Qu’est-ce qu’un « logiciel malveillant sans fichiers persistants » et comment le détecter avec des outils gratuits ?

L'apparence de logiciels malveillants sans fichiers persistants Cela a été un véritable casse-tête pour les équipes de sécurité. Il ne s'agit pas du virus classique que l'on « attrape » en supprimant un fichier exécutable du disque, mais de menaces qui résident en mémoire, exploitent des outils système légitimes et, dans de nombreux cas, ne laissent quasiment aucune trace exploitable pour les analyses forensiques.

Ce type d'attaque est devenu particulièrement populaire parmi les groupes sophistiqués et les cybercriminels qui recherchent contourner les logiciels antivirus traditionnels, voler des données et rester invisible et ce, le plus longtemps possible. Comprendre leur fonctionnement, les techniques qu'ils utilisent et comment les détecter est essentiel pour toute organisation qui souhaite prendre la cybersécurité au sérieux aujourd'hui.

Qu’est-ce qu’un logiciel malveillant sans fichier et pourquoi est-il si préoccupant ?

Quand on parle de logiciel malveillant sans fichier Nous ne disons pas qu'aucun octet n'est impliqué, mais que le code malveillant Il n'est pas stocké sur disque sous forme de fichier exécutable classique. Au lieu de cela, il s'exécute directement en mémoire ou est hébergé dans des conteneurs moins visibles tels que le Registre, WMI ou les tâches planifiées.

Dans de nombreux scénarios, l'attaquant s'appuie sur des outils déjà présents dans le système (PowerShell, WMI, scripts, binaires Windows signés) pour Charger, déchiffrer ou exécuter des charges utiles directement dans la RAMDe cette manière, on évite de laisser des fichiers exécutables évidents qu'un antivirus basé sur la signature pourrait détecter lors d'une analyse normale.

De plus, une partie de la chaîne d'attaque peut être « sans fichier » et une autre partie peut utiliser le système de fichiers ; nous parlons donc de plusieurs mécanismes. spectre des techniques sans fichier celle d'une seule famille de logiciels malveillants. C'est pourquoi il n'existe pas de définition unique et définitive, mais plutôt plusieurs catégories en fonction de leur impact sur la machine.

Principales caractéristiques des logiciels malveillants sans fichiers persistants

Une caractéristique essentielle de ces menaces est leur exécution centrée sur la mémoireLe code malveillant est chargé dans la mémoire vive et exécuté au sein de processus légitimes, sans nécessiter de binaire malveillant stable sur le disque dur. Dans certains cas, il est même injecté dans des processus système critiques pour un camouflage optimal.

Une autre caractéristique importante est la persistance non conventionnelleDe nombreuses campagnes sans fichier sont purement volatiles et disparaissent après un redémarrage, mais d'autres parviennent à se réactiver à l'aide de clés d'exécution automatique du Registre, d'abonnements WMI, de tâches planifiées ou de BITS, de sorte que l'artefact « visible » est minimal et que la véritable charge utile est de nouveau présente en mémoire à chaque fois.

Cette approche réduit considérablement l'efficacité de détection basée sur la signatureComme il n'existe pas de fichier exécutable fixe à analyser, on observe souvent un PowerShell.exe, un wscript.exe ou un mshta.exe parfaitement légitime, lancé avec des paramètres suspects ou chargeant du contenu obscurci.

Enfin, de nombreux acteurs combinent des techniques sans fichier avec d'autres techniques. types de logiciels malveillants tels que les chevaux de Troie, les rançongiciels ou les logiciels publicitaires, donnant lieu à des campagnes hybrides qui mélangent le meilleur (et le pire) des deux mondes : la persistance et la furtivité.

Types de menaces sans fichier selon leur empreinte sur le système

Plusieurs fabricants de sécurité Ils classent les menaces « sans fichier » selon les traces qu'elles laissent sur l'ordinateur. Cette classification nous aide à comprendre ce que nous observons et comment enquêter.

Type I : aucune activité de fichier visible

Au niveau le plus furtif, on trouve des logiciels malveillants qui Il n'écrit absolument rien dans le système de fichiersLe code arrive, par exemple, via des paquets réseau qui exploitent une vulnérabilité (telle qu'EternalBlue), est injecté directement en mémoire et est maintenu, par exemple, comme une porte dérobée dans le noyau (DoublePulsar en était un cas emblématique).

Dans d'autres scénarios, l'infection réside dans Le micrologiciel du BIOS, les cartes réseau, les périphériques USB, voire même les sous-systèmes au sein du processeurCe type de menace peut survivre à des réinstallations du système d'exploitation, au formatage du disque et même à certains redémarrages complets.

Le problème est que la plupart des solutions de sécurité Ils n'inspectent pas le firmware ni le microcode.Et même si elles y parviennent, la remédiation est complexe. Heureusement, ces techniques sont généralement réservées à des acteurs très sophistiqués et ne sont pas la norme lors d'attaques de masse.

Type II : Utilisation indirecte des fichiers

Un deuxième groupe est basé sur contiennent le code malveillant dans des structures stockées sur disqueMais pas sous forme de fichiers exécutables traditionnels, mais dans des référentiels qui mélangent données légitimes et malveillantes, difficiles à nettoyer sans endommager le système.

Les scripts stockés dans le Référentiel WMI, chaînes obscurcies dans clés de registre ou des tâches planifiées qui exécutent des commandes dangereuses sans fichier binaire malveillant clairement identifiable. Les logiciels malveillants peuvent installer ces éléments directement depuis la ligne de commande ou un script, puis rester pratiquement invisibles.

Bien que techniquement des fichiers soient impliqués (le fichier physique où Windows stocke le référentiel WMI ou la ruche du Registre), en pratique, nous parlons de activité sans fichier car il n'existe aucun fichier exécutable évident qui puisse être simplement mis en quarantaine.

Type III : Nécessite des fichiers pour fonctionner

Le troisième type comprend les menaces qui Ils utilisent des fichiers, mais d'une manière qui n'est pas très utile pour la détection.Un exemple bien connu est Kovter, qui enregistre des extensions aléatoires dans le Registre afin que, lorsqu'un fichier avec cette extension est ouvert, un script soit exécuté via mshta.exe ou un binaire natif similaire.

Ces fichiers leurres contiennent des données non pertinentes, et le véritable code malveillant Elle est récupérée à partir d'autres clés de registre ou des dépôts internes. Bien qu'il y ait « quelque chose » sur le disque, il n'est pas facile de l'utiliser comme indicateur fiable de compromission, et encore moins comme mécanisme de nettoyage direct.

Vecteurs d'entrée et points d'infection les plus courants

Au-delà de la classification de l'empreinte écologique, il est important de comprendre comment C’est là qu’intervient le logiciel malveillant sans fichiers persistants. Dans la vie de tous les jours, les attaquants combinent souvent plusieurs vecteurs en fonction de l'environnement et de la cible.

Exploits et vulnérabilités

L'une des voies les plus directes est l'abus de vulnérabilités d'exécution de code à distance (RCE) Cette faille peut être exploitée dans les navigateurs, les plugins (comme Flash à l'époque), les applications web ou les services réseau (SMB, RDP, etc.). Elle consiste à injecter un shellcode qui télécharge ou décode directement la charge utile malveillante en mémoire.

Dans ce modèle, le fichier initial peut se trouver sur le réseau (type d'exploits) WannaCryou dans un document que l'utilisateur ouvre, mais La charge utile n'est jamais écrite sous forme de fichier exécutable sur le disque.: il est déchiffré et exécuté à la volée depuis la RAM.

Documents et macros malveillants

Une autre voie largement exploitée est la Documents Office avec macros ou DDEainsi que des fichiers PDF conçus pour exploiter les vulnérabilités des lecteurs. Un fichier Word ou Excel apparemment inoffensif peut contenir du code VBA qui lance PowerShell, WMI ou d'autres interpréteurs pour télécharger du code, exécuter des commandes ou injecter du code malveillant dans des processus de confiance.

Ici, le fichier sur le disque n'est « qu'un » conteneur de données, tandis que le vecteur réel est le moteur de script interne de l'applicationEn réalité, de nombreuses campagnes de spam de masse ont abusé de cette tactique pour lancer des attaques sans fichier sur les réseaux d'entreprise.

Scripts et binaires légitimes (Vivre de la terre)

Les attaquants adorent les outils que Windows fournit déjà : PowerShell, wscript, cscript, mshta, rundll32, regsvr32Windows Management Instrumentation, BITS, etc. Ces fichiers binaires signés et approuvés peuvent exécuter des scripts, des DLL ou du contenu distant sans avoir besoin d'un « virus.exe » suspect.

En passant du code malveillant comme paramètres de ligne de commandeL'intégration dans des images, le chiffrement et le décodage en mémoire, ou le stockage dans le Registre, garantissent que l'antivirus ne détecte que l'activité des processus légitimes, rendant la détection basée uniquement sur les fichiers beaucoup plus difficile.

Matériel et micrologiciel compromis

À un niveau encore plus bas, des attaquants sophistiqués peuvent s'infiltrer Le firmware du BIOS, les cartes réseau, les disques durs, voire les sous-systèmes de gestion du processeur (comme Intel ME ou AMT). Ce type de logiciel malveillant s'exécute en arrière-plan du système d'exploitation et peut intercepter ou modifier le trafic sans que le système d'exploitation ne s'en aperçoive.

Bien qu'il s'agisse d'un scénario extrême, il illustre à quel point une menace sans fichier peut Maintenir la persistance sans modifier le système de fichiers du système d'exploitationet pourquoi les outils classiques de point de terminaison sont insuffisants dans ces cas.

Comment fonctionne une attaque de logiciel malveillant sans fichiers persistants ?

Au niveau du flux, une attaque sans fichier est assez similaire à une attaque basée sur un fichier, mais avec différences pertinentes dans la manière dont la charge utile est implémentée et dont l'accès est maintenu.

1. Accès initial au système

Tout commence lorsque l'attaquant prend l'ascendant : Courriel d'hameçonnage contenant un lien ou une pièce jointe malveillante, une faille de sécurité exploitée dans une application vulnérable, des identifiants volés pour RDP ou VPN, ou même un périphérique USB altéré.

Dans cette phase, on utilise les éléments suivants : ingénierie socialeredirections malveillantes, campagnes de malvertising ou attaques Wi-Fi malveillantes visant à inciter l'utilisateur à cliquer là où il ne le devrait pas ou à exploiter des services exposés sur Internet.

2. Exécution de code malveillant en mémoire

Une fois cette première entrée obtenue, le composant sans fichier est déclenché : une macro Office lance PowerShell, une faille de sécurité injecte du code malveillant, un abonnement WMI déclenche un script, etc. L’objectif est Charger directement du code malveillant dans la RAMsoit en le téléchargeant depuis Internet, soit en le reconstruisant à partir de données intégrées.

À partir de là, le logiciel malveillant peut élever ses privilèges, se déplacer latéralement, voler des identifiants, déployer des webshells, installer des RAT ou chiffrer des donnéesTout ceci est soutenu par des processus légitimes visant à réduire le bruit.

3. Établir la persévérance

Parmi les techniques habituelles sont les suivants:

• Clés d'exécution automatique dans le Registre qui exécutent des commandes ou des scripts lors de la connexion.
• Tâches planifiées qui lancent des scripts, des fichiers binaires légitimes avec des paramètres ou des commandes à distance.
• Abonnements WMI qui déclenchent du code lorsque certains événements système se produisent.
• Utilisation de BITS pour les téléchargements périodiques de données utiles depuis les serveurs de commande et de contrôle.

Dans certains cas, le composant persistant est minimal et sert uniquement à réinjecter le logiciel malveillant dans la mémoire à chaque démarrage du système ou lorsqu'une condition spécifique est remplie.

4. Actions sur les cibles et exfiltration

Fort de sa persévérance, l'attaquant se concentre sur ce qui l'intéresse réellement : voler des informations, les chiffrer, manipuler des systèmes ou espionner pendant des moisL'exfiltration peut se faire via HTTPS, DNS, canaux cachés ou services légitimes. Dans les incidents réels, le fait de savoir Que faire dans les 24 heures suivant un piratage ? peut faire la différence.

Dans les attaques APT, il est fréquent que le logiciel malveillant reste silencieux et furtif pendant de longues périodes, en construisant des portes dérobées supplémentaires pour garantir l'accès même si une partie de l'infrastructure est détectée et neutralisée.

Capacités et types de logiciels malveillants pouvant être sans fichier

Pratiquement toutes les fonctions malveillantes qu'un logiciel malveillant classique peut exécuter peuvent être mises en œuvre en suivant cette approche. sans classement ou semi-sans classementCe qui change, ce n'est pas l'objectif, mais la manière dont le code est déployé.

Logiciel malveillant résidant uniquement en mémoire

Cette catégorie comprend les charges utiles qui Elles résident exclusivement dans la mémoire du processus ou du noyau.Les rootkits modernes, les portes dérobées sophistiquées ou les logiciels espions peuvent se charger dans l'espace mémoire d'un processus légitime et y rester jusqu'au redémarrage du système.

Ces composants sont particulièrement difficiles à visualiser avec les outils orientés disque, et imposent l'utilisation de analyse de la mémoire vive, EDR avec inspection en temps réel ou capacités d'analyse forensique avancées.

Logiciel malveillant basé sur le registre Windows

Une autre technique récurrente consiste à stocker Code chiffré ou obscurci dans les clés de registre et utiliser un binaire légitime (tel que PowerShell, MSHTA ou rundll32) pour le lire, le décoder et l'exécuter en mémoire.

Le programme d'installation initial peut s'autodétruire après avoir écrit dans le registre, de sorte qu'il ne reste qu'un mélange de données apparemment inoffensives qui Ils activent la menace à chaque démarrage du système. ou à chaque fois qu'un fichier spécifique est ouvert.

Ransomware et chevaux de Troie sans fichier

L'approche sans fichier n'est pas incompatible avec des méthodes de chargement très agressives telles que ransomwareCertaines campagnes téléchargent, déchiffrent et exécutent l'intégralité du chiffrement en mémoire à l'aide de PowerShell ou de WMI, sans laisser le fichier exécutable du ransomware sur le disque.

De même, chevaux de Troie d'accès à distance (RAT)Les enregistreurs de frappe ou les voleurs d'identifiants peuvent fonctionner de manière semi-sans fichier, en chargeant des modules à la demande et en hébergeant la logique principale dans des processus système légitimes.

Kits d'exploitation et identifiants volés

Les kits d'exploitation Web constituent un autre élément du puzzle : ils détectent les logiciels installés, Ils sélectionnent la faille appropriée et injectent la charge utile directement en mémoire., souvent sans rien enregistrer du tout sur le disque.

D'autre part, l'utilisation de identifiants volés Il s'agit d'un vecteur qui s'accorde très bien avec les techniques sans fichier : l'attaquant s'authentifie en tant qu'utilisateur légitime et, à partir de là, exploite les outils d'administration natifs (PowerShell Remoting, WMI, PsExec) pour déployer des scripts et des commandes qui ne laissent aucune trace classique de logiciel malveillant.

Pourquoi les logiciels malveillants sans fichier sont-ils si difficiles à détecter ?

La raison sous-jacente est que ce type de menace est spécifiquement conçu pour contourner les couches de défense traditionnellesbasé sur des signatures, des listes blanches et des analyses périodiques de fichiers.

Si le code malveillant n'est jamais enregistré comme fichier exécutable sur le disque, ou s'il se dissimule dans des conteneurs mixtes tels que WMI, le Registre ou le firmware, les logiciels antivirus traditionnels ont très peu d'éléments à analyser. Au lieu d'un « fichier suspect », vous avez en réalité… processus légitimes qui se comportent de manière anormale.

De plus, il bloque radicalement des outils tels que PowerShell, les macros Office ou WMI. Ce n'est pas viable dans de nombreuses organisationsParce qu'elles sont essentielles à l'administration, à l'automatisation et aux opérations quotidiennes, leurs défenseurs doivent faire preuve d'une grande prudence.

Certains fournisseurs ont tenté de compenser par des solutions rapides (blocage générique de PowerShell, désactivation totale des macros, détection exclusive du cloud, etc.), mais ces mesures sont généralement insuffisant ou excessivement perturbateur pour les affaires.

Stratégies modernes de détection et de blocage des logiciels malveillants sans fichier

Pour faire face à ces menaces, il est nécessaire d'aller au-delà du simple scan de fichiers et d'adopter une approche ciblée. comportement, télémétrie en temps réel et visibilité approfondie du point final.

Surveillance du comportement et de la mémoire

Une approche efficace consiste à observer ce que font réellement les processus : quelles commandes ils exécutent, à quelles ressources ils accèdent, quelles connexions ils établissentcomment ils sont liés entre eux, etc. Bien qu'il existe des milliers de variantes de logiciels malveillants, les schémas de comportement malveillant sont beaucoup plus limités. Ceci peut également être complété par le Détection avancée avec YARA.

Les solutions modernes combinent cette télémétrie avec des analyses en mémoire, des heuristiques avancées et apprentissage automatique pour identifier les chaînes d'attaque, même lorsque le code est fortement obscurci ou n'a jamais été vu auparavant.

Utilisation d'interfaces système telles que AMSI et ETW

Windows propose des technologies telles que Interface de scan anti-programme malveillant (AMSI) y Suivi d'événements pour Windows (ETW) Ces sources permettent d'inspecter les scripts et les événements système à un niveau très bas. Leur intégration dans les solutions de sécurité facilite la détection des menaces. code malveillant juste avant ou pendant son exécution.

De plus, l'analyse des zones critiques (tâches planifiées, abonnements WMI, clés de registre de démarrage, etc.) permet d'identifier persistance secrète sans fichier qui pourrait passer inaperçu lors d'une simple analyse de fichiers.

Chasse aux menaces et indicateurs d'attaque (IoA)

Étant donné que les indicateurs classiques (hachages, chemins de fichiers) sont insuffisants, il est conseillé de s'appuyer sur indicateurs d'attaque (IoA), qui décrivent des comportements suspects et des séquences d'actions correspondant à des tactiques connues.

Les équipes de chasse aux menaces, internes ou via des services gérés, peuvent effectuer des recherches proactives. Mouvements latéraux, utilisation abusive des outils natifs, anomalies dans l'utilisation de PowerShell ou l'accès non autorisé à des données sensibles, en détectant les menaces sans fichier avant qu'elles ne provoquent une catastrophe.

EDR, XDR et SOC 24h/24 et 7j/7

Plateformes modernes de EDR et XDR (La détection et la réponse aux points de terminaison à un niveau étendu) offrent la visibilité et la corrélation nécessaires pour reconstituer l'historique complet d'un incident, du premier courriel d'hameçonnage à l'exfiltration finale.

Combiné avec un SOC opérationnel 24h/24 et 7j/7Ils permettent non seulement la détection, mais aussi contenir et remédier automatiquement Activité malveillante : isoler les ordinateurs, bloquer les processus, annuler les modifications apportées au Registre ou défaire le chiffrement lorsque cela est possible.

Les techniques de logiciels malveillants sans fichier ont bouleversé la donne : il ne suffit plus de se contenter d’une analyse antivirus et de la suppression d’un fichier exécutable suspect. Aujourd’hui, la défense repose sur la compréhension des mécanismes d’exploitation des vulnérabilités par les attaquants, qui dissimulent du code dans la mémoire, le registre, WMI ou le firmware. Elle nécessite le déploiement d’une combinaison de surveillance comportementale, d’analyse en mémoire, de solutions EDR/XDR, de chasse aux menaces et de bonnes pratiques. Réduire l'impact de manière réaliste Les attaques qui, par conception, tentent de ne laisser aucune trace là où les solutions plus traditionnelles interviennent, nécessitent une stratégie globale et continue. En cas de compromission, savoir Réparer Windows après une infection virale grave est essentiel.