Spécialiste de l’EDR, Carbon Black a présenté lors des Assises, l’activité de sa « Threat Analysis Unit ». Celle-ci a trois missions :
- comprendre une attaque et la cible de celle-ci ;
- détecter et prévenir l’attaque ;
- développer des nouvelles techniques de détection.
« De plus en plus, nous remarquons l’utilisation par les attaquants des LOLBins, soit les binaires “living off the land”. Ces derniers sont des fichiers certifiés et signés, présents sur les systèmes d’exploitation par défaut » explique Andrew Costis Threat Researcher chez Carbon Black. L’avantage de l’utilisation des LOLBins pour les acteurs malveillants étant que cela génère peu d’IOCs. De plus, les LOLBins sont présents partout et en grand nombre sur les systèmes. Ils sont de plus en plus utilisés et sont un gain de temps considérable pour des attaquants.
Les attaquants exploitent donc les outils et utilitaires natifs et légitimes déjà présents sur le système. Cela leur permet de ne pas être détectés et d’être attractifs pour des APTs. Et même de cacher du code malveillant. Ainsi, différents cas ont été recensés, dont l’utilisation de RegAsm.exe, une calculatrice sur téléphone mobile. Les attaquants sont parvenus à remplacer le contenu de RegASM.exe par celui de l'exécutable malveillant porté par le malware.
Malheureusement, il est difficile de durcir les systèmes pour empêcher ce type d’attaque, ces outils étant nécessaires, pour la plupart, au bon fonctionnement du système d’exploitation (ex: Powershell). Le moindre mal, si on ne peut pas les supprimer est donc de les monitorer.
