Qu’est-ce qu’un fileless malware ?

Une attaque fileless malware (ou « attaque sans fichier » en français) est un mode opératoire utilisé par les cybercriminels pour exécuter un programme malveillant tout en contournant les systèmes de détection traditionnels basés sur l’analyse de fichier. Moins médiatisés que les cybermenaces traditionnelles, le fileless malware est un mode opératoire qu’il n’est pas rare de retrouver dans l’analyse des récentes cyberattaques.

La « popularité » des attaques par fileless malware tient sans conteste à leur particularité, qui consiste à opérer dans la mémoire vive d’un système, sans avoir à créer de fichier sur le disque dur. Mais alors, comment détecter l’indétectable ? Et comment se prémunir des fileless malwares ? Explication.

Fileless malware : définition

Un fileless malware est un logiciel malveillant qui est exécuté depuis la mémoire de la machine infectée. Sous cette forme, le fileless malware use d’un angle mort dans les systèmes de détection en contournant les analyses heuristiques et comportementales basées sur l’analyse de fichier.

Comment fonctionne un fileless malware ?

Le fileless malware n’est pas considéré comme une cyberattaque à proprement parler. Il s’agit plutôt d’une caractéristique du mode opératoire d’un malware. Plus précisément, utiliser un fileless malware nécessite de trouver un mode de persistance si l'on souhaite qu'il perdure au redémarrage de la machine. Une cyberattaque incluant un comportement fileless malware évolue généralement en 5 grandes étapes.

Infection : Le fileless malware exploite une vulnérabilité du système d’exploitation ou d’une application pour exécuter des commandes malveillantes sans télécharger de fichier sur le disque dur de la machine ciblée.

Injection : Le code du malware est injecté en mémoire par l’utilisation d’un interpréteur de commande comme PowerShell ou par le système de gestion interne de Windows appelé Windows Management Instrumentation (WMI).

Persistance : Le malware utilise des techniques sophistiquées pour rester actif et persistant malgré le redémarrage de la machine infectée. Il peut par exemple créer des tâches planifiées, modifier les entrées du registre de Windows, ou utiliser des fichiers temporaires pour stocker le code malveillant.

Mouvement latéral : Une fois en place, le malware peut chercher à se propager en scannant l’environnement autour de lui, puis en utilisant des techniques d'escalade de privilèges et d'exploitation de vulnérabilités. Il peut ainsi s'infiltrer dans d'autres systèmes et réseaux.

Exfiltration : Le malware peut être conçu pour exfiltrer des données sensibles au sein du système infecté.

LOLBins : l’exécution d’utilitaires systèmes légitimes pour ne pas se faire repérer.

Comme n’importe quel mode opératoire, le fileless malware évolue dans le temps et se perfectionne. C’est notamment le cas avec l’utilisation de « LOLBins » (« Living Off The Land Binaries »). Un LOLBins est un utilitaire système légitime ayant l’ensemble des fonctionnalités de création, modification, suppression de fichier ou de connexion TCP/IP, qui a été détourné de son fonctionnement normal. Ces utilitaires sont le plus souvent vus comme légitime et ajoutés à des listes blanches par les EDR et antivirus ce qui complexifie encore sa détection. Ces utilitaires peuvent être powershell.exe, wmic.exe, bash.exe, certutil.exe sur les systèmes d’exploitation Windows.

Les exemples concrets d’attaques utilisant des fileless malwares

• Le premier programme malveillant à avoir été qualifié de « fileless malware » est le ver Code Red en 2001. Il s’agit du premier ver à se propager en utilisant la mémoire de la machine infectée. Ce sont les environnements des serveurs Microsoft IIS qui étaient alors ciblés.
• En 2017, Kaspersky Lab révèle que 140 entreprises et agences gouvernementales de 40 pays différents auraient été touchées par des attaques utilisant ce mode opératoire incluant des banques et opérateurs télécoms. C’est cette même année que la société Equifax est victime d’une exfiltration de données de très grande ampleur. Les données personnelles de plus de 143 millions de personnes ont été exfiltré au travers d’une cyberattaque dont le mode opératoire intégré une étape par fileless malware.

Les solutions pour détecter le fileless malware

Pour détecter un fileless malware, les entreprises peuvent s’appuyer sur la recherche d’indicateurs d’attaque (IoA : Indicators of Attack). Même si le fileless malware ne laisse pas de trace, les indicateurs d’attaques peuvent donner des signes indiquant qu’une cyberattaque est en cours : exécution d’une commande par un utilisateur non habilité, connexion d’un utilitaire système à un serveur ayant une IP malveillante... En analysant ces différents événements, les indicateurs d’attaque peuvent aider à bloquer des activités malveillantes, même si celles-ci sont réalisées à partir d’éléments légitimes.