
Appelées « file-less » ou « zero-footprint » ces attaques n’ont pas besoin d’enregistrer de fichier sur la machine pour s’exécuter et ne chargent pas de nouveaux processus en mémoire. Elles utilisent généralement des outils légitimes pour exécuter des commandes malveillantes. Par définition, il n’existe donc pas de signature de fichier et ces attaques échappent aux traditionnels systèmes de détection. Les malwares sans fichier ne sont pas nouveaux mais étant donné leur fonctionnement l’intérêt des cybercriminels, pour ceux-ci, grandit.
Dans une note de 2017, le Gartner alerte ses clients sur l’augmentation croissante de ce type d’attaque et une étude réalisée par le Ponemon Institute a révélé que la tendance des attaques sans fichier était en hausse chaque année. En 2016 20% des attaques étaient sans fichier, 29% en 2017 et 2018 pourrait atteindre de 35 %.
Plus besoin de fichier infecté ces attaques misent sur la discrétion. Le code s’exécute directement en mémoire dans un processus existant en détournant l’utilisation d’applications légitimes comme PowerShell, Visual Basic, JavaScript, WMI… Ces attaquent utilisent principalement des vulnérabilités logicielles, par exemple, le plug-in d’un navigateur (Java, Flash…) qui ne serait pas à jour permettrait d’exécuter du code dans la mémoire du processus appartenant au navigateur (ce qui permet de contourner également les méthodes de fonctionnement en liste blanche des applications).
De fait de l’exécution en mémoire, le redémarrage de la machine arrêtera l’attaque mais là encore les attaquants ont tout prévu. Certains de ces malwares stockent le code malicieux dans le registre de la machine et s’exécutent au redémarrage de la machine.