Les articles de Pernet Cédric

Les fraudes ayant cours en matière de cybercriminalité sont en constante évolution. Alors qu’en ce moment nous vivons sous l’explosion médiatique générée par les rançongiciels (ransomwares), d’autres types de fraudes relativement récentes sont beaucoup plus lucratives pour certains cybercriminels. De plus, elles demandent moins de moyens afin de gagner des montants qui se chiffrent généralement en centaines de milliers, voire en millions d’euros. Il s’agit des escroqueries appelées « business e-mail compromise » outre-Manche.

Les audits de sécurité et les tests de pénétration ont toujours été nécessaires afin de connaitre les failles/vulnérabilités exploitables/problèmes d’architecture les plus importants dans les réseaux des entreprises et autres entités disposant de nombreuses machines. Néanmoins, cela ne semble plus suffisant auprès de certains décideurs, qui souhaitent maintenant savoir s’ils sont vulnérables à des attaques ciblées, également appelées APT (Advanced Persistent Threat). Quelle est la différence avec un audit traditionnel ? Pourquoi ce service ? En quoi consiste-t-il ? Autant de questions auxquelles nous allons nous efforcer de répondre dans cet article.

De nombreuses publications détaillent le mode opératoire des attaques APT (Advanced Persistent Threat), ces attaques qui ciblent des entités diverses et variées afin de leur dérober leurs propriétés intellectuelles ou encore de les espionner. Ces attaques suivent généralement le même schéma connu et reconnu. Par contre, peu d’informations sont disponibles sur les attaquants. Certains chercheurs exposent des identités réelles d’attaquants, mais cela ne fournit pas forcément d’information sur les différents profils présents dans les groupes APT. Le but de cet article est de fournir une vue plus précise sur les profils composant ces groupes d’attaquants, ainsi que la façon dont ils sont structurés.

Depuis quelque temps, pas une semaine ne semble passer sans qu’il n’y ait un article, un billet de blog, ou un white paper sur le sujet des APT, que ce soit pour décrire des campagnes d’attaque, des groupes d’attaquants, analyser des malwares dédiés à ces attaques, ou malheureusement faire du marketing à peu de frais. Cependant, force est de constater que même les professionnels de l’IT sont parfois victimes de méconnaissances ou d’idées reçues sur cette problématique. Le but de cet article est donc d’exposer brièvement les premières bases de connaissance d'une attaque APT, son mode opératoire, et de définir un peu plus les différences entre compromissions classiques et APT.

Le domaine de l’inforensique est en perpétuelle évolution. Les systèmes d’exploitation changent, sont mis à jour, sont modifiés. Il en va de même pour les logiciels et le comportement des usagers. Cet ensemble en constante mouvance génère une charge de travail importante pour l’investigateur numérique, qui doit perpétuellement se maintenir à jour de ses connaissances.Parmi ces dernières, l’une des plus importantes est celle des différentes ruches de la base de registre des systèmes d’exploitation Windows. Elle constitue l’un des viviers les plus intéressants pour l’analyste, mais probablement le plus dense et le plus complexe.À l’intérieur de cette base se trouvent des milliers d’entrées, certaines plus obscures que d’autres. Parmi ces dernières, il en existe un certain nombre permettant de savoir si un binaire a été exécuté ou non. L’AppCompatCache en est un, qui n’est pas forcément très connu car peu documenté.

Lorsque l’on évoque des signatures d’attaques d’un système d’information via des malwares, il est naturel de penser à des détections basées sur le réseau. La sophistication atteinte par certains malwares et autres outils actuels de prise de contrôle à distance impose cependant de mettre en place des mécanismes de détection complémentaires. Ces derniers se basent sur une corrélation d’informations provenant aussi bien du réseau que des équipements qui le peuplent. Le format IOC (Indicator Of Compromise), vu dans le numéro précédent de MISC, permet de créer de telles signatures.Pour compléter ce format, il existe un système basé uniquement sur la détection de binaires, Yara.Yara permet de détecter des malwares ainsi que des outils d’attaques, que ce soit lors d’opérations de réponse à incident de sécurité informatique ou lors de contrôles récurrents du système d’information.

De nombreux axes de recherche peuvent être suivis lors d’une investigation numérique sur un poste de travail Microsoft Windows. Parmi ces derniers, il en est un qui est méconnu, peu documenté et finalement peu examiné, sauf dans certains cadres d’investigations : les shellbags Windows. Ces derniers permettent pourtant de faciliter le travail de l’enquêteur inforensique.

Les malwares modernes sont en constante évolution. Parmi ces malwares, la catégorie la plus distribuée actuellement est celle des chevaux de Troie (également appelés « troyens » ou « trojans »), qui constituent probablement le plus grand risque pour les internautes. Ces malwares ont pour but de dérober certaines informations sur un système qu’ils ont infecté. Ils peuvent être utilisés pour obtenir des documents sensibles et/ou confidentiels d’entreprises, mais également pour dérober diverses informations sur des ordinateurs d’internautes lambda. Les chevaux de Troie évoluent en termes de technicité pour poursuivre leur but : infecter le système quelle que soit sa configuration, obtenir l’information recherchée, et se maintenir si nécessaire sur le système, le plus longtemps possible.

En entreprise, l’analyse d’un malware lié à un incident de sécurité est une activité pouvant être réalisée à divers niveaux, en fonction de plusieurs paramètres : degré d’urgence, sensibilité de l’incident, but poursuivi, … Il peut être intéressant dans tous les cas d’obtenir en quelques minutes une première estimation des capacités du malware et de ses communications avec l’extérieur, ou encore de savoir rapidement quels fichiers il crée sur le système. C’est dans ce cadre qu’a été développé Cuckoo Sandbox, un bac à sable automatisé d’analyse de malware en environnement virtuel.

Le présent article a pour but de fournir des clés et bonnes pratiques pour mener à bien une recherche de malware dans le cadre d’une investigation inforensique « à froid ».