Accueil
>
Ressources
>
Blog
>
Connaissez-vous les RATs, ces malwares furtifs, silencieux, conçus pour passer outre vos barrières de sécurité et mener des attaques sophistiquées ?
Compromettre votre sécurité et vous attaquer à distance… Un jeu d’enfant pour les RATs !
Si les Remote Access Trojans – en français Cheval de Troie à distance – sont bien moins médiatisés que les ransomwares, ils n’en sont pas moins dangereux. Ces malwares permettent en effet de prendre le contrôle d’une machine à distance, à l’insu des utilisateurs, en imitant les mêmes fonctionnalités que certains protocoles légitimes tels que le Remote Desktop Protocol (RDP). Ainsi, dès lors qu’un RAT se propage sur l’un de vos équipements, il octroie aux attaquants un accès distant total au poste infecté, et leur permet d’exécuter tout un panel d’actions en lieu et place de l’utilisateur légitime. Les pirates informatiques ont alors tout le loisir de réaliser des actions « courantes » comme lancer des programmes, ouvrir, déplacer ou supprimer des fichiers, réaliser des captures d’écran… Mais aussi (et surtout !) des actions malveillantes dont l’objectif est de compromettre la sécurité de votre entreprise et de vos équipes.
Sur le modèle des keyloggers, les RATs permettent par exemple de collecter les mots de passe et identifiants utilisés par vos collaborateurs pour se connecter à différentes instances et services de l’entreprise. Ainsi les attaquants usurpent l’identité des utilisateurs ciblés et se servent à mauvais escient des identifiants de connexion, sans pour autant éveiller de soupçons. Les informations contenues dans les messageries instantanées, les emails ou encore les historiques de navigateurs Internet peuvent elles aussi être aspirées par ces malwares et détournées au profit des attaquants.
L’exploitation des RATs permet par ailleurs :
- De copier puis d’exfiltrer des données présentes sur le poste infecté à l’aide de des serveurs de Command and Control ;
- De supprimer des informations et des fichiers du poste de travail ;
- De créer des fichiers usurpant l’apparence de programmes légitimes, dans le but de tromper les utilisateurs ;
- D’exploiter les failles de sécurité de programmes ou d’applications, pour obtenir des privilèges supplémentaires sur le poste infecté et ainsi augmenter la surface d’attaque au sein de votre réseau.
Toutes ces caractéristiques font du RAT un malware particulièrement menaçant pour la sécurité informatique de votre entreprise. Et pour ne rien arranger, les pièces jointes contenues dans les emails sont le vecteur privilégié des attaquants pour le distribuer…
Utiliser les emails de phishing et de spearphishing comme vecteurs : le cas concret du malware KONNI
L’histoire pourrait débuter comme suit : « l’un de vos collaborateurs reçoit un email de phishing contenant une pièce jointe malveillante. Il clique dessus pour l’ouvrir et là, sans même le savoir, il permet à l’attaquant d’initier une connexion depuis l’extérieur et de créer un tunnel d’accès distant au réseau de votre entreprise ». Un peu trop simpliste nous direz-vous ? Et pourtant, c’est bien de cette manière que débute un nombre conséquent d’attaques par RAT. Exemple récent avec KONNI, un RAT observé pour la première fois en 2014 et qui refait surface ces derniers mois. Le mode opératoire de ce malware consiste à infecter les postes d’utilisateurs à l’aide d’emails de phishing dont les pièces jointes contiennent des macros ou des fichiers DLL infectés.
Un mode opératoire efficace, qui a fait ses preuves et que les pirates informatiques continuent sans cesse d’améliorer. Selon les experts, la version actuelle de KONNI est plus furtive et plus élaborée que les versions précédentes. Les attaquants déploient ainsi des campagnes d’emails de phishing massives pour distribuer un maximum de RATs et infecter un nombre conséquent de postes. Les attaques par spearphishing – aussi appelées attaques par hameçonnage ciblé – ont aussi le vent en poupe auprès des cybercriminels. Là encore, le mode opératoire est le même, à ceci près que cette fois-ci, les attaquants ne se contentent pas d’envoyer un email avec une pièce jointe malveillante : ils ciblent des utilisateurs spécifiques avec lesquels ils créent un lien. L’objectif ici est de piéger des profils à privilèges élevés afin de prendre la main sur leur poste de travail. Ensuite, les attaquants peuvent aisément dérober des informations clés – données classifiées, données stratégiques ou données d’ordre politique – ou encore accéder par effet de rebond à d’autres postes ou systèmes critiques de l’entreprise ciblée.
L’email : point de départ de votre lutte anti-malware
C’est un fait, les RATs sont des malwares redoutables et les entreprises des victimes idéales, notamment les PME dont les ressources et moyens techniques sont souvent limités. Mais rien n’est perdu et les PME ont aussi les moyens de se protéger facilement !
Comment ? Grâce à des solutions de protection de messagerie capables d’analyser les pièces jointes d’un email entrant et les liens qu’il peut contenir, pour identifier en amont la présence ou non d’une charge malveillante et la bloquer en conséquence. Une approche rendue possible par des technologies comme le Deep Learning qui permettent aujourd’hui d’analyser de façon poussée les données contenues dans un email et de déterminer si celui-ci est un email de phishing ou un email légitime. Vous pouvez par ailleurs déployer des outils dits de « détection comportementale », tels que les systèmes de détection d’intrusion (IDS) et les systèmes de prévention d’intrusion (IPS). Ces dispositifs permettent de déceler au plus tôt des comportements suspects qui adviendraient sur vos systèmes d’information et de couper court aux éventuelles attaques en cours.
Vous l’aurez compris, chez Mailinblack nous pensons qu’en matière de RATs, mieux vaut prévenir que guérir !