EDR sont sophistiqués, on appelle cela les EDR-bypass (ou evading EDR), il s'agit de tromper la lecture des comportements des processus en utilisant des techniques tel que le reflective DLL loading ou le unhooking. On passe sous le radar de l'EDR en quelque sorte. L'EDR lui est toujours actif et semble fonctionner comme convenu.
C'est un problème très sérieux à considérer et les moyens d'empêcher cela peuvent être contraignantes (Attack Surface Reduction à minima).
Et là on parle que des environnements Windows. Sur Linux c'est encore plus délicat.

[tabouret]

Attention quand même, neutraliser un EDR ne veut pas forcément dire tuer le processus. Les mécanismes d'évasion de l'EDR sont sophistiqués, on appelle cela les EDR-bypass (ou evading EDR), il s'agit de tromper la lecture des comportements des processus en utilisant des techniques tel que le reflective DLL loading ou le unhooking. On passe sous le radar de l'EDR en quelque sorte. L'EDR lui est toujours actif et semble fonctionner comme convenu.
C'est un problème très sérieux à considérer et les moyens d'empêcher cela peuvent être contraignantes (Attack Surface Reduction à minima).
Et là on parle que des environnements Windows. Sur Linux c'est encore plus délicat.

En effet tu as raison les injections DLL/Remplacement de process/etc... sont délicats à gérer. On est sur du hardening ultra avancé (tout comme on peut check le hash des binaires via sudo par exemple).

J'ai pas encore traité ce genre de défense mais je reste persuadé qu'un EDR comme Wazuh possède les capacités à détecter (à condition de créer les bonnes règles) ce genre de menace.