PlugX : couteau suisse des attaquants APT

Magazine
Marque
MISC
Numéro
79
Mois de parution
mai 2015
Domaines


Résumé
Lors d'une attaque de type APT, les attaquants sont amenés à mettre en place des moyens de persistance dans le système d'information de leur victime. Pour cela, le RAT (Remote Administration Tool) est l'arme de choix, un type de malware conçu pour donner un accès quasi-complet à la machine infectée et à distance. Au royaume des RAT, PlugX fait partie des grands favoris.

1. Introduction

Le malware PlugX est apparu pour la première fois en début d'année 2012, et fut nommé d'après des chaînes de caractères de debug présentes dans le binaire désignant les noms de plusieurs fichiers source (XPlug.cpp, XplugRegedit.cpp, XPlugDisk.cpp…). À cette époque, de grandes similarités de code et fonctionnalités ont été observées avec le malware Destory, dont les premières mentions datent de mi-2011 dans un article détaillant l'APT ayant touché SK Communications [1].

Au départ, le malware contenait de nombreuses chaînes de caractères de debug et de journalisation : chemin vers le fichier .pdb (celui-ci ayant d'ailleurs permis à la société AlienVault de remonter à un potentiel auteur [2]), noms des fichiers source, journalisation des erreurs dans un fichier .log… Ces indicateurs tendent à montrer que PlugX était alors dans une phase de beta-testing, ce qui était confirmé par le fait qu'il était souvent retrouvé en parallèle...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction au dossier : Sécurisez vos serveurs et votre réseau local

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

2020 aura été une année marquante pour nos vies et nos sociétés. Il aura fallu se réinventer, trouver des solutions à des situations exceptionnelles. Dans les entreprises, l'Éducation ou la Santé, la mobilisation des ressources informatiques aura été maximale. Nos infrastructures auront ployé, tangué, parfois presque craqué, mais au final, cela aura tenu.

Passez à nftables, le « nouveau » firewall de Linux

Magazine
Marque
Linux Pratique
Numéro
122
Mois de parution
novembre 2020
Domaines
Résumé

Le firewall est un élément important pour sécuriser un réseau. Il est prouvé que la sécurité par l’obscurantisme ne fonctionne pas. Ce n’est donc pas une bonne idée d’utiliser une boîte noire en priant pour que tout se passe bien. Un bon firewall est donc installé sur un système d’exploitation libre. Linux fait évoluer le sien d’iptables vers nftables. Nous montrons dans cet article comment débuter avec la nouvelle mouture.

Introduction au dossier : Sécurité de l’orchestrateur Kubernetes

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Ce dossier s’intéresse à un système de plus en plus déployé aujourd’hui, à savoir l’orchestrateur Kubernetes. Au-delà de l’effet de mode évident dans son adoption actuelle, l’intérêt croissant pour ce projet nous amène forcément à nous poser une question essentielle : qu’en est-il de sa sécurité ? Devenu un standard de facto pour l’orchestration de conteneurs, Kubernetes, qui signifie gouvernail en grec, présente une architecture complexe et les possibilités de se tromper avec des conséquences importantes pour la sécurité d’un cluster sont nombreuses.