Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Christophe Jolly, Cisco France : « Discrète et graduelle », le tempo et l’intensité des cyberattaques s’adaptent pour échapper aux outils de détection

mars 2015 par Christophe Jolly, Directeur Sécurité Cisco France

Le paysage des menaces modernes est alimenté par des hackers, non plus motivés par la notoriété mais, plutôt par le gain économique ou politique. Avec des récompenses financières significatives en cas d’attaques réussies, la discrétion est devenue la clé du succès. Les hackers sont plus aptes à tirer discrètement parti des failles de sécurité pour dissimuler une activité malveillante, et nous découvrons de nouvelles approches encore jamais vues jusqu’à présent.

Il existe au moins 5 techniques de nature « discrète et graduelle » que les cybercriminels utilisent désormais pour pénétrer les réseaux et accomplir leur mission, et que les professionnels de la sécurité doivent comprendre et repérer afin de défendre plus efficacement leur entreprise :

Les kits d’exploits : les concepteurs de kits d’exploits connus comme Blackhole ont été repérés par les autorités et stoppés dans leurs actions. Les hackers ont ainsi réalisés que les attaques de grande ampleur ne sont pas toujours les plus efficaces - que ce soit de par la taille des infrastructures ou des moyens malveillants mis en œuvre. Ainsi les hackers préfèrent disposer du 4ème ou 5ème kit d’exploits le plus connu et utilisé, pour ne pas trop attirer l’attention.

Le spam « Snowshoe » : avec cette technique, le hacker diffuse beaucoup de messages sur une grande surface d’attaque pour échapper aux outils de détection traditionnels. Le spammeur Snowshoe envoie un email non sollicité en utilisant un grand nombre d’adresses IP mais à un faible volume de messages par adresse IP, avec pour objectif de contourner les technologies de réputation anti-spam basées sur l’adresse IP. Il change rapidement le corps du texte, les liens, les adresses IP utilisées pour la diffusion et ne répète jamais la même combinaison.

Le spear phishing sophistiqué : les hackers continuent d’affiner leurs messages, bien souvent en utilisant des techniques d’ingénierie sociale, de sorte que même les internautes expérimentés ont du mal à repérer les faux messages. Les récentes attaques de spear phishing semblent provenir de fournisseurs ou d’opérateurs connus, desquels les utilisateurs reçoivent régulièrement des messages - par exemple, les prestataires de services, les sites de vente en ligne et les fournisseurs de contenus musicaux et de loisirs. Ces emails peuvent contenir un nom de confiance, un logo connu et inviter le destinataire à réaliser une action familière, comme donner son avis à propos d’une commande récente, ou donner un numéro pour le suivi de sa livraison. Cette mécanique bien huilée et discrète donne aux utilisateurs un faux sentiment de sécurité, les incitant à cliquer sur des liens malveillants contenus dans l’e-mail.

Le partage d’exploits entre deux fichiers différents : les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des activités malveillantes en partageant un exploit entre deux fichiers et formats différents : un fichier Flash, un fichier JavaScript. Cela dissimule l’activité malveillante et rend l’identification, le blocage ainsi que l’analyse de l’exploit beaucoup plus difficile. Cette approche permet également aux hackers d’être plus efficaces dans leurs attaques. Par exemple, si la première étape d’une attaque est entièrement en JavaScript, la seconde étape, le transfert du code malicieux, ne se produirait qu’après l’exécution avec succès du code JavaScript. De cette façon, seuls les utilisateurs qui peuvent exécuter le fichier malveillant reçoivent celui-ci.

Le malvertising : les créateurs de malwares ont mis au point un nouveau business modèle perfectionné qui utilise les modules publicitaires des navigateurs Web pour diffuser des logiciels malveillants et des applications indésirables. Les utilisateurs achètent, téléchargent et installent des outils tels que Adobe ou des logiciels vidéo depuis des sources qu’ils estiment légitimes. En réalité, ces applications sont livrées avec un logiciel malveillant. Cette nouvelle approche de diffusion de malwares est un succès pour les hackers car de nombreux utilisateurs font naturellement confiance aux publicités ou les considèrent comme bénignes. Les hackers gagnent de l’argent à partir d’un grand nombre utilisateurs, par petites touches, en infectant de manière persistante leur navigateur et en se cachant sur leur machine.

Les professionnels de la sécurité et les cybercriminels sont dans une course permanente pour tenter de déjouer l’autre. Les hackers sont de plus en plus professionnels, non seulement dans leurs approches pour lancer des attaques, mais aussi pour échapper aux outils de détection, par des moyens que nous n’avions pas vus jusqu’à présent. Mais en continuant à innover et à apprendre sur la base de ce qu’ils observent, les professionnels de la sécurité peuvent identifier et contrer ces nouvelles techniques d’attaques.


Voir les articles précédents

    

Voir les articles suivants