Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Venafi tire la sonnette d’alarme sur de puissantes capacités des portes dérobées, désormais disponibles sous forme de malwares banalisés

février 2020 par Venafi®

Les chercherus de Venafi®, tirent la sonnette d’alarme : les campagnes de malware capables d’exploiter les puissantes et invisibles portes dérobées deviennent monnaie courante. L’étude indique que certains cybercriminels chevronnés profitent de la mauvaise utilisation des capacités d’identités machines SSH pour perpétrer des attaques. Actuellement, quelconque hacker ayant accès au dark web peut accéder aux mêmes techniques qui ont permis de pirater le réseau électrique ukrainien et ainsi s’attaquer aux entreprises et organismes gouvernementaux. Les logiciels malveillants peuvent cibler les identités machines SSH ordinaires utilisées pour accéder à Windows, Linux et MacOS et automatiser ces systèmes d’exploitation dans l’entreprise et vers le cloud. Ces pirates peuvent potentiellement rançonner davantage leurs victimes en vendant ces portes dérobées SSH à des machines de grande importance et de grande valeur, le tout de manière clandestine, à des groupes ATP (Advanced Persistent Threat) affiliés à certains États-nations.

SSH est un protocole réseau qui assure une connexion sécurisée entre deux machines, permettant la communication de données et l’exécution de commandes à distance. Les identités machines SSH, également connues sous le nom de clés SSH, sont utilisées afin de sécuriser les connections à distance et d’automatiser les processus, par exemple, contrôler les charges de travail au sein des clouds, les connections VPN et les appareils connectés IdO, donner un accès privilégié aux systèmes d’organisation les plus cruciaux, intégrer des serveurs et des bases de données. Elles sont donc de grande valeur pour les pirates informatiques. Une seule clé SSH peut être utilisée pour obtenir un accès root indétectable aux données et systèmes sensibles qui permet ainsi au cybercriminel de perpétrer une série d’actes nuisibles allant du contournement des contrôles de sécurité, en passant par l’injection de données frauduleuses, au sabotage des logiciels de chiffrement ou encore l’installation de logiciels malveillants persistants.

Les chercheurs de Venafi ont analysé des échantillons de plusieurs campagnes de malware connues pour identifier où les capacités SSH sont utilisées. Dans la plupart des cas, le malware a ajouté la clé SSH du hacker dans une liste des fichiers des clés autorisées sur la machine de la victime. En d’autres termes, la machine fera confiance à la clé du hacker pour lui permettre de s’emparer de la machine sur le long terme. Dans d’autres cas, le malware a pu réaliser une attaque par force brute sur une authentification SSH faible et a pu accéder à sa cible et aux données et informations hôtes, afin de se propager dans le réseau et d’infecter d’autres machines.

Voici quelques exemples de campagnes de malware qui profitent des identités machines SSH depuis 2019 :
• TrickBot : Initialement un trojan bancaire dont la première apparition remonte à 2016, TrickBot est devenu un logiciel criminel souple et universel basé sur un module qui a changé sa stratégie au fil des années pour se concentrer sur les entreprises. TrickBot est un logiciel « en tant que service » destiné aux cybercriminels avec plusieurs objectifs. Ses modules sont conçus pour les besoins d’une activité criminelle spécifique. Il intègre de nombreuses caractéristiques telles que le profilage réseau, la collecte de données à grande échelle et les intrusions latérales et transversales. L’année dernière, TrickBot s’est renforcé par l’ajout de capacités d’obtention d’informations sensibles pour PuTTY (client SSH pour Microsoft) et OpenSSH. En plus de viser les identifiants, le but du malware est de chercher le nom d’hôte et le nom d’utilisateur pour le mouvement latéral.

• CryptoSink : Cette campagne de cryptomining exploite une faille vieille de cinq ans (CVE-2014-3120) présente dans les systèmes Elasticsearch, tant sur les systèmes d’exploitation Windows que Linux, pour analyser la cryptomonnaie XMR. CryptoSink crée une porte dérobée sur le serveur visé en ajoutant la clé publique du cybercriminel au fichier des clés autorisées sur la machine de la victime.

• Linux Worm : Le ver informatique vise les serveurs de messagerie électronique Exim vulnérables sur les systèmes Unix-link pour miner la cryptomonnaie Monero. Le ver informatique crée une porte dérobée sur le serveur en ajoutant sa propre clé publique SSH et en activant le serveur SSH, si ce dernier est désactivé.

• Skidmap : Skidmap est un rootkit (programme malveillant furtif) du noyau qui obtient l’accès via une porte dérobée d’une machine en ajoutant la clé publique SSH du cybercriminel au fichier des clés autorisées. Le malware utilise les exploits, les mauvaises configurations ou l’exposition à internet pour obtenir un accès root ou administrateur au système et ainsi y insérer un malware de cryptomonnaie.

Yana Blahman, expert en menace intelligence chez Venafi, déclarait à ce sujet : « Les clés SSH peuvent être des armes puissantes dans les mains de mauvaises personnes ». « Cependant jusqu’à récemment, seuls les groupes cybercriminels les plus sophistiqués et qui disposaient des ressources financières nécessaires étaient capables d’effectuer de telles opérations. Aujourd’hui, nous observons un effet domino où les capacités SSH deviennent populaires et faciles d’accès. Le fait qu’un hacker soit capable d’infecter une cible intéressante par porte dérobée pour ensuite potentiellement monétiser cet accès et le vendre via des canaux spécifiques à d’autres hackers plus sophistiqués et subventionnés pour perpétrer des attaques à des fins de cyberespionnage ou de cyberguerre à l’encontre des États , rend cette « banalisation » très inquiétante. Cette situation a déjà été vécue avec le groupe cybercriminel TrickBot qui, pour se monétiser et réaliser des actions de cyberespionnage, vendait en réalité un « bot en tant que service », ainsi qu’une gamme d’outils complète, à Lazarus, un groupe subventionné par la Corée du Nord ».

La meilleure défense contre ces utilisations illicites de SSH est de s’assurer de la visibilité et l’information complète sur chaque clé SSH autorisée dans le système et sur le cloud. Comme le montre cette étude, les cybercriminels ne se contentent pas seulement d’attaquer les identités machines existantes, ils peuvent également insérer leurs propres identités machines SSH malveillantes dans les environnements cibles. Il ne s’agit donc pas seulement de découvrir et analyser les clés connues, mais bien toutes les clés. Pourtant, les organisations sous-estiment régulièrement l’importance de la protection des identités machines pour les clés SSH. Les clés SSH font très rarement partie des stratégies de sécurité des organisations. Puisqu’elles n’expirent jamais, nombre d’organisations ne disposent d’aucun moyen pour savoir quelles clés SSH sont utilisées pour une action ou une tâche spécifique. En réalité, une récente étude montre que seulement 10 %des entreprises pensent avoir une connaissance complète et exacte sur toutes les identités machines SSH, cette situation engendre le risque que les clés SSH soit mal utilisées ou volées.

Les clés SSH peuvent augmenter considérablement la capacité des cybercriminels à causer du tort, donc chaque malware qui leur permet de profiter des capacités SSH devrait être une préoccupation majeure pour les organisations » a ajouté Y. Blachman. « Puisque ces capacités deviennent exponentiellement accessibles, les organisations doivent impérativement mettre de l’ordre. Le seul moyen de se défendre contre ces attaques est d’avoir une visibilité et une connaissance sur la manière dont sont utilisées les identités machines SSH, ainsi les personnes malveillantes peuvent être détectées plus rapidement. A cette fin, les entreprises doivent améliorer la protection des identités machines pour les clés SSH et s’équiper afin de contrôler chaque clé SSH dont elles disposent afin d’identifier les signes de compromission. »


Voir les articles précédents

    

Voir les articles suivants