Posté le novembre 4, 2021 à 19:06
LES ORGANISATIONS LUTTENT DÉSORMAIS CONTRE LES RANSOMWARES EN ANALYSANT LE WEB À LA RECHERCHE DE LOGICIELS MALVEILLANTS
Des rapports récents révèlent que les chercheurs sont de plus en plus nombreux à scanner l’internet pour découvrir les serveurs et les logiciels vulnérables. Marc-Etienne Léveillé, chercheur principal en logiciels malveillants chez ESET, a expliqué comment l’entreprise a mis au point une fonctionnalité de balayage pour faciliter l’analyse des programmes vulnérables. Il s’exprimait lors de la conférence sur la sécurité SecTor qui se tient à Toronto.
Selon M. Léveillé, ESET a évalué le logiciel malveillant Kolabos à la fin de l’année dernière et a trouvé quelque chose d’unique. Il a déclaré qu’ESET a découvert un scan en deux étapes utilisé pour détecter un système non contaminé et est sur le point d’informer les organisations qui ont été affectées.
Bien que les programmes d’analyse du Web soient courants, M. Léveillé a déclaré que les acteurs malveillants pourraient avoir la capacité de surveiller l’ensemble de l’Internet et de rechercher les réseaux vulnérables. Les hackers auront ainsi plus d’occasions de savoir où lancer leurs prochaines attaques.
« Nous sommes souvent confrontés à un seul échantillon de logiciel malveillant pour lequel nous ne disposons pas de beaucoup de contexte », a-t-il noté, ajoutant qu’ESET ne sait pas quel secteur les acteurs ont ciblé jusqu’à présent. En outre, l’absence de télémétrie sur les produits non-Windows offre aux hackers davantage de possibilités d’exploiter les serveurs en ligne.
De plus en plus d’organisations analysent le Web à la recherche de logiciels malveillants
Plusieurs universités et organisations ont l’habitude de scanner le web pour détecter les programmes vulnérables ou mal configurés.
La plupart des entreprises utilisent Shodan, un moteur de recherche de dispositifs, pour rechercher les vulnérabilités et les ports ouverts sur l’internet public. Parmi les autres outils utilisés, citons la startup Censys de l’université du Michigan et Rapid7 par le biais de son projet Sonar. Ces outils sont utilisés pour créer une carte de l’Internet des objets (IoT) qui évolue rapidement.
Outre l’Université du Michigan, créatrice de l’outil Zmap, d’autres institutions disposent également de leurs outils. L’Université de Pennsylvanie et l’Université de Chicago font partie des différentes institutions qui scannent le web à la recherche de fonctions d’analyse.
Mais, selon M. Léveillé, ces institutions publiques ne sont pas assez souples pour faire face à la question complexe de l’analyse des logiciels malveillants.
Il a admis que l’entreprise avait l’habitude d’utiliser les outils d’analyse de logiciels malveillants de Shodan et Censys dans le passé. Cependant, ESET a dû développer son programme pour cesser de les buguer chaque fois qu’il voulait effectuer un nouveau scan sur Internet. Il a déclaré qu’ESET voulait être indépendant lorsqu’il s’agit d’utiliser des outils d’analyse de logiciels malveillants sur Internet, car c’est quelque chose que la société utilise régulièrement.
ESET propose un système d’analyse des logiciels malveillants plus ciblé
M. Léveillé ajoute que l’utilisation du système d’ESET permet à l’entreprise d’effectuer des analyses à l’aide de modules sur mesure pour localiser les logiciels malveillants via des protocoles non standard.
Depuis l’année dernière, ESET utilise son système d’analyse développé pour rechercher les logiciels malveillants sur le web. Ses chercheurs ont utilisé le système pour identifier des groupes de logiciels malveillants particuliers. Ils ont également identifié que le logiciel malveillant Kolabos affectait les serveurs Linux plus tôt cette année. ESET a également fourni un rapport détaillé d’une campagne de logiciels malveillants impliquant plusieurs portes dérobées dans le serveur d’information Internet (IIS) de Microsoft.
M. Léveillé ajoute que le système d’analyse des logiciels malveillants d’ESET est plus ciblé. D’autres organisations utilisent leurs dispositifs de balayage Internet pour identifier les mauvaises configurations, les ports ouverts et les gadgets particuliers. Mais le processus de balayage d’ESET est très ciblé. Ils ne scannent pas régulièrement et ne regroupent pas les adresses IP dans un groupe de menaces particulier. Mais l’équipe de sécurité est plus impliquée dans l’analyse et l’empreinte digitale des serveurs de commande et de contrôle des logiciels malveillants. Par conséquent, l’automatisation de l’ensemble du processus sera beaucoup plus facile. M. Léveillé a noté qu’un tel processus enrichira à l’avenir l’ensemble des données existantes de l’entreprise de sécurité.
Davantage d’organisations lancent des recherches de logiciels malveillants
ESET et d’autres organisations ont intensifié leurs efforts pour scanner le web afin d’identifier les logiciels malveillants ou les serveurs vulnérables.
Selon une analyse récente du réseau Pablo, certaines organisations prennent généralement quelques minutes pour scanner leurs systèmes afin de révéler les situations de sécurité après la divulgation d’une vulnérabilité. Cela montre le niveau de progrès enregistré par ces organisations en matière de sûreté et de sécurité de leurs systèmes.
Mais pendant que ces organisations analysent leurs systèmes pour les protéger, les acteurs malveillants les analysent pour trouver comment exploiter les systèmes vulnérables. Ils sont devenus meilleurs et plus rapides au fil des ans. En conséquence, ESET affirme que les organisations doivent suivre une routine de sécurité plus stricte pour s’assurer que leurs serveurs sont difficiles à craquer.
La société de sécurité a noté que la vulnérabilité ne peut être évitée dans certains cas, mais qu’il est important de mettre en place des mesures défensives pour empêcher les acteurs malveillants de s’introduire dans le système.
« Au cours des cinq dernières années, les attaquants ont perfectionné des techniques qui évoluent à grande vitesse », a noté M. Léveillé. Il ajoute que les entreprises doivent comprendre que les scans sont généralement la première étape utilisée par les acteurs malveillants lorsqu’ils attaquent des gadgets Internet. Par conséquent, elles doivent s’efforcer d’améliorer la fréquence des analyses afin de découvrir les bugs avant les acteurs malveillants.