jeudi 3 octobre 2013

Sensibilisation des employés au Spear Phishing: le fail assuré.

Par Cedric Pernet le jeudi 3 octobre 2013, 22:49 - Security

On entend souvent parler, lorsqu'est évoqué le sujet des attaques de type "APT", de "spear phishing".

Alors le spear phishing, c'est quoi ?

Dans un contexte général, le spear phishing consiste à cibler précisément une personne et lui envoyer un contenu e-mail personnalisé, pour maximiser les chances que cette personne ouvre le courriel et tombe dans le piège tendu par l'attaquant (généralement, une infection par malware).

Imaginez qu'une personne veuille prendre le contrôle de votre ordinateur. Elle sait que vous êtes relativement sensible à la sécurité informatique et que vous n'ouvrez pas n'importe quel e-mail. Par contre, vous êtes passionné de guitare et collectionneur. C'est en tout cas ce que dit votre profil Viadeo (partie "mes centres d'intérêts") et/ou votre profil Copains d'avant. En plus, vous avez indiqué que vous habitiez à Nogent sur Tartiflette, petite commune perdue quelque part en France.

Votre attaquant sait que vous n'ouvrirez jamais un mail générique de type "Livraison UPS", "Réduction de malade chez RueduCommerce" ou encore "On ne se connait pas mais tu es le droïde de ma vie je m'appelle Marvin écris-moi vite bisous".

Par contre, quelles sont honnêtement les chances que vous ouvriez un mail intitulé "Nouveau magasin de guitares vintage - ouverture imminente à Nogent sur Tartiflette" ? Pire, quelles sont les chances pour que vous l'ouvriez, s'il vient d'un de vos proches, et contient juste un message "t'as vu, y'a un nouveau magasin de grattes qui va ouvrir près de chez nous" accompagné d'un PDF ?

Je dirais que les probabilités sont assez hautes, largement plus en tout cas que pour un contenu générique. Evidemment, la pièce jointe ou le lien contiendra un malware, et ce sera le début de la fin pour votre ordinateur et peut-être votre compte bancaire, ou vos données sensibles.

Le spear phishing ciblant les particuliers est relativement rare pour le moment, d'autres méthodes de phishing plus traditionnelles continuant à être efficace et permettant de jouer sur l'effet de masse. Je pense à ces grosses campagnes de phishing de différentes banques que vous voyez passer régulièrement, qui continuent à bien fonctionner avec certains utilisateurs crédules.

Du point de vue de l'attaquant, le spear phishing nécessite un déploiement d'efforts non négligeables et surtout du temps, afin de bien cibler la victime. Des formes de ce que j'appellerais du "semi spear phishing" existent néanmoins. Pour poursuivre sur notre exemple précédent, on pourrait imaginer que vous soyiez inscrit sur un forum de collectionneurs de guitare. L'attaquant pourrait compromettre le forum, récupérer toute sa base de donnée, et par conséquent toutes les adresses e-mail des membres, puis envoyer un e-mail alléchant parlant de vente de guitares vintage à tout le monde. Le taux de clic sur sa pièce jointe infectée devrait grandement le satisfaire... Et vous feriez probablement partie des grands gagnants.

En entreprise, les choses sont différentes. Un mail vous parlant de guitare devrait naturellement éveiller votre suspicion, étant donné que vous ne recevez que des e-mails professionels (en théorie).

Le spear phishing en entreprise consiste donc à infecter un ou des employés en leur envoyant un contenu qui semble être professionel et cohérent. Le but de la manoeuvre, lors d'une attaque de type APT, est d'entrer dans l'entreprise. Peu importe l'employé infecté, à partir du moment où son poste sera compromis l'attaquant disposera de la capacité de rebondir de là pour compromettre d'autres machines.

RECOMMANDATIONS POUR LES EMPLOYES

En tant qu'employé, il est fortement recommandé de:

* Ne pas croire que la protection de l'entreprise (après tout, il y a deux anti-virus, des filtres pour les navigations Internet, des firewalls, des antispams etc.) va tout faire à la place de l'utilisateur, et qu'un virus ne peut pas arriver par mail. Les attaquants, même d'un faible niveau technique, sont tout à fait capables de contourner tout cela.

* Ne pas ouvrir de mail qui proviennent de personnes inconnues. Si le doute persiste et que le mail est déjà ouvert, veiller à ne pas ouvrir les pièces jointes contenues dans ce mails et ne pas cliquer sur un éventuel lien contenu dans ce mail.

* Ne surtout jamais répondre à aucun mail de ce genre (cela pourrait donner des informations sur le système d'information à l'attaquant, telles que l'antispam utilisé, l'anti-virus, la version du serveur de mail, etc.)

* Se maintenir sur le qui-vive. Un attaquant peut très bien faire croire qu'un e-mail provient d'un collègue de travail. En cas de doute, il convient de confirmer la légitimité de ce mail avec l'émetteur (par téléphone ou rencontre, pas par mail) avant d'ouvrir la ou les pièces jointes.

QUELS SONT LES MOYENS POUR LE SALARIE DE DETECTER UN E-MAIL DE SPEAR PHISHING ?

Même s'il semble venir d'une personne connue du destinataire, voici des éléments qui devraient inciter à la suspicion:

- L' utilisation de phrases/tournures inhabituelles de la part de l'émetteur.
- L'absence de signature de mail, alors que l'émetteur en ajoute toujours une.
- Le sujet de l'e-mail. Est-ce crédible de mailer quelqu'un pour le motif invoqué ?
- Le ressenti par rapport au contenu. Ce mail a-t-il été envoyé dans le seul but d'ouvrir une pièce jointe ou de cliquer sur un lien ?

Vous l'aurez compris, plus les attaquants en savent sur vous et vos collègues, plus ils auront de chances de créer un e-mail crédible et vous le faire ouvrir. Parmi les techniques "habituelles" utilisées par les attaquants lors d'APT, on peut citer les e-mails contenant des noms de projets en cours, des propositions de réunion, des demandes de consultation de documents, des informations sur des concurrents, des opportunités à saisir, etc.

En matière d'APT, le Spear Phishing constitue la méthode la plus utilisée actuellement par les attaquants pour compromettre certains postes de travail d'entreprises et pouvoir compromettre tout le réseau, avant de dérober de l'information sensible. Le spear phishing est utilisé dans 91% des APT (étude Trend Micro)

L'attaque par spear phishing est efficace, et facile à mettre en oeuvre. Pour les RSSI, il convient donc de sensibiliser régulièrement les employés sur ce risque, quitte à procéder de temps en temps à des simulations réelles.

Un employé sensibilisé est un maillon de moins pouvant constituer une infection initiale lors d'une APT. Cependant, plusieurs groupes de personnes extérieures à l'entreprise, qui n'ont aucune notion de sécurité informatique, viennent semer le doute dans l'esprit de ces employés sensibilisés: les marketeux, les commerciaux, les chasseurs de tête, les meneurs d'études, les statisticiens, etc.

Ces gens n'ont aucun scrupule à envoyer des spam par milliers, à destination de personnes qui ne leur ont rien demandé. Leurs e-mails n'usurpent pas l'identité d'autres employés, mais ils contiennent de quoi semer le doute dans l'esprit d'un utilisateur averti.

J'en prends pour exemple un e-mail, reçu par votre serviteur cette semaine sur son adresse e-mail professionnelle (j'en ai anonymisé certaines parties avec des x):

De : Rachel xxxxx survey@areyounet.com
Envoyé : mercredi 2 octobre 2013 10:43
À : Pernet, Cedric
Objet : Enquête sur l'équipement mobile des ingénieurs et techniciens sur le terrain





Bonjour,




Je mène actuellement une grande enquête au niveau national sur l'équipement mobile des ingénieurs et techniciens sur le terrain.
Pour mener à bien cette opération, je travaille en partenariat avec xxxxx, acteur majeur sur le marché français.




Répondre au questionnaire vous prendra moins de 4 minutes.




Grâce à vos réponses nous pourrons faire un état des lieux de l'équipement mobile des entreprises et avoir une tendance des besoins et des investissements à venir.




Accéder au questionnaire




Je vous remercie par avance du temps que vous y consacrerez.




Bien cordialement,




Rachel xxxxxx

Etudes & Statistiques




Si vous souhaitez ne plus répondre à nos enquêtes, rendez-vous ici












Je dois bien avouer qu'à la lecture de cet e-mail, je me suis demandé si j'étais ciblé par une attaque. Le contexte semble idéal et propice: une personne inconnue, un contenu sans fautes d'orthographes, bien rédigé, qui me demande juste de cliquer sur un lien externe, pour aller en plus lui fournir des informations sur moi ou mon entreprise. Le seul hic, c'est que le contenu est générique et a dû être envoyé à de nombreuses personnes, ce qui ne cadre pas avec un spear phishing traditionnel.




J'ai néanmoins pris quelques minutes pour investiguer et vérifier la légitimité de cette campagne honteuse : "areyounet.com" est bien une entreprise déclarée au Registre du Commerce et des Sociétés, "spécialiste dans les solutions d'enquêtes en ligne et sur mobiles".




Les informations demandées dans leur questionnaire en ligne peuvent être utiles à un attaquant:




- Nombre de salariés de mon entreprise

- Secteur d'activité

- Quelle est ma fonction exacte au sein de l'entreprise ?

- Combien d'ingénieurs/techniciens sur le terrain ?

- etc.






Bref, ce qui m'énerve ici, outre le fait de recevoir ce genre de spam détestable sur ma boite mail professionnelle (il contient du tracking en plus) , est de me dire que cela sème la confusion dans l'esprit des utilisateurs et entretient l'idée qu'il est normal de recevoir des e-mails extérieurs et d'y répondre.




Comment voulez-vous, après cela, réussir à prévenir le spear phishing en entreprise ?

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
mardi 24 septembre 2013

											
Sensibilisation: Toujours plus de boulot


											
Par Cedric Pernet											le mardi 24 septembre 2013, 06:57																						- General
																						


																																	
											
											
																							
La sensibilisation est probablement l'activité qui nécessite le plus d'énergie en matière de sécurité informatique. Pour comprendre le risque, il faut déjà avoir un minimum de connaissance informatique.




Au fur et à mesure des dernières années, l'utilisateur lambda a été plus ou moins sensibilisé à:



    

  • Disposer d'un anti-virus à jour
    • 



Cette recommandation a été tellement rabachée à l'utilisateur qu'il croit aveuglément que son anti-virus le protègera de toute menace, ce qui est totalement faux. La sensibilisation, c'est aussi de lui dire que son anti-virus aura toujours du retard par rapport aux nouveaux malware, et qu'il ne fera que détecter des menaces connues. Lui rappeller que plus de 100 000 souches de malware sont publiées chaque jour n'est pas forcément un bon argument d'ailleurs, ça lui fera plus peur qu'autre chose.



    

  • Disposer d'un firewall
    • 



... Mais ne t'en fais pas, ton Windows dispose d'un firewall, et gère tout, tu n'as pas à comprendre ce que c'est. Encore un fail...



    

  • Mettre à jour toutes ses applications
    • 



... Mais quand une pop up sort de nulle part pour dire: "vaz y,install-moi, je une nouvlle mis a jour d'Adobe Reader", que fait l'utilisateur ? *click*



    

  • Ne pas ouvrir des mails venant d'inconnus
    • 



Cette recommandation, pourtant bonne à la base, doit être accompagnée d'une sensibilisation sur les malware et leur mode de fonctionnement. "Je ne comprend pas, quand j'ai ouvert le PDF qui avait l'air super, l'ordi a montré un PDF, ça ne peut pas être un virus !" ...



    

  • Ne pas ouvrir de pièces jointes "louches" venant de personnes connues
    • 



La sensibilisation au spear phishing ne peut être qu'un échec avec les particuliers. Même en entreprise, c'est compliqué.



    

  • Ne pas naviguer sur des sites pornographiques
    • 



Cette recommandation est inutile, parce que les cybercriminels infectent maintenant des sites légitimes, afin de propager des malware et infecter nos pauvres utilisateurs.



    

  • Ne pas effectuer d'achat en ligne sur un site "louche"
    • 



En gros, tu n'achèteras plus que chez Darty ou... La Redoute.



    

  • Se méfier comme de la peste de tous les méchants qui sévissent sur "Le Bon Coin".
    • 



Cette recommandation que j'ai déjà entendue fait sourire. Comment un utilisateur ferait-il la différence entre un escroc et une personne honnête sur ce site ? Un des résultats de cette recommandation est que certains utilisateurs n'effectueront aucun achat sur le site.



    

  • Ne pas connecter une clef USB que tu ne connais pas à ton ordinateur
    • 



... Mais comment réagir, lorsque par courrier POSTAL on reçoit ça :




Redoute.jpg




Alors là, je dis merci, merci La Redoute, mille fois merci, tu es le premier maillon d'une chaine qui sèmera encore plus de confusion chez les utilisateurs, et qui permettra à certains cybercriminels de profiter de la crédulité des utilisateurs.




Habituer l'utilisateur à connecter un dispositif USB d'une source inconnue est tout sauf une bonne chose. Qu'est-ce-qui lui garantit que le courrier vient bien de "La Redoute" ? Le joli papier coloré estampillé du logo de la société ? Le fait qu'il y ait écrit "La Redoute" partout ?




Leur courrier ne contient même pas de référence client, c'est un courrier envoyé en masse à tous leurs abonnés...




La prochaine étape, vous l'avez compris, consistera pour certains cybercriminels à envoyer de faux courriers de toutes les sociétés crédibles de démarchage à domicile, dans le but de leur faire ouvrir un certain fichier... Qui sera bien sûr un malware.




Vous me direz que c'est fournir bien des efforts pour infecter quelqu'un avec un malware bancaire, par exemple, et que les fraudeurs ont d'autres méthodes beaucoup plus faciles. Evidemment. Quid d'attaques ciblées, par contre ?




Cette chère Madame Dupont, qui travaille dans une société sensible sur des technologies de pointe, ne devinera jamais que son ordinateur personnel s'est fait poutrer parce que sa femme voulait voir ce que "La Redoute" lui envoyait...Et que son compte mail a été compromis pour spear phisher ses collègues, puis compromettre tout le système d'information de la société... Mais ça, bien sûr, ça n'arrive jamais ;-)




EDIT:
En fait, le dispositif USB fourni par La Redoute n'est pas un support de stockage USB: c'est une webkey USB HID qui, une fois insérée, simule un clavier, lance le navigateur en faisant un "touche Windows+R", tape l'URL de destination et s'y connecte.




L'URL en question est http://secure-ctw.com/dp




Cette URL mène à une page légitime de La Redoute.




En résumé, La Redoute envoie par La Poste à tous ses clients un dispositif ayant un comportement hautement intrusif et potentiellement dangereux. Pour les petits curieux, si on change le "/dp" de la fin de ce lien, on peut voir d'autres clients de secure-ctw...




Enfin, le dispositif USB ne mène même pas directement vers La Redoute, mais vers un tiers... Imaginez ce qui se passerait si ce tiers était compromis et propageait du malware.

											
											
																							

																																		2 commentaires
																																		aucun rétrolien																																		

																						


																																


											
mercredi 11 septembre 2013

											
Malicious activity detection: AV killing


											
Par Cedric Pernet											le mercredi 11 septembre 2013, 07:13																						- Malware
																						


																																	
											
											
																							
Two months ago, I released a YARA rule and an IOC rule to detect some generic folder dumps files. It has been proven useful in the real world, showing that it is possible to detect some attacks on a host with very easy rules.




Today I had another detection idea, as basic as the previous one. It is based on my experience in malware analysis and incident response, so I hope it will be helpful to other incident responders, especially when they work on APT attacks.




As you might know, some malware, in addition to every malicious activity they can provide, do deactivate the anti-virus running on the system. Usually, these malware are easily noticeable because (once depacked) they show strings which are known anti-virus processes names.




Some examples are:


    

  • drweb32.exe
    • 

  • avscan.exe
    • 

  • etc...
    • 




These malware do usually know between 10 and 40 processes names that they absolutely want to kill.




Therefore, the idea is to try to detect any binary which contains these processes names.




I looked a bit around and found that Jerome Athias had released a "killav.rb" script in Metasploit. He provides us with 579 different processes names, all related to security tools and anti-virus products.




I asked Jerome and he kindly allowed me to use that list to build the YARA rule I was thinking of (with a bit of Python, it would have taken too long by hand of course).




The rule is built so that it will be triggered if 4 or more strings are found.




Please feel free to tweet me (@cedricpernet) or e-mail me any missing process name (there must be plenty) and I will update the rule accordingly. Also, if it triggers false positives, do not hesitate to reach me.




The YARA rule is here.

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
jeudi 29 août 2013

											
More on the G20 Summit Espionage Operation


											
Par Cedric Pernet											le jeudi 29 août 2013, 09:44																						- APT
																						


																																	
											
											
																							
On a recent blog post, Claudio Guarnieri analyzes an APT attack campaign launched by the "Calc Group".




This group of attackers used the soon-coming "G20 Summit" to spear phish their targets. which are mostly financial institutions and governments. The attack in itself is really not sophisticated, it is just made of an archive file (.ZIP) containing a malicious executable file (.EXE).




The names of the zip files are:



    

  • G20 Briefing Papers.zip
    • 

  • G20 Summit Paper.zip
    • 





These archives contains the following files:



    

  • G20 Discussion Paper.exe
    • 

  • GPFI Work Plan 2013.exe
    • 

  • G20 Summit Improving global confidence and support the globa.EXE
    • 

  • Improving global confidence and support.pdf.exe
    • 

  • The list of NGOs representatives accredited at the Press Center of The G20 Leaders' Summit 2013.pdf.exe
    • 





One might be surprised that people really do open such zip files and click on these executables, but believe me, some people still do. Once again, it shows us that it is not necessary to deploy brilliant strategies to infect people with targeted malware.




Claudio makes a great analyse of these attacks in his blog post, so I won't write about it and let you read it instead. Now what I wanted to know was what happened next. I was especially interested in the second attack, because it had been submitted to Virus Total (VT) from France.




To summarize Claudio's analysis, the attack scheme goes like this :



    

  • The victim gets the zip file, opens it, and executes the malicious executable.
    • 

  • The executable shows a decoy document (PDF) about the G20 or such.
    • 

  • The executable starts keylogging and downloads more malware.
    • 





This last point is very important to me: what malware is downloaded, and why? (the "why" can be expected though...)




To quote Claudio, "these samples are just an initial stage of a larger suite of malware, possibly including Aumlib and Ixeshe, which it will try to download from a fixed list of URLs embedded in the binary".




Luckily enough, the second stage malware was still available and I could download it for analysis. It turns out that it is not an "AumLib" or an "Ixeshe", but a variant of a less known malware, called "Bisonha" by the malware researcher's community.




To bypass anti-virus and IDS/IPS products, it is downloaded "upside down" (the first byte becomes the last byte, etc.) and written locally as a regular executable once it is downloaded successfully, then executed.




The file shows a "Java" icon, to try to look more "legitimate" to users. At the time of writing, the sample I downloaded had not been submitted to Virus Total, so I did. The detection rate for this sample is 12/46.




This malware has no persistence mechanism (the first stage downloader makes it persistent), and once executed starts communicating with an IP address 23.19.122.196 on port 443:




GET
/300100000000F0FD1F003746374637433731333433363334333600484F4D45000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000070155736572000000000000000000000000000000000000000000000000000000000000000000006444000000000000000000000000000000000000000000 HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: 23.19.122.196
Connection: Keep-Alive
Cache-Control: no-cache






As you can see, the network traffic is on port 443 (HTTPS) but it is definitely no HTTPS traffic, rather hex-encoded data:



0000000: 0000 0000 f0fd 1f00 3746 3746 3743 3731  ........7F7F7C71
0000010: 3334 3336 3334 3336 0048 4f4d 4500 0000  34363436.HOME...
0000020: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000030: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000040: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000050: 0000 0000 0000 0000 0007 0155 7365 7200  ...........User.
0000060: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000070: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000080: 0064 4400 0000 0000 0000 0000 0000 0000  .dD.............
0000090: 0000 0000 0000 0000                      ........





My reverse engineering rockstar friend Fabien Perigaud had a closer look at the malware and provided me with more information:




Offset: 0x4: RAM size in kilobytes

Offset: 0x8: Hard-drive ID, xored with the machine name then hex-encoded

Offset: 0x19: Machine name

Offset: 0x59: Operating system version (in malware author's writing)

Offset: 0x60: Number of processors

Offset: 0x61: User name

Offset: 0x81: A unique identifier (probably used as a campaign identifier?) - Here it is "dD" but other two characters identifiers have been witnessed in the wild.




The commands which can be sent to the malware are sent in answer:



3004: File writing
3005: File reading
3006: Writing and execution of a file

3115 : provide a shell

3222 : write a new ID in %APPDATA%\recycle.ini 
3223 : auto deletion of the malware
3224 : update





This quick analysis shows us that no matter how deep your knowledge is about an attacker, you're never safe from seeing him change his methods completely. That is why APT attacks attribution is such a hard task.




Thanks to Fabien, Jesse, Brian and Ned for the help while writing this small post ;-)




EDIT: (2013/09/04)
Satnam Narang from Symantec just posted interesting material about the same APT campaign. You can read it here. In few words, Poison Ivy RAT is also in the game ;)

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
vendredi  5 juillet 2013

											
All your folders belong to us / with a little help from my friends


											
Par Cedric Pernet											le vendredi  5 juillet 2013, 07:47																						- APT
																						


																																	
											
											
																							
It has been a long time since I last wrote in english on this blog. The main reason is that I think there are not enough french ressources on Internet regarding APT, malware, incident response, and cybercrime, which are my favorite topics, as you might already know.




I therefore decided to publish in english language only when I thought the post was worth being shared widely.




But let's get right to the point of this post. Working on quite a number of APT cases recently, I noticed that the attackers often dump huge folders to a text file.




From the attacker point of view, it is just executing the "dir /s" command in a cmd shell, which lists folders recursively. The attacker usually redirects the output of the command to a file, doing it this way:




dir /s > 1.txt




The file is stored temporarily until the attacker decides to collect it, and deleted afterwards. The attacker may also not care (or forget) about it and leave it on the file system.




Forensically speaking, the deletion of this file is not a problem, as long as it is not rewritten, it can always be found.




From a detection point of view, it is very interesting to try to find these "folder dumps" on systems, as a possible indicator of compromise.




One has to be careful (as usual in incident response) to check that no legitimate user has generated this dump.




Now, one problem is left to detect these files: the operating system language. If you do incident response only in one country, no problem: usually you only need to check for dump files in your language, and in english (some users, no matter in which country they live, do always use english).
Now if you do international incident response, you need to detect more languages.




I created a YARA rule and an IOC rule to detect these dump files in english, french, and german (Hello and thanks to my friend Axel who provided me with german dumps).




These rules should work on english,french,german Windows2000,ME,NT,Server,XP,7,8 systems. I did not check dumps for older systems.





YARA rule:

---

rule folder_dumpfile

meta:

author="Cedric PERNET"

date="2013/07"

comment="a YARA rule to detect dump files created by APT attackers"



strings:

$eng1="Volume in drive" wide ascii nocase

$eng2="Volume serial number" wide ascii nocase

$eng3="Directory of" wide ascii nocase

$eng4="<DIR>" wide ascii nocase

$eng5="File" wide ascii nocase


$fr1="Le volume dans le lecteur" wide ascii nocase

$fr2="du volume est" wide ascii nocase

$fr3="pertoire de" wide ascii nocase

$fr4="<REP>" wide ascii nocase

$fr5="fichier" wide ascii nocase


$de1="Volumeseriennummer" wide ascii nocase

$de2="<DIR>" wide ascii nocase

$de3="verzeichnis von" wide ascii nocase

$de4="Datei" wide ascii nocase


condition:

(all of ($eng*)) or (all of ($fr*)) or (all of ($de*))

---




And here is a link to my IOC file.




And with a little help from my friends, I might be able to update these files with other languages. Please feel free to send me "dir /s" dumps in other languages, I'd gladly integrate it into these detection rules.


											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
jeudi 25 avril 2013

											
APT1, quoi de neuf ?


											
Par Cedric Pernet											le jeudi 25 avril 2013, 21:25																						- APT
																						


																																	
											
											
																							
Un peu plus de 2 mois ont passé depuis la publication du rapport de Mandiant sur APT1, il est donc temps de faire un petit point sur la question qui hante beaucoup d'esprits : les attaquants APT1 ont-ils changé leurs méthodes suite au rapport Mandiant ?




Le site CyberSquared.com nous apporte un bon début de réponse sous la forme d'un billet sur leur site. CyberSquared indique se baser sur une seule source, mais leurs propos sont néanmoins très intéressants.




Je précise à nouveau que mon but ici n'est pas d'analyser ces informations mais simplement de vous fournir une petite synthèse en français, ce qui manque cruellement dans la blogosphère française :-/




Autant répondre à la question introductive de ce billet tout de suite : APT1, également appellé "Comment Crew", a finalement changé très peu de choses dans ses opérations de maintien sur des systèmes compromis. Les domaines utilisés comme serveurs de c&c sont toujours les même, la technique n'a pas changé, et les malware ont peu évolué. A peine un changement de clef de chiffrement par ci par là, mais cela fait partie de la vie habituelle d'une famille de malware.




Voici ce qui m'a semblé plus intéressant dans ce billet :



    

  • Cybersquared a découvert un serveur HFS qui servait à APT1 pour stocker du matériel d'attaque. En l'occurence, un fichier zip contenant un malware connu, cité dans le rapport de Mandiant, légèrement modifié, présentant un icône de document PDF, droppant un fichier PDF de diversion. Ce document de diversion est une invitation pour une conférence MODSIM 2013, une conférence plutôt intéressante pour des secteurs d'activité tels que l'industrie aérospatiale, la défense, etc.
    • 




La technique n'est pas nouvelle et habituelle pour ce groupe d'attaquants: infecter un poste en faisant croire à la victime qu'elle ouvre un document PDF. En fait, le binaire est exécuté, infecte la machine, et affiche un PDF réel.



    

  • Un autre PDF se trouvait dans l'archive, PDF légitime dérobé lors d'une attaque APT. Il est intéressant de constater, et ce n'est pas la première fois selon Cybersquared, que les attaquants utilisent des documents réels dérobés auprès de certaines cibles, pour se donner une apparence légitime dans d'autres attaques.
    • 




    

  • Une analyse sommaire de ce malware a été effectuée, je vous laisse la lire directement à la source.
    • 





Il me semble important de souligner qu'il existe des serveurs HFS dans la nature, qui hébergent du matériel d'attaque. Pourquoi stocker ce contenu en ligne et ne pas le conserver en local ? Probablement pour le partager plus facilement entre membres d'une équipe d'attaquants. Peut-être est-ce simplement la flemme (les geeks sont fainéants dirait le troll...) de créer des serveurs locaux non accessibles par Internet ? Ou alors est-ce parce que différentes personnes ne se trouvant pas au même endroit physique doivent y accéder ? Je penche pour la flemme d'attaquants se situant probablement dans un même batiment et stockant de la donnée accessible sur Internet sans vraiment s'en préoccuper.




Pour ce qui est du serveur de command&control (c&c ou encore c2) utilisé par le malware, downloads.zyns.com, il s'agit à nouveau d'un DNS dynamique permettant aux attaquants de changer d'adresse IP (et donc d'hébergement) facilement sans avoir à modifier leur malware.




La dernière adresse IP utilisée est 108.177.181.66 et pointe vers l'hébergeur Nobistech situé aux Etats-Unis. Cette adresse IP appartient à un range attribué à:




network:Org-Name:31dns
network:Street-Address:QuJiangLu 183 Hao
network:City:JingZhou
network:State:HuBei
network:Postal-Code:434000
network:Country-Code:CN




Hmmm, quelle surprise... ;-)




En creusant un peu plus profondément, on se rend vite compte que Nobistech héberge du contenu légal, mais aussi beaucoup de contenu illicite : téléchargement de jeux vidéos, jailbreak de téléphone, card sharing, pharmacie, et on peut supposer qu'on peut facilement y trouver pire. Certaines plages de Nobistech sont également connues et blacklistées pour des envois massifs de spam.




J'ai pu trouver 4689 domaines qui ont pointé vers cette plage d'adresses IP spécifique (108.177.180.0/22), et la plupart de ces domaines ne présentent pas de noms particuliers,  beaucoup de domaines semblent créés avec des caractères aléatoires et ne présenter aucun contenu, ou un message d'erreur, ou encore une page de parking d'hébergeur.




Tous ces éléments m'encouragent à penser encore une fois que lorsque les attaquants "Comment Crew/APT1" choisissent un tiers pour héberger du contenu, il s'agit toujours d'hébergeurs à la moralité plus ou moins douteuse, voir carrément d'hébergeurs bulletproof.




Décidément, nos attaquants ont tout pour réussir: des outils qui fonctionnent plutôt bien, des utilisateurs ciblés qui ouvrent leurs pièces jointes (on ne peut pas leur en vouloir tellement les spear phishing sont bien faits ceci dit, nous sommes loin des e-mails non crédibles de phishing bancaire), et surtout, des sociétés qui ne veulent pas se donner les moyens d'avoir une sécurité informatique qui puisse lutter plus efficacement contre les APT.




Je vous laisse sur cette réflexion et cet article de DarkReading pour illustrer mon propos :-)

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
lundi  8 avril 2013

											
A l'assaut ! Des chercheurs attaquent APT1.


											
Par Cedric Pernet											le lundi  8 avril 2013, 13:54																						- APT
																						


																																	
											
											
																							
De nombreuses nouvelles informations sur le groupe d'attaquants APT1 ont suivi la publication de Mandiant que j'évoquais précédemment dans ce billet.




L'un des plus intéressants à ce jour, d'un point de vue forensic, était celui-ci. Il remettait en cause beaucoup de faits énoncés par Mandiant, de façon plutôt bien rédigée.




Un nouveau white paper vient de retenir mon attention, publié par malware.lu et itrust consulting. Ces derniers se sont lancés dans l'étude des attaques APT1 avec une approche plus surprenante qui consiste à... attaquer les attaquants.




Je ne chercherais pas ici à discuter des aspects légaux et éthiques d'une telle action. Par contre, il est extrêmement intéressant de lire ce papier pour voir un peu ce qui se cache "de l'autre côté". Il semble important cependant de souligner que les chercheurs n'ont jamais attaqué de serveur compromis (sous-entendu : un serveur appartenant à un tiers, compromis par APT1) et ont communiqué avec les CSIRT/CERT associés aux cibles des attaquants.




Passons un peu au crible (et en français, c'est le but de cette série de posts sur APT1 après tout...) ce document, point par point.




Phase de collecte d'information:




Les chercheurs se sont basés en partie sur les recherches de MANDIANT. Ils ont vu que le célèbre outil d'administration distant POISON IVY était utilisé et ont décidé d'écrire un scanner de serveurs Poison Ivy.




D'un point de vue technique, rien de bien compliqué : 100 envois de 0x00 vers un port spécifique et une adresse IP permettent de savoir qu'on a affaire à un serveur Poison Ivy s'il répond par 100 octets suivis de 0x000015D0.




Ces scans ont été lancés sur une plage d'adresse IP assez large à Hong Kong pour finalement restreindre leurs recherches à 6 plages particulières hébergeant des serveurs Poison Ivy.




Il nous est signalé au passage que la recherche n'était pas si simple : les attaquants stoppent leurs serveurs c&c lorsqu'ils ne s'en servent pas. Un graphe nous présente les horaires d'"ouverture" des c&c : principalement de 2 à 10h UTC+1. (Europe occidentale)




Sachant qu'entre Paris et Beijing le décalage horaire est de 7h en hiver, 6h en été, on est à peu près sur des horaires de bureau en Chine.




L'attaque.




Un descriptif de Poison Ivy nous est fait ensuite dans le document, pour rapidement arriver sur un aspect plus intéressant, une vulnérabilité d'exécution de code distant sur les serveurs c&c Poison Ivy. Se basant sur un exploit existant d' Andrzej Dereszowski (présent dans Metasploit), les chercheurs ont développé leur propre exploit, fourni dans le document.




Les portes des c&c Poison Ivy se sont alors ouvertes :-)




Une fois connecté au serveur, il fut constaté que le serveur n'avait pas d'adresse IP publique. Cela signifie que le demon Poison Ivy est caché derrière un  proxy, utilisant du port forwarding pour masquer la véritable adresse IP du serveur de c&c. Autre constatation, la machine était sous VMware, permettant ainsi de masquer l'adresse IP du controleur.




Le schéma fourni dans le document est le suivant:




struct.png





Après quelques jours, APT1 a détecté cette compromission, principalement parce qu'une machine accédait au c&c sans passer par le proxy. Les chercheurs ont alors dû changer leur méthode et sont passés par le proxy, en créant leur propre shellcode.




Ils ont ensuite installé un keylogger sur le serveur Poison Ivy, pour logger les identifiants et mots de passe d'accès RDP au proxy.




Une fois sur le proxy, un dump des Event logs Windows a permis de découvrir 384 adresses IP uniques.




L'analyse des données




Une collecte massive de données a été effectuée : fichiers, logs, outputs netstat, etc.etc. puis divisée en 2 catégories : les infos sur les outils des attaquants, et les infos sur les cibles des attaquants.




Une liste des outils des attaquants est fournie, avec un bref descriptif. Je passe sur cette partie, à noter quand même l'analyse d'un RAT "homemade" nommé TERMINATOR/Fakem RAT) découvert sur un serveur proxy.




Ce qui nous intéresse surtout dans ce document, ce sont les informations sur les cibles.



    

  • Les attaquants semblent utiliser un couple serveur proxy/serveur c&c pour chaque cible. Lorsqu'une cible découvre l'adresse IP d'un proxy, cette adresse est réassignée à une autre cible.
    • 




    

  • Les secteurs d'activité des cibles: sociétés privées, publiques, institutions politiques, activistes, associations et journalistes.
    • 




    

  • Sur le serveur Poison Ivy, un répertoire est créé au format: <NOM DE LA CIBLE>\<NOM D'UTILISATEUR>. (exemple: E:\SOCIETEBLABLA\borislezombie)
    • 





Sans surprise, les documents trouvés dans ces répertoires sont aux formats PPT, XLS, DOC, PDF, JPG.




Parmi ces documents ont été découverts des diagrammes de réseaux, des couples login/pass, des cartes d'accès physiques, des listings d'incidents de sécurité, de politiques de sécurité, etc.




Les documents sensibles sont protégés par mots de passe selon un format prédéfini et assez facile à brute forcer.




Ce post n'a pas pour vocation de vous éviter de lire l'excellent paper de malware.lu et itrust consulting, en particulier de Paul Rascagnères.




Je remercie donc chaleureusement Paul pour cette étude qui nous en révèle un peu plus sur nos attaquants favoris... ;-)

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
vendredi 29 mars 2013

											
Computer Forensics Feeds


											
Par Cedric Pernet											le vendredi 29 mars 2013, 14:06																						- General
																						


											
											
											
																							
Rather than spending time adding links on the right side of this blog, I thought I might just provide you with a part of my RSS feeds.




For those who know me, you know that part of my personal technological watch is done via Twitter. I twit a lot, and use Twitter as my first source of information when it comes to staying up-to-date with cybercrime/DFIR/malware etc.




Yet I still run a RSS reader somewhere in one of my virtual machines, and sometimes fall on nice articles before they're twitted.




So here is my RSS feed for "computer forensics". Feel free to include it in your own RSS reader. There might be some old dead links though.




feedreader.opml

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
mardi 12 mars 2013

											
"That, detective, is the right question"


											
Par Cedric Pernet											le mardi 12 mars 2013, 10:14																						- APT
																						


											
											
											
																							
Sous ce titre-citation d' iRobot, qui me semble approprié, j'ai décidé de faire un petit post blog rapide pour vous signaler la sortie d'un petit papier intitulé "The Mandiant with a plan – high-profile threat report, new products" publié par 451Research.




Ce post fait suite à mon post précédent qui faisait une synthèse rapide de la publication de Mandiant sur le groupe d'attaquants "APT1".




De nombreuses discussions ont eu lieu dans la communauté de réponse à incidents ces dernières semaines suite à cette publication, et de nombreux tweets ont vu le jour. Des tweets ont glorifié Mandiant pour ce paper, d'autres les ont critiqués, voire insultés, mais une chose est sûre, Mandiant n'a laissé personne indifférent.




Mes plus grandes interrogations n'ont pas porté sur les faits révélés, mais plutôt sur la conséquence de ces révélations. Pourquoi abattre toutes ses cartes et montrer à son ennemi ce que l'on détient sur lui ?




Mandiant a indiqué ses motifs dans sa publication, je me suis permis de mettre en gras les parties qui me semblent importantes :




"It is time to acknowledge the threat is originating in China, and we wanted to do our part to arm and prepare security professionals to combat that threat effectively. The issue of attribution has always been a missing link in publicly understanding the landscape of APT cyber espionage. Without establishing a solid connection to China, there will always be room for observers to dismiss APT actions as uncoordinated, solely criminal in nature, or peripheral to larger national security and global economic concerns. We hope that this report will lead to increased understanding and coordinated action in countering APT network breaches."




En gros, il était temps de montrer la Chine du doigt, pour ne plus laisser place aux doutes. Mandiant a voulu aider la communauté dans la lutte anti-APT.




Mandiant a également indiqué s'attendre à des représailles, critiques, et changement de tactique des attaquants.




Je crois que c'est ce que nous avons tous pensé, nous les "incident responders", en lisant le document : les attaquants vont changer leurs techniques, leurs outils, leurs malwares,  leurs enregistrements de domaines, etc.etc.




Mandiant s'est ainsi attiré la haine de chercheurs travaillant sur le sujet, qui pestent en attendant de voir (ou pas) les techniques des attaquants changer. Tout au moins ces attaquants-là, APT1.




Reste que la volonté d'aider la communauté est louable, même si ça embête tout le monde. On peut cependant se demander où se place cette noble volonté, lorsque quelques jours après la publication du rapport, Mandiant lance deux nouveaux services : Mandiant for Security Operations (un genre de SOC à base d'IOCs), et Mandiant Intelligence Center.




Cet intelligence Center, d'un coût variable (entre 120 000 et 280 000 Euros à l'année), permettrait aux clients y souscrivant de pouvoir disposer de toute la base de connaissance de Mandiant : IOCs, souches de malwares, listes de domaines frauduleux, profils des attaquants ... En gros, exactement ce qui a été fourni dans le  rapport "APT1" et son annexe.




Je ne me hasarderais à aucun commentaire sur ces méthodes, et conclurais mon propos en citant un petit extrait du rapport de 451Research :




"Publishing the report sent a message that Mandiant was confident enough not to care about revealing its hand to the Chinese, even if it meant losing all the current IOCs, but it also sent a message to the intelligence community at large.




We're not going to see boxes of tissues being passed around; the security intelligence community is a tough one. But Mandiant will probably have to make its intentions clearer: whether its priorities are to collaborate with its peers (and occasionally take one for the team), or to promote itself at their expense."

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
mardi 19 février 2013

											
APT - Toujours plus


											
Par Cedric Pernet											le mardi 19 février 2013, 08:30																						- APT
																						


											
											
											
																							
Il n'aura pas fallu longtemps pour que le hasard apporte une réponse à mes interrogations récentes sur les attaques APT.




En effet, la société Mandiant vient de publier un rapport très intéressant sur l'un des plus grands groupe d'attaquants chinois responsables de nombreuses attaques depuis 2006, qu'ils appellent "APT1".




Je ne vous ferais pas de résumé de ce rapport, par contre je tenais à souligner certains éléments mis en lumière par Mandiant :




1. Les commanditaires.



    

  • Le gouvernement chinois est au courant des attaques menées ("The details we have analyzed during hundreds of investigations convince us that the groups conducting these activities are based primarily in China and that the Chinese Government is aware of them.") et le gouvernement chinois est probablement un commanditaire. ("Our analysis has led us to conclude that APT1 is likely government-sponsored and one of the most persistent of China’s cyber threat actors. We believe that APT1 is able to wage such a long-running and extensive cyber espionage campaign in large part because it receives direct government support.")
    • 





2. Les cibles.



    

  • Mandiant estime avoir constaté 141 attaques réussies sur les 7 dernières années menées par le groupe APT1, et cela ne représente qu'une partie des attaques menées par le groupe. Ces 141 cibles (entreprises) différentes sont réparties sur 20 secteurs d'activités majeurs.
    • 




    

  • APT1 maintient ses attaques sur chaque cible en moyenne 356 jours. La plus longue persistence constatée était de 1764 jours, soit 4 ans et 10 mois.
    • 




    

  • Le plus gros vol de données impactant une cible unique: 6,5 Terabytes de données compressées, sur une période de 10 mois.
    • 




    

  • 87% des cibles sont localisées dans des pays utilisant la langue anglaise de façon native.
    • 




    

  • Les cibles font parties de 4 des 7 industries émergentes stratégiques listées dans le "12th Five Year Plan" de la Chine.
    • 





Voici une carte des cibles des attaques d'APT1, établie par Mandiant:




map.png




Les secteurs industriels impactés sont les suivants :




sectors.png



    

  • Une entreprise "grossiste" (a company involved in the wholesale industry) a constaté, après avoir été attaquée, que dans les 2 ans et demi qui ont suivi le gouvernement chinois qui était client a fait baisser les prix de 2 décimales auprès de lui, coincidence plutôt amusante... ("China had successfully negotiated a double-digit decrease in price per unit with the victim organization for one of its major commodities.")
    • 










3. La structure physique APT1 et Unit61398.



    

  • "APT1 is believed to be the 2nd Bureau of the People’s Liberation Army (PLA) General Staff Department's (GSD) 3rd Department, which is most commonly known by its Military Unit Cover Designator (MUCD) as Unit 61398".
    • 




    

  • Unit 61398, constitué de plusieurs centaines de personnes, travaille à partir d'un immeuble de 12 étages en banlieue (Pudong New Area) de Shanghai, construit en 2007, dont voici une photo, et qui pourrait héberger 2000 personnes environ :
    • 









Cependant, cet immeuble ne serait finalement qu'une parmi plusieurs installations physiques utilisées par Unit 61398. Une photo dans le rapport de Mandiant nous montre que l'entrée est gardée par des soldats.




Pour l'anecdote, ils disposent de plusieurs structures annexes à leurs activités, comme... des crèches. ("Unit 61398 also has a full assortment of support units and associated physical infrastructure, much of which is located on a stretch of Datong Road in Gaoqiaozhen, in the Pudong New Area of Shanghai. These support units include a logistics support unit, outpatient clinic, and kindergarten, as well as guesthouses located both in Gaoqiaozhen and in other locations in Shanghai.





    

  • Au nom de la Défense Nationale, China Telecom fournit la fibre optique à la structure. ("China Telecom provided special fiber optic communications infrastructure for the unit in the name of national defense.") Un mémo de China Telecom mentionne cela: "because this is concerning defense construction, and also the 3rd Department 2nd Bureau is a very important communication control department, we agree to provide the requested channels according to the military’s suggested price."
    • 





    

  • Les activités d'APT1 ont été traquées sur 4 réseaux à Shanghai, 2 de ces réseaux étant situés dans le secteur de Unit 61398. ("Mandiant has traced APT1’s activity to four large networks in Shanghai, two of which serve the Pudong New Area where Unit 61398 is based.")
    • 





4. La structure d'attaque.



    

  • APT1 contrôle des milliers de machines dans le monde pour mener à bien ses opérations.
    • 




    

  • Sur les 2 dernières années, APT1 a créé 937 serveurs de command&control (c&c) de malware, utilisant 849 adresses IP différentes, sur 13 pays. La majorité de ces adresses IP sont enregistrées par la Chine (709), suivi des Etats-Unis (109).
    • 




    

  • 97% des connections effectuées par les attaquants, en sessions Remote Desktop, présentaient une langue "chinese simplified"
    • 




    

  • Unit 61398 mène des campagnes de recrutement intense dans différentes universités, cherchant des profils disposant de solides compétences en sécurité informatique, mais aussi en langue anglaise, en mathématiques, politique... ("Unit 61398 aggressively recruits new talent from the Science and Engineering departments of universities such as Harbin Institute of Technology and Zhejiang University School of Computer Science and Technology")
    • 





5. Des méthodes.



    

  • Chaque cible, une fois compromise, est revisités périodiquement pour de nouveaux vols de données sensibles/stratégiques.
    • 




    

  • Des outils customs ont été développés par APT1. Par exemple, GETMAIL et MAPIGET pour le vol d'e-mails. Les outils connus et publics utilisés par les attaquants sont listés dans le document de Mandiant.
    • 




    

  • Voici le cycle d'attaque, décrit par Mandiant ("Mandiant's Attack Lifecycle Model"), qui ressemble beaucoup à ce que j'écrivais récemment.
    • 





attack-scheme.png



    

  • Mandiant nous montre un spear-phishing utilisé par APT1 pour tenter de les infecter. La méthode est simple mais efficace : se faire passer pour un collègue/dirigeant, avec une pièce jointe à ouvrir...
    • 




    

  • APT1, même s'ils utilisent quelques RAT (Remote Administration Tools, ou outils d'administrations à distance) connus et publics, disposent surtout de leurs propres backdoors. 42 familles sont listées par Mandiant. APT1 semble donc dispose de ses propres développeurs de malware/outils, et ce depuis 2004, date de compilation la plus vieille découverte par Mandiant.
    • 





6. Des personnes.




3 profils ont été révélés par Mandiant, mais je ne m'étendrais pas dessus. Si cela vous intéresse, il suffit d'aller lire le document. Par contre, on note au passage un joli screenshot d'une boite gmail d'un attaquant... Mais Mandiant ne semble pas y avoir eu accès, ils justifient ce screenshot en indiquant qu'il s'agit d'un screenshot pris alors que l'attaquant accédait à sa boite mail à partir d'une machine compromise... Mais s'agit-il d'une machine d'une victime qui aurait été compromise et à partir de laquelle l'attaquant aurait consulté sa boite (peu crédible) ou d'une machine de l'attaquant compromise par Mandiant ? ("This is a screen capture of DOTA accessing his Gmail account while using a compromised system on APT1’s attack infrastructure.")




7. Annexes.




Mandiant finit son rapport avec différentes annexes. La première évoque la façon dont Mandiant classifie les groupes d'attaquants, la seconde développe le cycle d'attaque, et les suivantes font références à une archive de Mandiant, qui liste plus de 3000 indicateurs d'attaques, dont des IOC. (Indicators Of Compromise)





8. Thoughts...




Ce rapport de Mandiant est un document qui va faire grand bruit dans toute la communauté de la recherche de malware, de la réponse à incident. et de la cyber intelligence. Les éléments fournis par Mandiant sont crédibles, avérés, et peu de place est laissée à la supposition gratuite comme on aurait pu le craindre.




Les retombées de cette publication vont probablement se faire sentir rapidement, malheureusement, pour tout les "incident responders" dont je fais partie : nul doute que les attaquants vont changer de nombreuses choses rapidement, notamment tous les indicateurs de compromission. Ils vont changer leurs backdoors, leurs malwares, et on peut compter sur eux pour faire cela rapidement.
D'un autre côté, ce document apporte un éclairage sain sur ces attaques qui ne peuvent plus être ignorées, et qui lèvent un certain doute sur le degré d'implication et de connaissance du gouvernement chinois.




UPDATE: Une publication intéressante de ShadowServer a été publiée ici.




UPDATE (27 février 2013): De nouvelles infos fournies à Mandiant ont été publiées ici.

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
jeudi 14 février 2013

											
APT ?


											
Par Cedric Pernet											le jeudi 14 février 2013, 08:04																						- APT
																						


																																	
											
											
																							
"APT" est un acronyme que l'on entend depuis plusieurs années. Le terme a été usé largement par les commerciaux et marketeux de plein de sociétés IT vendeuses de peur, mais a toujours fait rugir les spécialistes du domaine.




"APT" signifie "Advanced Persistent Threat". Personnellement, je préfère parler d'"attaque ciblée" ou, lorsque j'en discute avec des collègues étrangers, de "targeted attack".




On a lu tout et n'importe quoi sur le sujet, ce qui m'a décidé d'en parler un petit peu ici. Cela me permet aussi de sortir mon blog de sa torpeur et des ricanements bêtes de mes collègues qui me reprochent son inactivité et son usage "self-advertise" des derniers posts (ils ont raison, mais ne leur dites pas que je l'ai admis).




Alors l'APT, ou attaque ciblée, c'est quoi ? C'est une attaque ciblée sur une/des entreprises, qui se maintient dans le temps, dans le but de se maintenir sur le système pour y dérober de l'information sensible/stratégique.




Cette attaque se déroule en plusieurs phases, que nous allons énumérer succintement.




1. Définition de la cible et collecte d'informations




Le choix d'une cible semble relativement aisé (bien que cela puisse se complexifier rapidement avec certaines entreprises qui disposent de nombreuses filiales et/ou de sous-traitants), La collecte d'information à ce stade se focalise sur les informations publiques disponibles rapidement sur Internet : employés facilement atteignables par les réseaux sociaux (LinkedIn, Viadeo, mais aussi copainsdavant, Facebook, etc.), adresses IP publiques de l'entreprise et/ou de ses filiales, etc.etc.




Cela ressemble beaucoup à la phase de reconnaissance d'un bon vieux pentest.




2. Définition de la stratégie d'attaque




L'attaquant va se retrouver confronté à une problématique : comment pénétrer le système ? Un ensemble de questions se pose alors.




-> Quelle est la meilleure méthode selon lui pour infecter cette cible ? Les choix habituels possibles:



    

  • Attaque Watering hole ? (histoire de caser un des dernier terme des marketeux de Symantec) En gros cela consiste à infecter des sites Internet susceptibles d'être visités par la cible, afin d'infecter cette cible. Un exemple: admettons que je vise un grand constructeur automobile. En infectant le site d'un sous-traitant fabricant une pièce très spécifique nécessaire à la construction d'un véhicule, on peut imaginer que la page de cette pièce, sur Internet, sera principalement visitée par des professionnels en ayant besoin... Et donc par la cible ou l'un de ses concurrents.
    • 




    

  • Spear-Phishing : l'attaquant va cibler une ou plusieurs adresses e-mail d'employés, en leur envoyant un courrier attractif dont le but est d'être ouvert, afin de compromettre le poste de travail de l'employé. Cela se présentera souvent sous la forme d'un document Adobe PDF ou Microsoft Office permettant d'infecter le poste de travail.
    • 




    

  • Compromission directe du SI: l'attaquant se focalise ici sur la compromission d'un serveur web par exemple, ou d'autres ressources de l'entreprise accessibles depuis Internet. Généralement, il s'agira d'exploiter une vulnérabilité, présente sur un serveur, afin d'espérer pouvoir rebondir ailleurs dans le SI et aller vers l'information intéressante.
    • 




    

  • Attaque physique : Beaucoup plus rare... L'attaquant dispose par exemple d'un accès au parking souterrain de la cible, et va laisser trainer une/plusieurs clefs USB au sol, dans l'espoir qu'un employé la glisse dans son poste de travail... Devinez ce qu'il y a sur la clef ? Un beau petit malware bien sûr... Qui deviendra un point d'entrée dans la société.
    • 





Note: A l'heure actuelle, la compromission d'un SI par tout biais informatique est nettement favorisée par rapport aux techniques "à l'ancienne", à savoir soudoyer des sous-traitants pour avoir un accès physique aux machines (on peut imaginer qu'une femme de ménage puisse accepter facilement une certaine somme d'argent pour "simplement aller brancher une clef USB" sur un ordinateur...)




-> De quel laps de temps dispose-t-il ?




Plus l'attaquant dispose de temps, plus l'attaque sera discrète, tout simplement. Au lieu de noyer plusieurs employés de multiples mails, qui pourraient lever une alerte, un mail est envoyé de temps en temps... Autre exemple, quelques scans de ports par ci par là répartis sur une journée lèveront moins d'alertes que des milliers de scans en quelques heures.




3. L' attaque




Une fois toutes les décisions prises, l'attaquant se lance dans sa campagne d'attaque. Le but est d'obtenir un ou plusieurs accès au SI de l'entreprise. L'idéal consiste à infecter différents réseaux de l'entreprise, et d'y obtenir des droits élevés.




Il suffit parfois de peu pour compromettre tout un SI: un poste de travail avec un utilisateur loggé avec des droits d'administrateur permet souvent de rebondir sur de nombreuses machines et parties différentes du SI.




Bref, le but ici est d'obtenir des droits élevés sur une/des machines/serveurs de l'entreprise, et de pouvoir rebondir partout et ainsi pouvoir obtenir tout document intéressant.




Les attaques reproduisent souvent le même schéma :




- Compromission d'une machine
- Elévation de privilèges : administrateur local, administrateur de domaine
- Compromission des serveurs stratégiques du SI (Active Directory notamment)




4. La persistance




Une fois que l'attaquant "maitrise" bien les différentes parties du SI qui l'intéressent, sa première préoccupation est de s'assurer que son travail ne sera pas vain et qu'il pourra toujours revenir dans le réseau les jours suivants. Il va donc installer des RAT (Remote Administration Tools) ou des portes dérobées afin de toujours disposer d'accès. En général, plusieurs outils différents sont utilisés, augmentant les chances de se maintenir sur le système si l'une des backdoors était découverte.




A noter que l'attaquant peut très bien se créer des utilisateurs sur le réseau, ou utiliser des profils d'administrateurs existants pour rester discret.




5. Le vol de données




L'attaquant, arrivé à ce stade, dispose souvent de tous les droits sur le système d'information de l'entreprise. En tout cas, pour la blague, il dispose toujours de plus de droits que les pauvres "incident responders" qui vont devoir investiguer lorsque l'APT sera découverte.




La technique la plus courante ici pour exfiltrer de la donnée consiste à créer des archives chiffrées (RAR étant le format le plus courant) des données sensibles, puis à les transférer tranquillement à partir de l'un des clients du RAT installé sur la machine. Les attaquants exfiltrent la plupart du temps les données à partir d'une machine qu'ils ont plus ou moins dédié à cette activité.




Bref...




Bien des aspects des APT ne sont pas évoqués ici, ce billet se voulant générique.




Ce qui me chiffonne un peu, finalement, dans "APT", c'est le A. Pourquoi donc ? Tout simplement parce que :



    

  • les attaquants ne sont pas des dieux du code, du shell, ou de quoi que ce soit de vraiment technique.
    • 

  • les outils utilisés par les attaquants sont la plupart du temps très basiques, que ce soit pour la compromission, la persistance ou le vol de données. Il s'agit d'outils génériques connus de toute la communauté de la sécurité informatique et des Administrateurs Systèmes (PwDump ou PsExec pour ne citer qu'eux à titre d'exemple).
    • 

  • les RAT utilisés sont souvent des RAT génériques, tout juste retouchés pour contourner les anti-virus (un exemple : Poison Ivy). Rares sont les RAT spécifiquement développés pour des attaques ciblées (et du coup non disponibles à la vente sur des forums underground).
    • 

  • Les exploits utilisés pour les compromissions initiales sont souvent vieux, mais après tout, les entreprises patchent avec tellement de retard que ce n'est pas grave. Pas besoin de 0day comme le prétendent certains vendeurs de peur.
    • 





Le seul aspect "avancé" de ces attaques que je vois serait plutôt dans la structure même des groupes d'attaques : le fait d'être un groupe formé à attaquer, avec des personnes s'occupant des malware, d'autres personnes s'occupant des compromissions initiales, encore d'autres attaquants ne s'occupant que de la persistance et du rebond sur de nombreuses machines du SI compromis, et probablement de l'exfiltration des données. A cela s'ajoutent des administrateurs des serveurs de command&control et de toutes les structures informatiques nécessaires aux attaquants (enregistrements de noms de domaines dédiés, configuration de serveurs dédiés, etc.).




Joe Stewart, grand expert du domaine, estime que les plus grands groupes d'attaquants sont constitués de plusieurs centaines de personnes...




L'aspect le plus intéressant est celui sur lequel on en sait le moins : l'économie souterraine autour des APT. Quels sont les commanditaires de ces attaques (on le sait dans certains cas, et jamais dans d'autres) ? Comment sont rémunérés les attaquants ? Comment est structuré exactement le groupe d'attaquants lié à telle ou telle attaque ?

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
mardi  8 janvier 2013

											
Bonne année 2013 !


											
Par Cedric Pernet											le mardi  8 janvier 2013, 11:03																						- General
																						


											
											
											
																							
Bonne année 2013, puisse-t-elle vous apporter tout ce que vous souhaitez, et surtout la santé ! :-)




Pour ce qui est de ce blog, je n'ai vraiment plus le temps d'écrire des billets ici, et du coup je me demande s'il ne serait pas plus judicieux de poster quelques très courts billets par ci par là, pour partager des informations que je trouve intéressantes... Et ne pas laisser mourir ce blog. Je n'en sais trop rien ...




Je continue en tout cas à maintenir ma petite veille cybercriminalité/forensics/sécu sur Twitter ...




Meilleurs voeux !




C.

											
											
																							

																																													aucun rétrolien																																		

																						


																																


											
mardi  6 mars 2012

											
MISC 60


											
Par Cedric Pernet											le mardi  6 mars 2012, 14:59																						- Malware
																						


																																	
											
											
																							
Hello,




Encore une minuscule entrée dans le blog, pour signaler que j'ai publié avec mon collègue Jean-Philippe TEISSIER un article dans le numéro 60 de MISC, intitulé : "Injections webs malveillantes".




misc60.jpg

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
mercredi 29 février 2012

											
Petite mise à jour


											
Par Cedric Pernet											le mercredi 29 février 2012, 17:44																						- General
																						


											
											
											
																							
Bon ben voilà, il était temps que je fasse un peu de backup de données, de mises à jour diverses et variées, et je me suis dit que c'était l'occasion de changer à nouveau l'aspect de ce blog.




A part ça, j'ai retiré tous les vieux liens qui 404isaient morbidement dans la liste, tout en restructurant un peu toute cette partie. Je poursuivrais la mise à jour des liens les jours prochains, sans publier de nouveau billet.




Ce blog n'est donc pas mort, plutôt en looooongue hibernation, pour différentes raisons, la principale étant que je n'ai vraiment pas de temps à y consacrer en ce moment. Mon envie de partager de l'info malware/cybercrime/forensics est intacte, j'espère m'y remettre dès que possible.




Cheers ! :-)

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
vendredi 23 décembre 2011

											
MISC 59


											
Par Cedric Pernet											le vendredi 23 décembre 2011, 10:49																						- Malware
																						


																																	
											
											
																							
MISC 59 vient de sortir et le magazine fête sa 10ème année.




misc59.jpg




Vous y trouverez notamment un article de mon cru : "Analyse de malware avec Cuckoo Sandbox".




Bonne lecture, feedback apprécié :-)

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
lundi 12 septembre 2011

											
Un aspect intéressant du typosquatting : fuite d'information par mail


											
Par Cedric Pernet											le lundi 12 septembre 2011, 13:13																						- Cybercrime
																						


																																	
											
											
																							
Le typosquatting de noms de domaines consiste à acheter des noms de domaines proches de noms de domaines existants, souvent d'entreprises.




La plupart du temps, ce dépôt de noms de domaines a pour but de nuire à l'image d'une entreprise en y plaçant un contenu diffamant ou portant atteinte à son image publique.




D'autre fois par contre, le typosquatting est l'oeuvre d'une autre catégorie de cybercriminels poursuivant des buts plus malveillants :




    

  • Diffusion de malware : un exemple célèbre : goggle.com. Je n'ai pas vérifié si c'est toujours le cas mais le site délivrait du malware lors de sa consultation. On imagine aisément que cela a pu impacter des milliers de personnes qui avaient mal tapé "google.com" dans leur barre de navigation. Se faire infecter son ordinateur parce qu'on a mal tapé une adresse, c'est bête quand même :-/
    • 



    

  • Collecte d'information : cet aspect est assez peu documenté, et c'est là qu'intervient à point nommé une étude de Peter Kim et Garrett Gee, nommée "Doppelganger Domains".
    • 




En gros, l'idée est de typosquatter des noms de domaines de certaines entreprises, dans le but de collecter tous les e-mails envoyés par erreur vers leur domaine. Un "Doppelganger Domain" est un nom de domaine frauduleux, écrit de la même façon qu'un nom de domaine légitime, mais sans le "." entre un sous-domaine et le domaine.




Un peu confus ? Un exemple :




1. L'entreprise OnestLesMeilleurs dispose d'un nom de domaine onestlesmeilleurs.com (qui n'existe pas au moment de la rédaction du présent article). Leur site Internet se trouve sur fr.onestlesmeilleurs.com.




2. Un fraudeur enregistre le nom de domaine fronestlesmeilleurs.com : notez qu'il manque le "." entre le nom de domaine et le sous-domaine, faisant ainsi la différence avec le site légitime.




3. Le fraudeur configure un serveur mail permettant de récupérer tous les mails ("catch all") envoyés vers fronestlesmeilleurs.com




4. Le fraudeur attend, et voit des mails arriver : il s'agit de mails de gens ayant oublié de taper le "." dans le nom de domaine, et envoyant tout type d'information. Il peut s'agir de données confidentielles à destination d'un employé de la société ... Ou de mails contenant des références de cartes bancaires, etc.




Le fraudeur peut même se faire passer pour le destinataire et répondre à l'émetteur, sans que ce dernier n'y fasse attention : le vol de données/la fuite d'information se poursuit...




Les chercheurs ayant rédigé l'étude "Doppelganger Domains" ont voulu tester le volume d'information pouvant être collectée par ce biais, et l'impact éventuel sur des entreprises du "Fortune 500".




Le résultat est plutôt édifiant : sur 500 sociétés, 151 sont vulnérables à une telle attaque, soit près de 30%.




Les chercheurs ont enregistré 30 "doppelganger domains" et ont observé ce qui se passait pendant 6 mois. Ils ont ainsi collecté près de 120 000 mails, représentant près de 20 gigabytes de données.




A noter que pendant ces 6 mois, une seule société a mené une action contre le doppelganger domain qui l'impactait. (probablement par une récupération de nom de domaine usurpant la marque...)




Comment protéger son entreprise de ce type d'attaques ?



    

  • Déployer une veille active sur tous les noms de domaines typosquattés susceptibles d'impacter la société.
    • 



    

  • Déposer tous les doppelganger domains et plus généralement tous les domaines estimés "à risque", à titre préventif.
    • 



    

  • Récupérer tous les noms de domaines typosquattés déjà enregistrés par des tiers, en procédant notamment par une procédure UDRP.
    • 


											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
vendredi  2 septembre 2011

											
MISC 57


											
Par Cedric Pernet											le vendredi  2 septembre 2011, 10:26																						- Malware
																						


																																	
											
											
																							
MISC #57 vient de sortir ...








Vous y trouverez notamment un article que j'ai écrit sur la Recherche « à froid » de malware sur support numérique.




Bonne lecture, et comme d'habitude, feedback apprécié ;-)

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
lundi 29 août 2011

											
There's a new worm in town


											
Par Cedric Pernet											le lundi 29 août 2011, 10:51																						- Malware
																						


																																	
											
											
																							
Hello les kidz,
Histoire de blogger vite fait, un nouveau worm vient de voir le jour : Morto.




F-Secure et Microsoft nous fournissent quelques informations intéressantes.




Ce que j'en retiens :



    

  • Une fois qu'il arrive sur un réseau, il scanne tout le réseau local pour trouver des machines acceptant les connexion RDP. Du coup, il génère beaucoup de trafic sur le port 3389/TCP (RDP), ce qui le rend facilement détectable.
    • 

  • Une fois une machine trouvée, il tente de bruteforcer l'Admin avec une liste de mots de passe bien générique, non sans rappeller celle de Conficker/Downadup à l'époque.
    • 

  • Sur un poste infecté, la présence de 2 fichiers en particulier doit mettre la puce à l'oreille quant à une infection: \windows\system32\sens32.dll et \windows\offline web pages\cache.txt
    • 

  • Pour le moment, une autre méthode de détection pourrait être de tester des connexions vers les domaines jaifr.com et qfsl.net (command&control du worm), mais cela reste très temporaire, les contrôleurs de tels bots changeant en général très fréquemment de c&c.
    • 




Le but final est de disposer d' une bonne backdoor sur les machines infectées, ce qui permet notamment de dropper d'autres malware (allez, au hasard, du rogue AV ou du troyen), ou voler de l'information (parce qu'il faut bien entretenir la peur des APT), ou encore lancer des attaques DDoS (très tendance...).




Bonne rentrée à tous ;-)

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
lundi 16 mai 2011

											
Manque de confidentialité sur les services de partage de fichiers


											
Par Cedric Pernet											le lundi 16 mai 2011, 18:39																						- Security
																						


																																	
											
											
																							
"Exposing the Lack of Privacy in File Hosting Services".




C'est sous ce titre que vient d'être publiée une étude ma foi bien intéressante sur le sujet des "hébergeurs de fichiers". Mais si, vous savez, les "rapidshare" et autres sites qui vous permettent de partager des gros fichiers avec vos amis, votre famille, mais aussi vos collègues de travail ?




Pour donner une définition rapide, il s'agit de sites qui vous proposent d'héberger (de façon continue ou temporaire) des fichiers volumineux afin de les partager. Le principe est simple : vous envoyez le fichier par le biais du site, qui vous retourne un lien unique qui pointe vers le fichier concerné. Du genre http://superserveurdepartagedefichiers.com/ddfeab3245ae34/




La confidentialité est censée être assurée par le fait que ce lien unique vers votre fichier n'est connu que de vous. Libre à vous de le transmettre aux collègues avec qui vous voulez le partager, ou de le mettre sur un forum/autre site s'il s'agit d'un document public que vous voulez distribuer en masse.




Seulement voilà, il existe différents niveaux de qualité pour ce type de site, et la majorité d'entre eux présentent diverses failles qui permettent à un tiers d'accéder aux documents que vous croyiez inatteignables.




Revenons donc à cette étude, qui est je crois la première sur le sujet, et qui porte sur 100 services de partage de fichier différents, dont je vous recommande chaudement la lecture.




J'en retiens :




* Etude de la confidentialité des données




- 12 services parmi les 100 contiennent des moteurs de recherche sur les données qu'ils hébergent. Ils ont été exclus de l'étude.




- Sur 88 services, il y en a 34 (soit 38,6%) qui génèrent un identifiant de façon séquentielle. Ainsi, il suffit de changer l'url d'un fichier pour en obtenir un autre. (exemple: http://vulnerable.com/9996, http://vulnerable.com/9997, etc.) Par contre, 14 de ces 34 services nécessitent quand même l'association avec le bon nom de fichier. (ex:http://site-o ne.com/9996/foo.pdf)




- Un robot développé par les chercheurs, fonctionnant sur ces services ne fournissant qu'une génération séquentielle d'url, a pu télécharger 310 735 fichiers uniques en 30 jours. Ces fichiers ont été recherchés (sur la base de leur nom) sur Bing : 54,16% n'étaient pas connus, et donc supposés privés. (Je ne lancerais pas de troll sur le choix du moteur de recherche...)




- Les fichiers réputés "privés" sont principalement des images (27 000 environ), puis des archives de type ZIP (13 000 environ), puis du PDF,Word,Excel,Powerpoint... ce qui tend à laisser penser que malgré un usage personnel important, le partage de documents professionnels est monnaie courante sur ce type de service.




- Les 54 services qui fournissent un identifiant "non séquentiel" sont très variables au niveau du nombre de caractères utilisés pour générer les liens. Ainsi, en brute-forçant des sites ne proposant qu'un lien constitué de 6 caractères numériques, les chercheurs ont trouvé 728 fichiers en 617 169 tentatives. D'autres services heureusement proposent des identifiants beaucoup plus robustes, constitués d'au moins 12 caractères alphanumériques. Je note au passage qu'on peut tranquillement faire du brute-force à partir de la même adresse IP, sur une durée de 5 jours, d'une même machine, pour obtenir des fichiers, sans être blacklisté. (encore une fois,ce n'est pas valable pour tous les services de partage de fichier, seulement pour les moins robustes)




* Vulnérabilités




13% des services utilisent le même soft, disponible publiquement, et présentant un certain nombre d'erreurs d'implémentation et de design.




* "Honey Files"




Les chercheurs ont créé un certain nombre de fichiers HTML,PDF, et DOC se connectant sur un serveur appartenant aux auteurs, permettant d'étudier les accès à ces fichiers. Ils ont ensuite été uploadés sur les services de partage de fichiers, quatre fois par jour. Ces fichiers avaient des titres évocateurs faisant référence à de la fraude "intéressante" : promesses de numéros de cartes bancaires, d'identifiants Paypal, etc.




- En un mois, 80 adresses IP différentes ont accédés à ces fichiers sur 7 services différents. La répartition géographique n'est pas inintéressante d'ailleurs... 50% d'adresses IP russes, 24% d'adresses IP ukrainiennes ...




- Sur les 7 services desquels des fichiers ont été téléchargés, 1 disposait d'une fonctionnalité de catalogue, 2 disposaient d'une option de recherche, les 4 restant ne disposant à priori d'aucun moyen de découverte par mot clef. A noter que l'un de ces services utilisait quand même une fonctionnalité de recherche, mais par le biais d'un tiers.




Je passe sur la partie contre-mesures de l'étude, moins passionnante ... Et tient également à signaler que je ne me suis pas relu ... Désolé donc pour les erreurs/fautes de ce post ;-)

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																


											
lundi 28 mars 2011

											
MISC Hors-Série n° 3


											
Par Cedric Pernet											le lundi 28 mars 2011, 11:29																						- Malware
																						


																																	
											
											
																							
MISC Hors-Série numéro 3 vient de sortir.








Vous y trouverez notamment un article que j'ai co-écrit avec mon collègue Guillaume Arcas, sur les analyses de malware par sandbox ou en lab... #shamelessselfadvertise ;-)

											
											
																							

																																		aucun commentaire
																																		aucun rétrolien																																		

																						


																																				
 - 													page 2 de 8													 -