WebDAV

Bien qu'il soit utilisé à des fins légitimes, il est également exploité par des acteurs malveillants pour contourner les défenses de cybersécurité. En effet, le protocole offre un accès direct aux fichiers distants, souvent à travers des ports spécifiques. L'absence d'une sécurité adéquate sur ces ports rend les serveurs WebDAV vulnérables aux attaques.
Il est plausible que l’infrastructure WebDAV fasse partie d’une opération cybercriminelle plus large, offrant une infrastructure en tant que service (IaaS ou Infrastructure-as-a-Service) à d’autres acteurs de la menace. Cette hypothèse fait suite à l’enquête menée depuis décembre 2023 par notre équipe TDR sur son infrastructure utilisée pour distribuer le loader Emmenhtal.
Les cybercriminels utilisent en effet, des URL soigneusement déguisées pour éviter d’être détectés, distribuant des charges utiles malveillantes via des fichiers ".lnk" hébergés sur WebDAV.

Pour en savoir sur les résultats de cette enquête, nous vous invitons à consulter cet article : WebDAV as a Service: Uncovering the Infrastructure Behind Emmental Loader Distribution

FAQ sur WebDAV

1. Qu'est-ce que WebDAV utilisé pour ?
   WebDAV est principalement utilisé pour la gestion de fichiers distants sur des serveurs Web, facilitant le partage et la collaboration entre utilisateurs.
2. Quel port utilise WebDAV ?
   Il utilise principalement les ports 80 et 443 pour des connexions HTTP et HTTPS sécurisées, respectivement.
3. Comment sécuriser WebDAV ?
   Sécuriser WebDAV implique d’utiliser des pare-feux pour surveiller les ports, de chiffrer les connexions avec SSL et de contrôler les permissions d’accès.
4. Pourquoi WebDAV est-il une cible pour les cyberattaques ?
   En raison de sa capacité à gérer des fichiers à distance, il peut être utilisé pour télécharger et distribuer des malwares, ce qui en fait une cible attractive pour les cybercriminels.