Menu > Articles de la revue de presse : - l'ensemble [tous | francophone] - par mots clé [tous] - par site [tous] - le tagwall [voir] - Top bi-hebdo de la revue de presse [Voir]

---

S'abonner au fil RSS global de la revue de presse

---

Présentation : Du hack à l'APT - Partie 1 4 Introduction les menaces aveugles et massives du passé Ces menaces ont évoluées et sont devenues plus dangereuses La cible et les 4 cavaliers de l'AP T ocalypse - Partie 2 4 1 Une cible visée Puisqu'un APT est une attaque ciblée, intéressons-nous à mieux connaître cette cible. Nous lisons tous les jours ou presque que des états et des grandes entreprises se font piller des secrets via des attaques APT. Je n'ai pas de chiffres précis, mais toute organisation est une cible d'APT dès qu'elle a un avantage concurrentiel ou technologique espionnage d'entreprise, qu'elle est représentative d'un courant de pensée différent espionnage d'état, ou qu'elle représente un accès vital à de l'information ou des fournitures de services physiques eau, électricité, etc.. espionnage et sabotage d'état ou terroriste. L'attaquant définit un but qui peut être une lecture régulière des informations de la cible Nortel s'est ainsi fait voler pendant 10 ans sa propriété intellectuelle , ou bien une installation en prévision d'une attaque de sabotage Aramco a vu ainsi 30000 de ses postes windows wipés simultanément , ou encore le vol de documents spécifiques vol des plans des armes américaines . L'attaquant accumule le maximum d'informations d'une part sur le réseau physique de l'organisation machines, IP, versions de softs, etc.. et humains adresses mail, positions, organigrammes, habitudes de surf etc.. . L'aspect technique de recherche d'informations n'a rien de neuf, mais de nombreuses techniques voient le jour quant à la recherche d'informations humaines navigation automatique sur les réseaux sociaux, créations de faux profils, etc.. 2 La stratégie d'attaque Les 4 cavaliers de l'AP T ocalypse Les futures victimes sont comme on l'a vu protégées par les deux lignes classiques de défense, antivirus et firewall. Le firewall empêche les connexions d'entrer, rarement de sortir, l'antivirus travaille sur une base de signatures de virus connus. L'attaquant va alors demander à la victime de se connecter chez lui en utilisant un code inconnu le firewall et l'antivirus sont ainsi contournés. Il ne reste qu'à déposer ce code offensif sur le poste de la victime. Il existe 4 méthodes majoritairement utilisées pour y parvenir. -Spear phishing L'attaquant envoie un mail contenant une pièce jointe piégée. La phase de reconnaissance préalable permet de parfaire l'apparence légitime du mail. Le cas de pièce jointe classique est un fichier pdf ayant un contenu visible crédible. L'utilisateur l'ouvre et le code offensif est exécuté. Le pdf n'est pas le seul risque, tout document étant sujet à une faille, y compris l'outil servant à lire les mails lui-même. On a pu trouver beaucoup de documents office chargés avec des fichiers flash contenant du code offensif. -Watering hole Le spear phishing commençant à être bien connu des défenseurs, les attaquants ont choisi de piéger des sites web légitimes avec du code offensif et attendre que la victime s'y connecte. La mode est à l'utilisation de java pour lancer le code offensif. L'avantage de java étant d'utiliser des failles logiques i.e. très fiables sur une variété de systèmes au contraire des failles par corruption mémoire qui deviennent de plus en plus difficiles à fiabiliser. -Physiques L'universalité des ports USB a poussé les attaquants à vouloir l'utiliser. Ces failles ne font pas forcément l'actualité, bien que de plus en plus de conférences de sécurité en parlent. Peut-être la prochaine campagne d'APT Tout la pile USB est faillible, depuis l'énumération du bus, au parsing des informations remontées buffer overflow dans le nom d'une carte son, format string dans la lecture du clavier USB , à l'installation de driver, à la confiance sur les filesystems des clés mass-storage, et sur l'affichage des icônes. -Compromission directe Dans le cas ou la cible est vraiment très mal protégée, l'attaquant vise depuis internet les ressources exposées du réseau de la victime et rebondit par la suite sur le réseau interne. On constate à ce sujet que la phase de reconnaissance préalable est essentielle pour ces attaques afin d'assurer leur efficacité. Un fantasme court sur ce fameux code offensif envoyé par une des quatres méthodes ci-dessus. S'agit il à chaque fois d'un 0day, impliquant des compétences très elévées de la part des attaquants devant les créer La réponse est généralement non pour plusieurs raisons. Tout d'abord, un attaquant sans compétences peut acheter des 0days. Ensuite car les entreprises patchent doucement, donc des exploits pas trop vieux fonctionnent très bien. Un bon reverser peut à partir de patchs publics trouver l'exploit associé plus rapidement qu'une entreprise ne patche. Et enfin car un 0day envoyé à une cible peut malgré tout être détecté et réutilisé contre l'attaquant. Ce code offensif est généralement d'un usage unique et à pour finalité unique d'installer un outil évolué de pilotage du poste victime. La machine victime est donc sous les ordres de l'attaquant, aucune alarme n'a été levée chez la victime. To be continued La persistance et l'accès aux données - Partie 3 4 Persistance et implantation profonde Accès au données espionnage et ou destruction Bloquer les APT mission im possible - Partie 4 4 A défaut de silver bullet , une kill chain Et demain






Les derniers articles du site "Exploitability" :

- Street fighter -- Assassin's Fist
- SSTIC 2014
- L'antivirus est mort air connu
- 400 Gigabits par seconde, c'est beaucoup pour un DDOS
- Bluetouff et gogleuh
- Haka est sorti TCP IP security is not boring anymore
- NSA Catalog petit papa Snowden
- Grehack 2013 writeup - 1337
- Gre at Hack 2013
- RIP.

---

S'abonner au fil RSS global de la revue de presse

---