santiago silver - Fotolia

Ces menaces qui traversent les premières lignes de défense

SentinelOne livre son premier rapport sur les menaces. Mais pas toutes. Il se concentre sur celles qui sont susceptibles d’être les plus dangereuses : celles qui parviennent à atteindre les points de terminaison.

SentinelOne, l’un de ces nouveaux entrants du marché de la protection du poste de travail, revendique désormais plus d’un million d’agents déployés sur des points de terminaison. Un chiffre qu’il juge manifestement suffisant pour commencer à produire des rapports périodiques sur les menaces observées, celles que les mécanismes de défense périmétrique n’arrêtent pas.

Trois types d’attaques sont ainsi recensés : celles qui s’appuient sur des documents, celles qui utilisent des exécutables, et celles qui s’exécutent en mémoire vive sans laisser de trace durable. Et ces dernières ont tendance à progresser : elles ne représentaient que 7 % des attaques détectées par SentinelOne en août dernier, contre 16 % en novembre.

Les deux autres types de menaces sont au coude-à-coude autour de 40 %. Points remarquables s’il était encore nécessaire de souligner les limites de l’anti-virus basé uniquement sur des bases de signatures, seulement 50 % des attaques observées basées sur des fichiers – exécutables ou documents – s’appuyaient sur des échantillons déjà partagées avec la communauté. Et parmi ceux-ci, seuls 20 % disposaient de signatures pour les anti-virus.

Selon SentinelOne, les attaques sans fichier séduisent tout particulièrement les acteurs liés à des états-nations : il n’y a pas d’indicateur de compromission basé sur une empreinte de fichier. Mais les cyberdéliquants s’y mettent aussi : l’éditeur mentionne en exemple le kit d’exploitation Angler, mais également les logiciels malveillants Kovter, Phasebot, Powersniff et LatentBot.

Mais il faut aussi compter avec ce que SentinelOne appelle les « tridents », qui s’appuient sur les trois approches : « elles commencent avec un document, exploitent en mémoire, et exécutent du code shell ou des instructions pour les utilitaires légitimes du système d’exploitation ». Et sèment quelques fichiers pour s’assurer une forme de persistance.

Dès lors, pour l’éditeur, « pour chaque poignée d’infections basées sur des fichiers découvertes, il faut chercher les infections créées sans fichier ». Et cela pour une raison évidente : « il n’y a pas de risque dans ce qui est bloqué, seulement dans les choses qui passent » au travers des mailles du filet.

Pour approfondir sur Protection du terminal et EDR

Close