La société MANDIANT a analysé plusieurs centaines d’intrusions ultra-ciblées contre des entreprises et des agences américaines, et en tire un rapport passionnant. Les attaques sont, pour une fois, réellement sophistiquées, vraiment ciblées et organisées. Autopsies de vraies attaques de professionnels.

Qu’est-ce qui caractérise une intrusion sophistiquée ? Le fameux « travail de plombier » des professionnels, c’est quoi, exactement ? Difficile de le savoir tant ces attaques sont le plus souvent soit non-détectées, soit passées sous silence par les entreprises qui en sont les victimes.

C’est ici qu’intervient le rapport publié par la société MANDIANT . Cette dernière est intervenue sur plusieurs centaines d’intrusions sophistiquées auprès du gouvernement américain et de fournisseurs de ce dernier (souvent détenteurs d’accréditation élevées). Les attaques observées par ses consultants n’ont rien à voir avec celles, de type opportunistes, que peuvent mener les « bras cassés » habituels. Elles sont concertées, pensées, et surtout entretenues dans le temps par un attaquant déterminé qui n’hésite pas à s’adapter en temps réel lorsque la victime tente de se débarrasser de lui.

MANDIANT utilise pour décrire de telles attaques l’acronyme APT, pour Advanced Persistant Threats, ou « menaces avancées persistantes ». Le terme est devenu à la mode à la suite de l’attaque dont a été victime Google, et souvent utilisé à tort depuis.

Plus qu’un simple « super virus » comme voudraient le faire croire certains éditeurs d’antivirus, il s’agit en fait d’une véritable chorégraphie exécutée sur la base certes d’un code malveillant, mais également faite de portes dérobées, d’exploitation de vulnérabilités locales, de travail hors-ligne pour casser des bases de mots de passe et de mises à jour continues. Le tout conçu pour ne pas attirer l’attention (pas de binaire « packé » par exemple, trafic réseau conforme aux RFC et sur des ports classiques, etc….).

Intéressés ? Entrez donc, la représentation se joue en sept actes…

1. La reconnaissance

C’est ici que l’attaquant repère les collaborateurs dans l’entreprise susceptibles d’avoir accès à des ressources de valeur. Cela peut bien entendu être des cadres supérieurs, mais aussi des chercheurs, voire même des assistants personnels. Les coordonnées sont très souvent extraites du site web public de l’entreprise.

2. L’intrusion initiale : la tête de pont

Pas de surprise ici : c’est la bonne vieille méthode de l’ingénierie sociale via email qui est le plus souvent utilisée. L’attaquant fait parvenir un document piégé à une série de victimes potentielles identifiées durant la reconnaissance. L’auteur (falsifié) de l’email pourra être par exemple le speaker à une conférence récente, ou encore (nous l’avons observé dans d’autres affaires similaires) un client ou partenaire potentiel. D’après MANDIANT le document sera soit directement inclus en pièce-jointe, soit le courrier proposera un lien pour le télécharger. Dans les deux cas, ce sera probablement un fichier ZIP que la victime récupèrera. Dedans, un fichier CHM (aide Windows), un document Microsoft Office ou un format tiers tel PDF. Le tout piégé, bien entendu, afin de déclencher l’exécution d’un « premier étage » malveillant.

MANDIANT note ici que la majorité de ces sollicitations semblent arriver aux Etats-Unis durant la nuit (entre 22h et 4h du matin), ce qui correspond à la journée en Chine. Car le cabinet ne prend aucune pincette en expliquant que la très vaste majorité de l’activité APT observée jusqu’à présent lui a semblé être lié à la Chine (notamment dans le choix des cibles).

3. Renforcer la présence

Le code binaire exécuté initialement n’est qu’une tête de pont. Une fois qu’il a obtenu l’accès au système de sa victime, l’attaquant va – comme tout bon stratège – vouloir consolider sa présence sur le terrain. Cela se fait en deux étapes. D’abord, le pirate va tenter d’exfiltrer la liste des mots de passe du domaine (sous leur forme chiffrée) et les déchiffrer chez lui. MANDIANT affirme avoir observé un attaquant procéder au cassage de la base de mots de passe du domaine en quelques minutes (hors-ligne). Les mots de passe déchiffrés sont alors utilisés afin d’augmenter le niveau d’accès au système compromis via des outils légitimes (probablement l’option « Exécuter en tant que », par exemple, ndlr). Ils peuvent aussi tout simplement être exploités par la fameuse technique « [Pass the Hash | http://www.sans.org/reading_room/whitepapers/testing/rss/why_crack_when_you_can_pass_the_hash_33219] » s’ils n’ont pas pu être cassés.

A ce stade l’attaquant disposera d’une mobilité suffisante sur le réseau pour se déplacer latéralement et commencer à installer plusieurs portes dérobées afin de s’assurer un accès multiple et pérenne. C’est ici qu’apparaît le fameux binaire de type APT (il s’agit bien entendu d’une catégorie et non d’un code malveillant en particulier). Il sera installé avec les droits Système, via une injection de processus existants, la manipulation des Services Windows ou la modification de la base de registre par exemple.

Contrairement aux codes malveillants courants, celui-ci est rarement (10%) « packé », car cela le rendrait trop simple à détecter tant n’importe quel antivirus à peu près correct sait reconnaître un packer aujourd’hui. Les binaires APT sont donc tout simplement… des binaires ! Leur objectif est de se fondre dans la masse (une approche qui sera reprise pour ce qui est du trafic réseau).

Le binaire s’appuiera sur les librairies existantes du système et sera surtout constamment mis à jour afin d’éviter la détection par les antivirus classiques (76% des codes découverts dans ce contexte n’étaient pas détectés par les antivirus du marché). Sa taille moyenne est de 121ko, et il portera de préférence des noms tels svchost.exe, iexplore.exe, iprinp.dll ou winzf32.dll d’après les statistiques de MANDIANT.

Dans 60% des cas il sera persistant (via une clé de registre ou, le plus souvent, l’injection dans les Services Windows). Lorsqu’il ne le sera pas, c’est la technique de l’injection dans un processus existant qui sera privilégiée. Enfin, pour augmenter ses chances d’échapper à la détection, le binaire n’écoutera jamais lui-même à un port mais se contentera plutôt d’initier des connexions vers l’extérieur.

4. Explorer et localiser les données d’intérêt

A ce stade l’attaquant va profiter de son implantation solide sur le système pour récolter encore plus de paires de login / mots de passe sur les divers systèmes compromis. Ces crédances peuvent être récupérées comme précédemment via des bases d’autres domaines Windows ou localement sur la machine compromise. Elles seront ensuite utilisées le plus souvent pour accéder à des partages NETBIOS à travers le réseau et ainsi localiser les données les plus intéressantes à dérober. En moyenne, ce sont 40 systèmes qui seront compromis lors d’une telle opération selon les statistiques de MANDIANT.

5. Déployer les outils

La boîte à outil du pirate contient de nombreux utilitaires nécessaires pour manipuler, compresser et « packager » les données qui seront dérobées. Ils ne seront pas nécessairement installés sur les machines compromises : l’attaquant utilise des crédances légitimes dérobées plus haut afin d’installer ces outils là sur une machine dédiée différente. L’un des outils que MANDIANT retrouve systématiquement dans de telles intrusion est un compresseur au format RAR. Mais les outils peuvent aussi permettre d’énumérer les processus, dumper les mots de passe, exporter les emails et leurs pièces jointes, etc…

6. Exfiltrer les données

C’est ici le point culminant de l’attaque : rassembler les données d’intérêt et les faire sortir du réseau. Pour cela l’attaquant va utiliser un serveur dédié sur lequel il copiera temporairement les données avant de les compresser (via le protocole RAR le plus souvent, mais aussi au format Cabinet de Microsoft). Il chiffrera également le plus souvent l’archive obtenue. Le stock original rassemblé sur le serveur sera ensuite effacé.

Les attaquants sont très inventifs lorsqu’il s’agit de faire sortir les données au nez et à la barbe des équipes de sécurité. Ils utiliseront toujours une connexion sortante sur un port standard : HTTP ou HTTPS très majoritairement (83%) avec une nette préférence pour HTTPS (71%). La connexion chiffrée sera établie vers des sites a première vue légitimes. Les pirates génèrent également des requêtes HTTP (GET, POST) syntaxiquement correctes, dans lesquels ils incluent des portions chiffrées (si le trafic ne l’est pas intégralement) et des portions aléatoires afin de compliquer une éventuelle détection statistique.

Dans certains cas enfin, MANDIANT a également observé l’usage de protocoles de messagerie instantanée afin de faire sortir les données, se mêlant alors au trafic utilisateur et étant particulièrement difficile à identifier.

7. Assurer la maintenance

Le travail d’un pirate n’est jamais vraiment terminé. Une fois les données dérobées, l’attaquant devra encore entretenir son accès et prendre soin de son parasite. Par l’intermédiaire d’un serveur Commande & Contrôle il sera en mesure de le mettre à jour (afin d’échapper à la détection), de l’améliorer et même de le remplacer ou le déplacer, en réaction aux tentatives de désinfection de la victime. MANDIANT indique ainsi avoir observé à de nombreuses reprises un véritable jeu d’échec par serveurs interposés, durant lesquels les attaquants ne comptaient pas abandonner le terrain si facilement même une fois l’intrusion détectée.

Outre cette méthodologie-type des attaques, le rapport de MANDIANT offre également une série d’études de cas (anonymisées !) qui illustrent parfaitement la sophistication des attaques et donnent un aperçu des informations recherchées : commerciales, techniques, juridiques (dans le cas de fusions et acquisitions), militaires et même d’ordre anti-terroriste. Passionnant !

Nous ne sommes hélas pas en mesure de diffuser notre copie du rapport M-TRENDS. Mais il est possible d’en faire la demande sur le site de MANDIANT. Bonne lecture !