Les articles de MISC Hors-Série N°12

Image promotionnelle
Tests d'intrusion Red Team : évolutions et challenges
Article mis en avant

Préface

Bienvenu dans ce nouveau mook de MISC, dont l'ambition est de vous faire bénéficier des retours d'expérience de nombreux passionnés réalisant des tests d'intrusion Red Team. Si la définition du « Red Team » n'est pas triviale et sa frontière avec un test d'intrusion plus classique parfois ténue, sa caractéristique principale est de simuler de façon la plus réaliste possible une attaque informatique entre d'un côté les attaquants (la Red Team) et les défenseurs (la Blue Team). Cela dans le but de tester la sécurité d'une organisation face à des attaquants sérieux et motivés.

Qu'est-ce qu'un test d'intrusion Red Team ? En quoi cette approche se distingue d'autres tests d'intrusion plus « classiques » ? Quels sont les challenges particuliers de ce type d'évaluation sécurité, à la fois pour les sociétés d'expertise en sécurité qui jouent les attaquants (Red Team), pour les commanditaires et leurs équipes de défense (Blue Team) et enfin pour les jeunes talents cherchant à se perfectionner dans cet exercice ?
Issu du vocabulaire militaire, où « Red Team » et « Blue Team » s'affrontent lors des manœuvres d'exercice, ce terme est de plus en plus rencontré dans le monde de la sécurité informatique : intitulés de conférence, catalogues de formations et maintenant jusque dans les brochures commerciales des sociétés de conseil en sécurité. Une attaque « Red Team » vise donc à simuler une attaque ciblée, considérant l'entreprise « victime » comme un tout. Tous les moyens sont bons pour parvenir à ses fins, enfin, presque...
Cet article s'intéresse à l'exploitation des vulnérabilités liées à la génération de nombres aléatoires en PHP et plus particulièrement à l'exploitation de la vulnérabilité EZSA-2015-001 [1] ou OSVDB-122439 [2] dans le CMS eZ Publish. Cette vulnérabilité tire parti de l'utilisation à mauvais escient de la fonction PHP mt_rand. En effet, cette fonction, utilisée pour générer des nombres aléatoires, est prédictible sous certaines conditions.
Les attaques sur les postes clients via spear phishing sont à la base de nombreuses APT. Pourquoi ? À cause de leur facilité. Dans un monde où les systèmes sont de mieux en mieux sécurisés, l'humain reste toujours exploitable. Ainsi, il convient de s'en protéger, ou tout du moins de tester le degré d'exposition de son organisation face à cette menace, d'où l'intérêt d'intégrer des campagnes de phishing aux tests d'intrusion.
Ce retour d'expérience retrace les différentes étapes et les choix faits lors du développement d'une backdoor réalisée cette année et utilisée pour la réalisation de prestations Red Team. Pour chaque étape, il présente les différentes possibilités envisagées et justifie les choix d'implémentation faits par notre équipe Red Team.
De nombreux fantasmes existent concernant les anti-virus et le niveau de sécurité qu'ils apportent. Il n'est pas rare d'entendre tout et son contraire concernant ces logiciels. Cet article présente les différentes protections qu'ils offrent et leur manière de fonctionner. Nous expliquerons ensuite comment ils peuvent être contournés, mais aussi les difficultés qui peuvent être rencontrées pour passer d'un packer « proof-of-concept » à son industrialisation dans le cadre d'un test d'intrusion Red Team.
De l'Antiquité à nos jours, l'homme a utilisé son intellect pour tourner des situations critiques à son avantage en manipulant l'autre, et en instrumentalisant ses émotions. Le cheval de Troie d’antan s'est dématérialisé, mais leurre toujours efficacement sa cible. Aujourd'hui, ce type d'attaques est plus que jamais d'actualité avec chaque jour l'envoi de millions d'e-mails de Phishing, sans parler des approches de plus en plus ciblées menées par des personnes malintentionnées.
Dans un contexte d'entreprise classique, une prestation Red Team se résume le plus souvent à un test d'intrusion externe couplé à une campagne d'envoi de pièces jointes malveillantes et parfois d'une intrusion physique au siège de l'entreprise pour déposer un boîtier d'intrusion sur le réseau interne… essayons de voir plus loin.
L’analyse de trafic réseau est une des techniques les plus populaires d’analyse dynamique de malwares. Dans le cadre de la réponse à incident, elle permet rapidement d’identifier les points de commande et contrôle (C2) et de produire des marqueurs ou indicateurs de compromission (« Indicators of Compromise », ou IOC) pertinents pour identifier des hôtes infectés. Les marqueurs réseau sont aussi un très bon point de pivot pour étendre sa connaissance sur l’adversaire : infrastructure, autres malwares, etc. Cependant, les outils classiques d’analyse réseau ne permettent pas de partager ses trouvailles avec d’autres chercheurs, obligeant la communauté « blue team » à partir de zéro lors de l’analyse. Nous allons voir comment Malcom essaye de répondre à ces besoins de partage et en quoi il diffère des outils d'analyse réseau classiques.
Cet article présente mon retour d'expérience en tant que RSSI ayant commandité et suivi une large campagne de tests d'intrusion de type Red Team. Cette campagne s'est déroulée sur une durée de 3 mois et a mis notre organisation à l'épreuve face à plusieurs scénarios de menaces avec, par exemple le spear-phishing, des intrusions physiques, des intrusions sur les systèmes industriels embarqués et la simulation du vol du PDA d'un employé.