Skip to content

Balisage 101 : Qu'est-ce que le balisage en matière de sécurité ?

La cybercriminalité peut être trouvée dans plusieurs types, des attaques de botnet aux ransomwares. Malgré leurs différences, la plupart de ces hacks commencent de la même manière, et le balisage des logiciels malveillants est l'une de ces chaînes courantes que vous verrez. Alors, qu'est-ce que le balisage des logiciels malveillants, et que fait-il exactement ?

Comme exactement la façon dont un panneau dans un phare signale aux navires à proximité, le balisage dans le réseau est un signal numérique régulier. Dans le cas du balisage des logiciels malveillants, ces signaux se situent entre un gadget infecté et un serveur de commande et de contrôle (C2) ailleurs. Cela permet aux cybercriminels de gérer le malware à distance.

Différents types de balisage

Gros plan sur un écran d'ordinateur avec codage coloré

Le balisage des logiciels malveillants permet aux pirates de savoir qu'ils ont réussi à contaminer un système afin qu'ils puissent ensuite envoyer des commandes et accomplir une frappe. C'est généralement le tout premier signe d'attaques par déni de service distribué (DDoS), qui ont augmenté de 55 % entre 2020 et 2021. Ces signes peuvent également être trouvés sous différentes formes.

L'un des types les plus courants est le balisage DNS. L'hôte infecté utilise des requêtes DNS (Domain Name System) de routine pour masquer sa balise. De cette manière, les signaux entre le logiciel malveillant et le serveur Web C2 ressemblent à des interactions réseau régulières.

Certaines activités de balisage de logiciels malveillants utilisent HTTPS, la procédure de transfert d'informations cryptées que vous verrez souvent dans l'utilisation quotidienne d'Internet. Considérant que HTTPS crypte presque toutes les informations entre un client et une solution Internet, cela peut être un endroit idéal pour cacher les actions nuisibles.

Quel que soit le type, tous les balises malveillantes tentent de masquer l'interaction entre une étoile de la menace et également un outil infecté. Les cybercriminels qui dissimulent efficacement leur tâche de balisage peuvent ensuite prendre le contrôle de l'équipement infecté, provoquant des dommages importants.

Exemples d'attaques de balisage

Deux hommes et une femme dans un bureau sur des ordinateurs

Certaines des cyberattaques les plus importantes dans le contexte actuel ont commencé avec le balisage des logiciels malveillants. Par exemple, l'énorme piratage de SolarWinds a utilisé de nombreuses balises pour regrouper des parties du logiciel malveillant complexe sur de nombreux gadgets. Heureusement, dans ce cas, alors que des milliers ont téléchargé le logiciel malveillant, moins de 100 ont été réellement compromis.

D'autres frappes utilisent des balises pour infecter de nombreux outils pour effectuer des hacks DDoS. Les cybercriminels contaminent des centaines, voire des milliers d'appareils, puis envoient des signaux via une activité de balisage pour les faire tous agir simultanément. L'une de ces grèves a rendu InfoSecurity Magazine inaccessible pendant une courte période en 2021.

L'une des techniques d'assaut de balisage les plus préférées utilise Cobalt Strike, un dispositif de détection d'infiltration. Ces attaques visant à masquer l'activité de balisage ont augmenté de 161 % entre 2019 et 2020.

Comment les experts en sécurité stoppent les attaques de balises

gros plan d'une personne en chemise rayée noire et blanche travaillant sur le bureau

Les agressions de balisage peuvent avoir des effets extrêmes, mais il n'est pas impossible de les arrêter. L'une des meilleures façons dont les groupes de sécurité les empêchent est d'essayer de trouver l'activité elle-même. Tout en se relayant vers un serveur Web C2, le logiciel malveillant peut également divulguer involontairement son emplacement à des groupes de sécurité.

Certains logiciels malveillants peuvent se cacher de l'application logicielle antivirus requise par la certification CMMC (Cybersecurity Maturity Model Certification) ainsi que d'autres politiques, mais l'activité de balisage est plus difficile à dissimuler. Ces signaux sont courts et normaux, ce qui les distingue des communications réseau régulières et continues. Les dispositifs de sécurité automatisés peuvent rechercher des modèles pour trouver ces signaux ainsi que localiser le logiciel malveillant.

La meilleure défense contre le balisage des logiciels malveillants est de l'empêcher d'infecter un outil pour commencer. Des logiciels de pare-feu beaucoup plus durables, une détection des dangers et un comportement individuel beaucoup plus sûr peuvent empêcher les logiciels malveillants de pénétrer dans un ordinateur. Il ne peut pas baliser une étoile dangereuse s'il s'agit d'un gadget.

De nombreuses attaques destructrices commencent par une activité de balisage

Le balisage est un tout premier indicateur typique d'une attaque plus importante, comme l'occurrence du rançongiciel SolarWinds. Il est devenu beaucoup plus facile à dissimuler, ce qui en fait un choix beaucoup plus populaire pour les cybercriminels. Aussi troublante que soit cette mode, les experts en sûreté et sécurité peuvent toujours se protéger contre elle.

Avoir une connaissance suffisante de ce qu'est le balisage et de la manière dont les cybercriminels l'utilisent peut accompagner la sécurité. Comprendre l'impact des menaces sur un système facilite leur identification et leur prévention.

Articles Similaires