jeudi 30 mai 2013

La cible et les 4 cavaliers de l'AP(T)ocalypse - Partie 2/4


Du hack à l'APT - Partie 1/4
 Introduction : les menaces aveugles et massives du passé
 Ces menaces ont évoluées et sont devenues plus dangereuses

La cible et les 4 cavaliers de l'AP(T)ocalypse - Partie 2/4
1/ Une cible visée
Puisqu'un APT est une attaque ciblée, intéressons-nous à mieux connaître cette cible. Nous lisons tous les jours ou presque que des états et des grandes entreprises se font piller des secrets via des attaques APT. Je n'ai pas de chiffres précis, mais toute organisation est une cible d'APT dès qu'elle a un avantage concurrentiel ou technologique: espionnage d'entreprise, qu'elle est représentative d'un courant de pensée différent: espionnage d'état, ou qu'elle représente un accès vital à de l'information ou des fournitures de services physiques (eau, électricité, etc..): espionnage et sabotage d'état ou terroriste. L'attaquant définit un but qui peut être une lecture régulière des informations de la cible (Nortel s'est ainsi fait voler pendant 10 ans sa propriété intellectuelle), ou bien une installation en prévision d'une attaque de sabotage (Aramco a vu ainsi 30000 de ses postes windows wipés simultanément), ou encore le vol de documents spécifiques (vol des plans des armes américaines).
L'attaquant accumule le maximum d'informations d'une part sur le réseau physique de l'organisation (machines, IP, versions de softs, etc..) et humains (adresses mail, positions, organigrammes, habitudes de surf etc..). L'aspect technique de recherche d'informations n'a rien de neuf, mais de nombreuses techniques voient le jour quant à la recherche d'informations humaines: navigation automatique sur les réseaux sociaux, créations de faux profils, etc..

2/ La stratégie d'attaque: Les 4 cavaliers de l'AP(T)ocalypse
Les (futures) victimes sont comme on l'a vu protégées par les deux lignes classiques de défense, antivirus et firewall. Le firewall empêche les connexions d'entrer, rarement de sortir, l'antivirus travaille sur une base de signatures de virus connus. L'attaquant va alors demander à la victime de se connecter chez lui en utilisant un code inconnu: le firewall et l'antivirus sont ainsi contournés. Il ne reste qu'à déposer ce code offensif sur le poste de la victime.
Il existe 4 méthodes majoritairement utilisées pour y parvenir.
-Spear phishing: L'attaquant envoie un mail contenant une pièce jointe piégée. La phase de reconnaissance préalable permet de parfaire l'apparence légitime du mail. Le cas de pièce jointe classique est un fichier pdf ayant un contenu visible crédible. L'utilisateur l'ouvre et le code offensif est exécuté. Le pdf n'est pas le seul risque, tout document étant sujet à une faille, y compris l'outil servant à lire les mails lui-même. On a pu trouver beaucoup de documents office chargés avec des fichiers flash contenant du code offensif.
-Watering hole: Le spear phishing commençant à être bien connu des défenseurs, les attaquants ont choisi de piéger des sites web légitimes avec du code offensif et attendre que la victime s'y connecte. La mode est à l'utilisation de java pour lancer le code offensif. L'avantage de java étant d'utiliser des failles logiques (i.e. très fiables sur une variété de systèmes) au contraire des failles par corruption mémoire qui deviennent de plus en plus difficiles à fiabiliser.
-Physiques: L'universalité des ports USB a poussé les attaquants à vouloir l'utiliser. Ces failles ne font pas forcément l'actualité, bien que de plus en plus de conférences de sécurité en parlent. Peut-être la prochaine campagne d'APT? Tout la pile USB est faillible, depuis l'énumération du bus, au parsing des informations remontées (buffer overflow dans le nom d'une carte son, format string dans la lecture du clavier USB), à l'installation de driver, à la confiance sur les filesystems des clés mass-storage, et sur l'affichage des icônes.
-Compromission directe: Dans le cas ou la cible est vraiment (très) mal protégée, l'attaquant vise depuis internet les ressources exposées du réseau de la victime et rebondit par la suite sur le réseau interne.
 On constate à ce sujet que la phase de reconnaissance préalable est essentielle pour ces attaques afin d'assurer leur efficacité.

Un fantasme court sur ce fameux code offensif envoyé par une des quatres méthodes ci-dessus. S'agit il à chaque fois d'un 0day, impliquant des compétences très elévées de la part des attaquants devant les créer? La réponse est généralement non pour plusieurs raisons. Tout d'abord, un attaquant sans compétences peut acheter des 0days. Ensuite car les entreprises patchent doucement, donc des exploits pas trop vieux fonctionnent très bien. Un bon reverser peut à partir de patchs publics trouver l'exploit associé plus rapidement qu'une entreprise ne patche. Et enfin car un 0day envoyé à une cible peut (malgré tout) être détecté et réutilisé contre l'attaquant.

Ce code offensif est généralement d'un usage unique et à pour finalité unique d'installer un outil évolué de pilotage du poste victime. La machine victime est donc sous les ordres de l'attaquant, aucune alarme n'a été levée chez la victime.

To be continued:

La persistance et l'accès aux données - Partie 3/4
 Persistance et implantation profonde
 Accès au données: espionnage et/ou destruction

Bloquer les APT: mission (im)possible - Partie 4/4
 A défaut de "silver bullet", une "kill chain"?
 Et demain?

Aucun commentaire:

Enregistrer un commentaire