APT – Qui sont les attaquants ?

Magazine
Marque
MISC
Numéro
85
Mois de parution
mai 2016
Domaines


Résumé
De nombreuses publications détaillent le mode opératoire des attaques APT (Advanced Persistent Threat), ces attaques qui ciblent des entités diverses et variées afin de leur dérober leurs propriétés intellectuelles ou encore de les espionner. Ces attaques suivent généralement le même schéma connu et reconnu. Par contre, peu d’informations sont disponibles sur les attaquants. Certains chercheurs exposent des identités réelles d’attaquants, mais cela ne fournit pas forcément d’information sur les différents profils présents dans les groupes APT. Le but de cet article est de fournir une vue plus précise sur les profils composant ces groupes d’attaquants, ainsi que la façon dont ils sont structurés.

1. Rappel – Schéma d’attaque

Ce schéma a déjà été exposé dans MISC 79 (« APT 101 »), aussi nous en tiendrons-nous au minimum afin de le décrire.

La chaîne d’attaque APT peut se représenter ainsi :

phases

Fig 1 : Cycle d’une attaque APT.

La première phase consiste à collecter toute information utile par rapport à l’entité ciblée, que ce soit par rapport à ses employés, son mode de fonctionnement, ou encore son infrastructure informatique. Ces informations seront utilisées dans les phases suivantes.

La seconde étape consiste en l’attaque et la compromission initiale du réseau de la cible : spear phishing sur certains employés, attaques de serveurs, etc.

La troisième phase permet aux attaquants de renforcer leurs accès sur le réseau ciblé, notamment par l’élévation de privilèges et l’installation de plusieurs malwares et portes dérobées.

La quatrième phase consiste à parcourir le réseau ciblé, afin de découvrir les informations à dérober.

La...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Investigation numérique de l’image disque d’un environnement Windows

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Une investigation numérique requiert de nombreuses étapes. Celles-ci varient en fonction des données disponibles. Une des plus importantes est l’analyse de la mémoire vive (voir MISC N°111 [1]). L’analyse de la mémoire de masse, constituée des événements propres au système d’exploitation apporte de nouveaux éléments. Une fois celles-ci terminées, la corrélation des deux nous permettra de confirmer d’éventuelles hypothèses.

Sécurisez votre réseau

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Maintenant que notre serveur principal est déployé et que nous y avons appliqué un premier niveau de sécurisation système, occupons-nous de sa sécurisation réseau. Nous allons détailler en quoi les attaques réseau sont primordiales dans notre modèle de menace. Comme nous le verrons, l’accès distant est le risque principal qui guette nos serveurs. Nous allons mettre en œuvre une sécurité en profondeur et les mesures de protection réseau en seront une de ses dimensions importantes.

CVE-2020-3433 : élévation de privilèges sur le client VPN Cisco AnyConnect

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Cet article explique comment trois vulnérabilités supplémentaires ont été découvertes dans le client VPN Cisco AnyConnect pour Windows. Elles ont été trouvées suite au développement d’un exploit pour la CVE-2020-3153 (une élévation de privilèges, étudiée dans MISC n°111). Après un rappel du fonctionnement de ce logiciel, nous étudierons chacune de ces nouvelles vulnérabilités.