Dans son rapport « Global Threat Report » pour l’année 2022, Elastic insiste sur les failles des accès protégés par des identifiants.

L’erreur humaine constitue le risque le plus important pour la sécurité du cloud. Pour Elastic, le danger dans le cloud se situe au niveau des identifiants. 33 % des attaques dans le cloud s’appuieraient sur l’accès aux informations d’identification. Ce qui indique que les utilisateurs surestiment souvent la sécurité de leurs environnements dans le cloud et ne parviennent donc pas à les configurer et à les protéger de manière adéquate. 

Dans son étude, Elastic indique également que près de 57 % des données télémétriques sur la sécurité du cloud proviennent d’AWS, contre 22 % pour Google Cloud et 21 % pour Azure. Sur AWS, plus de 74 % des alertes sont liées aux accès protégés par des identifiants, à un accès initial et à des tactiques persistantes. Parmi elles, près de 57 % des techniques utilisées concernent des tentatives de vol des tokens d’accès aux applications qui est l’une des formes de vol d’identifiants les plus courantes dans le cloud. Sur Google Cloud, près de 54 % des alertes sont liées à des violations de comptes de service. 52 % des techniques reposent sur la manipulation de comptes. Cela prouve que les comptes de service sont toujours compromis à un rythme effréné lorsque leurs identifiants par défaut ne sont pas modifiés. Sur Azure, plus de 96 % des alertes sont liées aux événements d’authentification. 57 % des techniques ciblent des comptes valides pour tenter de récupérer les tokens OAUTH2. Au total, 58 % des tentatives d’accès initial utilisent un mélange de tentatives traditionnelles par force brute et de pulvérisations de mots de passe déjà compromis.

Les logiciels commerciaux comme portes d’entrée dans le système d’information

In fine, les utilisateurs malveillants exploitent les logiciels commerciaux conçus pour aider les équipes de sécurité… échappant à la surveillance de ces mêmes équipes. Même si les logiciels commerciaux de simulation d’attaques, à l’instar de CobaltStrike, aident de nombreuses équipes à renforcer les défenses de leurs environnements, ils sont également exploités par des utilisateurs malveillants pour implanter des malwares en grand nombre dans les systèmes. Selon les résultats obtenus par Elastic Security Labs, CobaltStrike, la charge utile ou le fichier binaire ciblant de la manière la plus étendue les points de terminaison Windows à des fins malveillantes, a représenté 35 % de l’ensemble des détections, contre 25 % pour AgentTesla et 10 % pour RedLineStealer.

Plus de 54 % de toutes les infections mondiales par des logiciels malveillants ont par ailleurs été détectées sur des points d’extrémité Windows, tandis que plus de 39 % l’ont été sur des points d’extrémité Linux. Près de 81 % des malwares observés aux quatre coins du globe se fondent sur des chevaux de Troie, suivis par les cryptomineurs à hauteur de 11 %. MacKeeper s’est classé au premier rang des menaces pour macOS avec près de 48 % de toutes les détections, XCSS et occupant la deuxième place avec près de 17 %.       

Les attaques aux points de terminaison se diversifient 

Ce rapport Elastic indique également que les utilisateurs malveillants utilisent plus de 50 techniques d’infiltration des points de terminaison. Leur système de sécurité s’avère donc efficace étant donné que sa sophistication pousse les utilisateurs malveillants à toujours trouver une nouvelle méthode d’attaque pour arriver à leurs fins. Trois tactiques MITRE ATT&CK représentent 66 % de toutes les techniques d’infiltration des points de terminaison. Un total de 74 % de toutes les techniques d’évasion de défense consistait en un camouflage (44 %) et en l’exécution d’un proxy binaire du système (30 %). Ainsi, outre le contournement des outils de sécurité, les techniques d’évasion par la défense échappent aux systèmes garantissant la visibilité, ce qui allonge les temps de détection des menaces. 

Parmi les techniques existantes d’exécution, 59 % sont liées à des interprètes de script natifs et de commande, alors que 40 % concernent des violations de Windows Management Instrumentation. Par conséquent, les utilisateurs malveillants exploitent PowerShell, Windows Script Host et les fichiers de raccourcis Windows pour exécuter des commandes, des scripts ou des fichiers binaires.

Près de 77 % de toutes les techniques ciblant les accès protégés par des identifiants concernent la récupération des identifiants de système d’exploitation à l’aide d’utilitaires bien connus. Cette tendance s’inscrit dans la lignée des tentatives des utilisateurs malveillants de se reposer sur des comptes valides pour ne pas attirer l’attention des administrateurs dans les environnements de déploiements hybrides associant hébergement sur site et prestataires de services cloud. 

Vers des tactiques d’évasion par la défense

Même si les utilisateurs malveillants ont toujours utilisé en priorité des techniques ciblant les accès protégés par des identifiants, ils investissent désormais dans des tactiques d’évasion par la défense, une évolution prouvant leur adaptation aux améliorations apportées aux technologies de sécurité qui les empêchent d’arriver à leurs fins. Lorsqu’ils utilisent également des techniques d’exécution, les utilisateurs malveillants sont en mesure de contourner les contrôles avancés des points de terminaison sans être détectés au sein des environnements des entreprises. « Les entreprises ont besoin de bien plus qu’un bon logiciel de sécurité, conclut Ken Exner, directeur des produits, Elastic. Elles doivent avoir un programme englobant les informations exploitables partagées, mais aussi des bonnes pratiques et une communauté centrées sur la veille des données de sécurité afin que leur clientèle puisse aussi tirer parti de la valeur de leur outil en place… »