mercredi 3 juin 2015
Par Cedric Pernet le mercredi 3 juin 2015, 04:03 - Cybercrime
Here is another article I wrote, this time to try to raise awareness on some professional networks risks. Link is How to Spot Frauds on Professional Networks
Also, related, is this blog post I wrote: Reconnaissance via Professional Social Networks.
dimanche 26 avril 2015
Par Cedric Pernet le dimanche 26 avril 2015, 12:33 - APT
Un petit post rapide pour vous signaler que j'ai publié dans le dernier numéro de MISC Magazine un article intitulé "APT 101" qui présente les notions de base des attaques APT. L'exercice n'était pas forcément facile après avoir écrit un livre sur le sujet...
Le numéro 79 de MISC est présenté ici, sur le site de l'éditeur.
A noter au passage que ce numéro contient 4 articles sur les attaques APT, dont un excellent article de David Bizeul & Xavier Creff (Threat Intelligence et APT), un article sur le tristement célèbre malware PlugX écrit par Fabien Perigaud, ainsi qu'un article "APT au combat : stratégie numérique en réseau d'entreprise" écrit par William Dupuy & Nicolas Guillermin.
Un numéro à lire de toute urgence ! :-)
mardi 31 mars 2015
Par Cedric Pernet le mardi 31 mars 2015, 11:44 - Cybercrime
Here is the link to a new blog post I wrote with friends Kenney Lu and Dark Luo from Trend Micro.
It has several interesting aspects, in my mind:
Hope you will enjoy the read ! :-)
mercredi 18 mars 2015
Par Cedric Pernet le mercredi 18 mars 2015, 11:38 - APT
jeudi 5 mars 2015
Par Cedric Pernet le jeudi 5 mars 2015, 10:18 - General
Comme vous avez pu le constater certains billets de ce blog ont disparu. Ils étaient tout simplement trop liés à une entreprise pour laquelle j'ai travaillé par le passé. Je n'en dirais pas plus, étant tenu par un devoir contractuel de loyauté envers cet ex-employeur.
jeudi 4 décembre 2014
Par Cedric Pernet le jeudi 4 décembre 2014, 11:25 - APT
C'est avec un plaisir non dissimulé que je blogge ici pour vous faire part de la publication de mon premier ouvrage aux Editions Eyrolles, intitulé "Sécurité et espionnage informatique - Connaissance de la menace APT et du cyberespionnage".
Le livre est disponible en précommande sur le site d'Amazon.fr, et sera publié et disponible en FNAC à compter du 12 décembre.
Il m'aura fallu pas loin d'un an et demi de travail de nuit et le soutien de nombreuses personnes pour mener ce projet à son terme. Je remercie chaleureusement tous les gens qui m'ont aidé et soutenu, la liste serait trop longue mais ils sont remerciés en détail dans le livre ;-)
J'espère donc que cet ouvrage vous sera utile, que sa lecture vous sera agréable, et que vous me ferez un petit feedback ?
Merci à tous/toutes ! :-)
Cédric.
mercredi 26 novembre 2014
Par Cedric Pernet le mercredi 26 novembre 2014, 23:53 - Cybercrime
Je suis un grand amateur de pizza. C'est pour ça que je n'aime pas les pizzas de chez Domino's Pizza. Elles sont bien trop industrielles et noyées dans l'huile pour être mangeables. Par contre, j'adore la cybercriminalité et lorsque les deux se mêlent, je me sens obligé de blogger pour faire de la sensibilisation.
Ainsi donc, de méchants pirates ont compromis Domino's Pizza afin de récupérer la base de donnée de tous les clients de la société. Leur but était de faire du chantage à la société: soit vous nous payez, soit on publie la base de donnée sur Internet. Domino's n'a pas payé, ce qui est un comportement louable et responsable afin de ne pas encourager ce type de cybercriminalité, mais d'un autre côté, la nuisance pour leurs clients est très forte, nous allons y revenir.
Souhaitant me faire une idée plus précise du carnage, je me suis procuré cette base de données. A titre de rappel, je ne peux que me répéter: lorsqu'une base de donnée fuite sur Internet, elle ne disparait quasiment jamais. Elle réapparaitra toujours, à un moment où un autre.
Quoi qu'il en soit, l'affaire fait beaucoup rire, mais avez-vous sérieusement envisagé les conséquences de la distribution d'une telle liste à des cybercriminels ? Nous allons étudier quelques scénarios afin d'en prendre bonne mesure.
Note: Je ne sais pas comment a été constituée cette base de données. Néanmoins, étant donné que certaines entrées ne présentent qu'un numéro de téléphone, je suppose qu'elle contient à la fois des clients qui se font livrer et des clients qui se déplacent pour venir la chercher. Il y a exactement 592807 entrées uniques dans cette base.
Pour le particulier, cela signifie donc que des pirates disposent de:
Notez que le chiffrement du mot de passe est cependant facilement contournable, une attaque par brute-force révèlera les mots de passe des utilisateurs à un attaquant au besoin.
Que peuvent donc faire les attaquants avec ces données ?
- Envoyer des campagnes de spam de masse, mais un peu mieux faites qu'habituellement, parce qu'elles mentionneront peut-être votre adresse, votre numéro de téléphone, votre adresse physique...
- Couper la base de donnée selon des critères géographiques pour les revendre ou commencer à envoyer des e-mails ciblés, type "Nouvelle enseigne de pizza dans votre ville de xxxx, cliquez ici" ... Le clic mènera soit à un site essayant d'obtenir les informations de votre carte bancaire, soit à vous infecter avec un malware (qui lui aussi en voudra à votre carte bancaire ou à tous vos accès à des services en lignes par exemple: Paypal, banque, etc.) Les scénarios peuvent ici être très variables.
- Vendre la base de donnée à un/des concurrent(s) de Domino's Pizza ... Qui vous maileront bien sûr.
- Envoyer de faux e-mails Domino's Pizza pour vous demander confirmation de votre numéro de carte bancaire, ou pour obtenir d'autres informations, ou encore une fois vous infecter avec un malware.
- Vendre la base à des sociétés de démarchage téléphonique ...
- Appels téléphoniques malveillants : les attaquants peuvent se faire passer pour des fournisseurs d'accès Internet afin d'obtenir des informations: les utilisateurs disposant d'adresses mail en orange.fr par exemple peuvent être appelées, le fraudeur les mettant en confiance en montrant qu'il dispose d'informations sur eux, afin de mettre en place des scénarios divers et variés: obtention de numéro de carte bancaire, infection par malware (si vous ne voulez pas que la ligne Internet coupe, car nous avons des problèmes en ce moment, allez sur ce site...) etc.
- Utiliser le mot de passe fourni à Domino's pour voir si *éventuellement* il ne correspondrait pas à celui de la boite mail indiquée à Domino's Pizza. Beaucoup d'utilisateurs utilisent encore le même mot de passe partout, ce qui est évidemment déplorable en terme de sécurité informatique. Ainsi, l'attaquant pourrait utiliser à loisir votre boite mail pour envoyer du spam, lire vos e-mails, mener d'autres campagnes de cybercriminalité etc.
- Faire un tri dans les adresses mail pour cibler précisément des entreprises dont les employés ont utilisé une adresse mail "corporate". Il y a par exemple 69 adresses mails en .gouv.fr et de nombreuses sociétés clairement identifiables... Ces seules informations peuvent déja être sensibles et permettre à un attaquant de se lancer dans une attaque ciblant l'entreprise... Nous rejoignons ici le cyber espionnage ...
- Usurper votre identité afin de s'inscrire à d'autres services en ligne... A titre d'exemple, j'ai récemment constaté qu'un cybercriminel chinois utilisait les coordonnées réelles d'une innocente afin d'enregistrer des noms de domaines servant à des attaques ciblées (APT).
- Commander 20 pizzas avec vos informations et les faire livrer chez vous... Juste pour le plaisir de nuire. Etant donné que la commande est passée avec vos informations, Domino's exigera probablement le paiement...
Comme vous pouvez le constater, les possibilités sont nombreuses, et nous pourrions entrer dans un niveau de détail plus élevé pour mettre en place de nombreux autres scénarios non décrits précisément ici.
Que peut-on faire pour limiter les dégâts ?
- Imaginez toujours qu'un service auquel vous souscrivez peut être piraté un jour.
- Utilisez des mots de passes uniques. N'hésitez pas à utiliser des logiciels de conservation de mot de passe tels que Keepass.
- Ne donnez que les informations nécessaires (ne remplissez jamais les champs facultatifs).
- Si possible, utilisez une adresse mail unique pour chaque site sur lequel vous vous inscrivez.
- Soyez prudents lorsque vous recevez des e-mails, même lorsqu'ils semblent venir de fournisseurs de services auxquels vous avez souscrit.
- Si vraiment vous voulez manger une bonne pizza, allez chez Il Campionissimo :-)
jeudi 30 octobre 2014
Par Cedric Pernet le jeudi 30 octobre 2014, 08:15 - Cybercrime
Well, as you probably know, I am french. Some of my friends do not agree, and say that I am not a real french, because I do not like strong cheese, I do not like eating ducks (in any way), and all wine tastes the same for me, in opposite to beer. Also, I hate european football, but loooooove american football, my favorite team being the Patriots from New England.
On the other hand, I must admit I have a little kink for american football team's jerseys. I already have one from the Patriots, yet I wanted one from the Miami Dolphins.
So here I am, googling to find a new jersey at an attractive price, in french language.
Using a simple request like "jersey miami dolphins pas cher" which means "jersey miami dolphins cheap" in Google, I get the following as first result:
As you can see, the first results are from "Google Shopping" and do provide links to legitimate websites like nike.com.
Then, more interestingly, I get results from Google Image. The first image shown, on which my mouse pointer is, leads to a domain named maillot-foot-nfl-nba.com.
Following this link, I get a nice page from an online store showing me the jersey of my dreams:
At this point, there are several little details which should raise suspicion for anyone:
Clicking on some of the general pages of the web site is quite instructive. In the middle of the description for shipping, written in french, some spanish can be seen: "Aceptamos Visa, Mastercard, Paypal y tarjeta de crédito!" ...
There can only be one conclusion to all of this: this website is fraudulent, selling counterfeit products, and no one should buy products there.
Now if I come back to my Google research, and look at the Google image links on the right of the one I followed, the domains are:
By carefully watching these websites (except for forschungsinfo.de, which to clarify is a real site which has just hosted links to a fraudulent one, and the link has been removed), we could come to the same conclusion: counterfeit products are sold there.
Now one might think that these websites are build up by isolated fraudsters looking for easy money. The reality is a bit different, and that's why I am blogging, I wanted to bring some more insight to this kind of fraud and raise some awareness for people on Internet.
For starters, once again if you look carefully at all pages from such a website, you can find something more interesting than spelling mistakes: links to other websites.
Reading the "shipping info" from boutiquesprofr.com for example, the first line mentions that "sacmiumiu.com offre la livraison gratuite" , which means that "sacmiumiu.com offers free shipping".
Why the hell is a website called sacmiumiu.com mentioned in the shipping info of boutiquesprofr.com (which by the way means "prostorefr.com") ?
Well, the reason for that is that fraudsters do not build a single website to sell counterfeit products. They do build LOADS of different websites. You might think it takes a lot of time to do it, but it takes less than one or two hours to do. These fraudsters do use websites templates, which they just slightly modify from one site to the other. From the single sentence found on boutiquesprofr.com, we can expect it to use almost the same template as sacmiumiu.com.
sacmiumiu.com does not exist anymore, yet just by googling this name you would find interesting stuff : ads for it in guestbooks showing links to other counterfeit products websites, etc... Looking for it on archive.org, a website which shows past versions of websites, you would even find that the website has indeed been transfered by judge decision to Louis Vuitton because it was selling counterfeit products.
So, with few googling and wise use of archive.org, we already found out that our guys from "boutiquesprofr.com" were somehow connected to "sacmiumiu.com".
What else can be found ?
Let's go back to the first website I found, maillot-foot-nfl-nba.com.
At the top left part of the website, a logo from the company "NEW ERA" is visible. Let's be a bit clever and use it to find other websites which contain the exact same logo. To do that, we can save the logo from maillot-foot-nfl-nba.com and then submit it to a Google Image search. By doing that, Google will show us all referenced websites which contain the same picture :
Note: what you do not see in the screenshot is the fact that Google Image offers results showing images which are "close" to the image you submit. We need to focus on the exact same image, to avoid false positives. Moreover, if the fraudsters took the image from a legitimate website and did not modify it, we will get false positives we need to remove from the analysis.
Once again, the results are quite interesting: we easily fall on several fake products sellers.
This provides us a very easy method to group fake websites.
Ok, what do we know now ? We know that there are hundreds of websites selling fake products, using more or less the same templates and techniques.
How about having a look at the people who register these domain names ?
Let's have a look at the Whois information for our favorite website, maillot-foot-nfl-nba.com.
Registrant Name: mingsheng zheng Registrant Organization: zhengxiansheng Registrant Street: haikoulu10 Registrant City: haikou Registrant State/Province: hainan Registrant Postal Code: 570100 Registrant Country: CN Registrant Phone: +86.13800000000 Registrant Phone Ext: Registrant Fax: +86.13800000000 Registrant Fax Ext: Registrant Email: registrar@mail.zgsj.com Admin Name: mingsheng zheng Admin Organization: Admin Street: haikoulu10 Admin City: haikou Admin State/Province: hainan Admin Postal Code: 570100 Admin Country: CN Admin Phone: +86.13800000000 Admin Phone Ext: Admin Fax: +86.13800000000 Admin Fax Ext: Admin Email: capsshopnet@gmail.com
Once again, this really does not look like Whois information a legitimate merchant would use: the phone numbers seems to be fake, and the e-mail address is on gmail.com, yet this is very interesting for us in terms of investigation.
So, by doing some reverse whois researches, we can find 23 domains, additionally to maillot-foot-nfl-nba.com, which have been registered by capsshopnet@gmail.com :
Oh my, our friend "capsshopnet" has counterfeit stuff in french, spanish, and german, what a great linguist, this might explain all the spelling mistakes on these websites ;-)
What about the hosting ? Well, maillot-foot-nfl-nba.com is currently hosted on 223.26.62.200, which belongs to:
inetnum: 223.26.62.0 - 223.26.62.255
netname: SUN-HK
descr: Sun Network - DataCenter Service
TRANS ASIA CENTER, KWAI CHUNG
country: HK
admin-c: DA179-AP
Let's look at some Passive DNS information. Which other domains have lead to this precise IP address currently or in the past ?
The results are other counterfeit products websites (except for kkk345.com which is about pornographic stuff)
kkk345.com www.kkk345.com www.gorras-obey.com gorrasbaratas.com www.gorrasbaratas.com maillot-pascher.com www.maillot-pascher.com zapatos-baratas.com www.zapatos-baratas.com www.maillot-foot-nfl-nba.com www.kkk3.org
Now let me please represent all this data in a structured form (click to enlarge):
I will end this blog post here. I just wanted people to be a bit aware that the underground of counterfeit products is huge, and that few minutes of investigation can lead to the discovery of a complex web of Internet websites run by fraudsters.
One might wonder about the number of people involved in that kind of fraud. There are probably several people to register the websites, several people to build the content (and we can be pretty sure some other people are selling the web pages templates), to handle the orders, to manufacture the products (probably hundreds/thousands of people here), etc.
I stopped my investigation at this point, because it was done on a rainy night at home. A lot is uncovered here: I did not look for every domain whois, I did not look for all the hosting data and IP ranges, I did not really search for any real person attribution.
By digging more on all these data, we could probably find much more fake products websites and persons involved, but once again, my goal here was just to raise awareness on a kind of fraud and describe it a bit.
So what have we learned here ?
Thank you for your reading, this was some kind of fun post blog I've done in a hurry last night. See you soon ! :-)
mardi 11 mars 2014
Par Cedric Pernet le mardi 11 mars 2014, 14:09 - Security
Une interview de votre serviteur vient d'être publiée, à propos des "incident handlers" ou "incident responders" ... Ca se passe ici, et merci à Jérôme Saiz :-)
jeudi 12 décembre 2013
Par Cedric Pernet le jeudi 12 décembre 2013, 16:40 - Security
jeudi 3 octobre 2013
Par Cedric Pernet le jeudi 3 octobre 2013, 22:49 - Security
On entend souvent parler, lorsqu'est évoqué le sujet des attaques de type "APT", de "spear phishing".
Alors le spear phishing, c'est quoi ?
Dans un contexte général, le spear phishing consiste à cibler précisément une personne et lui envoyer un contenu e-mail personnalisé, pour maximiser les chances que cette personne ouvre le courriel et tombe dans le piège tendu par l'attaquant (généralement, une infection par malware).
Imaginez qu'une personne veuille prendre le contrôle de votre ordinateur. Elle sait que vous êtes relativement sensible à la sécurité informatique et que vous n'ouvrez pas n'importe quel e-mail. Par contre, vous êtes passionné de guitare et collectionneur. C'est en tout cas ce que dit votre profil Viadeo (partie "mes centres d'intérêts") et/ou votre profil Copains d'avant. En plus, vous avez indiqué que vous habitiez à Nogent sur Tartiflette, petite commune perdue quelque part en France.
Votre attaquant sait que vous n'ouvrirez jamais un mail générique de type "Livraison UPS", "Réduction de malade chez RueduCommerce" ou encore "On ne se connait pas mais tu es le droïde de ma vie je m'appelle Marvin écris-moi vite bisous".
Par contre, quelles sont honnêtement les chances que vous ouvriez un mail intitulé "Nouveau magasin de guitares vintage - ouverture imminente à Nogent sur Tartiflette" ? Pire, quelles sont les chances pour que vous l'ouvriez, s'il vient d'un de vos proches, et contient juste un message "t'as vu, y'a un nouveau magasin de grattes qui va ouvrir près de chez nous" accompagné d'un PDF ?
Je dirais que les probabilités sont assez hautes, largement plus en tout cas que pour un contenu générique. Evidemment, la pièce jointe ou le lien contiendra un malware, et ce sera le début de la fin pour votre ordinateur et peut-être votre compte bancaire, ou vos données sensibles.
Le spear phishing ciblant les particuliers est relativement rare pour le moment, d'autres méthodes de phishing plus traditionnelles continuant à être efficace et permettant de jouer sur l'effet de masse. Je pense à ces grosses campagnes de phishing de différentes banques que vous voyez passer régulièrement, qui continuent à bien fonctionner avec certains utilisateurs crédules.
Du point de vue de l'attaquant, le spear phishing nécessite un déploiement d'efforts non négligeables et surtout du temps, afin de bien cibler la victime. Des formes de ce que j'appellerais du "semi spear phishing" existent néanmoins. Pour poursuivre sur notre exemple précédent, on pourrait imaginer que vous soyiez inscrit sur un forum de collectionneurs de guitare. L'attaquant pourrait compromettre le forum, récupérer toute sa base de donnée, et par conséquent toutes les adresses e-mail des membres, puis envoyer un e-mail alléchant parlant de vente de guitares vintage à tout le monde. Le taux de clic sur sa pièce jointe infectée devrait grandement le satisfaire... Et vous feriez probablement partie des grands gagnants.
En entreprise, les choses sont différentes. Un mail vous parlant de guitare devrait naturellement éveiller votre suspicion, étant donné que vous ne recevez que des e-mails professionels (en théorie).
Le spear phishing en entreprise consiste donc à infecter un ou des employés en leur envoyant un contenu qui semble être professionel et cohérent. Le but de la manoeuvre, lors d'une attaque de type APT, est d'entrer dans l'entreprise. Peu importe l'employé infecté, à partir du moment où son poste sera compromis l'attaquant disposera de la capacité de rebondir de là pour compromettre d'autres machines.
RECOMMANDATIONS POUR LES EMPLOYES
En tant qu'employé, il est fortement recommandé de:
* Ne pas croire que la protection de l'entreprise (après tout, il y a deux anti-virus, des filtres pour les navigations Internet, des firewalls, des antispams etc.) va tout faire à la place de l'utilisateur, et qu'un virus ne peut pas arriver par mail. Les attaquants, même d'un faible niveau technique, sont tout à fait capables de contourner tout cela.
* Ne pas ouvrir de mail qui proviennent de personnes inconnues. Si le doute persiste et que le mail est déjà ouvert, veiller à ne pas ouvrir les pièces jointes contenues dans ce mails et ne pas cliquer sur un éventuel lien contenu dans ce mail.
* Ne surtout jamais répondre à aucun mail de ce genre (cela pourrait donner des informations sur le système d'information à l'attaquant, telles que l'antispam utilisé, l'anti-virus, la version du serveur de mail, etc.)
* Se maintenir sur le qui-vive. Un attaquant peut très bien faire croire qu'un e-mail provient d'un collègue de travail. En cas de doute, il convient de confirmer la légitimité de ce mail avec l'émetteur (par téléphone ou rencontre, pas par mail) avant d'ouvrir la ou les pièces jointes.
QUELS SONT LES MOYENS POUR LE SALARIE DE DETECTER UN E-MAIL DE SPEAR PHISHING ?
Même s'il semble venir d'une personne connue du destinataire, voici des éléments qui devraient inciter à la suspicion:
- L' utilisation de phrases/tournures inhabituelles de la part de l'émetteur.
- L'absence de signature de mail, alors que l'émetteur en ajoute toujours une.
- Le sujet de l'e-mail. Est-ce crédible de mailer quelqu'un pour le motif invoqué ?
- Le ressenti par rapport au contenu. Ce mail a-t-il été envoyé dans le seul but d'ouvrir une pièce jointe ou de cliquer sur un lien ?
Vous l'aurez compris, plus les attaquants en savent sur vous et vos collègues, plus ils auront de chances de créer un e-mail crédible et vous le faire ouvrir. Parmi les techniques "habituelles" utilisées par les attaquants lors d'APT, on peut citer les e-mails contenant des noms de projets en cours, des propositions de réunion, des demandes de consultation de documents, des informations sur des concurrents, des opportunités à saisir, etc.
En matière d'APT, le Spear Phishing constitue la méthode la plus utilisée actuellement par les attaquants pour compromettre certains postes de travail d'entreprises et pouvoir compromettre tout le réseau, avant de dérober de l'information sensible. Le spear phishing est utilisé dans 91% des APT (étude Trend Micro)
L'attaque par spear phishing est efficace, et facile à mettre en oeuvre. Pour les RSSI, il convient donc de sensibiliser régulièrement les employés sur ce risque, quitte à procéder de temps en temps à des simulations réelles.
Un employé sensibilisé est un maillon de moins pouvant constituer une infection initiale lors d'une APT. Cependant, plusieurs groupes de personnes extérieures à l'entreprise, qui n'ont aucune notion de sécurité informatique, viennent semer le doute dans l'esprit de ces employés sensibilisés: les marketeux, les commerciaux, les chasseurs de tête, les meneurs d'études, les statisticiens, etc.
Ces gens n'ont aucun scrupule à envoyer des spam par milliers, à destination de personnes qui ne leur ont rien demandé. Leurs e-mails n'usurpent pas l'identité d'autres employés, mais ils contiennent de quoi semer le doute dans l'esprit d'un utilisateur averti.
J'en prends pour exemple un e-mail, reçu par votre serviteur cette semaine sur son adresse e-mail professionnelle (j'en ai anonymisé certaines parties avec des x):
De : Rachel xxxxx survey@areyounet.com
Envoyé : mercredi 2 octobre 2013 10:43
À : Pernet, Cedric
Objet : Enquête sur l'équipement mobile des ingénieurs et techniciens sur le terrain
Bonjour,
Je mène actuellement une grande enquête au niveau national sur l'équipement mobile des ingénieurs et techniciens sur le terrain. Pour mener à bien cette opération, je travaille en partenariat avec xxxxx, acteur majeur sur le marché français.
Répondre au questionnaire vous prendra moins de 4 minutes.
Grâce à vos réponses nous pourrons faire un état des lieux de l'équipement mobile des entreprises et avoir une tendance des besoins et des investissements à venir.
Accéder au questionnaire
Je vous remercie par avance du temps que vous y consacrerez.
Bien cordialement,
Rachel xxxxxx
Etudes & Statistiques
Si vous souhaitez ne plus répondre à nos enquêtes, rendez-vous ici
Je dois bien avouer qu'à la lecture de cet e-mail, je me suis demandé si j'étais ciblé par une attaque. Le contexte semble idéal et propice: une personne inconnue, un contenu sans fautes d'orthographes, bien rédigé, qui me demande juste de cliquer sur un lien externe, pour aller en plus lui fournir des informations sur moi ou mon entreprise. Le seul hic, c'est que le contenu est générique et a dû être envoyé à de nombreuses personnes, ce qui ne cadre pas avec un spear phishing traditionnel.
J'ai néanmoins pris quelques minutes pour investiguer et vérifier la légitimité de cette campagne honteuse : "areyounet.com" est bien une entreprise déclarée au Registre du Commerce et des Sociétés, "spécialiste dans les solutions d'enquêtes en ligne et sur mobiles".
Les informations demandées dans leur questionnaire en ligne peuvent être utiles à un attaquant:
- Nombre de salariés de mon entreprise
- Secteur d'activité
- Quelle est ma fonction exacte au sein de l'entreprise ?
- Combien d'ingénieurs/techniciens sur le terrain ?
- etc.
Bref, ce qui m'énerve ici, outre le fait de recevoir ce genre de spam détestable sur ma boite mail professionnelle (il contient du tracking en plus) , est de me dire que cela sème la confusion dans l'esprit des utilisateurs et entretient l'idée qu'il est normal de recevoir des e-mails extérieurs et d'y répondre.
Comment voulez-vous, après cela, réussir à prévenir le spear phishing en entreprise ?
mardi 24 septembre 2013
Par Cedric Pernet le mardi 24 septembre 2013, 06:57 - General
La sensibilisation est probablement l'activité qui nécessite le plus d'énergie en matière de sécurité informatique. Pour comprendre le risque, il faut déjà avoir un minimum de connaissance informatique.
Au fur et à mesure des dernières années, l'utilisateur lambda a été plus ou moins sensibilisé à:
Cette recommandation a été tellement rabachée à l'utilisateur qu'il croit aveuglément que son anti-virus le protègera de toute menace, ce qui est totalement faux. La sensibilisation, c'est aussi de lui dire que son anti-virus aura toujours du retard par rapport aux nouveaux malware, et qu'il ne fera que détecter des menaces connues. Lui rappeller que plus de 100 000 souches de malware sont publiées chaque jour n'est pas forcément un bon argument d'ailleurs, ça lui fera plus peur qu'autre chose.
... Mais ne t'en fais pas, ton Windows dispose d'un firewall, et gère tout, tu n'as pas à comprendre ce que c'est. Encore un fail...
... Mais quand une pop up sort de nulle part pour dire: "vaz y,install-moi, je une nouvlle mis a jour d'Adobe Reader", que fait l'utilisateur ? *click*
Cette recommandation, pourtant bonne à la base, doit être accompagnée d'une sensibilisation sur les malware et leur mode de fonctionnement. "Je ne comprend pas, quand j'ai ouvert le PDF qui avait l'air super, l'ordi a montré un PDF, ça ne peut pas être un virus !" ...
La sensibilisation au spear phishing ne peut être qu'un échec avec les particuliers. Même en entreprise, c'est compliqué.
Cette recommandation est inutile, parce que les cybercriminels infectent maintenant des sites légitimes, afin de propager des malware et infecter nos pauvres utilisateurs.
En gros, tu n'achèteras plus que chez Darty ou... La Redoute.
Cette recommandation que j'ai déjà entendue fait sourire. Comment un utilisateur ferait-il la différence entre un escroc et une personne honnête sur ce site ? Un des résultats de cette recommandation est que certains utilisateurs n'effectueront aucun achat sur le site.
... Mais comment réagir, lorsque par courrier POSTAL on reçoit ça :
Alors là, je dis merci, merci La Redoute, mille fois merci, tu es le premier maillon d'une chaine qui sèmera encore plus de confusion chez les utilisateurs, et qui permettra à certains cybercriminels de profiter de la crédulité des utilisateurs.
Habituer l'utilisateur à connecter un dispositif USB d'une source inconnue est tout sauf une bonne chose. Qu'est-ce-qui lui garantit que le courrier vient bien de "La Redoute" ? Le joli papier coloré estampillé du logo de la société ? Le fait qu'il y ait écrit "La Redoute" partout ?
Leur courrier ne contient même pas de référence client, c'est un courrier envoyé en masse à tous leurs abonnés...
La prochaine étape, vous l'avez compris, consistera pour certains cybercriminels à envoyer de faux courriers de toutes les sociétés crédibles de démarchage à domicile, dans le but de leur faire ouvrir un certain fichier... Qui sera bien sûr un malware.
Vous me direz que c'est fournir bien des efforts pour infecter quelqu'un avec un malware bancaire, par exemple, et que les fraudeurs ont d'autres méthodes beaucoup plus faciles. Evidemment. Quid d'attaques ciblées, par contre ?
Cette chère Madame Dupont, qui travaille dans une société sensible sur des technologies de pointe, ne devinera jamais que son ordinateur personnel s'est fait poutrer parce que sa femme voulait voir ce que "La Redoute" lui envoyait...Et que son compte mail a été compromis pour spear phisher ses collègues, puis compromettre tout le système d'information de la société... Mais ça, bien sûr, ça n'arrive jamais ;-)
EDIT: En fait, le dispositif USB fourni par La Redoute n'est pas un support de stockage USB: c'est une webkey USB HID qui, une fois insérée, simule un clavier, lance le navigateur en faisant un "touche Windows+R", tape l'URL de destination et s'y connecte.
L'URL en question est http://secure-ctw.com/dp
Cette URL mène à une page légitime de La Redoute.
En résumé, La Redoute envoie par La Poste à tous ses clients un dispositif ayant un comportement hautement intrusif et potentiellement dangereux. Pour les petits curieux, si on change le "/dp" de la fin de ce lien, on peut voir d'autres clients de secure-ctw...
Enfin, le dispositif USB ne mène même pas directement vers La Redoute, mais vers un tiers... Imaginez ce qui se passerait si ce tiers était compromis et propageait du malware.
mercredi 11 septembre 2013
Par Cedric Pernet le mercredi 11 septembre 2013, 07:13 - Malware
Two months ago, I released a YARA rule and an IOC rule to detect some generic folder dumps files. It has been proven useful in the real world, showing that it is possible to detect some attacks on a host with very easy rules.
Today I had another detection idea, as basic as the previous one. It is based on my experience in malware analysis and incident response, so I hope it will be helpful to other incident responders, especially when they work on APT attacks.
As you might know, some malware, in addition to every malicious activity they can provide, do deactivate the anti-virus running on the system. Usually, these malware are easily noticeable because (once depacked) they show strings which are known anti-virus processes names.
Some examples are:
These malware do usually know between 10 and 40 processes names that they absolutely want to kill.
Therefore, the idea is to try to detect any binary which contains these processes names.
I looked a bit around and found that Jerome Athias had released a "killav.rb" script in Metasploit. He provides us with 579 different processes names, all related to security tools and anti-virus products.
I asked Jerome and he kindly allowed me to use that list to build the YARA rule I was thinking of (with a bit of Python, it would have taken too long by hand of course).
The rule is built so that it will be triggered if 4 or more strings are found.
Please feel free to tweet me (@cedricpernet) or e-mail me any missing process name (there must be plenty) and I will update the rule accordingly. Also, if it triggers false positives, do not hesitate to reach me.
The YARA rule is here.
jeudi 29 août 2013
Par Cedric Pernet le jeudi 29 août 2013, 09:44 - APT
On a recent blog post, Claudio Guarnieri analyzes an APT attack campaign launched by the "Calc Group".
This group of attackers used the soon-coming "G20 Summit" to spear phish their targets. which are mostly financial institutions and governments. The attack in itself is really not sophisticated, it is just made of an archive file (.ZIP) containing a malicious executable file (.EXE).
The names of the zip files are:
These archives contains the following files:
One might be surprised that people really do open such zip files and click on these executables, but believe me, some people still do. Once again, it shows us that it is not necessary to deploy brilliant strategies to infect people with targeted malware.
Claudio makes a great analyse of these attacks in his blog post, so I won't write about it and let you read it instead. Now what I wanted to know was what happened next. I was especially interested in the second attack, because it had been submitted to Virus Total (VT) from France.
To summarize Claudio's analysis, the attack scheme goes like this :
This last point is very important to me: what malware is downloaded, and why? (the "why" can be expected though...)
To quote Claudio, "these samples are just an initial stage of a larger suite of malware, possibly including Aumlib and Ixeshe, which it will try to download from a fixed list of URLs embedded in the binary".
Luckily enough, the second stage malware was still available and I could download it for analysis. It turns out that it is not an "AumLib" or an "Ixeshe", but a variant of a less known malware, called "Bisonha" by the malware researcher's community.
To bypass anti-virus and IDS/IPS products, it is downloaded "upside down" (the first byte becomes the last byte, etc.) and written locally as a regular executable once it is downloaded successfully, then executed.
The file shows a "Java" icon, to try to look more "legitimate" to users. At the time of writing, the sample I downloaded had not been submitted to Virus Total, so I did. The detection rate for this sample is 12/46.
This malware has no persistence mechanism (the first stage downloader makes it persistent), and once executed starts communicating with an IP address 23.19.122.196 on port 443:
GET /300100000000F0FD1F003746374637433731333433363334333600484F4D45000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000070155736572000000000000000000000000000000000000000000000000000000000000000000006444000000000000000000000000000000000000000000 HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) Host: 23.19.122.196 Connection: Keep-Alive Cache-Control: no-cache
As you can see, the network traffic is on port 443 (HTTPS) but it is definitely no HTTPS traffic, rather hex-encoded data:
0000000: 0000 0000 f0fd 1f00 3746 3746 3743 3731 ........7F7F7C71 0000010: 3334 3336 3334 3336 0048 4f4d 4500 0000 34363436.HOME... 0000020: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000030: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000040: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000050: 0000 0000 0000 0000 0007 0155 7365 7200 ...........User. 0000060: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000070: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000080: 0064 4400 0000 0000 0000 0000 0000 0000 .dD............. 0000090: 0000 0000 0000 0000 ........
My reverse engineering rockstar friend Fabien Perigaud had a closer look at the malware and provided me with more information:
Offset: 0x4: RAM size in kilobytes
Offset: 0x8: Hard-drive ID, xored with the machine name then hex-encoded
Offset: 0x19: Machine name
Offset: 0x59: Operating system version (in malware author's writing)
Offset: 0x60: Number of processors
Offset: 0x61: User name
Offset: 0x81: A unique identifier (probably used as a campaign identifier?) - Here it is "dD" but other two characters identifiers have been witnessed in the wild.
The commands which can be sent to the malware are sent in answer:
3004: File writing 3005: File reading 3006: Writing and execution of a file 3115 : provide a shell 3222 : write a new ID in %APPDATA%\recycle.ini 3223 : auto deletion of the malware 3224 : update
This quick analysis shows us that no matter how deep your knowledge is about an attacker, you're never safe from seeing him change his methods completely. That is why APT attacks attribution is such a hard task.
Thanks to Fabien, Jesse, Brian and Ned for the help while writing this small post ;-)
EDIT: (2013/09/04) Satnam Narang from Symantec just posted interesting material about the same APT campaign. You can read it here. In few words, Poison Ivy RAT is also in the game ;)
vendredi 5 juillet 2013
Par Cedric Pernet le vendredi 5 juillet 2013, 07:47 - APT
It has been a long time since I last wrote in english on this blog. The main reason is that I think there are not enough french ressources on Internet regarding APT, malware, incident response, and cybercrime, which are my favorite topics, as you might already know.
I therefore decided to publish in english language only when I thought the post was worth being shared widely.
But let's get right to the point of this post. Working on quite a number of APT cases recently, I noticed that the attackers often dump huge folders to a text file.
From the attacker point of view, it is just executing the "dir /s" command in a cmd shell, which lists folders recursively. The attacker usually redirects the output of the command to a file, doing it this way:
dir /s > 1.txt
The file is stored temporarily until the attacker decides to collect it, and deleted afterwards. The attacker may also not care (or forget) about it and leave it on the file system.
Forensically speaking, the deletion of this file is not a problem, as long as it is not rewritten, it can always be found.
From a detection point of view, it is very interesting to try to find these "folder dumps" on systems, as a possible indicator of compromise.
One has to be careful (as usual in incident response) to check that no legitimate user has generated this dump.
Now, one problem is left to detect these files: the operating system language. If you do incident response only in one country, no problem: usually you only need to check for dump files in your language, and in english (some users, no matter in which country they live, do always use english). Now if you do international incident response, you need to detect more languages.
I created a YARA rule and an IOC rule to detect these dump files in english, french, and german (Hello and thanks to my friend Axel who provided me with german dumps).
These rules should work on english,french,german Windows2000,ME,NT,Server,XP,7,8 systems. I did not check dumps for older systems.
YARA rule:
---
rule folder_dumpfile
meta:
author="Cedric PERNET"
date="2013/07"
comment="a YARA rule to detect dump files created by APT attackers"
strings:
$eng1="Volume in drive" wide ascii nocase
$eng2="Volume serial number" wide ascii nocase
$eng3="Directory of" wide ascii nocase
$eng4="<DIR>" wide ascii nocase
$eng5="File" wide ascii nocase
$fr1="Le volume dans le lecteur" wide ascii nocase
$fr2="du volume est" wide ascii nocase
$fr3="pertoire de" wide ascii nocase
$fr4="<REP>" wide ascii nocase
$fr5="fichier" wide ascii nocase
$de1="Volumeseriennummer" wide ascii nocase
$de2="<DIR>" wide ascii nocase
$de3="verzeichnis von" wide ascii nocase
$de4="Datei" wide ascii nocase
condition:
(all of ($eng*)) or (all of ($fr*)) or (all of ($de*))
---
And here is a link to my IOC file.
And with a little help from my friends, I might be able to update these files with other languages. Please feel free to send me "dir /s" dumps in other languages, I'd gladly integrate it into these detection rules.
jeudi 25 avril 2013
Par Cedric Pernet le jeudi 25 avril 2013, 21:25 - APT
Un peu plus de 2 mois ont passé depuis la publication du rapport de Mandiant sur APT1, il est donc temps de faire un petit point sur la question qui hante beaucoup d'esprits : les attaquants APT1 ont-ils changé leurs méthodes suite au rapport Mandiant ?
Le site CyberSquared.com nous apporte un bon début de réponse sous la forme d'un billet sur leur site. CyberSquared indique se baser sur une seule source, mais leurs propos sont néanmoins très intéressants.
Je précise à nouveau que mon but ici n'est pas d'analyser ces informations mais simplement de vous fournir une petite synthèse en français, ce qui manque cruellement dans la blogosphère française :-/
Autant répondre à la question introductive de ce billet tout de suite : APT1, également appellé "Comment Crew", a finalement changé très peu de choses dans ses opérations de maintien sur des systèmes compromis. Les domaines utilisés comme serveurs de c&c sont toujours les même, la technique n'a pas changé, et les malware ont peu évolué. A peine un changement de clef de chiffrement par ci par là, mais cela fait partie de la vie habituelle d'une famille de malware.
Voici ce qui m'a semblé plus intéressant dans ce billet :
La technique n'est pas nouvelle et habituelle pour ce groupe d'attaquants: infecter un poste en faisant croire à la victime qu'elle ouvre un document PDF. En fait, le binaire est exécuté, infecte la machine, et affiche un PDF réel.
Il me semble important de souligner qu'il existe des serveurs HFS dans la nature, qui hébergent du matériel d'attaque. Pourquoi stocker ce contenu en ligne et ne pas le conserver en local ? Probablement pour le partager plus facilement entre membres d'une équipe d'attaquants. Peut-être est-ce simplement la flemme (les geeks sont fainéants dirait le troll...) de créer des serveurs locaux non accessibles par Internet ? Ou alors est-ce parce que différentes personnes ne se trouvant pas au même endroit physique doivent y accéder ? Je penche pour la flemme d'attaquants se situant probablement dans un même batiment et stockant de la donnée accessible sur Internet sans vraiment s'en préoccuper.
Pour ce qui est du serveur de command&control (c&c ou encore c2) utilisé par le malware, downloads.zyns.com, il s'agit à nouveau d'un DNS dynamique permettant aux attaquants de changer d'adresse IP (et donc d'hébergement) facilement sans avoir à modifier leur malware.
La dernière adresse IP utilisée est 108.177.181.66 et pointe vers l'hébergeur Nobistech situé aux Etats-Unis. Cette adresse IP appartient à un range attribué à:
network:Org-Name:31dns network:Street-Address:QuJiangLu 183 Hao network:City:JingZhou network:State:HuBei network:Postal-Code:434000 network:Country-Code:CN
Hmmm, quelle surprise... ;-)
En creusant un peu plus profondément, on se rend vite compte que Nobistech héberge du contenu légal, mais aussi beaucoup de contenu illicite : téléchargement de jeux vidéos, jailbreak de téléphone, card sharing, pharmacie, et on peut supposer qu'on peut facilement y trouver pire. Certaines plages de Nobistech sont également connues et blacklistées pour des envois massifs de spam.
J'ai pu trouver 4689 domaines qui ont pointé vers cette plage d'adresses IP spécifique (108.177.180.0/22), et la plupart de ces domaines ne présentent pas de noms particuliers, beaucoup de domaines semblent créés avec des caractères aléatoires et ne présenter aucun contenu, ou un message d'erreur, ou encore une page de parking d'hébergeur.
Tous ces éléments m'encouragent à penser encore une fois que lorsque les attaquants "Comment Crew/APT1" choisissent un tiers pour héberger du contenu, il s'agit toujours d'hébergeurs à la moralité plus ou moins douteuse, voir carrément d'hébergeurs bulletproof.
Décidément, nos attaquants ont tout pour réussir: des outils qui fonctionnent plutôt bien, des utilisateurs ciblés qui ouvrent leurs pièces jointes (on ne peut pas leur en vouloir tellement les spear phishing sont bien faits ceci dit, nous sommes loin des e-mails non crédibles de phishing bancaire), et surtout, des sociétés qui ne veulent pas se donner les moyens d'avoir une sécurité informatique qui puisse lutter plus efficacement contre les APT.
Je vous laisse sur cette réflexion et cet article de DarkReading pour illustrer mon propos :-)
lundi 8 avril 2013
Par Cedric Pernet le lundi 8 avril 2013, 13:54 - APT
De nombreuses nouvelles informations sur le groupe d'attaquants APT1 ont suivi la publication de Mandiant que j'évoquais précédemment dans ce billet.
L'un des plus intéressants à ce jour, d'un point de vue forensic, était celui-ci. Il remettait en cause beaucoup de faits énoncés par Mandiant, de façon plutôt bien rédigée.
Un nouveau white paper vient de retenir mon attention, publié par malware.lu et itrust consulting. Ces derniers se sont lancés dans l'étude des attaques APT1 avec une approche plus surprenante qui consiste à... attaquer les attaquants.
Je ne chercherais pas ici à discuter des aspects légaux et éthiques d'une telle action. Par contre, il est extrêmement intéressant de lire ce papier pour voir un peu ce qui se cache "de l'autre côté". Il semble important cependant de souligner que les chercheurs n'ont jamais attaqué de serveur compromis (sous-entendu : un serveur appartenant à un tiers, compromis par APT1) et ont communiqué avec les CSIRT/CERT associés aux cibles des attaquants.
Passons un peu au crible (et en français, c'est le but de cette série de posts sur APT1 après tout...) ce document, point par point.
Phase de collecte d'information:
Les chercheurs se sont basés en partie sur les recherches de MANDIANT. Ils ont vu que le célèbre outil d'administration distant POISON IVY était utilisé et ont décidé d'écrire un scanner de serveurs Poison Ivy.
D'un point de vue technique, rien de bien compliqué : 100 envois de 0x00 vers un port spécifique et une adresse IP permettent de savoir qu'on a affaire à un serveur Poison Ivy s'il répond par 100 octets suivis de 0x000015D0.
Ces scans ont été lancés sur une plage d'adresse IP assez large à Hong Kong pour finalement restreindre leurs recherches à 6 plages particulières hébergeant des serveurs Poison Ivy.
Il nous est signalé au passage que la recherche n'était pas si simple : les attaquants stoppent leurs serveurs c&c lorsqu'ils ne s'en servent pas. Un graphe nous présente les horaires d'"ouverture" des c&c : principalement de 2 à 10h UTC+1. (Europe occidentale)
Sachant qu'entre Paris et Beijing le décalage horaire est de 7h en hiver, 6h en été, on est à peu près sur des horaires de bureau en Chine.
L'attaque.
Un descriptif de Poison Ivy nous est fait ensuite dans le document, pour rapidement arriver sur un aspect plus intéressant, une vulnérabilité d'exécution de code distant sur les serveurs c&c Poison Ivy. Se basant sur un exploit existant d' Andrzej Dereszowski (présent dans Metasploit), les chercheurs ont développé leur propre exploit, fourni dans le document.
Les portes des c&c Poison Ivy se sont alors ouvertes :-)
Une fois connecté au serveur, il fut constaté que le serveur n'avait pas d'adresse IP publique. Cela signifie que le demon Poison Ivy est caché derrière un proxy, utilisant du port forwarding pour masquer la véritable adresse IP du serveur de c&c. Autre constatation, la machine était sous VMware, permettant ainsi de masquer l'adresse IP du controleur.
Le schéma fourni dans le document est le suivant:
Après quelques jours, APT1 a détecté cette compromission, principalement parce qu'une machine accédait au c&c sans passer par le proxy. Les chercheurs ont alors dû changer leur méthode et sont passés par le proxy, en créant leur propre shellcode.
Ils ont ensuite installé un keylogger sur le serveur Poison Ivy, pour logger les identifiants et mots de passe d'accès RDP au proxy.
Une fois sur le proxy, un dump des Event logs Windows a permis de découvrir 384 adresses IP uniques.
L'analyse des données
Une collecte massive de données a été effectuée : fichiers, logs, outputs netstat, etc.etc. puis divisée en 2 catégories : les infos sur les outils des attaquants, et les infos sur les cibles des attaquants.
Une liste des outils des attaquants est fournie, avec un bref descriptif. Je passe sur cette partie, à noter quand même l'analyse d'un RAT "homemade" nommé TERMINATOR/Fakem RAT) découvert sur un serveur proxy.
Ce qui nous intéresse surtout dans ce document, ce sont les informations sur les cibles.
Sans surprise, les documents trouvés dans ces répertoires sont aux formats PPT, XLS, DOC, PDF, JPG.
Parmi ces documents ont été découverts des diagrammes de réseaux, des couples login/pass, des cartes d'accès physiques, des listings d'incidents de sécurité, de politiques de sécurité, etc.
Les documents sensibles sont protégés par mots de passe selon un format prédéfini et assez facile à brute forcer.
Ce post n'a pas pour vocation de vous éviter de lire l'excellent paper de malware.lu et itrust consulting, en particulier de Paul Rascagnères.
Je remercie donc chaleureusement Paul pour cette étude qui nous en révèle un peu plus sur nos attaquants favoris... ;-)
vendredi 29 mars 2013
Par Cedric Pernet le vendredi 29 mars 2013, 14:06 - General
Rather than spending time adding links on the right side of this blog, I thought I might just provide you with a part of my RSS feeds.
For those who know me, you know that part of my personal technological watch is done via Twitter. I twit a lot, and use Twitter as my first source of information when it comes to staying up-to-date with cybercrime/DFIR/malware etc.
Yet I still run a RSS reader somewhere in one of my virtual machines, and sometimes fall on nice articles before they're twitted.
So here is my RSS feed for "computer forensics". Feel free to include it in your own RSS reader. There might be some old dead links though.
mardi 12 mars 2013
Par Cedric Pernet le mardi 12 mars 2013, 10:14 - APT
Sous ce titre-citation d' iRobot, qui me semble approprié, j'ai décidé de faire un petit post blog rapide pour vous signaler la sortie d'un petit papier intitulé "The Mandiant with a plan – high-profile threat report, new products" publié par 451Research.
Ce post fait suite à mon post précédent qui faisait une synthèse rapide de la publication de Mandiant sur le groupe d'attaquants "APT1".
De nombreuses discussions ont eu lieu dans la communauté de réponse à incidents ces dernières semaines suite à cette publication, et de nombreux tweets ont vu le jour. Des tweets ont glorifié Mandiant pour ce paper, d'autres les ont critiqués, voire insultés, mais une chose est sûre, Mandiant n'a laissé personne indifférent.
Mes plus grandes interrogations n'ont pas porté sur les faits révélés, mais plutôt sur la conséquence de ces révélations. Pourquoi abattre toutes ses cartes et montrer à son ennemi ce que l'on détient sur lui ?
Mandiant a indiqué ses motifs dans sa publication, je me suis permis de mettre en gras les parties qui me semblent importantes :
"It is time to acknowledge the threat is originating in China, and we wanted to do our part to arm and prepare security professionals to combat that threat effectively. The issue of attribution has always been a missing link in publicly understanding the landscape of APT cyber espionage. Without establishing a solid connection to China, there will always be room for observers to dismiss APT actions as uncoordinated, solely criminal in nature, or peripheral to larger national security and global economic concerns. We hope that this report will lead to increased understanding and coordinated action in countering APT network breaches."
En gros, il était temps de montrer la Chine du doigt, pour ne plus laisser place aux doutes. Mandiant a voulu aider la communauté dans la lutte anti-APT.
Mandiant a également indiqué s'attendre à des représailles, critiques, et changement de tactique des attaquants.
Je crois que c'est ce que nous avons tous pensé, nous les "incident responders", en lisant le document : les attaquants vont changer leurs techniques, leurs outils, leurs malwares, leurs enregistrements de domaines, etc.etc.
Mandiant s'est ainsi attiré la haine de chercheurs travaillant sur le sujet, qui pestent en attendant de voir (ou pas) les techniques des attaquants changer. Tout au moins ces attaquants-là, APT1.
Reste que la volonté d'aider la communauté est louable, même si ça embête tout le monde. On peut cependant se demander où se place cette noble volonté, lorsque quelques jours après la publication du rapport, Mandiant lance deux nouveaux services : Mandiant for Security Operations (un genre de SOC à base d'IOCs), et Mandiant Intelligence Center.
Cet intelligence Center, d'un coût variable (entre 120 000 et 280 000 Euros à l'année), permettrait aux clients y souscrivant de pouvoir disposer de toute la base de connaissance de Mandiant : IOCs, souches de malwares, listes de domaines frauduleux, profils des attaquants ... En gros, exactement ce qui a été fourni dans le rapport "APT1" et son annexe.
Je ne me hasarderais à aucun commentaire sur ces méthodes, et conclurais mon propos en citant un petit extrait du rapport de 451Research :
"Publishing the report sent a message that Mandiant was confident enough not to care about revealing its hand to the Chinese, even if it meant losing all the current IOCs, but it also sent a message to the intelligence community at large.
We're not going to see boxes of tissues being passed around; the security intelligence community is a tough one. But Mandiant will probably have to make its intentions clearer: whether its priorities are to collaborate with its peers (and occasionally take one for the team), or to promote itself at their expense."
mardi 19 février 2013
Par Cedric Pernet le mardi 19 février 2013, 08:30 - APT
Il n'aura pas fallu longtemps pour que le hasard apporte une réponse à mes interrogations récentes sur les attaques APT.
En effet, la société Mandiant vient de publier un rapport très intéressant sur l'un des plus grands groupe d'attaquants chinois responsables de nombreuses attaques depuis 2006, qu'ils appellent "APT1".
Je ne vous ferais pas de résumé de ce rapport, par contre je tenais à souligner certains éléments mis en lumière par Mandiant :
1. Les commanditaires.
2. Les cibles.
Voici une carte des cibles des attaques d'APT1, établie par Mandiant:
Les secteurs industriels impactés sont les suivants :
3. La structure physique APT1 et Unit61398.
Cependant, cet immeuble ne serait finalement qu'une parmi plusieurs installations physiques utilisées par Unit 61398. Une photo dans le rapport de Mandiant nous montre que l'entrée est gardée par des soldats.
Pour l'anecdote, ils disposent de plusieurs structures annexes à leurs activités, comme... des crèches. ("Unit 61398 also has a full assortment of support units and associated physical infrastructure, much of which is located on a stretch of Datong Road in Gaoqiaozhen, in the Pudong New Area of Shanghai. These support units include a logistics support unit, outpatient clinic, and kindergarten, as well as guesthouses located both in Gaoqiaozhen and in other locations in Shanghai.
4. La structure d'attaque.
5. Des méthodes.
6. Des personnes.
3 profils ont été révélés par Mandiant, mais je ne m'étendrais pas dessus. Si cela vous intéresse, il suffit d'aller lire le document. Par contre, on note au passage un joli screenshot d'une boite gmail d'un attaquant... Mais Mandiant ne semble pas y avoir eu accès, ils justifient ce screenshot en indiquant qu'il s'agit d'un screenshot pris alors que l'attaquant accédait à sa boite mail à partir d'une machine compromise... Mais s'agit-il d'une machine d'une victime qui aurait été compromise et à partir de laquelle l'attaquant aurait consulté sa boite (peu crédible) ou d'une machine de l'attaquant compromise par Mandiant ? ("This is a screen capture of DOTA accessing his Gmail account while using a compromised system on APT1’s attack infrastructure.")
7. Annexes.
Mandiant finit son rapport avec différentes annexes. La première évoque la façon dont Mandiant classifie les groupes d'attaquants, la seconde développe le cycle d'attaque, et les suivantes font références à une archive de Mandiant, qui liste plus de 3000 indicateurs d'attaques, dont des IOC. (Indicators Of Compromise)
8. Thoughts...
Ce rapport de Mandiant est un document qui va faire grand bruit dans toute la communauté de la recherche de malware, de la réponse à incident. et de la cyber intelligence. Les éléments fournis par Mandiant sont crédibles, avérés, et peu de place est laissée à la supposition gratuite comme on aurait pu le craindre.
Les retombées de cette publication vont probablement se faire sentir rapidement, malheureusement, pour tout les "incident responders" dont je fais partie : nul doute que les attaquants vont changer de nombreuses choses rapidement, notamment tous les indicateurs de compromission. Ils vont changer leurs backdoors, leurs malwares, et on peut compter sur eux pour faire cela rapidement. D'un autre côté, ce document apporte un éclairage sain sur ces attaques qui ne peuvent plus être ignorées, et qui lèvent un certain doute sur le degré d'implication et de connaissance du gouvernement chinois.
UPDATE: Une publication intéressante de ShadowServer a été publiée ici.
UPDATE (27 février 2013): De nouvelles infos fournies à Mandiant ont été publiées ici.
« billets précédents - page 2 de 8 - billets suivants »