Cedric PERNET - Threat Intel, APT & Cybercrime

Comme vous avez pu le constater certains billets de ce blog ont disparu. Ils étaient tout simplement trop liés à une entreprise pour laquelle j'ai travaillé par le passé. Je n'en dirais pas plus, étant tenu par un devoir contractuel de loyauté envers cet ex-employeur.

Je suis un grand amateur de pizza. C'est pour ça que je n'aime pas les pizzas de chez Domino's Pizza. Elles sont bien trop industrielles et noyées dans l'huile pour être mangeables. Par contre, j'adore la cybercriminalité et lorsque les deux se mêlent, je me sens obligé de blogger pour faire de la sensibilisation.

Ainsi donc, de méchants pirates ont compromis Domino's Pizza afin de récupérer la base de donnée de tous les clients de la société. Leur but était de faire du chantage à la société: soit vous nous payez, soit on publie la base de donnée sur Internet. Domino's n'a pas payé, ce qui est un comportement louable et responsable afin de ne pas encourager ce type de cybercriminalité, mais d'un autre côté, la nuisance pour leurs clients est très forte, nous allons y revenir.

Souhaitant me faire une idée plus précise du carnage, je me suis procuré cette base de données. A titre de rappel, je ne peux que me répéter: lorsqu'une base de donnée fuite sur Internet, elle ne disparait quasiment jamais. Elle réapparaitra toujours, à un moment où un autre.

Quoi qu'il en soit, l'affaire fait beaucoup rire, mais avez-vous sérieusement envisagé les conséquences de la distribution d'une telle liste à des cybercriminels ? Nous allons étudier quelques scénarios afin d'en prendre bonne mesure.

Note: Je ne sais pas comment a été constituée cette base de données. Néanmoins, étant donné que certaines entrées ne présentent qu'un numéro de téléphone, je suppose qu'elle contient à la fois des clients qui se font livrer et des clients qui se déplacent pour venir la chercher. Il y a exactement 592807 entrées uniques dans cette base.

Pour le particulier, cela signifie donc que des pirates disposent de:

• leur adresse e-mail
• leur numéro de téléphone
• leur adresse physique (ainsi que leurs codes d'entrées d'immeuble parfois, ou des indications type "au bout du couloir à gauche, il faut frapper")
• un mot de passe chiffré utilisé pour s'inscrire sur le site de Domino's.

Notez que le chiffrement du mot de passe est cependant facilement contournable, une attaque par brute-force révèlera les mots de passe des utilisateurs à un attaquant au besoin.

Que peuvent donc faire les attaquants avec ces données ?

- Envoyer des campagnes de spam de masse, mais un peu mieux faites qu'habituellement, parce qu'elles mentionneront peut-être votre adresse, votre numéro de téléphone, votre adresse physique...

- Couper la base de donnée selon des critères géographiques pour les revendre ou commencer à envoyer des e-mails ciblés, type "Nouvelle enseigne de pizza dans votre ville de xxxx, cliquez ici" ... Le clic mènera soit à un site essayant d'obtenir les informations de votre carte bancaire, soit à vous infecter avec un malware (qui lui aussi en voudra à votre carte bancaire ou à tous vos accès à des services en lignes par exemple: Paypal, banque, etc.) Les scénarios peuvent ici être très variables.

- Vendre la base de donnée à un/des concurrent(s) de Domino's Pizza ... Qui vous maileront bien sûr.

- Envoyer de faux e-mails Domino's Pizza pour vous demander confirmation de votre numéro de carte bancaire, ou pour obtenir d'autres informations, ou encore une fois vous infecter avec un malware.

- Vendre la base à des sociétés de démarchage téléphonique ...

- Appels téléphoniques malveillants : les attaquants peuvent se faire passer pour des fournisseurs d'accès Internet afin d'obtenir des informations: les utilisateurs disposant d'adresses mail en orange.fr par exemple peuvent être appelées, le fraudeur les mettant en confiance en montrant qu'il dispose d'informations sur eux, afin de mettre en place des scénarios divers et variés: obtention de numéro de carte bancaire, infection par malware (si vous ne voulez pas que la ligne Internet coupe, car nous avons des problèmes en ce moment, allez sur ce site...) etc.

- Utiliser le mot de passe fourni à Domino's pour voir si *éventuellement* il ne correspondrait pas à celui de la boite mail indiquée à Domino's Pizza. Beaucoup d'utilisateurs utilisent encore le même mot de passe partout, ce qui est évidemment déplorable en terme de sécurité informatique. Ainsi, l'attaquant pourrait utiliser à loisir votre boite mail pour envoyer du spam, lire vos e-mails, mener d'autres campagnes de cybercriminalité etc.

- Faire un tri dans les adresses mail pour cibler précisément des entreprises dont les employés ont utilisé une adresse mail "corporate". Il y a par exemple 69 adresses mails en .gouv.fr et de nombreuses sociétés clairement identifiables... Ces seules informations peuvent déja être sensibles et permettre à un attaquant de se lancer dans une attaque ciblant l'entreprise... Nous rejoignons ici le cyber espionnage ...

- Usurper votre identité afin de s'inscrire à d'autres services en ligne... A titre d'exemple, j'ai récemment constaté qu'un cybercriminel chinois utilisait les coordonnées réelles d'une innocente afin d'enregistrer des noms de domaines servant à des attaques ciblées (APT).

- Commander 20 pizzas avec vos informations et les faire livrer chez vous... Juste pour le plaisir de nuire. Etant donné que la commande est passée avec vos informations, Domino's exigera probablement le paiement...

Comme vous pouvez le constater, les possibilités sont nombreuses, et nous pourrions entrer dans un niveau de détail plus élevé pour mettre en place de nombreux autres scénarios non décrits précisément ici.

Que peut-on faire pour limiter les dégâts ?

- Imaginez toujours qu'un service auquel vous souscrivez peut être piraté un jour.

- Utilisez des mots de passes uniques. N'hésitez pas à utiliser des logiciels de conservation de mot de passe tels que Keepass.

- Ne donnez que les informations nécessaires (ne remplissez jamais les champs facultatifs).

- Si possible, utilisez une adresse mail unique pour chaque site sur lequel vous vous inscrivez.

- Soyez prudents lorsque vous recevez des e-mails, même lorsqu'ils semblent venir de fournisseurs de services auxquels vous avez souscrit.

- Si vraiment vous voulez manger une bonne pizza, allez chez Il Campionissimo :-)

Une interview de votre serviteur vient d'être publiée, à propos des "incident handlers" ou "incident responders" ... Ca se passe ici, et merci à Jérôme Saiz :-)

On entend souvent parler, lorsqu'est évoqué le sujet des attaques de type "APT", de "spear phishing".

Alors le spear phishing, c'est quoi ?

Dans un contexte général, le spear phishing consiste à cibler précisément une personne et lui envoyer un contenu e-mail personnalisé, pour maximiser les chances que cette personne ouvre le courriel et tombe dans le piège tendu par l'attaquant (généralement, une infection par malware).

Imaginez qu'une personne veuille prendre le contrôle de votre ordinateur. Elle sait que vous êtes relativement sensible à la sécurité informatique et que vous n'ouvrez pas n'importe quel e-mail. Par contre, vous êtes passionné de guitare et collectionneur. C'est en tout cas ce que dit votre profil Viadeo (partie "mes centres d'intérêts") et/ou votre profil Copains d'avant. En plus, vous avez indiqué que vous habitiez à Nogent sur Tartiflette, petite commune perdue quelque part en France.

Votre attaquant sait que vous n'ouvrirez jamais un mail générique de type "Livraison UPS", "Réduction de malade chez RueduCommerce" ou encore "On ne se connait pas mais tu es le droïde de ma vie je m'appelle Marvin écris-moi vite bisous".

Par contre, quelles sont honnêtement les chances que vous ouvriez un mail intitulé "Nouveau magasin de guitares vintage - ouverture imminente à Nogent sur Tartiflette" ? Pire, quelles sont les chances pour que vous l'ouvriez, s'il vient d'un de vos proches, et contient juste un message "t'as vu, y'a un nouveau magasin de grattes qui va ouvrir près de chez nous" accompagné d'un PDF ?

Je dirais que les probabilités sont assez hautes, largement plus en tout cas que pour un contenu générique. Evidemment, la pièce jointe ou le lien contiendra un malware, et ce sera le début de la fin pour votre ordinateur et peut-être votre compte bancaire, ou vos données sensibles.

Le spear phishing ciblant les particuliers est relativement rare pour le moment, d'autres méthodes de phishing plus traditionnelles continuant à être efficace et permettant de jouer sur l'effet de masse. Je pense à ces grosses campagnes de phishing de différentes banques que vous voyez passer régulièrement, qui continuent à bien fonctionner avec certains utilisateurs crédules.

Du point de vue de l'attaquant, le spear phishing nécessite un déploiement d'efforts non négligeables et surtout du temps, afin de bien cibler la victime. Des formes de ce que j'appellerais du "semi spear phishing" existent néanmoins. Pour poursuivre sur notre exemple précédent, on pourrait imaginer que vous soyiez inscrit sur un forum de collectionneurs de guitare. L'attaquant pourrait compromettre le forum, récupérer toute sa base de donnée, et par conséquent toutes les adresses e-mail des membres, puis envoyer un e-mail alléchant parlant de vente de guitares vintage à tout le monde. Le taux de clic sur sa pièce jointe infectée devrait grandement le satisfaire... Et vous feriez probablement partie des grands gagnants.

En entreprise, les choses sont différentes. Un mail vous parlant de guitare devrait naturellement éveiller votre suspicion, étant donné que vous ne recevez que des e-mails professionels (en théorie).

Le spear phishing en entreprise consiste donc à infecter un ou des employés en leur envoyant un contenu qui semble être professionel et cohérent. Le but de la manoeuvre, lors d'une attaque de type APT, est d'entrer dans l'entreprise. Peu importe l'employé infecté, à partir du moment où son poste sera compromis l'attaquant disposera de la capacité de rebondir de là pour compromettre d'autres machines.

RECOMMANDATIONS POUR LES EMPLOYES

En tant qu'employé, il est fortement recommandé de:

* Ne pas croire que la protection de l'entreprise (après tout, il y a deux anti-virus, des filtres pour les navigations Internet, des firewalls, des antispams etc.) va tout faire à la place de l'utilisateur, et qu'un virus ne peut pas arriver par mail. Les attaquants, même d'un faible niveau technique, sont tout à fait capables de contourner tout cela.

* Ne pas ouvrir de mail qui proviennent de personnes inconnues. Si le doute persiste et que le mail est déjà ouvert, veiller à ne pas ouvrir les pièces jointes contenues dans ce mails et ne pas cliquer sur un éventuel lien contenu dans ce mail.

* Ne surtout jamais répondre à aucun mail de ce genre (cela pourrait donner des informations sur le système d'information à l'attaquant, telles que l'antispam utilisé, l'anti-virus, la version du serveur de mail, etc.)

* Se maintenir sur le qui-vive. Un attaquant peut très bien faire croire qu'un e-mail provient d'un collègue de travail. En cas de doute, il convient de confirmer la légitimité de ce mail avec l'émetteur (par téléphone ou rencontre, pas par mail) avant d'ouvrir la ou les pièces jointes.

QUELS SONT LES MOYENS POUR LE SALARIE DE DETECTER UN E-MAIL DE SPEAR PHISHING ?

Même s'il semble venir d'une personne connue du destinataire, voici des éléments qui devraient inciter à la suspicion:

- L' utilisation de phrases/tournures inhabituelles de la part de l'émetteur.
- L'absence de signature de mail, alors que l'émetteur en ajoute toujours une.
- Le sujet de l'e-mail. Est-ce crédible de mailer quelqu'un pour le motif invoqué ?
- Le ressenti par rapport au contenu. Ce mail a-t-il été envoyé dans le seul but d'ouvrir une pièce jointe ou de cliquer sur un lien ?

Vous l'aurez compris, plus les attaquants en savent sur vous et vos collègues, plus ils auront de chances de créer un e-mail crédible et vous le faire ouvrir. Parmi les techniques "habituelles" utilisées par les attaquants lors d'APT, on peut citer les e-mails contenant des noms de projets en cours, des propositions de réunion, des demandes de consultation de documents, des informations sur des concurrents, des opportunités à saisir, etc.

En matière d'APT, le Spear Phishing constitue la méthode la plus utilisée actuellement par les attaquants pour compromettre certains postes de travail d'entreprises et pouvoir compromettre tout le réseau, avant de dérober de l'information sensible. Le spear phishing est utilisé dans 91% des APT (étude Trend Micro)

L'attaque par spear phishing est efficace, et facile à mettre en oeuvre. Pour les RSSI, il convient donc de sensibiliser régulièrement les employés sur ce risque, quitte à procéder de temps en temps à des simulations réelles.

Un employé sensibilisé est un maillon de moins pouvant constituer une infection initiale lors d'une APT. Cependant, plusieurs groupes de personnes extérieures à l'entreprise, qui n'ont aucune notion de sécurité informatique, viennent semer le doute dans l'esprit de ces employés sensibilisés: les marketeux, les commerciaux, les chasseurs de tête, les meneurs d'études, les statisticiens, etc.

Ces gens n'ont aucun scrupule à envoyer des spam par milliers, à destination de personnes qui ne leur ont rien demandé. Leurs e-mails n'usurpent pas l'identité d'autres employés, mais ils contiennent de quoi semer le doute dans l'esprit d'un utilisateur averti.

J'en prends pour exemple un e-mail, reçu par votre serviteur cette semaine sur son adresse e-mail professionnelle (j'en ai anonymisé certaines parties avec des x):

De : Rachel xxxxx survey@areyounet.com
Envoyé : mercredi 2 octobre 2013 10:43
À : Pernet, Cedric
Objet : Enquête sur l'équipement mobile des ingénieurs et techniciens sur le terrain

Bonjour,

Je mène actuellement une grande enquête au niveau national sur l'équipement mobile des ingénieurs et techniciens sur le terrain. Pour mener à bien cette opération, je travaille en partenariat avec xxxxx, acteur majeur sur le marché français.

Répondre au questionnaire vous prendra moins de 4 minutes.

Grâce à vos réponses nous pourrons faire un état des lieux de l'équipement mobile des entreprises et avoir une tendance des besoins et des investissements à venir.

Accéder au questionnaire

Je vous remercie par avance du temps que vous y consacrerez.

Bien cordialement,

Rachel xxxxxx
Etudes & Statistiques

Si vous souhaitez ne plus répondre à nos enquêtes, rendez-vous ici

Je dois bien avouer qu'à la lecture de cet e-mail, je me suis demandé si j'étais ciblé par une attaque. Le contexte semble idéal et propice: une personne inconnue, un contenu sans fautes d'orthographes, bien rédigé, qui me demande juste de cliquer sur un lien externe, pour aller en plus lui fournir des informations sur moi ou mon entreprise. Le seul hic, c'est que le contenu est générique et a dû être envoyé à de nombreuses personnes, ce qui ne cadre pas avec un spear phishing traditionnel.

J'ai néanmoins pris quelques minutes pour investiguer et vérifier la légitimité de cette campagne honteuse : "areyounet.com" est bien une entreprise déclarée au Registre du Commerce et des Sociétés, "spécialiste dans les solutions d'enquêtes en ligne et sur mobiles".

Les informations demandées dans leur questionnaire en ligne peuvent être utiles à un attaquant:

- Nombre de salariés de mon entreprise
- Secteur d'activité
- Quelle est ma fonction exacte au sein de l'entreprise ?
- Combien d'ingénieurs/techniciens sur le terrain ?
- etc.

Bref, ce qui m'énerve ici, outre le fait de recevoir ce genre de spam détestable sur ma boite mail professionnelle (il contient du tracking en plus) , est de me dire que cela sème la confusion dans l'esprit des utilisateurs et entretient l'idée qu'il est normal de recevoir des e-mails extérieurs et d'y répondre.

Comment voulez-vous, après cela, réussir à prévenir le spear phishing en entreprise ?

Two months ago, I released a YARA rule and an IOC rule to detect some generic folder dumps files. It has been proven useful in the real world, showing that it is possible to detect some attacks on a host with very easy rules.

Today I had another detection idea, as basic as the previous one. It is based on my experience in malware analysis and incident response, so I hope it will be helpful to other incident responders, especially when they work on APT attacks.

As you might know, some malware, in addition to every malicious activity they can provide, do deactivate the anti-virus running on the system. Usually, these malware are easily noticeable because (once depacked) they show strings which are known anti-virus processes names.

Some examples are:

• drweb32.exe
• avscan.exe
• etc...

These malware do usually know between 10 and 40 processes names that they absolutely want to kill.

Therefore, the idea is to try to detect any binary which contains these processes names.

I looked a bit around and found that Jerome Athias had released a "killav.rb" script in Metasploit. He provides us with 579 different processes names, all related to security tools and anti-virus products.

I asked Jerome and he kindly allowed me to use that list to build the YARA rule I was thinking of (with a bit of Python, it would have taken too long by hand of course).

The rule is built so that it will be triggered if 4 or more strings are found.

Please feel free to tweet me (@cedricpernet) or e-mail me any missing process name (there must be plenty) and I will update the rule accordingly. Also, if it triggers false positives, do not hesitate to reach me.

The YARA rule is here.

It has been a long time since I last wrote in english on this blog. The main reason is that I think there are not enough french ressources on Internet regarding APT, malware, incident response, and cybercrime, which are my favorite topics, as you might already know.

I therefore decided to publish in english language only when I thought the post was worth being shared widely.

But let's get right to the point of this post. Working on quite a number of APT cases recently, I noticed that the attackers often dump huge folders to a text file.

From the attacker point of view, it is just executing the "dir /s" command in a cmd shell, which lists folders recursively. The attacker usually redirects the output of the command to a file, doing it this way:

dir /s > 1.txt

The file is stored temporarily until the attacker decides to collect it, and deleted afterwards. The attacker may also not care (or forget) about it and leave it on the file system.

Forensically speaking, the deletion of this file is not a problem, as long as it is not rewritten, it can always be found.

From a detection point of view, it is very interesting to try to find these "folder dumps" on systems, as a possible indicator of compromise.

One has to be careful (as usual in incident response) to check that no legitimate user has generated this dump.

Now, one problem is left to detect these files: the operating system language. If you do incident response only in one country, no problem: usually you only need to check for dump files in your language, and in english (some users, no matter in which country they live, do always use english). Now if you do international incident response, you need to detect more languages.

I created a YARA rule and an IOC rule to detect these dump files in english, french, and german (Hello and thanks to my friend Axel who provided me with german dumps).

These rules should work on english,french,german Windows2000,ME,NT,Server,XP,7,8 systems. I did not check dumps for older systems.

YARA rule:
---
rule folder_dumpfile
meta:
author="Cedric PERNET"
date="2013/07"
comment="a YARA rule to detect dump files created by APT attackers"

strings:
$eng1="Volume in drive" wide ascii nocase
$eng2="Volume serial number" wide ascii nocase
$eng3="Directory of" wide ascii nocase
$eng4="<DIR>" wide ascii nocase
$eng5="File" wide ascii nocase

$fr1="Le volume dans le lecteur" wide ascii nocase
$fr2="du volume est" wide ascii nocase
$fr3="pertoire de" wide ascii nocase
$fr4="<REP>" wide ascii nocase
$fr5="fichier" wide ascii nocase

$de1="Volumeseriennummer" wide ascii nocase
$de2="<DIR>" wide ascii nocase
$de3="verzeichnis von" wide ascii nocase
$de4="Datei" wide ascii nocase

condition:
(all of ($eng*)) or (all of ($fr*)) or (all of ($de*))
---

And here is a link to my IOC file.

And with a little help from my friends, I might be able to update these files with other languages. Please feel free to send me "dir /s" dumps in other languages, I'd gladly integrate it into these detection rules.

De nombreuses nouvelles informations sur le groupe d'attaquants APT1 ont suivi la publication de Mandiant que j'évoquais précédemment dans ce billet.

L'un des plus intéressants à ce jour, d'un point de vue forensic, était celui-ci. Il remettait en cause beaucoup de faits énoncés par Mandiant, de façon plutôt bien rédigée.

Un nouveau white paper vient de retenir mon attention, publié par malware.lu et itrust consulting. Ces derniers se sont lancés dans l'étude des attaques APT1 avec une approche plus surprenante qui consiste à... attaquer les attaquants.

Je ne chercherais pas ici à discuter des aspects légaux et éthiques d'une telle action. Par contre, il est extrêmement intéressant de lire ce papier pour voir un peu ce qui se cache "de l'autre côté". Il semble important cependant de souligner que les chercheurs n'ont jamais attaqué de serveur compromis (sous-entendu : un serveur appartenant à un tiers, compromis par APT1) et ont communiqué avec les CSIRT/CERT associés aux cibles des attaquants.

Passons un peu au crible (et en français, c'est le but de cette série de posts sur APT1 après tout...) ce document, point par point.

Phase de collecte d'information:

Les chercheurs se sont basés en partie sur les recherches de MANDIANT. Ils ont vu que le célèbre outil d'administration distant POISON IVY était utilisé et ont décidé d'écrire un scanner de serveurs Poison Ivy.

D'un point de vue technique, rien de bien compliqué : 100 envois de 0x00 vers un port spécifique et une adresse IP permettent de savoir qu'on a affaire à un serveur Poison Ivy s'il répond par 100 octets suivis de 0x000015D0.

Ces scans ont été lancés sur une plage d'adresse IP assez large à Hong Kong pour finalement restreindre leurs recherches à 6 plages particulières hébergeant des serveurs Poison Ivy.

Il nous est signalé au passage que la recherche n'était pas si simple : les attaquants stoppent leurs serveurs c&c lorsqu'ils ne s'en servent pas. Un graphe nous présente les horaires d'"ouverture" des c&c : principalement de 2 à 10h UTC+1. (Europe occidentale)

Sachant qu'entre Paris et Beijing le décalage horaire est de 7h en hiver, 6h en été, on est à peu près sur des horaires de bureau en Chine.

L'attaque.

Un descriptif de Poison Ivy nous est fait ensuite dans le document, pour rapidement arriver sur un aspect plus intéressant, une vulnérabilité d'exécution de code distant sur les serveurs c&c Poison Ivy. Se basant sur un exploit existant d' Andrzej Dereszowski (présent dans Metasploit), les chercheurs ont développé leur propre exploit, fourni dans le document.

Les portes des c&c Poison Ivy se sont alors ouvertes :-)

Une fois connecté au serveur, il fut constaté que le serveur n'avait pas d'adresse IP publique. Cela signifie que le demon Poison Ivy est caché derrière un proxy, utilisant du port forwarding pour masquer la véritable adresse IP du serveur de c&c. Autre constatation, la machine était sous VMware, permettant ainsi de masquer l'adresse IP du controleur.

Le schéma fourni dans le document est le suivant:

Après quelques jours, APT1 a détecté cette compromission, principalement parce qu'une machine accédait au c&c sans passer par le proxy. Les chercheurs ont alors dû changer leur méthode et sont passés par le proxy, en créant leur propre shellcode.

Ils ont ensuite installé un keylogger sur le serveur Poison Ivy, pour logger les identifiants et mots de passe d'accès RDP au proxy.

Une fois sur le proxy, un dump des Event logs Windows a permis de découvrir 384 adresses IP uniques.

L'analyse des données

Une collecte massive de données a été effectuée : fichiers, logs, outputs netstat, etc.etc. puis divisée en 2 catégories : les infos sur les outils des attaquants, et les infos sur les cibles des attaquants.

Une liste des outils des attaquants est fournie, avec un bref descriptif. Je passe sur cette partie, à noter quand même l'analyse d'un RAT "homemade" nommé TERMINATOR/Fakem RAT) découvert sur un serveur proxy.

Ce qui nous intéresse surtout dans ce document, ce sont les informations sur les cibles.

• Les attaquants semblent utiliser un couple serveur proxy/serveur c&c pour chaque cible. Lorsqu'une cible découvre l'adresse IP d'un proxy, cette adresse est réassignée à une autre cible.

• Les secteurs d'activité des cibles: sociétés privées, publiques, institutions politiques, activistes, associations et journalistes.

• Sur le serveur Poison Ivy, un répertoire est créé au format: <NOM DE LA CIBLE>\<NOM D'UTILISATEUR>. (exemple: E:\SOCIETEBLABLA\borislezombie)

Sans surprise, les documents trouvés dans ces répertoires sont aux formats PPT, XLS, DOC, PDF, JPG.

Parmi ces documents ont été découverts des diagrammes de réseaux, des couples login/pass, des cartes d'accès physiques, des listings d'incidents de sécurité, de politiques de sécurité, etc.

Les documents sensibles sont protégés par mots de passe selon un format prédéfini et assez facile à brute forcer.

Ce post n'a pas pour vocation de vous éviter de lire l'excellent paper de malware.lu et itrust consulting, en particulier de Paul Rascagnères.

Je remercie donc chaleureusement Paul pour cette étude qui nous en révèle un peu plus sur nos attaquants favoris... ;-)

Sous ce titre-citation d' iRobot, qui me semble approprié, j'ai décidé de faire un petit post blog rapide pour vous signaler la sortie d'un petit papier intitulé "The Mandiant with a plan – high-profile threat report, new products" publié par 451Research.

Ce post fait suite à mon post précédent qui faisait une synthèse rapide de la publication de Mandiant sur le groupe d'attaquants "APT1".

De nombreuses discussions ont eu lieu dans la communauté de réponse à incidents ces dernières semaines suite à cette publication, et de nombreux tweets ont vu le jour. Des tweets ont glorifié Mandiant pour ce paper, d'autres les ont critiqués, voire insultés, mais une chose est sûre, Mandiant n'a laissé personne indifférent.

Mes plus grandes interrogations n'ont pas porté sur les faits révélés, mais plutôt sur la conséquence de ces révélations. Pourquoi abattre toutes ses cartes et montrer à son ennemi ce que l'on détient sur lui ?

Mandiant a indiqué ses motifs dans sa publication, je me suis permis de mettre en gras les parties qui me semblent importantes :

"It is time to acknowledge the threat is originating in China, and we wanted to do our part to arm and prepare security professionals to combat that threat effectively. The issue of attribution has always been a missing link in publicly understanding the landscape of APT cyber espionage. Without establishing a solid connection to China, there will always be room for observers to dismiss APT actions as uncoordinated, solely criminal in nature, or peripheral to larger national security and global economic concerns. We hope that this report will lead to increased understanding and coordinated action in countering APT network breaches."

En gros, il était temps de montrer la Chine du doigt, pour ne plus laisser place aux doutes. Mandiant a voulu aider la communauté dans la lutte anti-APT.

Mandiant a également indiqué s'attendre à des représailles, critiques, et changement de tactique des attaquants.

Je crois que c'est ce que nous avons tous pensé, nous les "incident responders", en lisant le document : les attaquants vont changer leurs techniques, leurs outils, leurs malwares, leurs enregistrements de domaines, etc.etc.

Mandiant s'est ainsi attiré la haine de chercheurs travaillant sur le sujet, qui pestent en attendant de voir (ou pas) les techniques des attaquants changer. Tout au moins ces attaquants-là, APT1.

Reste que la volonté d'aider la communauté est louable, même si ça embête tout le monde. On peut cependant se demander où se place cette noble volonté, lorsque quelques jours après la publication du rapport, Mandiant lance deux nouveaux services : Mandiant for Security Operations (un genre de SOC à base d'IOCs), et Mandiant Intelligence Center.

Cet intelligence Center, d'un coût variable (entre 120 000 et 280 000 Euros à l'année), permettrait aux clients y souscrivant de pouvoir disposer de toute la base de connaissance de Mandiant : IOCs, souches de malwares, listes de domaines frauduleux, profils des attaquants ... En gros, exactement ce qui a été fourni dans le rapport "APT1" et son annexe.

Je ne me hasarderais à aucun commentaire sur ces méthodes, et conclurais mon propos en citant un petit extrait du rapport de 451Research :

"Publishing the report sent a message that Mandiant was confident enough not to care about revealing its hand to the Chinese, even if it meant losing all the current IOCs, but it also sent a message to the intelligence community at large.

We're not going to see boxes of tissues being passed around; the security intelligence community is a tough one. But Mandiant will probably have to make its intentions clearer: whether its priorities are to collaborate with its peers (and occasionally take one for the team), or to promote itself at their expense."

"APT" est un acronyme que l'on entend depuis plusieurs années. Le terme a été usé largement par les commerciaux et marketeux de plein de sociétés IT vendeuses de peur, mais a toujours fait rugir les spécialistes du domaine.

"APT" signifie "Advanced Persistent Threat". Personnellement, je préfère parler d'"attaque ciblée" ou, lorsque j'en discute avec des collègues étrangers, de "targeted attack".

On a lu tout et n'importe quoi sur le sujet, ce qui m'a décidé d'en parler un petit peu ici. Cela me permet aussi de sortir mon blog de sa torpeur et des ricanements bêtes de mes collègues qui me reprochent son inactivité et son usage "self-advertise" des derniers posts (ils ont raison, mais ne leur dites pas que je l'ai admis).

Alors l'APT, ou attaque ciblée, c'est quoi ? C'est une attaque ciblée sur une/des entreprises, qui se maintient dans le temps, dans le but de se maintenir sur le système pour y dérober de l'information sensible/stratégique.

Cette attaque se déroule en plusieurs phases, que nous allons énumérer succintement.

1. Définition de la cible et collecte d'informations

Le choix d'une cible semble relativement aisé (bien que cela puisse se complexifier rapidement avec certaines entreprises qui disposent de nombreuses filiales et/ou de sous-traitants), La collecte d'information à ce stade se focalise sur les informations publiques disponibles rapidement sur Internet : employés facilement atteignables par les réseaux sociaux (LinkedIn, Viadeo, mais aussi copainsdavant, Facebook, etc.), adresses IP publiques de l'entreprise et/ou de ses filiales, etc.etc.

Cela ressemble beaucoup à la phase de reconnaissance d'un bon vieux pentest.

2. Définition de la stratégie d'attaque

L'attaquant va se retrouver confronté à une problématique : comment pénétrer le système ? Un ensemble de questions se pose alors.

-> Quelle est la meilleure méthode selon lui pour infecter cette cible ? Les choix habituels possibles:

• Attaque Watering hole ? (histoire de caser un des dernier terme des marketeux de Symantec) En gros cela consiste à infecter des sites Internet susceptibles d'être visités par la cible, afin d'infecter cette cible. Un exemple: admettons que je vise un grand constructeur automobile. En infectant le site d'un sous-traitant fabricant une pièce très spécifique nécessaire à la construction d'un véhicule, on peut imaginer que la page de cette pièce, sur Internet, sera principalement visitée par des professionnels en ayant besoin... Et donc par la cible ou l'un de ses concurrents.

• Spear-Phishing : l'attaquant va cibler une ou plusieurs adresses e-mail d'employés, en leur envoyant un courrier attractif dont le but est d'être ouvert, afin de compromettre le poste de travail de l'employé. Cela se présentera souvent sous la forme d'un document Adobe PDF ou Microsoft Office permettant d'infecter le poste de travail.

• Compromission directe du SI: l'attaquant se focalise ici sur la compromission d'un serveur web par exemple, ou d'autres ressources de l'entreprise accessibles depuis Internet. Généralement, il s'agira d'exploiter une vulnérabilité, présente sur un serveur, afin d'espérer pouvoir rebondir ailleurs dans le SI et aller vers l'information intéressante.

• Attaque physique : Beaucoup plus rare... L'attaquant dispose par exemple d'un accès au parking souterrain de la cible, et va laisser trainer une/plusieurs clefs USB au sol, dans l'espoir qu'un employé la glisse dans son poste de travail... Devinez ce qu'il y a sur la clef ? Un beau petit malware bien sûr... Qui deviendra un point d'entrée dans la société.

Note: A l'heure actuelle, la compromission d'un SI par tout biais informatique est nettement favorisée par rapport aux techniques "à l'ancienne", à savoir soudoyer des sous-traitants pour avoir un accès physique aux machines (on peut imaginer qu'une femme de ménage puisse accepter facilement une certaine somme d'argent pour "simplement aller brancher une clef USB" sur un ordinateur...)

-> De quel laps de temps dispose-t-il ?

Plus l'attaquant dispose de temps, plus l'attaque sera discrète, tout simplement. Au lieu de noyer plusieurs employés de multiples mails, qui pourraient lever une alerte, un mail est envoyé de temps en temps... Autre exemple, quelques scans de ports par ci par là répartis sur une journée lèveront moins d'alertes que des milliers de scans en quelques heures.

3. L' attaque

Une fois toutes les décisions prises, l'attaquant se lance dans sa campagne d'attaque. Le but est d'obtenir un ou plusieurs accès au SI de l'entreprise. L'idéal consiste à infecter différents réseaux de l'entreprise, et d'y obtenir des droits élevés.

Il suffit parfois de peu pour compromettre tout un SI: un poste de travail avec un utilisateur loggé avec des droits d'administrateur permet souvent de rebondir sur de nombreuses machines et parties différentes du SI.

Bref, le but ici est d'obtenir des droits élevés sur une/des machines/serveurs de l'entreprise, et de pouvoir rebondir partout et ainsi pouvoir obtenir tout document intéressant.

Les attaques reproduisent souvent le même schéma :

- Compromission d'une machine - Elévation de privilèges : administrateur local, administrateur de domaine - Compromission des serveurs stratégiques du SI (Active Directory notamment)

4. La persistance

Une fois que l'attaquant "maitrise" bien les différentes parties du SI qui l'intéressent, sa première préoccupation est de s'assurer que son travail ne sera pas vain et qu'il pourra toujours revenir dans le réseau les jours suivants. Il va donc installer des RAT (Remote Administration Tools) ou des portes dérobées afin de toujours disposer d'accès. En général, plusieurs outils différents sont utilisés, augmentant les chances de se maintenir sur le système si l'une des backdoors était découverte.

A noter que l'attaquant peut très bien se créer des utilisateurs sur le réseau, ou utiliser des profils d'administrateurs existants pour rester discret.

5. Le vol de données

L'attaquant, arrivé à ce stade, dispose souvent de tous les droits sur le système d'information de l'entreprise. En tout cas, pour la blague, il dispose toujours de plus de droits que les pauvres "incident responders" qui vont devoir investiguer lorsque l'APT sera découverte.

La technique la plus courante ici pour exfiltrer de la donnée consiste à créer des archives chiffrées (RAR étant le format le plus courant) des données sensibles, puis à les transférer tranquillement à partir de l'un des clients du RAT installé sur la machine. Les attaquants exfiltrent la plupart du temps les données à partir d'une machine qu'ils ont plus ou moins dédié à cette activité.

Bref...

Bien des aspects des APT ne sont pas évoqués ici, ce billet se voulant générique.

Ce qui me chiffonne un peu, finalement, dans "APT", c'est le A. Pourquoi donc ? Tout simplement parce que :

• les attaquants ne sont pas des dieux du code, du shell, ou de quoi que ce soit de vraiment technique.
• les outils utilisés par les attaquants sont la plupart du temps très basiques, que ce soit pour la compromission, la persistance ou le vol de données. Il s'agit d'outils génériques connus de toute la communauté de la sécurité informatique et des Administrateurs Systèmes (PwDump ou PsExec pour ne citer qu'eux à titre d'exemple).
• les RAT utilisés sont souvent des RAT génériques, tout juste retouchés pour contourner les anti-virus (un exemple : Poison Ivy). Rares sont les RAT spécifiquement développés pour des attaques ciblées (et du coup non disponibles à la vente sur des forums underground).
• Les exploits utilisés pour les compromissions initiales sont souvent vieux, mais après tout, les entreprises patchent avec tellement de retard que ce n'est pas grave. Pas besoin de 0day comme le prétendent certains vendeurs de peur.

Le seul aspect "avancé" de ces attaques que je vois serait plutôt dans la structure même des groupes d'attaques : le fait d'être un groupe formé à attaquer, avec des personnes s'occupant des malware, d'autres personnes s'occupant des compromissions initiales, encore d'autres attaquants ne s'occupant que de la persistance et du rebond sur de nombreuses machines du SI compromis, et probablement de l'exfiltration des données. A cela s'ajoutent des administrateurs des serveurs de command&control et de toutes les structures informatiques nécessaires aux attaquants (enregistrements de noms de domaines dédiés, configuration de serveurs dédiés, etc.).

Joe Stewart, grand expert du domaine, estime que les plus grands groupes d'attaquants sont constitués de plusieurs centaines de personnes...

L'aspect le plus intéressant est celui sur lequel on en sait le moins : l'économie souterraine autour des APT. Quels sont les commanditaires de ces attaques (on le sait dans certains cas, et jamais dans d'autres) ? Comment sont rémunérés les attaquants ? Comment est structuré exactement le groupe d'attaquants lié à telle ou telle attaque ?