Defending against malware persistence techniques with Wazuh

Défense Contre les Techniques de Persistance des Logiciels Malveillants avec Wazuh

Les logiciels malveillants utilisent des techniques de persistance pour maintenir un accès continu aux systèmes compromis, même après des redémarrages ou des changements de credentials. Ces méthodes permettent aux attaquants de prolonger leur présence, d’éviter la détection et de mener à bien leurs activités malveillantes. La persistance peut se traduire par des périodes d’inactivité prolongées (dwell time), une capacité à contourner les tentatives de nettoyage, l’exfiltration progressive de données, le déploiement d’autres malwares et des violations de conformité réglementaire.

Techniques de Persistance Courantes (selon le framework MITRE ATT&CK):

• T1053 – Tâche Planifiée/Job: Utilisation des planificateurs de tâches (comme cron sous Linux ou le Planificateur de tâches sous Windows) pour exécuter du code malveillant à intervalles réguliers.
• T1037 – Scripts d’initialisation au démarrage ou à la connexion: Exécution de scripts (ex: rc.local, init.d, systemd sous Linux) lors du démarrage du système ou de la connexion d’un utilisateur.
• T1543 – Création ou Modification de Processus Système: Installation ou modification de services système (Windows), démons (Linux) ou agents (launchd macOS) pour exécuter des charges utiles malveillantes.
• T1136 – Création de Compte: Ajout de nouveaux comptes locaux, de domaine ou cloud sur les systèmes compromis pour un accès continu.
• T1098 – Manipulation de Compte: Modification de credentials, de membres de groupes, ou ajout de clés SSH pour un accès persistant sans mot de passe.

Stratégies de Défense:

• Gestion des correctifs: Appliquer régulièrement les mises à jour pour réduire les vulnérabilités exploitables.
• Surveillance de l’intégrité des fichiers (FIM): Détecter les modifications non autorisées de fichiers critiques, tels que les scripts de démarrage ou les configurations de tâches planifiées.
• Surveillance des comptes utilisateurs: Suivre la création, la suppression et les modifications de permissions des comptes pour identifier les comportements suspects.
• Durcissement des configurations système: Désactiver les services inutiles, appliquer des politiques de mots de passe forts et limiter les privilèges administratifs.
• Chasse aux menaces (Threat Hunting): Rechercher activement des mécanismes de persistance dissimulés qui échappent aux outils automatisés.
• Sécurité des endpoints (XDR): Déployer des solutions de sécurité avancées capables de surveiller l’activité en temps réel et de bloquer les comportements de persistance connus.

Comment Wazuh Contribue à la Défense:

Wazuh, une solution de sécurité open source, offre plusieurs fonctionnalités pour lutter contre les techniques de persistance des logiciels malveillants :

• Réponse Active: Automatise les actions de réponse (blocage de trafic, suppression de fichiers) basées sur des déclencheurs prédéfinis.
• Surveillance de l’Intégrité des Fichiers (FIM): Détecte les modifications des fichiers et répertoires sensibles, y compris les configurations de systemd sous Linux.
• Évaluation de la Sécurité et de la Configuration (SCA): Analyse les systèmes pour identifier les mauvaises configurations et recommande des actions de remédiation pour durcir les systèmes (ex: vérification des politiques de mots de passe, désactivation de services).
• Analyse des Données de Journalisation: Collecte et analyse les journaux des endpoints pour détecter des activités suspectes comme la création de comptes non autorisés ou les modifications de services Windows.
• Détection de Vulnérabilités: Identifie les vulnérabilités dans les systèmes d’exploitation et les applications, permettant une action proactive pour renforcer les défenses avant qu’elles ne soient exploitées.

Source