Détection de codes malveillants dans les métadonnées des documents Office

Ne vous êtes-vous jamais dit que les propriétés « Société », « Titre » et « Commentaires » d’un document Office pouvaient être les véhicules d’un logiciel malveillant ? C’est tout à fait possible, comme l’illustre ce...
Rob Sobers
2 minute de lecture
Dernière mise à jour 6 octobre 2023

Ne vous êtes-vous jamais dit que les propriétés « Société », « Titre » et « Commentaires » d’un document Office pouvaient être les véhicules d’un logiciel malveillant ? C’est tout à fait possible, comme l’illustre ce bout de code malveillant qui a l’intelligence de prendre la forme d’un script PowerShell logé dans la propriété « Société » d’un document Office :

Voici la fiche complète VirusTotal qui vient de lui être consacrée. Il suffit que l’utilisateur ciblé ouvre ce document Office, avec macro-commandes activées, pour que la « charge utile » cachée dans les métadonnées du document s’exécute et accomplisse sa funeste mission. Aucun autre fichier ne lui est nécessaire, pas plus que la moindre requête lancée sur le réseau.

La question a été posée sur Twitter, à savoir si DatAlert était capable de détecter un tel virus. C’est ce qui m’a poussé à rédiger une série d’instructions en ce sens.

Détection de métadonnées malveillantes avec Varonis

Modules nécessaires : DatAdvantage, Data Classification Framework, DatAlert

1ère étape : Ajouter de nouvelles propriétés de fichier détaillées à détecter par la Grille de classification des données de Varonis (“Data Classification Framework” ou DCF).

  • Ouvrez la Console de gestion Varonis
  • Cliquez sur Configuration → Propriétés de fichier détaillées
  • Créez une nouvelle propriété portant sur le champ de métadonnées que vous voulez faire analyser (ex. : « Société »)

extended-props-mc-config

(NB : Dans les versions du logiciel antérieures à la version 6.3, les propriétés détaillées se définissent dans DatAdvantage, via Outils → DCF et DW → Configuration → Avancée)

2ème étape : Définir une règle de classification de cette métadonnée malveillante.

  • Au menu principal de DatAdvantage, sélectionnez Outils → DCF et DW → Configuration
  • Créez une nouvelle règle
  • Créez un nouveau filtre
  • Sélectionnez Propriétés de fichier → Société (ou une autre propriété de document que vous voulez faire analyser)
  • Sélectionnez « contient » (“like”) pour rechercher une sous-chaîne de caractères dans le champ
  • Indiquez une valeur typique du code malveillant que vous voulez détecter (ex. : .exe ou .bat)

defining-the-rule

3ème étape : Créez une alerte dans DatAlert pour recevoir une notification à chaque fois qu’un fichier contenant la métadonnée malveillante est détecté.

  • Au menu principal de DatAdvantage, sélectionnez Outils → DatAlert
  • Cliquez sur le bouton « + » vert pour créer une règle
  • Cliquez sur le menu déroulant « Où (objet affecté) » situé à gauche
  • Ajoutez un filtre → Résultats de la classification
  • Sélectionnez le nom de votre règle (ex. : « Métadonnée malveillante »)
  • Sélectionnez une valeur supérieure à 0 pour les critères « Fichiers détectés » et « Nombre de détection (pour les règles sélectionnées) »

dl-rule

Renseignez le reste des attributs de la règle d’alerte – systèmes à scanner, mode d’alerte souhaité, etc.

Au titre de précaution supplémentaire, vous pouvez créer une règle pour le Moteur de transfert des données (“Data Transport Engine” ou DTE) fondée sur les mêmes résultats de classification, pour automatiquement placer en quarantaine les fichiers dans lesquels ont été détectées des métadonnées malveillantes.

Et voilà ! Au fur et à mesure que vous serez informés, en lisant les rapports des chercheurs en logiciels malveillants, de nouvelles ruses et subtilités intégrées aux bouts de code malveillant logés dans les métadonnées, vous pourrez adapter en conséquence vos règles liées aux « métadonnées malveillantes ».

Si vous êtes déjà client Varonis, vous pouvez demander à bénéficier gratuitement d’une séance de conseil en ligne avec votre ingénieur-consultant chez Varonis pour passer en revue avec lui vos règles de classification et vos alertes. Vous n’êtes pas encore client Varonis ? N’attendez plus ! Demandez-nous dès aujourd’hui une démonstration de notre plateforme de sécurisation des données.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-28-juin
La semaine dernière, dans l’actualité du ransomware : semaine du 28 juin
Actualité du ransomware Vous êtes une PME et vous utilisez des lecteurs de stockage dans le cloud hébergés localement d’une marque bien connue ? Déconnectez-les sans attendre du réseau ! Des hackers ont...
êtes-vous-prêt-à-faire-face-à-une-attaque-contre-la-supply-chain-?-pourquoi-la-gestion-de-la-supply-chain-est-essentielle
Êtes-vous prêt à faire face à une attaque contre la supply chain ? Pourquoi la gestion de la supply chain est essentielle
Découvrez comment repérer les risques et attaques liés à la supply chain, et comment vous en prémunir à l’aide d’une stratégie appropriée de gestion des risques.
comment-répondre-à-un-incident-de-cybersécurité-?
Comment répondre à un incident de cybersécurité ?
Chaque jour, une nouvelle entreprise est sous la menace d’un vol de données. Bien qu’éviter les attaques soit idéal, cela est loin d’être possible. Mais comment réagir efficacement en cas...
audit-de-fichiers-:-8-qualités-à-rechercher-dans-un-logiciel
Audit de fichiers : 8 Qualités à rechercher dans un logiciel
Tout professionnel de l’informatique chevronné vous le dira : l’audit des fichiers et des courriers électroniques est une activité difficile. Vous êtes responsable d’un serveur de production Exchange ou SharePoint martelé...