Malware | Qu’est-ce qu’un malware et comment s’en protéger ?

Qu’est-ce qu’un malware ?

Conçu pour perturber le fonctionnement normal d’un ordinateur, un malware désigne de manière générale les virus, les chevaux de Troie et autres programmes informatiques destructeurs que les cybercriminels utilisent pour infecter les systèmes et les réseaux, et ainsi accéder à des informations sensibles.

Définition d’un malware

Un malware (abréviation de l’anglais « malicious software », ou « maliciel » en français) est un fichier ou un code, généralement transmis sur un réseau, permettant à un cybercriminel d’atteindre un but précis au sein d’un système (infecter, explorer, voler, etc.). Les malwares se déclinent en de nombreuses variantes et quasiment autant de méthodes d’infection des systèmes informatiques. Bien qu’ils varient en termes de types et de fonctionnalités, les malwares poursuivent en général l’un des objectifs suivants :

• Permettre à un attaquant de prendre le contrôle d’une machine à distance
• Envoyer des spams depuis la machine infectée vers des cibles peu méfiantes
• Explorer le réseau local depuis la machine infectée
• Faire main basse sur des données sensibles

Types de malwares :

« Malware » est un terme générique qui désigne tous les types de logiciels malveillants. Voici quelques exemples de malwares, de leurs méthodes d’attaque et de leurs modes de propagation :

Adware – Tandis que certaines formes de logiciels publicitaires sont considérées comme légitimes, d’autres servent à fournir des accès non autorisés aux systèmes informatiques et à perturber considérablement les utilisateurs.

Botnets – Abréviation de l’anglais « robot network » (réseau de robots), un botnet est un réseau d’ordinateurs infectés, aussi appelés « zombies », piloté à distance par un attaquant via un serveur de commande et contrôle (C2). Très polyvalents et adaptables, les botnets sont également très résilients grâce à des serveurs redondants et au grand nombre d’ordinateurs infectés servant à relayer le trafic. Les botnets sont souvent à l’origine des attaques par déni de service distribué (DDoS) que l’on observe actuellement.

Cryptojacking – Cryptominage (processus consistant à utiliser de la puissance de calcul pour vérifier les transactions sur une blockchain et gagner des cryptomonnaies en échange de ce service) qui se produit lorsque des cybercriminels piratent des ordinateurs fixes/portables et des appareils mobiles professionnels et personnels pour y installer des logiciels.

Malvertising – Contraction de l’anglais « malware » et « adverstising » décrivant le fait d’utiliser les publicités en ligne pour diffuser des malwares. Le malvertising implique généralement l’injection de codes malveillants ou de publicités contenant des malwares dans des réseaux de publicité en ligne et des pages web légitimes.

Malware polymorphe – Tout type de malware décrit ci-dessus doté d’une capacité à « se muer » régulièrement, modifiant l’apparence du code en surface tout en conservant le même algorithme interne. Cette modification de l’apparence du logiciel vise à empêcher sa détection par le biais de signatures virales traditionnelles.

Ransomware – Modèle d’activité criminelle qui utilise des malwares pour prendre en otage des fichiers, des données ou des informations sensibles, et les libérer en échange d’une rançon. Un ransomware peut gravement perturber, voire totalement paralyser, l’activité de l’entreprise victime.

RAT (Remote Administration Tools) – Logiciels permettant à un opérateur de contrôler un système à distance. Initialement conçus pour un usage légitime, ces outils sont désormais utilisés par les cybercriminels pour acquérir des droits d’administrateur et faire quasiment tout ce qu’ils veulent sur un ordinateur infecté. Les RAT sont difficiles à détecter, car ils n’apparaissent généralement pas dans les listes de programmes ou de tâches en cours d’exécution, et leurs actions sont souvent confondues avec celles de programmes légitimes.

Rootkits – Programmes fournissant un accès privilégié (niveau root) à un ordinateur. Les rootkits varient et sont dissimulés dans le système d’exploitation.

Spyware – Logiciel malveillant conçu pour collecter des informations sur l’utilisation d’un ordinateur infecté et les communiquer à l’attaquant. Ce terme recouvre les botnets, les adwares, les portes dérobées (backdoors), les enregistreurs de frappe, le vol de données et les vers.

Cheval de Troie – Malware ayant l’apparence d’un logiciel légitime. Une fois activés, les chevaux de Troie effectueront toutes les actions pour lesquelles ils ont été programmés. Contrairement aux virus et aux vers, les chevaux de Troie ne se répliquent ni ne se reproduisent par infection. Ce terme fait référence à la mythologie grecque retraçant l’histoire de soldats cachés dans un cheval de bois offert à la ville ennemie de Troie.

Virus – Programme qui se copie lui-même sur un ordinateur ou un réseau. Les virus se greffent sur des programmes existants et ne peuvent être activés que lorsqu’un utilisateur ouvre ce programme. Dans le pire des cas, les virus peuvent corrompre ou supprimer des données, utiliser la messagerie électronique de l’utilisateur pour se propager ou tout effacer sur un disque dur.

Vers – Virus auto-répliquant qui exploite les failles de sécurité pour se propager automatiquement sur les ordinateurs et les réseaux. Contrairement à de nombreux virus, les vers ne se greffent à aucun programme existant et ne modifient pas les fichiers. Ils passent généralement inaperçus jusqu’à ce que leur réplication atteigne un niveau considérable de consommation des ressources système ou de la bande passante.

Types d’attaques par malware

Au-delà du vecteur d’attaque initial, les malwares utilisent diverses méthodes pour se propager sur d’autres systèmes informatiques. Exemples d’attaques par malware :

• Pièces jointes d’e-mail exécutant un code malveillant à leur ouverture, à l’insu des utilisateurs. Si ces e-mails sont transférés, le malware peut se propager encore plus profondément au sein de l’entreprise, et ainsi compromettre davantage le réseau.
• Serveurs de fichiers, tels que ceux basés sur le système de fichiers Internet commun (SMB/CIFS) et le système de fichiers réseau (NFS), qui peuvent permettre aux malwares de se propager rapidement à mesure que les utilisateurs accèdent et téléchargent des fichiers infectés.
• Un malware présent sur une plateforme de partage de fichiers peut ainsi se répliquer sur des supports amovibles, puis sur des systèmes et réseaux informatiques.
• Le peer-to-peer (P2P) qui peut propager des malwares via le partage de fichiers visuels ou audio infectés.
• Les vulnérabilités exploitables à distance peuvent permettre à un hacker d’accéder depuis n’importe où à des systèmes, avec peu voire pas d’action de l’utilisateur du système en question.

Découvrez comment Palo Alto Networks, ses fonctionnalités de prévention des menaces et son service cloud WildFire® d’analyse des menaces protègent votre réseau contre tous les types de malwares, connus et inconnus.

Comment déjouer les attaques par malware

Diverses solutions de sécurité sont utilisées pour détecter et prévenir les malwares : pare-feu, pare-feu nouvelle génération (NGFW), systèmes de prévention des intrusions (IPS), inspection approfondie des paquets (DPI), systèmes de gestion unifiée des menaces (UTM), passerelles antivirus et anti-spam, réseaux privés virtuels (VPN), systèmes de filtrage de contenu, systèmes de prévention des fuites de données, etc. La prévention des malwares passe par des tests réguliers des solutions de sécurité face à un large éventail d’attaques. En ce sens, une bibliothèque robuste et actualisée de signatures de malwares permettra d’effectuer ces tests contre les dernières attaques.

L’agent Cortex XDR utilise diverses méthodes préventives aux phases critiques du cycle d’attaque afin de bloquer l’exécution de programmes malveillants et l’exploitation d’applications légitimes, indépendamment du système d’exploitation et de la connexion ou non du terminal à Internet ou au réseau de l’entreprise. Sachant que l’agent Cortex XDR ne dépend pas des signatures, il peut prévenir les malwares zero-day et les exploits inconnus grâce à une combinaison de méthodes de prévention.

Détection des malwares

Pare-feu, systèmes de prévention des intrusions (IPS), solutions de sandboxing… il existe divers outils avancés d’analyse et de détection des malwares. À l’image des ransomwares, certains types de malwares sont plus faciles à détecter, dans la mesure où ils se font connaître immédiatement après le chiffrement de vos fichiers. D’autres, en revanche, comme les logiciels espions, peuvent opérer incognito sur un système cible pour permettre aux attaquants de conserver l’accès au système. Quel que soit le type ou la définition du malware, sa détectabilité ou la personne qui le déploie, ses intentions sont toujours malveillantes.

Lorsque votre politique de sécurité des terminaux prévoit une protection contre les menaces comportementales, l’agent Cortex XDR peut également surveiller en permanence l’activité des terminaux pour détecter les chaînes d’événements malveillants déjà observées par Palo Alto Networks.

Suppression des malwares

De nombreux logiciels antivirus offrent une solution clé en main pour supprimer la plupart des types d’infections standards. De son côté, Cortex XDR permet d’intervenir directement sur le terminal à la suite d’une alerte ou d’une investigation, donnant aux administrateurs la possibilité d’exécuter différentes actions : 1) isoler les terminaux compromis en désactivant tous leurs accès réseau, à l’exception du trafic vers la console Cortex XDR ; 2) arrêter les processus pour stopper toute activité des malwares actifs sur le terminal ; et 3) bloquer les exécutions supplémentaires, avant de mettre les fichiers malveillants en quarantaine et de les supprimer de leurs répertoires de travail si l’agent Cortex XDR ne l’a pas déjà fait.

Protection anti-malware

Une protection efficace passe par une stratégie holistique de protection anti-malware dans toute l’entreprise. Les menaces de base sont par définition des exploits moins sophistiqués et plus faciles à détecter et à bloquer grâce à une combinaison de fonctionnalités antivirus, anti-spyware et de protection contre les vulnérabilités, sans oublier le filtrage d’URL et l’identification d’applications sur le pare-feu.

Pour en savoir plus sur les malwares, leurs variantes et les moyens à votre disposition pour protéger votre entreprise, consultez les ressources sur notre site :

• Qu’est-ce que la protection anti-malware ?
• Attaques par malware sans fichier et détournement d’outils légitimes
• Rapport sur les menaces par ransomware
• Qu’est-ce qu’un ransomware ?
• Ransomware : méthodes d’attaque courantes
• Malware vs exploits
• Qu’est-ce qu’une signature basée sur des payloads ?
• Cortex XDR pour la détection et la réponse
• Prévention des menaces
• Moteur d’analyse anti-malware WildFire