les étapes d`une attaque en apt
Transcription
les étapes d`une attaque en apt
LES ÉTAPES D’UNE ATTAQUE EN APT par Aurélien CARBONNEL Master 2 sciences politiques spécialité Management du Risque Université Paris Ouest Nanterre-La Défense Juin 2012 PRESENTATION Les récentes cyberattaques de grande ampleur qui ont visé le Ministère de l’Economie et des Finances et le géant japonais SONY sont autant d’évènements qui nous montrent que la menace des Advanced Persistent Threats (APT) est réelle et que, contrairement aux idées reçues, les APT ciblent un grand nombre d’organisations, qu’elles soient privées ou publiques. Les APT peuvent se définir comme des attaques commanditées, ciblées qui exploitent du code malveillant personnalisé implanté sur des ordinateurs de l’organisation cible. Elles sont l’œuvre de cybercriminels de plus en plus qualifiés et motivés, bien financés et nécessitent une implication humaine forte et coordonnée. Elles sont destinées à infiltrer une victime particulière, à extraire une ou des informations déterminées et à permettre un contrôle à distance persistant sur les machines exploitées. L’objectif du présent document est de définir les différentes étapes d’une attaque en APT. LA RECONNAISSANCE ET LA PRISE DE RENSEIGNEMENTS SUR LA CIBLE La première étape pour le cybercriminel est de réunir un maximum d’informations précises sur l’organisation cible. La reconnaissance peut se faire en direct (entendons par là un face à face avec une personne), par téléphone ou encore via internet. Il s’agit ici de reconstituer l’organigramme de l’organisation visée, notamment au moyen d’outils IT, grâce auxquels on va récupérer l’ensemble des documents bureautiques de l’entreprise qui sont disponibles depuis les moteurs de recherche web et en extraire ce qu’on appelle les métadonnées qui comprennent notamment les chemins des volumes de stockage, le nom des imprimantes, les noms et versions des logiciels utilisés et les chemins des fichiers. Il existe pour cela une multitude d’outils, la plupart téléchargeables depuis internet, qui permettent de cartographier l’organisation, ses systèmes, les technologies qu’elle utilise et ses collaborateurs à partir de données publiques, comme Maltego. L’ensemble de ces renseignements va permettre, d’une part d’identifier les vulnérabilités que pourront exploiter les gens à l’origine de l’attaque et d’autre part, permettre à ces mêmes personnes d’établir un plan pour masquer leurs attaques, l’objectif étant que l’extraction puisse perdurer. Un livre blanc 1/4 LA PHASE D’INTRUSION ET LA CRÉATION D’UNE BACKDOOR Après avoir identifié les faiblesses de l’organisation ciblée, les pirates vont avoir pour but de prendre le contrôle de quelques postes de travail dans l’entreprise grâce à de l’ingénierie sociale envers ses salariés. Pour ce faire, ils utilisent généralement le phishing, envoi de courriel malveillant contenant un lien vers un site web ou une pièce jointe type PDF qui, lors de son ouverture par le salarié crédule, installe un code malveillant. Cette méthode présente des avantages et des inconvénients : certes cette attaque est assez simple et peu coûteuse mais le problème réside dans le fait qu’en raison de leur trop grande simplicité les outils de prévention d’intrusions peuvent les détecter. Il existe d’autres possibilités moins connues d’attaques dirigées contre des vulnérabilités mais elles sont extrêmement chères. Aussi, seuls certains cybercriminels qui disposent de moyens financiers conséquents peuvent les mettre en œuvre. Généralement, les cybercriminels vont créer une porte dérobée (backdoor) qui est une fonctionnalité inconnue de l’utilisateur légitime donnant un accès secret au logiciel. Cette backdoor a pour objectif de permettre au cybercriminel de s’introduire à nouveau au cœur de l’ordinateur sans avoir pour cela besoin d’exploiter une fois encore la faille via laquelle il a pu obtenir l’accès initial. En effet, on peut imaginer que la faille initiale finira par être démasquée or on l’a dit, l’extraction doit pouvoir perdurer. Aussi, en créant cette backdoor, le cybercriminel va pouvoir augmenter ses privilèges sur les machines et s’installer plus solidement sur le système en rendant le code malveillant à la fois transparent et persistant. Par ailleurs, le pirate pourra aussi se servir de la machine infectée appelée « zombie » comme tremplin pour le lancement d’attaques sur d’autres ordinateurs ou serveurs. LA DÉCOUVERTE DU RESEAU INTERNE Une fois des postes de travail hameçonnés, le cybercriminel à l’origine de l’APT va entreprendre une découverte du réseau en profondeur à travers l’intranet de l’entreprise, télécommandée via une communication chiffrée véhiculée par la connexion internet externe de l’organisme ciblé. Suivant le profil des utilisateurs hameçonnés il sera plus ou moins rapide d’atteindre le ou les serveur(s) de données ciblées. Dans l’éventualité où les postes de travail contrôlés ne permettent pas d’atteindre le ou les serveur(s) de données ciblées, la phase d’intrusion est réitérée jusqu’à ce qu’elle permette de contrôler un poste permettant d’avoir accès au serveur des données ciblées. Une fois que cela est fait, l’attaque APT va utiliser les vulnérabilités pour déposer le code malveillant d’extraction d’information. L’EXTRACTION DE DONNÉES ET LA MAINTENANCE Une fois les données ciblées atteintes, le pirate va devoir installer des outils lui permettant d’archiver et de compresser les données à extraire. Afin de permettre à l’attaque de perdurer, le pirate va accorder un soin particulier à la réalisation du code malveillant d’extraction des informations car le but est qu’il fonctionne aussi longtemps que possible sans être détecté par les outils de sécurité afin de pouvoir exfiltrer de nouveaux documents ou exfiltrer les mises à jour du document ciblé au début. Dans cette optique, le code doit être modifiable à distance afin de muter pour rester non détectable lors de l’installation de nouveaux anti-virus. Il devra par ailleurs être installé en mode persistant avec un niveau privilège élevé. Généralement l’extraction se fera via HTTP ou HTTPS, mais il arrive parfois que ces extractions passent aussi par les protocoles de messageries instantanées. L’EXEMPLE DE LA CYBERATTAQUE CONTRE BERCY Le lundi 7 mars 2011, le Ministère de l’Economie et des Finances annonce avoir fait l’objet d’une « attaque informatique sans précédent » qui aurait commencé en décembre 2010. L’objectif de cette attaque était de collecter des informations portant sur la présidence française du G20 et sur la politique économique extérieure de la France. Cette cyberattaque en APT est un modèle du genre à la fois simple et efficace. Après s’être renseigné sur sa victime, le cybercriminel a envoyé un mail contenant un cheval de Troie en pièce jointe sous format Un livre blanc 2/4 PDF. Cet e-mail aurait été envoyé par une personne de confiance dont l’identité aurait été usurpée et accompagné d’un message du type « regardez ce document, il pourrait vous intéresser ». Lors de l’ouverture du fichier PDF, une faille logicielle a été utilisée afin d’exécuter un script à distance sur l’ordinateur de la victime. Une fois le contrôle de la machine effectif, diverses informations ont été récoltées et les activités de l’utilisateur ont été observées. Selon les éléments de l’enquête communiqués, c’est via le protocole HTTP que les données auraient été extraites et ce vers le continent asiatique. Cependant, vu l’ampleur de l’attaque, on peut supposer que les cybercriminels responsables ont pu masquer leurs traces et identités en utilisant des ordinateurs euxmêmes piratés (appelés « zombies ») à différents endroits du globe. CONCLUSION Fin janvier 2011 la société Mandiant spécialisée dans les prestations de sécurité informatique a publié un portrait-robot des étapes clés d’une attaque APT : - Reconnaissance de l'écosystème de la victime (scan, ingénierie sociale, ...) - Intrusion furtive dans les systèmes cibles (envoi de mail ciblés avec cheval de Troie) - Mise en place d'une backdoor sur le réseau pénétré - Obtention de droits d'accès vers d'autres systèmes internes - Installation d'un ensemble d'outillage nécessaire à la furtivité, l'extraction de données - Obtention de privilèges plus importants - Extraction furtive de données avec utilisation de canaux licites - Adaptation à l'écosystème et ses détecteurs pour préserver les acquis de l'attaquant Pour conclure, la lutte contre les APT nécessite une approche transversale et globale. D’une part des mesures de prévention doivent être prises notamment en matière de sensibilisation des utilisateurs aux risques liés aux pièces jointes. D’autre part, il faut travailler sur des outils de détection novateurs afin d’identifier aussi rapidement que possible les comportements anormaux du système d’information. GLOSSAIRE APT Advanced Persistent Threats HTTP HyperText Transfer Protocol HTTPS HyperText Transfer Protocol Secure Maltego Outil d’exploration de données (data mining) qui permet de trouver facilement, et de manière visuelle, des informations dont l’accès est libre et autorisé Outils IT outils en lien avec l’informatique (Information Technology) PDF Portable Document Format Phishing technique utilisée par les fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité, il s’agit de faire croire à la victime qu’elle s’adresse à un tiers de confiance pour lui soutirer des informations BIBLIOGRAPHIE Rapport “M- Trends 2010” de la société Mandiant Article « APT : des attaques quasi-indétectables » par Thierry Lévy- Abégnoli Article « Les menaces persistantes avancées (APT), épouvantail ou vrai danger ? » par Graeme Nash Article « Cyber-attaque contre Bercy : premier bilan » sur le site Secu(insight).fr Article « Cyber-Espionnage/ Advance Peristent Threat (APT) : Science-fiction ou réalité ? par Cyrille Badeau Un livre blanc 3/4 A PROPOS DE L’AUTEUR Titulaire d’une Licence de droit français et de droit anglo-américain, d’un Master de droit international, Aurélien Carbonnel termine fin septembre 2012 son stage de fin d’études au sein du service Sécurité/Sûreté/Prévention du Crédit Agricole S.A. dans le cadre d’un Master 2 de sciences politiques spécialité Management du Risque. Membre du CDSE Junior, passionné par les nouvelles technologies, il est particulièrement sensible aux risques et menaces liés à la cybercriminalité, notamment en matière de sécurité de l’information au sein des entreprises. Souhaitant associer son cursus universitaire et sa passion, il intègrera en 2013 le Mastère de Gestion des Risques sur les Territoires de l’Ecole Internationale des Sciences du Traitement de l’Information (EISTI) en contrat de professionnalisation au sein du département Contrôle Interne et Evaluation des Risques de la branche Supply Marketing du groupe Total à la Défense (92). Les idées émises dans ce livre blanc n’engagent que la responsabilité de leurs auteurs et pas celle de Forum ATENA. La reproduction et/ou la représentation sur tous supports de cet ouvrage, intégralement ou partiellement est autorisée à la condition d'en citer la source comme suit : © Forum ATENA 2012 – Les étapes d’une attaque en APT Licence Creative Commons - Paternité Pas d’utilisation commerciale Pas de modifications L'utilisation à but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites sans la permission écrite de Forum ATENA. Un livre blanc 4/4