vendredi 15 février 2013

APT: High-tech ou Low-tech?


[Update du 20/02/2013] : Pour les personnes intéressées par les APT, Mandiant vient de fournir un document très intéressant et très complet sur un groupe appelé APT1 et ses méthodes.
--

J'ai lu récemment deux billets qui prennent un écho intéressant ensemble.

D'un côté, celui de Cedric Pernet qui explique de manière claire et didactique ce qu'est un APT, en démarrant sur la définition de la cible, puis des méthodologies d'attaques (Water hole, Spear Phishing, compromission directe, attaque physique), l'attaque en elle-même et l'intrusion profonde, la persistance et enfin l’exfiltration de données. Il termine en indiquant que ce qui le chiffonne, c'est l'aspect peu avancé de ces attaques. En effet, on retrouve dans ces attaques du code bas niveaux, des outils basiques, des RAT génériques et des exploits poussiéreux. Rien de tout ceci ne permet d'expliquer le A de APT (advanced).
Seul l'organisation nécessaire à ces campagnes semble indiquer un niveau élevé de compétences dans les groupes derrière ces APT.


Je souhaite revenir sur l'aspect faussement avancé des ces attaques en citant d'un autre côté l'article de technology review . Le développement de ces malware doit obligatoirement prendre en compte leur détection, tôt ou tard, ce qui signifie que les méthodes et techniques employées par les attaquants seront connues. Comme indiqué dans l'article "The parallel is dropping the atomic bomb but also leaflets with the design of it". Iriez-vous lâcher dans la nature les exploits les plus offensifs, alors qu'un RAT modifié et des exploits pas frais font grandement l'affaire[1] ?

A la réflexion, je trouve ces APT plutôt évolués bien que les techniques utilisées puissent de premier abord apparaître comme faibles.

[1] Pour infecter une centrale avec une clé USB, alors il est nécessaire de la "charger" car le malware devra vivre seul, mais pourquoi mettre du 0-day en pagaille alors qu'un bon vieux spear phishing va permettre d'installer un RAT donnant un point d'entrée sur le réseau.

4 commentaires:

  1. Les APT, avancées ou pas ? C'est exactement le sujet de mon intervention aux TechDays 2013: http://www.microsoft.com/france/mstechdays/programmes/2013/fiche-session.aspx?ID=e5220df8-dd61-47f4-b518-33d7f06485f2

    Les grands esprits se rencontrent :)

    RépondreSupprimer
  2. @Newsoft: le chèque sur le compte habituel? :)

    RépondreSupprimer
  3. Le niveau tech des APT ? plusieurs idées ....
    [mode CONSPI ON] et si une attaque triviale servait à cacher d'autres malwares plus évolués, en détournant l'attention ??? [mode CONSPI OFF]
    [mode REALISTIC ON] et si simplement les outils sont triviaux parce que utilisant une plate-forme et des outils simples et très répandus ??? Maitriser un kernel Solaris est plus complexe que poser un Poison Ivy un peu obfusqué sur un XP ou un 2003 Server. [mode REALSITIC OFF]
    PS: Salut Nico. ;)

    RépondreSupprimer
  4. @ITI: Toutefois, malgré leur trivialité, des APT parviennent à leurs fins.

    RépondreSupprimer