- Netsh.exe est l’outil Windows le plus abusé, et il se cache toujours à la vue
- PowerShell apparaît sur 73% des points de terminaison, pas seulement aux mains de l’administrateur
- Le retour surprenant de la WMIC montre que les attaquants favorisent les outils que personne ne regarde plus
Une nouvelle analyse de 700 000 incidents de sécurité a révélé à quel point les cybercriminels exploitent largement les outils Microsoft de confiance pour briser les systèmes non détectés.
Bien que la tendance des attaquants utilisant des services publics indigènes, connus sous le nom de tactiques de vie (LOTL), n’est pas nouveau, les dernières données de la plate-forme GravityZone de BitDefender suggèrent qu’elle est encore plus répandue qu’on ne le pensait auparavant.
Un échelonné 84% des attaques à haute sévérité impliquait l’utilisation de binaires de système légitimes déjà présents sur les machines. Cela sape l’efficacité des défenses conventionnelles, même celles commercialisées comme le meilleur antivirus ou la meilleure protection contre les logiciels malveillants.
Certains des outils les plus couramment maltraités seront très familiers aux administrateurs système, notamment PowerShell.exe et Wscript.exe.
Cependant, un outil a émergé inattendu en haut: netsh.exe. Utilité de la ligne de commande pour gérer la configuration du réseau, netsh.exe a été trouvée dans un tiers des attaques majeures – et bien qu’elle soit encore utilisée pour la gestion du pare-feu et de l’interface, son apparence fréquente dans les chaînes d’attaque suggère que son potentiel d’utilisation abusive est sous-estimé.
PowerShell reste un élément clé des opérations légitimes et des activités malveillantes – bien que 96% des organisations utilisent PowerShell, il a été constaté sur 73% des critères de terminaison, bien au-delà de la portée de ce qui serait attendu de l’utilisation administrative.
Bitdefender a constaté que «les applications tierces exécutant le code PowerShell sans interface visible» étaient une cause courante.
Cette nature à double usage rend la détection difficile, en particulier pour les outils non soutenus par les moteurs conscients du comportement.
Il soulève des questions sur la question de savoir si les meilleures solutions EPP sont correctement réglées pour tenir compte de cette ligne floue entre une utilisation normale et néfaste.
Une autre découverte surprenante a été l’utilisation continue de WMIC.exe, un outil que Microsoft a obsolète.
Malgré son âge, l’analyse montre qu’elle est encore largement présente dans les environnements, souvent invoquée par des informations sur les logiciels. Il est particulièrement attrayant lorsque les attaquants tentent de se fondre en raison de son apparence légitime.
Pour résoudre ce problème, Bitdefender a développé PHASR (durcissement proactif et réduction de la surface d’attaque). Cet outil utilise une approche ciblée qui va au-delà des simples outils de désactivation.
“Phasr va au-delà du blocage des outils entiers, il surveille et arrête également les actions spécifiques que les attaquants utilisent”, a déclaré la société.
Pourtant, cette approche n’est pas sans compromis. Le dilemme fondamental, «ne peut pas vivre avec eux, ne peut pas vivre sans eux», reste non résolu.
