5 attaques couramment observées sur les réseaux Windows

#1 PowerShell

Dans son dernier rapport sur les cybermenaces, McAfee précise que les attaques utilisant PowerShell de Windows ont augmenté de 117 % entre le premier et le deuxième trimestre de 2020. Elles sont très populaires auprès des hackers, car elles sont difficilement détectables et ne requièrent pas le développement de logiciels malveillants. En effet, comme les PowerShell sont des composantes natives de Windows, il suffit de les infiltrer pour avoir un accès direct au système d’information d’une société. Dans le jargon de la cybersécurité cette technique est appelée « Living off the land ».

#2 Exécution des processus binaires

Cette attaque fait également partie de ce que l’on appelle « Living off the land ». Cela signifie que le hacker utilise des programmes légitimes qui font partie de Windows pour insérer du code malveillant. Ce code est donc difficile à détecter et produit des failles que les pirates utilisent pour dérober toutes les données.

#3 Usurpation d’identité

Les pirates introduisent ici un code malveillant dans certains fichiers système. Les fichiers système infectés sont ensuite renommés pour tromper la vigilance des logiciels de contrôle (antivirus ou pare-feu). Pour éviter ce type d’attaque, les responsables de la sécurité informatique doivent être très attentifs et vérifier régulièrement l’intégrité des fichiers système.

#4 Fichiers ou information obfusqués

Les hackers tiennent à cacher leurs actions et à les mettre à l’abri des dispositifs de protection, c’est pourquoi ils utilisent des outils de codage comme Base 64. Ceux-ci rendent difficile la détection d’actions inhabituelles sur un système Windows. Néanmoins, il est toujours possible d’être alerté lorsque de telles activités suspectes se produisent. Il suffit de surveiller les fichiers Cmd.exe ou PowerShell.exe et de définir des règles d’utilisation strictes.

#5 Dumping des informations d’identification

Les hackers utilisent parfois des outils LSASS (Local Security Authority Subsystem Service) pour voler des mots de passe. Cette attaque est le plus souvent réalisée par des outils comme Mimikatz ou ProcDump. Pour l’éviter, il faut d’abord identifier si un des événements du système Sysmon et plus précisément celui de l’ID 10 ont été infectés.

Dans le cadre d’une stratégie de sécurité informatique, il est nécessaire de protéger ses logiciels, sites ou applications, mais aussi le système d’exploitation utilisé, qui lui aussi peut contenir un certain nombre de failles. Cela requiert une maîtrise technique pouvant s’acquérir grâce aux formations proposées par EPSI.

Ces articles peuvent aussi vous intéresser