|
|
|
La persistance de l'APT et l'accès aux données - Partie 3 4 |
Si vous voulez bloquer ce service sur vos fils RSS
Si vous voulez nous contacter ou nous proposer un fil RSS
Menu > Articles de la revue de presse : - l'ensemble [ tous | francophone] - par mots clé [ tous] - par site [ tous] - le tagwall [ voir] - Top bi-hebdo de la revue de presse [ Voir]
La persistance de l'APT et l'accès aux données - Partie 3 4 Par ExploitabilityLe [2013-06-04] à 14:28:59
Présentation : Du hack à l'APT - Partie 1 4 Introduction les menaces aveugles et massives du passé Ces menaces ont évoluées et sont devenues plus dangereuses La cible et les 4 cavaliers de l'AP T ocalypse - Partie 2 4 Une cible visée La stratégie d'attaque Les 4 cavaliers de l'AP T ocalypse La persistance de l'APT et l'accès aux données - Partie 3 4 Par l'une des quatre méthodes indiquées dans le chapitre précédent, nous avons vu qu'un attaquant peut exécuter du code sur une machine victime. L'attaquant dispose donc d'un fusil à un coup. Il va s'en servir pour installer un outil d'administration illégitime sur la machine victime pour lui simplifier les accès suivants. On parle souvent de RAT pour Remote Access Tool. 1 Persistance et implantation profonde Le RAT va permettre de piloter à distance une machine victime. Ils peuvent être très basique, du type Download, execute and report . On en trouve des plus évolués, avec du code modulaire, permettant de chercher des fichiers locaux, lister les processus, écouter ce qui se dit au micro, regarder via la webcam, etc.. Les rapports citent souvent l'usage de Poison Ivy, un RAT écrit par un français dont le développement à cessé il ne fonctionne plus sous windows Seven, mais des patchs non officiels existent . On trouve aussi Dark Comet, X-rat, etc.. La finalité est la même simplifier l'accès à la machine compromise pour l'attaquant. Nous l'avons vu, pour contourner un firewall il est plus simple que la demande de connexion soit sortante. C'est donc le RAT qui va se connecter à un ou des serveur de Commande et de Contrôle C C . Ces C C ne sont pas situés chez l'attaquant afin d'éviter que la victime ne puisse faire le lien entre le serveur C C et l'attaquant une fois découvert. Certains rapports mettent en avant un déplacement de ces serveurs C C, d'autres montrent au contraire une certaine stabilité de ceux-ci au cours du temps et qui sont quelquefois réutilisés pour d'autres campagnes APT . Les canaux réseaux utilisés entre la victime et le C C sont très standard HTTP, DNS, commentaires dans les pages HTML, etc... et sont de fait difficilement détectables, noyés au milieu de trafic identique et légitime. Une fois bien installé, l'attaquant va alors se déplacer horizontalement dans le réseau cible et augmenter ses privilèges. Il peut utiliser des failles locales, mais on retrouve souvent des outils comme mimikatz, pass-the-hash, des pwdump.exe installés chez les victimes. D'autres RAT sont installés au fur et à mesure de la progression chez la victime. Certains attaquants s'ajoutent des utilisateurs avec pleins pouvoirs dans les AD, ou modifient des règles de log afin de continuer à rester sous le radar. Attaquant FTW Nous avons donc du code non détecté par les antivirus des connexions sortantes non détectées par les firewall des attaquants ayant le niveau maximal de privilèges sur le réseau de la cible compromission totale de longue durée. Les rapports sur les APT ne montrent pas de problèmes dans l'élévation de privilèges ou le déplacement dans le réseau interne. 2 Accès au données espionnage et ou destruction Les attaquants ont généralement deux objectifs l'espionnage et ou la destruction. Pour l'espionnage, il suffit de référencer les données puis de les exfiltrer. Les rapports font souvent mention de fichiers rar-és et envoyés en ftp quelque part. On a pu lire des théories sur les 'dark google' ou l'attaquant indexe les données chez la victime et ne charge que celle qui l'intéresse au moment ou cela l'intéresse. Il peut aussi s'agir de redirections mises en place sur les boîtes mails de certaines personnes. La destruction de données est l'autre versant. Il peut s'agir de données informatiques, ce qui a souvent un effet dévastateur on dit qu'une entreprise sur trois se remet d'un incendie de son siège social. Lorsqu'un lundi matin tous les postes, serveurs, imprimantes, smartphones etc.. ont été wipés, qui peut s'en remettre Le deuxième type de destruction est bien plus physique. Puisque tout est géré via informatique, centre de productions, usines, eau, électricité etc... une modification de données aurait également des effets dramatiques. En 2001 des terrorristes faisaient écraser deux avions sur les World trade Center, en 2013 il est beaucoup plus simple de prendre le contrôle de la sécurité aérienne et d'y provoquer le chaos les conséquences seraient beaucoup plus graves. La destruction ciblée via un APT est une menace prise de plus en plus au sérieux systèmes SCADA etc.. On le voit, ces APT sont une réalité tangible, il ne se passe pas trois jours sans qu'on entende des journalistes clamer une cyber intrusion réussie quelque part. To be continued Bloquer les APT mission im possible - Partie 4 4 A défaut de silver bullet , une kill chain Et demain
Les derniers articles du site "Exploitability" :
- Street fighter -- Assassin's Fist
- SSTIC 2014
- L'antivirus est mort air connu
- 400 Gigabits par seconde, c'est beaucoup pour un DDOS
- Bluetouff et gogleuh
- Haka est sorti TCP IP security is not boring anymore
- NSA Catalog petit papa Snowden
- Grehack 2013 writeup - 1337
- Gre at Hack 2013
- RIP.
Menu > Articles de la revue de presse : - l'ensemble [ tous | francophone] - par mots clé [ tous] - par site [ tous] - le tagwall [ voir] - Top bi-hebdo de la revue de presse [ Voir]
Si vous voulez bloquer ce service sur vos fils RSS :
- avec iptables "iptables -A INPUT -s 88.190.17.190 --dport 80 -j DROP"
- avec ipfw et wipfw "ipfw add deny from 88.190.17.190 to any 80"
- Nous contacter par mail
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
