Contenu
- Pourquoi les chevaux de Troie d'accès à distance constituent-ils une telle menace?
- Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
- Défense contre les chevaux de Troie d'accès distant
- Trojans d'accès à distance et menaces persistantes avancées
Source: Jslavy / Dreamstime.com
À emporter:
Alors que beaucoup pensent que les chevaux de Troie sont des attaques obsolètes remplacées par des logiciels malveillants plus sophistiqués, les chevaux de Troie d'accès à distance (RAT) ont connu une augmentation récente de leur utilisation.
Quelle est votre principale préoccupation en matière de cybermenaces et de programmes malveillants? Si vous suivez les tendances en matière de cybersécurité au cours des dernières années, les ransomwares pourraient être votre point central pour renforcer les défenses du réseau. (Pour en savoir plus sur les ransomwares, voir L’aptitude à combattre les ransomwares s’est considérablement aggravée.)
Bien que les ransomwares constituent toujours une menace majeure pour toute entreprise, les recherches de 2018 montrent que les cybercriminels changent d’attention.
Les données montrent que les pirates ne recherchent pas toujours un retour sur investissement immédiat: pour la toute première fois, un cheval de Troie à accès distant (RAT), permettant aux pirates de contrôler les systèmes compromis et d’exfiltrer des données sensibles, est apparu dans la liste des «10 plus recherchés». "Programmes malveillants".
Même s’ils existent depuis près de deux décennies, la vérité est que la plupart des entreprises ne sont pas préparées à cette puissante forme de malware.
Pourquoi les chevaux de Troie d'accès à distance constituent-ils une telle menace?
Un cheval de Troie d'accès distant est similaire à tout autre malware de type cheval de Troie en ce qu'il pénètre dans votre système sous le couvert de logiciels légitimes. Mais contrairement aux autres chevaux de Troie, les fichiers RAT créent dans vos systèmes des portes dérobées qui permettent aux attaquants de contrôler les ordinateurs d'extrémité infectés.
L’une des raisons pour lesquelles les RAT sont devenus si courants ces derniers mois est qu’il est plus facile que jamais pour les assaillants de les construire. Il existe des centaines de boîtes à outils différentes qui fournissent aux cybercriminels tout ce dont ils ont besoin pour créer des RAT et commencer à les distribuer via toutes sortes d'attaques d'ingénierie sociale.
Il suffit d’un employé pour ouvrir une pièce jointe malveillante contenant un cheval de Troie accessible à distance afin que les attaquants puissent pénétrer dans votre réseau. Cela est d'autant plus problématique que les RAT se sont révélés particulièrement difficiles à détecter.
Prenons l'exemple du RAT le plus populaire, FlawedAmmyy. Parce que FlawedAmmyy est construit à partir du code source d’Amyy Admin, un logiciel de poste de travail distant commun, de nombreux systèmes de sécurité ne pourront pas identifier les activités suspectes sur votre réseau.
Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.
Une fois qu'un RAT tel que FlawedAmmyy a infecté vos machines, les attaquants peuvent rester étouffés pendant des jours, voire des semaines, leur permettant de:
- Surveillez votre comportement en installant des enregistreurs de frappe et des logiciels espions via la porte dérobée
- Voler des informations confidentielles, des données personnelles et des informations d'identification
- Vous espionner en activant à la fois la webcam et le microphone sur votre terminal
- Prendre des captures d'écran de l'activité sur votre écran
- Exfiltrer des données sensibles en accédant à vos outils de gestion de fichiers
- Reconfigurer les pilotes de périphérique pour créer de nouvelles vulnérabilités dans votre réseau
Avec l’augmentation du nombre de ransomwares et de cryptomères, les menaces basées sur des données telles que les RAT semblent devenir moins attrayantes pour les cybercriminels. Cependant, Maya Horowitz, responsable du groupe de renseignements sur les menaces à Check Point, affirme que ce n’est plus le cas:
Bien que les cryptomères restent la menace dominante, cela peut indiquer que des données telles que les informations de connexion, les fichiers sensibles, les informations bancaires et de paiement n’ont pas perdu leur attrait lucratif pour les cybercriminels.
Cependant, ce n’est pas parce que les attaquants construisent des fichiers RAT qu’ils ressemblent à des logiciels légitimes que vous êtes condamné à subir une attaque. Vous pouvez prendre des mesures pratiques pour vous protéger (ainsi que votre réseau) contre la montée en puissance des chevaux de Troie d'accès à distance. (Pour en savoir plus sur la cryptographie, consultez Piratage des crypto-monnaies.)
Défense contre les chevaux de Troie d'accès distant
La bonne nouvelle concernant les fichiers RAT est que vous pouvez vous défendre de la même manière que vous vous protégez des autres menaces de logiciels malveillants. Cependant, le volume et la sophistication des menaces de logiciels malveillants d’aujourd’hui ont compliqué les stratégies de cybersécurité. Et pour les chevaux de Troie d'accès à distance, les enjeux sont plus importants que pour des formes moins importantes de programmes malveillants.
D'abord et avant tout, une stratégie de défense RAT dépend d'une formation de sensibilisation à la sécurité à l'échelle de l'entreprise. Les erreurs humaines sont la cause sous-jacente de plus de 90% des incidents de sécurité et les RAT ne font pas exception à la règle. Étant donné que ce logiciel malveillant est généralement exécuté via des liens et des pièces jointes infectés dans les campagnes de phishing, les employés doivent faire preuve de la plus grande vigilance pour éviter de compromettre involontairement votre réseau.
Cependant, la formation à la sensibilisation à la sécurité ne vous mènera que jusqu'à présent. Peu importe la formation dans laquelle vous investissez, les gens commettront encore des erreurs. Vous avez besoin d’une stratégie de défense multicouche associant différentes appliances de sécurité et solutions logicielles pour assurer une protection efficace de vos points de terminaison. Pour vous défendre contre les RAT et autres programmes malveillants dangereux, votre système de défense à plusieurs niveaux doit inclure:
- Procédures de contrôle d'accès strictes: Les fichiers RAT sont souvent utilisés pour compromettre les informations d'identification de l'administrateur qui permettent d'accéder à des données plus précieuses sur votre réseau. Avec des contrôles d'accès stricts, vous pouvez limiter l'impact des informations d'identification compromises. Cela signifie mettre en œuvre une vérification en deux étapes pour aller au-delà des simples mots de passe lors des tentatives de connexion, mettre en liste blanche les adresses IP des utilisateurs autorisés, déployer des solutions antivirus plus avancées et rendre les configurations de pare-feu plus strictes.
- Solutions d'accès distant sécurisé: Chaque nouveau noeud final qui se connecte à votre réseau représente un système potentiel pour les attaquants afin de compromettre l’utilisation des fichiers RAT. Pour limiter la surface d'attaque, l'accès à distance ne doit être autorisé que via des connexions sécurisées créées avec des passerelles sécurisées renforcées ou des réseaux privés virtuels (VPN). Mais au-delà, il est utile d’utiliser une solution d’accès à distance sans client qui ne nécessite ni logiciel ni plug-in supplémentaires sur les machines des utilisateurs finaux, qui constituent une cible facile pour les attaquants.
- Technologies de sécurité sans confiance: Les modèles de sécurité sans confiance ont gagné du terrain grâce à leur approche «ne jamais faire confiance, toujours vérifier». Plutôt que de donner aux administrateurs des informations d'identification pour un accès total sur le réseau, les solutions de sécurité sans confiance fournissent un contrôle granulaire sur les mouvements latéraux que les attaquants utilisent pour rechercher des données précieuses.
Ces trois stratégies se combinent pour créer un environnement plus sécurisé pour les travailleurs sur site et à distance. Même s'il est toujours important que les employés accordent une attention particulière aux liens et liens suspects, l'intégration de ces éléments d'une stratégie de défense multicouche vous aidera à éviter les catastrophes, même en cas d'erreur humaine.
Trojans d'accès à distance et menaces persistantes avancées
Une dernière remarque importante sur les RAT est qu’il ne s’agit pas uniquement d’outils permettant aux cybercriminels de réaliser des gains financiers à court terme. Bien que les ransomwares et les cryptomères aient fourni aux hackers de nombreuses manières d’exécuter des attaques lucratives rapides, vous ne pouvez pas oublier les dangers des menaces persistantes avancées (APT).
La compromission d'une machine avec un cheval de Troie d'accès distant peut n'être que le début d'une attaque. En raison de la difficulté à détecter les RAT, les portes dérobées peuvent rester ouvertes pendant de longues périodes. Cela permet aux attaquants de compromettre d'autres périphériques, de se déplacer latéralement au sein de votre réseau et d'exfiltrer des données sensibles supplémentaires, ce qui entraîne des incidents plus coûteux.
Ne laissez pas les RAT ouvrir votre entreprise au risque de violations de données de plusieurs millions de dollars. Prenez toutes les mesures nécessaires pour préparer votre main-d'œuvre à ces menaces et renforcez vos systèmes afin qu'ils résistent aux erreurs humaines qui créent des vulnérabilités à exploiter par les RAT.