Machines Virtuelles malveillantes et techniques d'exploitation avancées

Dans un environnement où les cybermenaces évoluent constamment, les cybercriminels cherchent en permanence à contourner les défenses classiques. L’une des tactiques les plus récentes et dévastatrices est l’utilisation de machines virtuelles (VMs) malveillantes pour échapper à la détection et compromettre des infrastructures critiques. Ces attaques, devenues suffisamment fréquentes pour être ajoutées au cadre MITRE ATT&CK en 2023 (T1564.006), marquent un tournant dans la manière dont les cyberattaquants infiltrent les réseaux et demeurent cachés pendant de longues périodes.

Key Statistics

  • 20% des entreprises considère comme l’une des menaces les plus difficiles à détecter CyberSecurity Insiders, 2023 Report Insider Threat
  • 43% d'attaques par ransomware par rapport à l'année précédente, S21sec Threat Landscape Report 2023

Une Menace Réelle

En 2024, Defants est intervenu pour assister une collectivité française victime d’une attaque par ransomware. Au cours de leur opération, les cybercriminels ont déployé une machine virtuelle malveillante pour échapper aux outils de détection classiques.

Ce cas illustre les nouvelles tactiques recensées par MITRE ATT&CK, reconnaissant l’utilisation croissante des VMs par les attaquants pour échapper aux outils de sécurité. Cette inclusion dans le cadre MITRE souligne la gravité de cette menace, obligeant les équipes de sécurité à repenser leurs stratégies de détection.

A Tactic Becoming Critical

Le fait que MITRE ATT&CK ait ajouté l’utilisation des machines virtuelles malveillantes dans son framework prouve à quel point cette tactique est devenue critique pour les cybercriminels. Les VMs permettent aux attaquants de rester sous le radar des outils de sécurité traditionnels, rendant la détection plus difficile et les attaques plus dévastatrices.”

François Khourbiga, CEO and Cofounder at Defants

Cartographie des Machines Virtuelles malveillantes avec Defants AIR

Lors de cette intervention, deux VMs malveillantes ont été identifiées comme éléments clés utilisés par les attaquants pour mener leurs actions. Grâce à Defants AIR (Automated Incident Response), l’équipe a pu cartographier toute la séquence d’attaque, depuis la connexion initiale jusqu’aux multiples tentatives de connexion et d’accès non autorisé.

Les analystes de Defants ont ainsi retracé le cycle de vie complet de l’attaque, révélant les connexions à divers hôtes système et les tentatives de connexion échouées ou réussies. La cartographie en graphe offerte par Defants AIR a mis en lumière les moments où l’attaquant a utilisé des identités compromises pour escalader les privilèges et contourner les défenses.

en savoir plus

Extended Infiltration: The Virtual Machine as a Stealth Weapon

Dans ce cas, la machine virtuelle malveillante a été utilisée pour prolonger la compromission sans éveiller les soupçons. Elle leur a permis d'exécuter des outils d’exploitation sophistiqués, tout en se fondant parfaitement dans l'infrastructure existante.

Joffrey Mourey, Responsable Adjoint au CERT DEFANTS

Un Cache-Cache malveillant

Cette attaque représente un exemple frappant de l’évolution des cybermenaces. Les attaquants ont utilisé la machine virtuelle comme point d’ancrage pour déployer des outils malveillants, accéder aux serveurs de sauvegarde et exfiltrer des données sensibles. En se cachant derrière la nature isolée et légitime des VMs, ils ont pu opérer pendant des semaines avant que la véritable étendue de l’attaque ne soit révélée.

Le MITRE ATT&CK reconnaît désormais cette tactique, indiquant qu’elle est devenue un vecteur majeur d’attaques sophistiquées.

Ce que cela implique pour vous

Les cybercriminels perfectionnent constamment leurs méthodes, et les machines virtuelles malveillantes sont devenues un atout stratégique dans leur arsenal. L’ajout de cette technique au cadre MITRE ATT&CK souligne sa prévalence croissante. Il est essentiel de prendre des mesures pour sécuriser votre infrastructure :

  • Surveillez activement les environnements virtuels pour détecter toute activité suspecte.
  • Renforcez vos capacités de détection avec des outils spécialisés comme Defants AIR, qui offrent une réponse rapide et automatisée aux incidents.
  • Réalisez des audits de sécurité réguliers pour rester en avance sur les nouvelles menaces.

En collaboration avec Defants, vous pouvez anticiper les attaques et protéger vos systèmes contre les menaces les plus sophistiquées, incluant les machines virtuelles malveillantes.

Protégez vos infrastructures dès aujourd’hui

Plusieurs personnes travaillent dans un open space, chacun devant son propre ordinateur.
Non classifié(e)

13 Déc 2024

Sortie de la v1.15 Defants AIR

Moments clés

23 Juil 2024

Cyber Defense Factory