3 Reasons Attackers Use Trusted Tools Against You Effectively

LockSelf Team

5 min de lecture
Partager
3 Reasons Attackers Use Trusted Tools Against You Effectively

Origines et historique

Depuis le milieu des années 2010, l'arsenal des attaquants s'est déplacé. Plutôt que d'utiliser des outils bruyants et faciles à repérer, beaucoup préfèrent exploiter ce qui est déjà installé dans l'entreprise: PowerShell, WMI, certutil, des API cloud, et d'autres utilitaires système. C'est la logique "living off the land" (LOTL) - tirer parti des binaires et scripts légitimes pour contourner les protections et réduire la visibilité des opérations malveillantes².

Cette approche n'est pas nouvelle, mais elle s'est massivement professionnalisée: des répertoires comme LOLBAS recensent des centaines d'exécutables et scripts couramment détournés, avec des exemples concrets d'abus et des mitigations possibles². Dans la pratique, ces techniques rendent la distinction entre activité administrative légitime et comportement malveillant beaucoup plus subtile.

L'adoption croissante du cloud a aussi facilité ces tactiques. Les APIs et services cloud autorisent des actions puissantes via des identifiants valides, ce qui permet d'extraire ou de manipuler des données loin des endpoints classiques. Des campagnes récentes observées en 2025 et 2026 montrent une montée notable de ces abus, souvent combinés à des attaques de phishing et à des compromissions de comptes privilégiés¹.

Trois facteurs expliquent ce basculement:

  • Le durcissement des protections traditionnelles rend l'installation d'un malware classique plus coûteuse pour un attaquant.
  • Les outils administratifs intégrés sont puissants et omniprésents sur les machines, ce qui offre aux attaquants un large champ d'action sans déposer de code non signé.
  • L'usage massif du cloud ouvre de nouveaux vecteurs via des API et des rôles mal configurés.

Fonctionnement technique

Principes opérationnels

Les attaques basées sur des outils légitimes suivent souvent une séquence reconnaissable, même si chaque campagne apporte ses variantes:

  • Initialisation - l'attaquant obtient un point d'entrée par phishing, exploitation d'une vulnérabilité ou compromission de compte.
  • Escalade de privilège - des commandes natives ou des scripts sont utilisés pour obtenir des droits plus élevés.
  • Mouvement latéral - les attaquants déplacent leur accès entre machines en utilisant des mécanismes tels que PsExec, WinRM ou WMI.
  • Persistance - mise en place de tâches planifiées, modifications de registre, ou abus de comptes de service pour maintenir l'accès.
  • Exfiltration et C2 - extraction via des canaux légitimes (upload vers un stockage cloud via API, compression par des outils natifs) et contrôle à distance sans déposer d'exécutables reconnus.

La différence essentielle avec une attaque "traditionnelle" tient à l'absence d'artéfacts habituels sur le disque: le code peut s'exécuter en mémoire, être signé, ou transiter par des services distants, rendant les règles basées sur des signatures moins efficaces³.

Techniques et exemples d'abus

  • PowerShell: utilisé pour charger et exécuter du code en mémoire, lancer des scripts encodés ou se connecter à des endpoints distants. Les attaquants obfusquent fréquemment les lignes de commande pour éviter la détection.
  • WMI / WinRM: permettent d'exécuter des tâches à distance et d'interroger l'état des systèmes sans déposer de nouveau binaire.
  • PsExec, SMB: utiles pour lancer des processus à distance avec des identifiants volés et propager des accès au sein d'un réseau.
  • CertUtil / BITSAdmin: outils de téléchargement et de gestion de certificats pouvant servir à récupérer des payloads sans navigateur.

Ces exemples sont loin d'être exhaustifs: LOLBAS documente de nombreux autres exécutables détournables, et la créativité des attaquants continue d'évoluer².

Détection: signaux faibles et artefacts

Repérer un usage malveillant d'outils légitimes exige de déplacer le curseur de la détection de la signature vers le comportement et le contexte. Voici des indicateurs pragmatiques:

  • Création de processus inhabituelle: exécutions de PowerShell ou de certutil par des comptes non administratifs ou en dehors des plages horaires habituelles.
  • Chaînes de commande suspectes: commandes encodées, flags inhabituels, ou scripts obfusqués.
  • Accès réseau anormaux initiés par des processus système: connexions vers des destinations externes jamais contactées auparavant.
  • Anomalies d'authentification: succès depuis de nouvelles géolocalisations, multiplicité d'échecs suivis de succès, ou utilisation de comptes de service hors de leur scope habituel.

Des technologies comme Sysmon, AMSI, ETW et des solutions EDR/XDR fournissent la télémétrie nécessaire, mais cette donnée doit être corrélée dans un SIEM pour transformer des signaux faibles en alertes exploitables³.

Études de cas

Cas 1: Abus massif de PowerShell et certutil lors d'une campagne en 2025Une PME a été compromise via phishing. Les attaquants ont établi un canal en mémoire via PowerShell puis ont utilisé certutil pour récupérer un chargeur encodé. Aucun binaire malveillant sur disque n'ayant été trouvé, l'incident n'a été identifié qu'après corrélation des logs et analyse comportementale¹.

Illustration cybersécurité

Cas 2: DLL sideloading pour éluder la chaîne de confianceUn attaquant a inséré une DLL malveillante dans une application interne signée. Parce que l'application semblait légitime et signée, les contrôles superficiels n'ont rien signalé, et le code a tourné avec des privilèges élevés.

Cas 3: Exfiltration via API cloud par des comptes compromisDes comptes administratifs compromis ont été utilisés pour lister et télécharger massivement des données depuis un stockage cloud. Ce type d'exfiltration passe souvent par des appels d'API légitimes et ne génère pas l'empreinte d'une fuite depuis un endpoint classique.

Perspectives

Les tendances attendues pour les 12 à 36 mois à venir sont une hausse des attaques sans fichier et une multiplication des abus d'APIs cloud. Pour s'adapter, il faut passer d'une posture de blocage binaire à une détection centrée sur le comportement, la visibilité et l'automatisation de la réponse¹³.

Actions opérationnelles à prioriser maintenant:

  • Inventaire des binaires et scripts présents sur endpoints et serveurs: connaître pour pouvoir surveiller.
  • Contrôles d'exécution: appliquer WDAC, AppLocker ou équivalents pour limiter les exécutions non autorisées.
  • Renforcement du logging: activer Sysmon, AMSI et collecter les événements de création de processus, connexions réseau et activités d'authentification.
  • Postes à privilèges dédiés: séparer les tâches d'administration et imposer MFA et politiques de session stricte.
  • Surveillance des accès cloud: appliquer le principe du moindre privilège, rotation des clés, et alertes sur volumes de téléchargement anormaux.

Adopter ces mesures réduit significativement la fenêtre d'opportunité pour un attaquant qui cherche à tirer parti d'outils légitimes. La clef est d'aligner durcissement, visibilité et capacité de réponse automatisée.

Questions fréquentes

Pourquoi les contrôles traditionnels peinent-ils face aux attaques qui utilisent des outils légitimes?

Les contrôles traditionnels s'appuient souvent sur des signatures ou sur le blocage d'exécutables inconnus. Quand une action provient d'un binaire signé ou d'une fonctionnalité système normale, il n'y a pas d'artefact nouveau à bloquer. Il faut donc baser la détection sur le comportement, la corrélation d'événements et le contexte (hôte, utilisateur, horaire) pour repérer les usages abusifs.

Quels premiers signaux surveiller pour détecter l'abus de LOLBins?

Surveiller la création de processus inhabituelle (PowerShell lancé par un compte non admin), les chaînes de commande encodées, les connexions réseau initiées par des processus système et les appels d'API cloud hors des habitudes du compte. Corréler ces éléments avec des anomalies d'authentification permet de prioriser les investigations.

Doit-on bloquer des outils natifs comme PowerShell ou certutil?

Un blocage complet peut casser des usages légitimes. Il vaut mieux appliquer des restrictions: mode restreint pour PowerShell, politiques WDAC/Applocker ciblées, whitelist des scripts signés, et surveillance stricte. Pour postes sensibles, envisager la désactivation ou le durcissement des composants non nécessaires.

Quelles pratiques cloud limitent l'exfiltration via API légitimes?

Appliquer le principe du moindre privilège pour les rôles et clés, rotation régulière des credentials, activation et collecte des logs d'audit dans un SIEM, alertes sur volumes de downloads anormaux et géolocalisations incohérentes. La segmentation et le chiffrement des données au repos réduisent aussi l'impact.

Sources

Lire la suite