Scary Movie III, l'aventure continue

Par Sid, dimanche 21 mai 2006 à 23:23 :: (In)Sécurité :: lu 2680 fois :: #88 :: rss :: atom
Read it in english with Google

Dead computer

l est des histoires que les gens aiment écouter pour se faire un petit peu peur, mais pas trop. Chez les RSSI, c'est sûrement celle de l'attaque ciblée, du gars super compétent qui vous en veux à mort et va prendre tout son temps pour vous concocter le cocktail mortel inoculé juste là où ça fait mal sans que vous le voyiez venir. Le cauchemar. Seulement, pour le plupart des gens, ce scénario relève de la science fiction. C'est bien évident, les pirates sont tous des roumains boutonneux nourris à la pizza et au coca qui s'emmerdent ferme devant leur écran et leur accès 28,8kbauds.

Sauf que ce n'est pas le cas. L'utilisation de botnets massifs dans des opérations de chantage mafieux par exemple, après avoir été prise avec une légèreté toute comparable, est un fait aujourd'hui avéré et incontestable. Alors quid de l'attaque ciblée ? Censée être furtive, voire indétectable, difficile d'en sortir un exemple. Cependant, un article du SANS Diary nous en livre un exemple particulièrement croustillant.

En gros, que c'est-il passé ? Quelques courriers électroniques contenant un document Word attaché ont été envoyés a des personnes spécifiques dans l'entreprise ciblée. Ce document contenait un exploit pour une vulnérabilité jusqu'alors inconnue dans le traitement de texte de Microsoft, ce qu'on appelle un bon gros 0-Day des familles. Le code malicieux installait un trojan sur la machine et remplaçait la pièce jointe vérolée par une autre propre. Ce trojan, qui utilise des fonctionnalités de rootkit pour se dissimuler, scanne alors l'environnement, tout en communicant avec son maître en utilisant des requêtes HTTP, éventuellement envoyées à travers un proxy si nécessaire. L'attaque aurait été tracée aux alentours de la Chine et/ou Taiwan...

Le bonheur, tous les ingrédients sont réunis pour un succès :

Vecteur d'attaque courant et ciblé : courrier électronique ;
Charge furtive : exploitation d'une faille non connue, pas de signature dans les antivirus ;
Application ciblée courante : application bureatique ultra-répondue, Microsoft Word ;
Code malicieux dissimulé actif : trojan/backdoor/rootkit, un bot bien évolué et sur mesure en définitive ;
Vecteur de communication vers l'extérieur efficace et banalisé : HTTP, avec utilisation de la configuration du poste (proxy, éléments d'authentification) ;

Sympathique n'est-ce pas ? Je ne vais pas paraphraser plus longtemps l'analyse de cet incident. Je préfère vous renvoyer aux autres posts publiés par l'ISC du SANS sur la question, ils valent le détour et fournissent une tonne de liens intéressants :

Alors, les attaques ciblées, toujours un délire paranoïaque de consultant sécurité en mal de reconnaissance ? Manifestement non, et j'imagine déjà les discussions que ça va donner demain à la JSSI.

Note : 5.0/5 pour 5 votes

Trackbacks

1. Le vendredi 22 septembre 2006 à 17:20, de C'est bien fait quand même

Et les tests d'intrusion internes ?

Contre qui je veux me protéger ? Un vers, un utilisateur lambda, un prestataire malveillant ou parfois (mais rarement) un hacker russe (ou roumain)embauché par les chinois. Les moyens seront (en théorie) différents suivant la menace ciblée avec un...

Pour faire un trackback sur ce billet (URL valide pendant 5 minutes) : http://sid.rstack.org/blog/tb.php?id=88&chk=i0ncbt

Commentaires

1. Le lundi 22 mai 2006 à 01:06, par jme

O-day plus trojan écrit spécialement et communiquant par http... A part pleurer...

2. Le lundi 22 mai 2006 à 05:04, par Nico

Ce n'est pas un scoop, le NISCC en parlait deja en juin 2005: www.niscc.gov.uk/niscc/do...

Et a mon avis ce n'est que le haut du top du sommet de l'iceberg...

Nico.

Réponse de Sid

Le "mythe" de l'attaque ciblée n'est pas nouveau, c'est clair, ça fait super longtemps qu'on en parle (même moi j'en ai parlé). Mais là, c'est la première fois que je vois un grand nombre de facteurs aggravant réunis, en particulier le 0-day, dans un rapport plutôt détaillé.

3. Le lundi 22 mai 2006 à 10:52, par jme

De toute façon, les attaquants iront toujours au plus facile i-e le vecteur humain de la chaîne de sécurité. Pourquoi s'embêter à tenter de pénétrer un réseau entier lorsqu'il est possible de faire entrer un stagiaire, de laisser un CD traîner en salle café, de soudoyer un cadre ou de balancer un bon gros 0-day saupoudré d'un peu d'ingénierie sociale ? Nous sommes donc aux limites de la sécurité des S.I comme toujours dès qu'on touche au patrimoine informationnel...

Ca pourrait faire l'objet d'une conf au SSTIC :p

Réponse de Sid

@jme: je ne sais pas pour la conf au SSTIC, mais peut-être pourrait-on faire un social-honeypot, et après une conf au SSTIC ? :)=

4. Le lundi 22 mai 2006 à 13:56, par Yann

Je viens de tester ton nouveau Captcha anti-spam après mon absence (je remercie au passage l'armée Suisse ;), faut presque être intelligent maintenant :) Pour celui qui ne comprend pas le français, et qui veut poster quelque chose, je lui souhaite bonne chance...

Pour revenir à ton article, comme le dit si bien JME, on arrive là aux limites de la sécurité des SI. A part faire de la formation, encore et toujours, je ne vois pas ce que l'on pourrait faire de mieux.

Et pour une histoire public, combien y en a-t-il qui sont bien cachées ? On ne le sera jamais, mais il doit y en avoir beaucoup !

5. Le lundi 22 mai 2006 à 14:41, par jme

@sid: alors on savate Phil, on l'enduit de miel et on le jette dans la salle du SSTIC. Ou alors j'ai pas compris la définition du social-honeypot.

:p

Réponse de Sid

Un social-honeypot, c'est une application qui essaye de faire preuve d'une crédulité manifeste et exécute les binaires, ouvrent les documents, répond au spam, va se faire phisher, etc.

Le problème, c'est qu'être con, parfois, ça demande une intelligence difficilement émulable ;P

6. Le lundi 22 mai 2006 à 14:54, par jme

On peut prendre marc alors.

Réponse de Sid

J'te comprends, mais c'est pas beau de se moquer... J'me comprends.

7. Le mardi 23 mai 2006 à 11:46, par yom

@Yann
> Pour revenir à ton article, comme le dit si bien JME, on arrive là aux
> limites de la sécurité des SI. A part faire de la formation, encore et
> toujours, je ne vois pas ce que l'on pourrait faire de mieux.

Ben voilà, on y arrive : va falloir former ces crétins d'utilisateurs. Fini le temps béni où il suffisait d'installer des softs/appliances/bouzins-en-tous-genres en transparence partout, et pis l'utilisateur lambda, l'est de toute façon trop con pour comprendre qu'il ne faut pas cliquer sur melissa-theuriau-à-poil.exe ou surfer sur grosnichons.com...

Ca risque d'être sportif de devoir maintenant expliquer à tous les RSSI et assimilés que finalement, la sécu, ça peut parfois être assez simple et aussi peu compliqué que "former les utilisateurs". Et par conséquent, aussi, moins cher que l'artillerie lourde suscitée.

... Bon, OK, OK, j'en rajoute volontairement en grossissant le trait. :-)

8. Le mardi 23 mai 2006 à 11:51, par yom

Pour redevenir sérieux et apporter de l'eau au moulin de Cédric, quelques feedbacks (aucun rapport avec Nico*) du monde bancaire en matière d'attaques ciblées (en réalité : audits) :

- faux document Word contenant une macro-virus (un downloader et installer de keylogger**) envoyé sous signature du CE d'une banque (promo pour des vacances en Turquie) ;
- distribution par de ravissantes demoiselles de CD de démo d'un soft de gestion d'album photos à quelques dizaines de mètres des entrées de la boite ciblée, CD contenant, là encore, un keylogger entre autres joyeusetés.

Dans les deux cas, effets garantis.

* Bon, je sors...
** Si si, c'est un alexandrin ! :-)

Réponse de Sid

Un alexandrin, certes, mais pas équilibré au niveau de la césure. "Downloader/installer d'un beau keylogger" me semble plus sympa ;)

9. Le mardi 23 mai 2006 à 16:13, par Zaf

@Sid : "j'imagine déjà les discussions que ça va donner demain à la JSSI." Alors, tu peux nous faire un retour sur l'état d'esprit des participants sur ce pb ?

10. Le mardi 23 mai 2006 à 17:26, par jme

@yom

Certes mais, comme l'auteur de "The Six Dumbest Ideas in Computer Security" le disait si bien. Si la sensibilisation des utilisateurs devait marcher, elle aurait du le faire depuis longtemps.

"Penetrate and Patch" can be applied to human beings, as well as software, in the form of user education. On the surface of things, the idea of "Educating Users" seems less than dumb: education is always good. On the other hand, like "Penetrate and Patch" if it was going to work, it would have worked by now. There have been numerous interesting studies that indicate that a significant percentage of users will trade their password for a candy bar, and the Anna Kournikova worm showed us that nearly 1/2 of humanity will click on anything purporting to contain nude pictures of semi-famous females.

www.ranum.com/security/co...

11. Le mercredi 24 mai 2006 à 15:32, par Ixeji

Le sujet n'a pas été abordé durant la JSSI, en tout cas pas lors des présentations. Pour ce qui est des pauses café, c'est un autre problème.

12. Le mercredi 24 mai 2006 à 15:49, par Kevin

Et comment l'intrusion s'est elle fait detectee?
Seulement a cause des requetes sortantes?

13. Le mercredi 24 mai 2006 à 17:07, par fx

@Kevin :
"Detection is mostly the very hard part in these attacks. This case seems to have been detected by a very alert user detecting a domainname in an email that wasn't completely right." ( source : isc.sans.org/diary.php?st... ... source qui d'ailleurs était citée à sid.rstack.org/blog/index... ... la boucle est bouclée)

Réponse de Sid

Accessoirement, on l'a aussi reçu en une 10e d'exemplaire entre temps, et bouclé l'analyse.
Rigolo la petite bête, hormis le fait que l'auteur a oublié que l'utilisateur pouvait ne pas avoir le droit d'écrire à la racine de C:\, ce qui a pour effet de bloquer purement et simplement l'exécution.

Ma petite parcelle d'Internet...