PlugX : couteau suisse des attaquants APT

Magazine
Marque
MISC
Numéro
79
Mois de parution
mai 2015
Spécialités


Résumé

Lors d'une attaque de type APT, les attaquants sont amenés à mettre en place des moyens de persistance dans le système d'information de leur victime. Pour cela, le RAT (Remote Administration Tool) est l'arme de choix, un type de malware conçu pour donner un accès quasi-complet à la machine infectée et à distance. Au royaume des RAT, PlugX fait partie des grands favoris.


1. Introduction

Le malware PlugX est apparu pour la première fois en début d'année 2012, et fut nommé d'après des chaînes de caractères de debug présentes dans le binaire désignant les noms de plusieurs fichiers source (XPlug.cpp, XplugRegedit.cpp, XPlugDisk.cpp…). À cette époque, de grandes similarités de code et fonctionnalités ont été observées avec le malware Destory, dont les premières mentions datent de mi-2011 dans un article détaillant l'APT ayant touché SK Communications [1].

Au départ, le malware contenait de nombreuses chaînes de caractères de debug et de journalisation : chemin vers le fichier .pdb (celui-ci ayant d'ailleurs permis à la société AlienVault de remonter à un potentiel auteur [2]), noms des fichiers source, journalisation des erreurs dans un fichier .log… Ces indicateurs tendent à montrer que PlugX était alors dans une phase de beta-testing, ce qui était confirmé par le fait qu'il était souvent retrouvé en...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction au dossier : EDR – Quel apport pour la sécurité de votre parc ?

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

La supervision de la sécurité des terminaux est souvent le parent pauvre des directions informatiques. Pendant longtemps, l’alpha et l'oméga en matière de gestion de la sécurité des terminaux se sont résumé à un antivirus, avec dans le meilleur des cas une console centralisée, l’application des patch tuesday et une authentification via contrôleur de domaine sans droits d'administration pour les usagers.

Tour d’horizon des mécanismes de supervision des EDR

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

Au cœur des stratégies de défense des terminaux, les EDR se positionnent comme des compléments, parfois même remplaçants, efficaces des solutions antivirales classiques. Cet article étudie les fondamentaux des mécanismes permettant aux EDR de superviser les opérations réalisées sur un système Windows, tels que l’userland hooking, l’utilisation des kernel callbacks, et des évènements de Threat Intelligence.

Présentation des EDR et cas pratiques sur de grands parcs

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

Réduire le temps de détection d'une attaque et sa remédiation est un enjeu crucial. Une technologie apportant de nouvelles solutions fait parler d'elle, son nom : EDR pour Endpoint Detection and Response. Mais qu'est-ce qu'un EDR, comment l'évaluer, le déployer ? Comment se démarque-t-il des autres solutions du marché ?

Techniques de mouvements latéraux en environnement Windows : tâches planifiées

Magazine
Marque
MISC
Numéro
115
Mois de parution
mai 2021
Spécialités
Résumé

Les tâches planifiées à distance peuvent être exploitées pour exécuter du code arbitraire à distance. Elles offrent un moyen efficace de se déplacer latéralement au sein d'un système d'information Windows. Dans cet article, les concepts techniques associés aux tâches planifiées et artefacts forensics seront détaillés.