Le Phishing : un moyen simple et efficace pour démarrer une attaque
Lors d’une attaque ciblée, la phase de compromission initiale peut démarrer par l’envoi d’un mail d’hameçonnage incitant le collaborateur de l’entreprise à ouvrir une pièce jointe piégée. Dès lors, tout peut s’enchainer très vite : téléchargement et exécution de la charge utile, établissement d’une session de communication vers le serveur de Command & Control (C&C), reconnaissance interne, escalade de privilège, mouvement latéral… jusqu’à l’atteinte de l’objectif final (ex : vol de données, chiffrement des données par rançongiciel…).
A titre d’exemple, le MITRE référence les différentes techniques suivantes qui peuvent être employées lors de la compromission initiale :
– Phishing: Spearphishing Attachment : https://attack.mitre.org/techniques/T1566/001/
– User Execution: Malicious File : https://attack.mitre.org/techniques/T1204/002/
– Command and Scripting Interpreter: PowerShell : https://attack.mitre.org/techniques/T1059/001/
Comment atténuer les risques liés à ce vecteur d’infection ?
En premier lieu, vous devez sensibiliser vos collaborateurs afin qu’ils soient en capacité de reconnaitre un mail frauduleux. Mais vous le savez sans doute, lorsque vous œuvrez du côté de la défense, vous n’avez malheureusement pas le droit à l’erreur, le 100% de réussite devient une nécessité : il suffit qu’un seul utilisateur ouvre une pièce-jointe ou exécute un logiciel non autorisé une seule et unique fois et la sécurité de votre entreprise toute entière peut être compromise. Il s’agit donc ici de mettre en place une stratégie qui permette de bloquer automatiquement les actions initiées par l’ouverture d’une pièce jointe piégée ou d’un logiciel malveillant.
Parmi les méthodes de prévention préconisées par le MITRE, nous retrouvons la recommandation « Execution Prevention », qui consiste à bloquer l’exécution de code non autorisé sur les endpoints (applications et scripts) : https://attack.mitre.org/mitigations/M1038/
C’est exactement ce que la solution Ivanti Application Control (https://www.ivanti.fr/products/application-control) va nous permettre de mettre en place de manière assez simple.
Dans ce contexte, 3 fonctionnalités vont particulièrement nous intéresser :
- Blacklist de fichiers : permet empêcher l’exécution d’utilitaires Windows non nécessaires pour un utilisateur standard et largement utilisés par les cyberattaquants (ex : cmd.exe, wmic.exe, at.exe, regsvr32.exe, regedit.exe, sc.exe, net.exe…)
- Trusted Ownership : permet d’empêcher le lancement d’exécutables non validés par le service informatique (ex : un utilisateur télécharge et exécute un binaire piégé depuis un site internet, ou effectue une copie de ce binaire depuis une clé USB et l’exécute)
- Blocage de l’exécution des scripts : permet d’empêcher l’exécution de script sur la machine (powershell, batch, vbs)
Article rédigé par Laurent