jeudi 30 mai 2013

La cible et les 4 cavaliers de l'AP(T)ocalypse - Partie 2/4


Du hack à l'APT - Partie 1/4
 Introduction : les menaces aveugles et massives du passé
 Ces menaces ont évoluées et sont devenues plus dangereuses

La cible et les 4 cavaliers de l'AP(T)ocalypse - Partie 2/4
1/ Une cible visée
Puisqu'un APT est une attaque ciblée, intéressons-nous à mieux connaître cette cible. Nous lisons tous les jours ou presque que des états et des grandes entreprises se font piller des secrets via des attaques APT. Je n'ai pas de chiffres précis, mais toute organisation est une cible d'APT dès qu'elle a un avantage concurrentiel ou technologique: espionnage d'entreprise, qu'elle est représentative d'un courant de pensée différent: espionnage d'état, ou qu'elle représente un accès vital à de l'information ou des fournitures de services physiques (eau, électricité, etc..): espionnage et sabotage d'état ou terroriste. L'attaquant définit un but qui peut être une lecture régulière des informations de la cible (Nortel s'est ainsi fait voler pendant 10 ans sa propriété intellectuelle), ou bien une installation en prévision d'une attaque de sabotage (Aramco a vu ainsi 30000 de ses postes windows wipés simultanément), ou encore le vol de documents spécifiques (vol des plans des armes américaines).
L'attaquant accumule le maximum d'informations d'une part sur le réseau physique de l'organisation (machines, IP, versions de softs, etc..) et humains (adresses mail, positions, organigrammes, habitudes de surf etc..). L'aspect technique de recherche d'informations n'a rien de neuf, mais de nombreuses techniques voient le jour quant à la recherche d'informations humaines: navigation automatique sur les réseaux sociaux, créations de faux profils, etc..

2/ La stratégie d'attaque: Les 4 cavaliers de l'AP(T)ocalypse
Les (futures) victimes sont comme on l'a vu protégées par les deux lignes classiques de défense, antivirus et firewall. Le firewall empêche les connexions d'entrer, rarement de sortir, l'antivirus travaille sur une base de signatures de virus connus. L'attaquant va alors demander à la victime de se connecter chez lui en utilisant un code inconnu: le firewall et l'antivirus sont ainsi contournés. Il ne reste qu'à déposer ce code offensif sur le poste de la victime.
Il existe 4 méthodes majoritairement utilisées pour y parvenir.
-Spear phishing: L'attaquant envoie un mail contenant une pièce jointe piégée. La phase de reconnaissance préalable permet de parfaire l'apparence légitime du mail. Le cas de pièce jointe classique est un fichier pdf ayant un contenu visible crédible. L'utilisateur l'ouvre et le code offensif est exécuté. Le pdf n'est pas le seul risque, tout document étant sujet à une faille, y compris l'outil servant à lire les mails lui-même. On a pu trouver beaucoup de documents office chargés avec des fichiers flash contenant du code offensif.
-Watering hole: Le spear phishing commençant à être bien connu des défenseurs, les attaquants ont choisi de piéger des sites web légitimes avec du code offensif et attendre que la victime s'y connecte. La mode est à l'utilisation de java pour lancer le code offensif. L'avantage de java étant d'utiliser des failles logiques (i.e. très fiables sur une variété de systèmes) au contraire des failles par corruption mémoire qui deviennent de plus en plus difficiles à fiabiliser.
-Physiques: L'universalité des ports USB a poussé les attaquants à vouloir l'utiliser. Ces failles ne font pas forcément l'actualité, bien que de plus en plus de conférences de sécurité en parlent. Peut-être la prochaine campagne d'APT? Tout la pile USB est faillible, depuis l'énumération du bus, au parsing des informations remontées (buffer overflow dans le nom d'une carte son, format string dans la lecture du clavier USB), à l'installation de driver, à la confiance sur les filesystems des clés mass-storage, et sur l'affichage des icônes.
-Compromission directe: Dans le cas ou la cible est vraiment (très) mal protégée, l'attaquant vise depuis internet les ressources exposées du réseau de la victime et rebondit par la suite sur le réseau interne.
 On constate à ce sujet que la phase de reconnaissance préalable est essentielle pour ces attaques afin d'assurer leur efficacité.

Un fantasme court sur ce fameux code offensif envoyé par une des quatres méthodes ci-dessus. S'agit il à chaque fois d'un 0day, impliquant des compétences très elévées de la part des attaquants devant les créer? La réponse est généralement non pour plusieurs raisons. Tout d'abord, un attaquant sans compétences peut acheter des 0days. Ensuite car les entreprises patchent doucement, donc des exploits pas trop vieux fonctionnent très bien. Un bon reverser peut à partir de patchs publics trouver l'exploit associé plus rapidement qu'une entreprise ne patche. Et enfin car un 0day envoyé à une cible peut (malgré tout) être détecté et réutilisé contre l'attaquant.

Ce code offensif est généralement d'un usage unique et à pour finalité unique d'installer un outil évolué de pilotage du poste victime. La machine victime est donc sous les ordres de l'attaquant, aucune alarme n'a été levée chez la victime.

To be continued:

La persistance et l'accès aux données - Partie 3/4
 Persistance et implantation profonde
 Accès au données: espionnage et/ou destruction

Bloquer les APT: mission (im)possible - Partie 4/4
 A défaut de "silver bullet", une "kill chain"?
 Et demain?

mardi 28 mai 2013

Du hack à l'APT - Partie 1/4


1/ Les menaces aveugles et massives du passé
Au début de ce millénaire, les risques et menaces informatiques étaient clairement identifiées. Tout d'abord nous avions des menaces réseau dirigées vers les machines du fait de l'adressage public encore prépondérant. L'époque était donc au scan de port et à l'utilisation illégitime de services réseaux peu protégés (services ouverts aux invités, mots de passe par défaut, configurations plus étudiées pour la disponibilité que la sécurité). Ensuite nous avions des virus/vers qui se propageaient principalement par messagerie, disquettes ou macros office. Il s'agissait de menaces aveugles, massives et sans notion d'objectifs précis autre que la beauté du hack ou la glorification personnelle du programmeur à l'origine de ce hack.
Ajourd'hui, les machines ne sont plus exposées sur internet (en adressage privé) et les serveurs sont protégés par des firewalls. L'antivirus est unanimement accepté et installé sur les postes et serveurs.
Ces menaces n'ont pas disparues, elles représentent ces 80% d'attaques visibles, mais il est possible de diminuer leur portée à l'aide de trois règles simples: Les patchs sont installés en temps et en heure, l'antivirus est efficace et se met rapidement à jour, et la machine est placée derrière un firewall. Il reste les 20% des attaques dites "évoluées".

2/ Ces menaces ont évoluées et sont devenues plus dangereuses
La dangerosité des risques a évolué depuis ce début de millénaire. Tout est devenu données informatiques mises en réseau. La propriété intellectuelle au sens large, les informations confidentielles, les installations industrielles pilotées par informatique, la gestion de trafic urbain, etc... Ces données, leur connaissance et la disponibilité de ces données/installations ont de fait beaucoup de valeur.
De manière prémonitoire, le manga Ghost In the Shell indiquait que l'information était certes une valeur importante, mais plus encore était la capacité qu'avait certaines organisation à accéder facilement et rapidement à l'information sur de longues durées pour pouvoir l'utiliser ou dans certains cas la détruire. Et puisque les hackers ont montré que l'informatique est vulnérable (security FAIL comme on entend régulièrement), des attaquants ont donc décidé d'utiliser ces hacks dans une optique offensive. Cela a donné une méthode appelée depuis 2005 "Advanced Persistent Threat" (APT), mot-valise regroupant plusieurs techniques d'exploitation et finalités.
Globalement, un APT, c'est une attaque taillée pour frapper une cible précise, qui se veut la plus discrète possible, et qui perdure dans le temps sans être détectée par la victime avec un ou plusieurs buts précis.

To be continued:
La cible et les 4 cavaliers de l'AP(T)ocalypse - Partie 2/4
 Une cible dans le viseur
 La stratégie d'attaque

La persistance et les données - Partie 3/4
 Persistance et implantation profonde
 Accès au données: espionnage et/où destruction

Bloquer les APT: mission (im)possible - Partie 4/4
 A défaut de "silver bullet", une "kill chain"?
 Et demain?