Vidéo: Comment sont traquées les Menaces Persistantes Avancées (APT)? (Novembre 2024)
L'expression "menace persistante avancée" me fait penser à une image particulière, à un groupe de pirates informatiques dévoués, cherchant inlassablement de nouvelles attaques zéro jour, surveillant de près le réseau de victimes, volant silencieusement des données ou effectuant un sabotage secret. Après tout, le fameux ver Stuxnet avait besoin de plusieurs vulnérabilités de type «jour zéro» pour atteindre son objectif, et le produit dérivé de Stuxnet, Duqu, en utilisait au moins une. Cependant, un nouveau rapport d'Imperva révèle qu'il est possible de mener ce type d'attaque avec des moyens beaucoup moins sophistiqués.
Un pied dans la porte
Le rapport décrit en détail une attaque particulière après des informations confidentielles stockées sur les serveurs d'une entreprise. La conclusion à retenir est la suivante. Les attaquants ne mènent absolument pas d'attaque sur le serveur. Ils recherchent plutôt les périphériques les moins sécurisés du réseau, les compromettent et, peu à peu, parviennent à limiter cet accès limité au niveau de privilège dont ils ont besoin.
L’attaque initiale commence généralement par une étude de l’organisation victime, à la recherche des informations nécessaires à la création d’un courrier électronique ciblé de «spear phishing». Une fois qu'un employé malheureux ou un autre a cliqué sur le lien, les méchants ont pris pied.
En utilisant cet accès limité au réseau, les attaquants surveillent le trafic, en recherchant en particulier les connexions depuis des emplacements privilégiés vers le terminal compromis. Une faiblesse dans un protocole d'authentification très utilisé, appelé NTLM, peut leur permettre de capturer des mots de passe, ou des hachages de mots de passe, et ainsi d'accéder à l'emplacement de réseau suivant.
Quelqu'un a empoisonné le trou d'eau!
Une autre technique pour infiltrer davantage le réseau implique des actions de réseaux d'entreprise. Il est très courant que les organisations échangent des informations via ces partages réseau. Certaines actions ne doivent pas contenir d'informations sensibles, elles sont donc moins protégées. Et, tout comme tous les animaux visitent le point d'eau de la jungle, tout le monde visite ces partages réseau.
Les attaquants "empoisonnent le puits" en insérant des liens de raccourci spécialement conçus qui forcent la communication avec les machines qu'ils ont déjà compromises. Cette technique est aussi avancée que l'écriture d'un fichier de commandes. Une fonctionnalité Windows vous permet d’attribuer une icône personnalisée à n’importe quel dossier. Les méchants utilisent simplement une icône située sur la machine compromise. Lorsque le dossier est ouvert, Windows Explorer doit aller chercher cette icône. C'est assez d'une connexion pour laisser la machine compromise attaquer via le processus d'authentification.
Tôt ou tard, les attaquants prennent le contrôle d'un système ayant accès à la base de données cible. À ce stade, tout ce qu'ils ont à faire est de siphonner les données et de couvrir leurs traces. L'organisation victime peut ne jamais savoir ce qui les frappe.
Ce qui peut être fait?
Le rapport complet est en réalité beaucoup plus détaillé que ma simple description. Les mordus de sécurité voudront le lire, à coup sûr. Les non-méchants qui sont prêts à survoler les difficultés peuvent encore en tirer des leçons.
Un excellent moyen de mettre fin à cette attaque serait d’arrêter complètement d’utiliser le protocole d’authentification NTLM et de basculer vers le protocole Kerberos, beaucoup plus sécurisé. Les problèmes de compatibilité ascendante rendent toutefois cette opération extrêmement improbable.
La principale recommandation du rapport est que les organisations surveillent de près le trafic réseau afin de détecter tout écart par rapport à la normale. Il suggère également de limiter les situations dans lesquelles des processus à privilèges élevés se connectent à des noeuds finaux. Si suffisamment de grands réseaux prennent des mesures pour bloquer ce type d'attaque relativement simple, les attaquants peuvent en réalité être obligés de s'atteler et de proposer quelque chose de vraiment avancé.
