mardi 4 juin 2013

La persistance de l'APT et l'accès aux données - Partie 3/4

Du hack à l'APT - Partie 1/4
 Introduction : les menaces aveugles et massives du passé
 Ces menaces ont évoluées et sont devenues plus dangereuses

La cible et les 4 cavaliers de l'AP(T)ocalypse - Partie 2/4
 Une cible visée
 La stratégie d'attaque: Les 4 cavaliers de l'AP(T)ocalypse

La persistance de l'APT et l'accès aux données - Partie 3/4
Par l'une des quatre méthodes indiquées dans le chapitre précédent, nous avons vu qu'un attaquant peut exécuter du code sur une machine victime. L'attaquant dispose donc d'un fusil à un coup. Il va s'en servir pour installer un outil d'administration illégitime sur la machine victime pour lui simplifier les accès suivants. On parle souvent de RAT pour Remote Access Tool.

1/ Persistance et implantation profonde
Le RAT va permettre de piloter à distance une machine victime. Ils peuvent être très basique, du type "Download, execute and report". On en trouve des plus évolués, avec du code modulaire, permettant de chercher des fichiers locaux, lister les processus, écouter ce qui se dit au micro, regarder via la webcam, etc..
Les rapports citent souvent l'usage de Poison Ivy, un RAT écrit par un français dont le développement à cessé (il ne fonctionne plus sous windows Seven, mais des patchs non officiels existent). On trouve aussi Dark Comet, X-rat, etc.. La finalité est la même: simplifier l'accès à la machine compromise pour l'attaquant.

Nous l'avons vu, pour contourner un firewall il est plus simple que la demande de connexion soit sortante. C'est donc le RAT qui va se connecter à un (ou des) serveur de Commande et de Contrôle (C&C). Ces C&C ne sont pas situés chez l'attaquant afin d'éviter que la victime ne puisse faire le lien entre le serveur C&C et l'attaquant une fois découvert. Certains rapports mettent en avant un déplacement de ces serveurs C&C, d'autres montrent au contraire une certaine stabilité de ceux-ci au cours du temps (et qui sont quelquefois réutilisés pour d'autres campagnes APT). Les canaux réseaux utilisés entre la victime et le C&C sont très standard: HTTP, DNS, commentaires dans les pages HTML, etc... et sont de fait difficilement détectables, noyés au milieu de trafic identique et légitime.

Une fois bien installé, l'attaquant va alors se déplacer horizontalement dans le réseau cible et augmenter ses privilèges. Il peut utiliser des failles locales, mais on retrouve souvent des outils comme mimikatz, pass-the-hash, des pwdump.exe installés chez les victimes. D'autres RAT sont installés au fur et à mesure de la progression chez la victime. Certains attaquants s'ajoutent des utilisateurs avec pleins pouvoirs dans les AD, ou modifient des règles de log afin de continuer à rester sous le radar.

Attaquant FTW!
Nous avons donc du code non détecté par les antivirus + des connexions sortantes non détectées par les firewall + des attaquants ayant le niveau maximal de privilèges sur le réseau de la cible = compromission totale de longue durée. Les rapports sur les APT ne montrent pas de problèmes dans l'élévation de privilèges ou le déplacement dans le réseau interne.


2/ Accès au données: espionnage et/ou destruction
Les attaquants ont généralement deux objectifs: l'espionnage et/ou la destruction.

Pour l'espionnage, il suffit de référencer les données puis de les exfiltrer. Les rapports font souvent mention de fichiers rar-és et envoyés en ftp quelque part. On a pu lire des théories sur les 'dark google' ou l'attaquant indexe les données chez la victime et ne charge que celle qui l'intéresse au moment ou cela l'intéresse. Il peut aussi s'agir de redirections mises en place sur les boîtes mails de certaines personnes.

La destruction de données est l'autre versant. Il peut s'agir de données informatiques, ce qui a souvent un effet dévastateur: on dit qu'une entreprise sur trois se remet d'un incendie de son siège social. Lorsqu'un lundi matin tous les postes, serveurs, imprimantes, smartphones etc.. ont été wipés, qui peut s'en remettre? Le deuxième type de destruction est bien plus physique. Puisque tout est géré via informatique, centre de productions, usines, eau, électricité etc... une modification de données aurait également des effets dramatiques. En 2001 des terrorristes faisaient écraser deux avions sur les World trade Center, en 2013 il est beaucoup plus simple de prendre le contrôle de la sécurité aérienne et d'y
provoquer le chaos: les conséquences seraient beaucoup plus graves. La destruction ciblée via un APT est une menace prise de plus en plus au sérieux (systèmes SCADA etc..)

On le voit, ces APT sont une réalité tangible, il ne se passe pas trois jours sans qu'on entende des journalistes clamer une (cyber)intrusion réussie quelque part.


 To be continued


Bloquer les APT: mission (im)possible - Partie 4/4
 A défaut de "silver bullet", une "kill chain"?
 Et demain?

Aucun commentaire:

Enregistrer un commentaire