Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Les APT : au delà du buzz

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Les APT : au delà du buzz

Cybercommand

S’il est un terme largement galvaudé ces temps-ci, c’est bien celui d’APT (Advanced Persistent Threats). Cités à tort ou a raison dans le cadre de toutes les dernières grandes attaques en date, les APT se sont vite retrouvées mises à toutes les sauces : les vendeurs d’antivirus y voient de super-codes malveillants (qui justifient de nouveaux produits), les consultants y voient de super-attaques (qui justifient de nouveaux audits) et les victimes y voient de super-pirates chinois (qui justifient de nouveaux budgets). Bref, l’APT fait fantasmer, mais de quoi s’agit-il exactement ?

Yann le Borgne (SourceFire) a tenté d’apporter quelques éléments de réponse. A commencer par ce qui caractérise selon lui une APT… et ce qui n’en n’est pas ! « Plutôt que par sa technique, l’APT se définit avant tout par un commanditaire et un objectif. L’objectif est de prendre durablement le contrôle d’un système afin d’en extraire du contenu, et la nature du commanditaire déterminera le contenu qui sera dérobé », avance Yann le Borgne.

Dans tous les cas il s’agira toutefois d’informations ou de contenus présentant une valeur métier pour l’entreprise (ou l’Etat) et ses concurrents : nous parlons ici plus volontiers d’espionnage (industriel ou pas) que de vol crapuleux. Ne relèvent donc pas des APT les attaques opportunistes, uniquement motivées par appât du gain (d’origine mafieuse) dont le seul impact pour l’entreprise serait en terme d’image (vols de numéros de cartes bancaires ou d’informations personnelles, par exemple, et ceci même s’il y a une pénalité financière à la clé). Car il ne s’agit pas ici d’une information présentant de valeur métier utile à un concurrent.

Du côté technique, les APT n’introduisent rien de nouveau. En revanche, elles requiert le plus souvent un développement personnalisé. Exit donc les attaques à base de malware courant ou de kit d’exploitation connu. « On ne peut pas définir une APT simplement par l’utilisation d’un malware particulier ou d’une vulnérabilité zéro-day particulière« , explique Yann le Borgne.

Les APT peuvent donc se définir à ce stade comme des attaques commanditées, ciblées et exploitant du code malveillant personnalisé. Elles sont destinées à infiltrer une victime particulière, à exfiltrer une information déterminée et à permettre un contrôle à distance persistant sur les machines exploitées.

Mais concrètement, comment cela se passe-t-il ? En sept étapes bien connues que Yann le Borgne n’hésite pas à simuler dans un environnement virtualisé pour les besoins de la démonstration. A partir d’un email mentionnant un lien piégé, il va démontrer la facilité avec laquelle il est possible de prendre pied sur un poste de travail derrière la DMZ, puis de rebondir sur un serveur de données situé dans une autre portion du réseau, s’y maintenir et enfin exfiltrer des données.

Pour mémoire nous avions déjà détaillé les sept étapes d’une telle attaque l’an dernier. Mais il ne fait pas de mal d’y revenir, notamment parce que Yann le Borgne y présente d’autres outils de reconnaissance ou de casse de mots de passe.

1. Reconnaissance

Il faut ici sortir du cadre des technologies IT : la reconnaissance se fait avant tout par téléphone (appels direct à des collaborateurs afin d’essayer de reconstituer l’organigramme de l’entreprise visée). Ce n’est qu’ensuite que des outils IT peuvent mis à profit. D’abord FOCA, qui permettra de récupérer tous les documents bureautiques de l’entreprise accessibles depuis les moteurs de recherche web (et il y en a !), puis d’en extraire les méta-données. Chemins des fichiers, chemins des volumes de stockage, nom des imprimantes, version des logiciels… les méta-données peuvent se révéler très indiscrètes… et très utiles pour le pirate !

Après FOCA peut venir Maltego, un outil destiné à cartographier l’entreprise, ses systèmes et ses collaborateurs, à partir de données publiques. Les arbres créés par Maltego son généralement très impressionnants pour qui les découvre pour la première fois… Là encore, les données publiques sont bien plus bavardes que l’on ne pense ! Le profiling Facebook, notamment, permettra d’identifier des victimes potentielles lorsque l’attaquant adressera ses courriers piégés.

2. Intrusion

A partir des données collectées lors de la phase précédente il est possible de planifier l’intrusion. « Il s’agit le plus souvent d’une attaque contre un client, en exploitant par exemple une faiblesse d’Adobe Reader, de Microsoft Office ou du navigateur« , précise Yann le Borgne. Le cas typique d’une telle intrusion est celui du document PDF ou Office piégé, dont un code malveillant s’installe à l’ouverture.

3. Rendre persistant

Une élévation de privilège fort classique permettra ici aux attaquants de s’installer plus solidement sur le système (et notamment de résister à un redémarrage). Les techniques d’élévation de privilège ne manque tellement pas que ça n’est même pas drôle : casse de hashes de mots de passe en ligne ou hors-ligne (voir pour cela le site md5decrypter.co.uk), attaque de type pass the hash ou exploitation d’une vulnérabilité locale…il y a l’embarra du choix !

La porte dérobée peut alors être installée au plus près du système, par exemple dissimulée à l’aide d’un rootkit (on voit même revenir désormais l’infection du secteur d’amorce des disques, ce qui devrait rappeler quelque chose aux plus de 20 ans pour qui Mark Ludwig ou Dark Avenger ne sont pas des héros de Marvel)

4. Explorer et se propager

Il s’agit a présent de se déplacer dans le réseau afin d’explorer les environs et d’identifier les cibles prédéterminées. « Cela passe souvent par des attaques contre NETBIOS, ou par la casse du mot de passe d’administration du domaine, par exemple« , indique Yann le Borgne.

5. Outillage

Une fois installé sur la machine qui héberge les données à exfiltrer, l’attaquant va devoir déployer son petit outillage. Et notamment les outils nécessaires afin d’archiver ou de compresser les données à faire sortir.

6. Exfiltration

C’est à ce stade que la donnée proprement emballée (une archive RAR ou CAB le plus souvent) quitte l’entreprise. Selon un rapport de la société MANDIANT, 83% des attaques exfiltrent les données via HTTP ou HTTPS, tout simplement, et les récupèrent sur des serveurs légitimes. L’on trouve cependant aussi des connexions via des protocoles de messageries instantanées (Jaber, par exemple) ou – plus étonnant – DNS. « En fait l’on peut faire passer ce que l’on veut dans du DNS, et l’on constate de plus en plus que les attaquants ne s’en privent pas« , détaille Yann le Borgne.

7. Maintenance

Une telle intrusion vit dans la durée : une fois installés les attaquants vont tenter de mettre à jour leurs outils en permanence afin d’éviter la détection par les antivirus, lorsque ces derniers seront eux aussi mis à jour. Ce qui exige, bien entendu, une organisation solide du côté des attaquants.

La démonstration menée ici par Yann le Borgne est bien entendu simplifiée : il a utilisé un exploit de type Aurora (le piratage de Google en 2010) pour prendre pied sur la machine de la victime via un email et un lien web piégé. Il a ensuite exploité la même vulnérabilité que Conficker afin de compromettre le serveur de fichiers situé sur un autre réseau, le tout orchestré depuis un Metasploit tout ce qu’il y a de plus commun. « Une telle attaque aurait du mal à réussir aujourd’hui en l’état« , reconnaît-il bien volontiers. Mais si l’on revient ne serait-ce qu’un an en arrière on comprend parfaitement comment une telle mécanique peut parfaitement compromettre une grande entreprise et ne pas être détectée. Et tout ce qui change aujourd’hui, c’est que les malwares et les exploits utilisés aujourd’hui ne sont pas encore dans le Metasploit du jour…

Et vous, quelle est votre définition d’une APT ? Etes-vous d’accord avec les critères avancés ici par Yann le Borgne ?


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.