Depuis la récente attaque de SolarWinds, l'intérêt pour la cybersécurité a largement augmenté au sein des entreprises. (Crédit : Pixabay)
Des outils de test de confiance aux LOLBINs (fichiers légitimes transformés), les attaquants abusent des plateformes et des protocoles de confiance pour échapper aux contrôles de sécurité. Voici quelques tactiques utilisées par les cybercriminels.
Les RSSI disposent d'une panoplie d'outils toujours plus performants pour repérer et stopper les activités malveillantes : outils de surveillance du réseau, scan de vulnérabilité, outils d'analyse de la composition des logiciels (SCA), solutions de forensic et de réponse aux incidents, etc. Mais bien sûr, la cybersécurité est une bataille permanente entre l'attaque et la défense, et les attaquants continuent de poser de nombreux défis.
Des techniques plus anciennes, comme la stéganographie - l'art de cacher des informations, y compris des charges utiles malveillantes, dans des fichiers par ailleurs inoffensifs, comme des images - évoluent, offrant de nombreuses possibilités. Par exemple, un chercheur a récemment démontré que même Twitter n'était pas à l'abri de la stéganographie et qu'il était possible d'abuser des images de la plateforme pour y insérer des archives ZIP pouvant atteindre 3 Mo.
En plus d'utiliser des techniques de camouflage, de stéganographie et d'empaquetage de logiciels malveillants, les acteurs de la menace profitent souvent aujourd'hui de services, de plateformes, de protocoles et d'outils légitimes pour mener leurs activités. Ils peuvent ainsi se fondre dans un trafic ou une activité qui peut sembler "propre" aux analystes humains et aux machines.
Voici cinq tactiques que les cybercriminels utilisent aujourd'hui pour brouiller les pistes.
Débrancher les alarmes d'outils des plateformes
C'était un thème commun vu par les professionnels de la sécurité en 2020 qui s'est immiscé cette année. Des services et outils de tests de pénétration tels que Cobalt Strike et Ngrok, aux écosystèmes de code open source établis comme GitHub, en passant par les sites d'images et de textes comme Imgur et Pastebin, les attaquants ont ciblé un large éventail de plateformes de confiance au cours des dernières années.
En général, Ngrok est utilisé par des pirates éthiques désireux de collecter des données ou de mettre en place des tunnels fictifs pour les connexions entrantes dans le cadre d'exercices de bug bounty ou de pen-testing. Mais des acteurs malveillants ont abusé de Ngrok pour installer directement des logiciels malveillants de botnet ou pour connecter un service de communication légitime à un serveur malveillant. Dans un exemple plus récent, Xavier Mertens du SANS Institute a repéré un tel échantillon de malware écrit en Python qui contenait du code codé en base64 pour installer une porte dérobée sur le système infecté qui utilisait Ngrok. Ce dernier étant largement reconnu, l'attaquant distant pourrait se connecter au système infecté via un tunnel Ngrok, qui contournerait probablement les pare-feu d'entreprise ou les protections NAT.
GitHub a également été utilisé pour héberger des logiciels malveillants, d'Octopus Scanner à Gitpaste-12. Récemment, des attaquants astucieux ont abusé de GitHub et d'Imgur en utilisant un script PowerShell open-source qui leur a permis d'héberger un script simple sur GitHub qui calcule la charge utile Cobalt Strike à partir d'une photo Imgur banale. Cobalt Strike est un cadre de test de pénétration populaire permettant de simuler des cyberattaques avancées dans le monde réel, mais comme tout produit logiciel de sécurité, il peut être utilisé à mauvais escient par des adversaires.
De même, les outils d'automatisation dont dépendent les développeurs ne sont pas à l'abri d'une exploitation. En avril, des attaquants ont abusé des actions GitHub pour cibler des centaines de dépôts dans une attaque automatisée qui utilisait le serveur et les ressources de GitHub pour le minage de crypto-monnaies.
Ces exemples montrent pourquoi les attaquants trouvent de l'intérêt à cibler des plateformes légitimes que de nombreux pare-feu et outils de surveillance de la sécurité ne bloquent pas forcément.
Tirer parti de la réputation d'une marque
Les problèmes de sécurité de la supply chain ont peut-être attiré l'attention du public à la suite de la récente violation de SolarWinds, mais ces attaques sont en augmentation depuis un certain temps.
Que ce soit sous la forme de typosquatting, de brandjacking ou de confusion de dépendances (qui a d'abord été révélée comme une recherche de preuve de concept, mais qui a ensuite été utilisée à des fins malveillantes), les attaques "en amont" exploitent la confiance au sein d'écosystèmes de partenaires connus et capitalisent sur la popularité ou la réputation d'une marque ou d'un composant logiciel. Les attaquants cherchent à pousser le code malveillant en amont vers une base de code de confiance associée à une marque, qui est ensuite distribuée en aval à la cible finale : les partenaires, les clients ou les utilisateurs de cette marque.
Tout système ouvert à tous est également ouvert aux adversaires. Ainsi, de nombreuses attaques de la chaîne d'approvisionnement ciblent les écosystèmes à code source ouvert, dont certains ont mis en place une validation laxiste pour respecter le principe "ouvert à tous". Cependant, les organisations commerciales sont également sujettes à ces attaques.
Dans un cas récent que certains ont comparé à l'incident de SolarWinds, la société de test de logiciels Codecov a révélé une attaque contre son script Bash Uploader qui n'avait pas été détectée pendant plus de deux mois. Codecov compte plus de 29 000 clients, dont certaines grandes marques mondiales. Dans cette attaque, l'uploader utilisé par les clients de l'entreprise a été modifié pour exfiltrer les variables d'environnement du système (clés, informations d'identification et jetons) vers l'adresse IP de l'attaquant.
Pour se protéger contre les attaques de supply chain, il faut agir sur plusieurs fronts. Les fournisseurs de logiciels devront intensifier leurs investissements pour assurer la sécurité de leurs builds de développement. Les solutions devops basées sur l'IA et le ML, capables de détecter et de bloquer automatiquement les composants logiciels suspects, peuvent aider à prévenir les attaques de typosquatting, de brandjacking et de confusion de dépendances.
En outre, comme de plus en plus d'entreprises adoptent les clusters Kubernetes pour déployer leurs applications, les solutions de sécurité des conteneurs qui disposent d'un pare-feu d'application web intégré sont capables de repérer rapidement les simples erreurs de configuration peuvent aider à prévenir un compromis plus important.
Réduire la traçabilité des paiements en crypto-monnaies
Les vendeurs de places de marché du Darknet et les opérateurs de ransomwares traitent souvent en crypto-monnaies, en raison de leur conception décentralisée et respectueuse de la vie privée. Cependant, bien qu'elles ne soient pas frappées ou contrôlées par des banques centrales gouvernementales, les crypto-monnaies n'offrent toujours pas le même niveau d'anonymat que les espèces. Les cybercriminels trouvent donc des moyens innovants pour siphonner les fonds entre les comptes. Ainsi, récemment des bitcoins d'une valeur de plus de 760 millions de dollars liés au piratage de Bitfinex en 2016 ont été transférés vers de nouveaux comptes en plusieurs transactions de moindre importance, pour des montants allant de 1 BTC à 1 200 BTC.
La crypto-monnaie n'est pas un moyen totalement infaillible de dissimuler une piste d'argent. Le soir de l'élection présidentielle américaine de 2020, le gouvernement américain a vidé un portefeuille bitcoin d'un milliard de dollars qui contenait des fonds liés à la plus célèbre place de marché du darknet, Silk Road, qui avait elle-même été fermée en 2013.
Certaines autres crypto-monnaies comme Monero (XMR) et Zcash (ZEC) ont des capacités de préservation de la vie privée plus étendues que le bitcoin pour l'anonymat des transactions. Le va-et-vient entre les criminels et les enquêteurs va sans doute se poursuivre sur ce front, les attaquants continuant à chercher de meilleurs moyens de dissimuler leurs traces.
Utilisation de canaux et de protocoles communs
À l'instar des plateformes et des marques de confiance, les canaux, ports et protocoles chiffrés utilisés par les applications légitimes constituent un autre moyen pour les attaquants de masquer leurs traces.
Par exemple, HTTPS est un protocole universellement indispensable pour le Web aujourd'hui, et pour cette raison, le port 443 (utilisé par HTTPS/SSL) est très difficile à bloquer dans un environnement d'entreprise.
Cependant, le DNS sur HTTPS (DoH) - un protocole de résolution de domaines - utilise également le port 443, et les auteurs de logiciels malveillants en ont abusé pour se connecter avec les serveurs de commandes de contrôle (C2) depuis les systèmes infectés.
Ce problème présente deux aspects. Tout d'abord, en abusant d'un protocole couramment utilisé comme HTTPS ou DoH, les attaquants bénéficient des mêmes avantages en matière de confidentialité des canaux cryptés de bout en bout que les utilisateurs légitimes. Deuxièmement, cela pose des difficultés aux administrateurs de réseaux. Le blocage des DNS, sous quelque forme que ce soit, constitue en soi un défi, mais désormais, étant donné que les requêtes et les réponses DNS sont chiffrées via HTTPS, il devient fastidieux pour les professionnels de la sécurité d'intercepter, d'isoler et d'analyser le trafic suspect parmi les nombreuses requêtes HTTPS entrant et sortant du réseau.
Le chercheur Alex Birsan, qui a démontré la technique de confusion des dépendances pour pirater de manière éthique plus de 35 grandes entreprises technologiques, a pu maximiser son taux de réussite en utilisant le DNS (port 53) pour exfiltrer des informations de base. Il a choisi le DNS en raison de la forte probabilité que les pare-feu des entreprises ne bloquent pas le trafic DNS, en raison des exigences de performance et des utilisations légitimes du DNS.
Utilisation de LOLBIN
Le concept familier des logiciels malveillants sans fichier utilisant des binaires "living-off-the-land" (LOLBIN) reste une technique d'évasion valable. Les LOLBIN font référence à des exécutables légitimes signés numériquement, tels que les exécutables Windows signés par Microsoft, qui peuvent être utilisés par les attaquants pour lancer des codes malveillants avec des privilèges élevés ou pour échapper aux produits de sécurité des points finaux tels que les antivirus.
Le mois dernier, Microsoft a partagé des conseils sur les techniques défensives que les entreprises peuvent adopter pour empêcher les attaquants d'abuser des LOLBIN d'Azure de Microsoft.
Dans un autre exemple, un malware pour Linux et macOS récemment découvert présentait un taux de détection nul parmi tous les principaux antivirus. Le code contenait des éléments d'obscurcissement, ce qui l'a aidé à passer sous les radars. Cependant, une enquête plus approfondie a également révélé qu'il avait été construit à l'aide de centaines de composants open source légitimes et qu'il menait ses activités malveillantes, comme l'obtention de privilèges administratifs, de manière identique à celle des applications saines.
Si les logiciels malveillants obfusqués, les paquets d'exécution, l'évasion de la VM ou la dissimulation de la charge utile dans des images sont des techniques d'évasion connues et utilisées par les menaces avancées, leur véritable puissance réside dans le contournement des produits de sécurité ou dans le fait de passer sous leur radar. Et cela est possible lorsque les charges utiles sont combinées dans une certaine mesure avec des composants logiciels, des protocoles, des canaux, des services ou des plateformes de confiance.
Suivez-nous