Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Attaque sophistiquée ne signifie pas forcément technique complexe

octobre 2017 par Emmanuelle Lamandé

Les entreprises privées sont loin d’être épargnées par les cybercriminels aujourd’hui. Les exemples d’attaques se multiplient et les groupes d’acteurs malveillants sont toujours plus nombreux. Toutefois, contrairement aux idées reçues les techniques d’attaques sont souvent bien moins sophistiquées que l’on pense. A l’occasion des Assises de la Sécurité, Félix Aimé, Chercheur au sein de l’équipe GReAT de Kaspersky Lab, nous explique quels sont leurs tactiques, outils et procédures.

Fondée en 2008, l’équipe GReAT (Global Response & Emergency Team) regroupe aujourd’hui une quarantaine de chercheurs passionnés, ayant pour principales missions la R&D, le suivi des attaques et la recherche de nouveaux acteurs malveillants. Parmi les recherches connues du GReAT, on peut notamment citer Duqu, Red October, Black Energy…

Qui sont aujourd’hui nos adversaires ?

Avant toute chose, il souhaite détruire les mythes et idées reçues, puisqu’au final la plupart des attaquants utilisent des attaques déjà connues. Il observe cependant différents types d’acteurs :
-  Le cyberespionnage de longue durée visant à asseoir la gouvernance technologique et géopolitique, ciblant principalement des gouvernements, des opérateurs télécoms… Pour ce faire, les attaquants utilisent principalement des 0days, des rootkits, des fichiers dans des conteneurs chiffrés… Ils font preuve d’une certaine créativité d’approche de leurs cibles, et ont recours à des techniques de chiffrement évolué. Parmi les exemples d’utilisation de ce type de modes opératoires, on peut citer Duqu, Turla, Sautron, Equation, Regin, Lambers…
-  Le cyberespionnage ciblant des secteurs spécifiques, comme l’énergie, la banque, la défense… On se souviendra notamment de Comment Crew, Black Energy, Black Vine… Ce type d’attaquants bénéficient d’une R&D plus limitée et utilisent généralement des protocoles standards et un chiffrement assez faible.
-  Le ciblage entre concurrents d’un même secteur d’activité : ces équipes disposent généralement de peu de moyens. Ils font du « tout en un » et réutilisent souvent des exploits connus en source ouverte, des techniques d’intrusion standards, de l’ingénierie sociale, et peu voire aucun chiffrement.

Attaque sophistiquée ne signifie pas technique complexe

De quelle manière ces cybercriminels rentrent-ils dans les réseaux ? Attaque sophistiquée ne signifie pas technique complexe, explique-t-il. Depuis Windows XP, les protections ont certes évolué (comme par exemple les techniques de bacs à sable) et permettent de compliquer l’exploitation de vulnérabilités via le détournement de flux d’exécution, mais l’attaque reste toujours possible. D’ailleurs, certaines vulnérabilités logiques seront toujours présentes, on peut citer par exemple la vulnérabilité CVE-2017-0199 ayant affecté Microsoft Word. Cette vulnérabilité, publiée en avril 2017, permet de télécharger l’objet distant hébergé sur un serveur de contrôle et de l’exploiter.

Toutefois, les vagues mondiales de courriels malveillants (Dridex, Locky…) ont permis aux RSSI de dégager des budgets pour renforcer leur protection. Mais, du coup, les attaquants ont fait évoluer leurs techniques de compromission.

Il remarque, en effet, une hausse des compromissions frontales visant les applications métiers et les services en écoute lors d’attaques ciblées, ou encore la compromission de prestataires IT afin de contourner les ACLs et de posséder des accès directs au réseau interne via VPN. Parmi les autres tendances, il observe le piratage récurrent d’installateurs légitimes sur les sites Internet d’éditeurs logiciels, de manière à piéger les mises à jour téléchargées automatiquement, mais aussi une hausse du phishing d’identifiants sur Https à l’aide de sites typosquattant l’identité de l’entreprise. C’est le cas par exemple avec Dragonfly, qui utilise une page de phishing sur un Webmail où seule l’url diffère. Cette technique est bien connue depuis 2015. Il recommande entre autres aux entreprises d’essayer de voir où vont les flux SMB en sortie de leurs réseaux, et surtout de les bloquer si possible.

De plus en plus d’attaques traditionnelles, reposant sur des outils disponibles en source ouverte

Du côté des outils utilisés, il recense peu de nouveautés, d’autant que les cybercriminels essaient aujourd’hui de se noyer dans la masse avec leurs techniques. Effectivement, les éditeurs de sécurité publient de plus en plus d’informations sur les attaques et leurs recherches, ce qui fait que même avec une technique d’attaque sophistiquée, certains attaquants peuvent facilement être découverts, puisque le recoupement d’informations permet parfois de remonter jusqu’à eux. Les attaquants cherchent donc désormais à être moins « corrélables » et à cloisonner leurs campagnes d’attaques. Ils ont ainsi recours à des infrastructures plus petites utilisant des services Cloud, avec pour chaque étape de la compromission l’usage de serveurs différents.

Les attaquants utilisent de ce fait de plus en plus d’attaques traditionnelles reposant sur des outils disponibles en source ouverte, plutôt que des outils « fait maison ». En outre, ils ont le plus souvent recours à ce que tout le monde utilise : powershell, metasploit, BeeF, CobaltStrike, Windows Sysinternals… C’est pourquoi il est important pour les entreprises de restreindre l’utilisation de ce dont elles n’ont pas besoin, car c’est une source potentielle de vulnérabilités et d’intrusion.

Les attaques ciblées et bruyantes sont de moins en moins courantes. Les attaquants font moins d’erreurs et utilisent des codes disponibles en source ouverte et des infrastructures cloisonnées. Certaines entreprises ont, quant à elles, fait les frais de crises entre États (NotPetya, Wannacry, Shamoon…) et il ne faut pas s’attendre à une diminution des attaques. L’Ukraine en est un bon exemple : ce pays est régulièrement la cible d’attaques, notamment en hiver, car les pannes de courant en période de grand froid rendent la situation encore plus difficile à combattre. De plus, des attaques ciblées et automatisées chiffrant votre domaine et vos serveurs sont, selon lui, à prévoir. Nous en voyons déjà les prémices.

Il craint également de plus en plus d’attaques ciblées et automatisées à l’encontre des administrations…, via des campagnes de ransomwares. L’attaque sera entièrement automatisée, en ciblant un média par exemple, l’objectif étant d’infecter l’ensemble des visiteurs du site d’information et de contaminer le plus grand nombre de postes. On l’a déjà vu aux États-Unis, pas encore vraiment en France, mais cela devrait arriver.

Considérez que tout ce qui est connecté à Internet est déjà compromis

Quels conseils peut-on alors donner aux entreprises ? Il recommande notamment de :
- Partagez vos expériences et les indicateurs associés. Tout le monde se fait attaquer ; dans le partage d’informations réside la protection de votre secteur d’activité ;
- Pensez défense en profondeur et considérez de facto que tout ce qui est connecté à Internet (serveurs, postes de travail…) est déjà compromis. Qu’avez-vous comme protection pour éviter une latéralisation de l’attaquant ?

Enfin, certains indicateurs sont intéressants à surveiller et analyser, conclut-il. Dans les logs souvent on peut trouver de nombreuses informations utiles : les noms des postes de travail des attaquants, l’infrastructure utilisée, les comptes créés par les attaquants, les vecteurs d’infection (emails, fichiers joints…), un condensat des codes utilisés… autant de sources d’informations à ne donc pas négliger.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants