Grâce à la boutique en ligne Apple Store et à une option d'achat bien précise, des cybercriminels sont parvenus à s'emparer de plus de 400 000 dollars en 2 ans. Mais, comment ont-ils fait ?
À l'occasion d'une conférence organisée à l'événement Black Hat Asia, Gyuyeon Kim et Hyunho Cho, deux chercheurs de l’Institut de sécurité financière de Corée du Sud, ont dévoilé une vaste opération menée par des cybercriminels. Cette présentation baptisée "Operation PoisonedApple" est le fruit de plusieurs mois d'enquête.
Tout d'abord, les chercheurs ont identifié une vague de piratages ciblant une cinquantaine de centres commerciaux en ligne, notamment au Japon, grâce à l'utilisation d'une technique bien connue : le phishing. Les pages mises en ligne sont des copies des sites officiels et sont utilisés par les cybercriminels pour voler des informations personnelles au sujet des victimes, ainsi que leurs coordonnées bancaires.
"Ces groupes de cybercriminels ont utilisé diverses stratégies d'évasion pour empêcher la détection de leurs pages d'hameçonnage par les administrateurs de sites et les utilisateurs, en utilisant de multiples vulnérabilités et outils.", précise le rapport des chercheurs.
Au fil des mois, les pirates sont parvenus à collecter de nombreux numéros de cartes bancaires. Ils se sont alors demandés comment les utiliser sans attirer l'attention des forces de l'ordre ? C'est là que l'Apple Store entre en jeu.
Utilisation de petites annonces et de l'Apple Store
Pour commencer, les pirates ont publié des annonces en ligne sur un site de vente de matériel d'occasion situé en Corée du Sud. Nous pouvons imaginer que c'est l'équivalent du site « Leboncoin ». Par l'intermédiaire de ces annonces, ils ont proposé des produits Apple à des prix réduits : iPhone, Apple Watch, AirPods, etc. Compte tenu de l'attractivité des offres, de nombreux internautes ont contacté les pirates, sans le savoir, par l'intermédiaire de ces annonces.
Dès qu'un internaute effectuait un achat, les cybercriminels se servaient d'un numéro de carte bancaire volé pour commander le produit en ligne directement sur l'Apple Store. Au moment de passer la commande, les pirates ont pris soin de cocher l’option « Someone-else pickup » pour permettre à un tiers de retirer la commande ! Et là, ce fameux tiers déclaré, c'est l'acheteur qui a utilisé le site de vente de matériel d'occasion !
Finalement, l'argent de la première victime est utilisée pour passer cette commande sur l'Apple Store tandis que les pirates empochent l'argent via le site de petites annonces grâce à la seconde victime. D'ailleurs, elle ne dira rien, car elle va récupérer du matériel flambant neuf à prix réduit, tout en ignorant que la commande a été réglée avec un numéro de cartes volé...
Ce stratagème a permis aux cybercriminels de voler 400 000 dollars en deux ans. D'après les chercheurs en sécurité, les attaques sont toujours en cours et les pirates cherchent de nouvelles cibles. De son côté, Apple, refuse de coopérer en raison de réglementations internes et toujours dans la volonté de protéger la vie privée de ses utilisateurs.
Utilisée par des centaines de milliers de sites WordPress, l'extension Forminator contient une faille de sécurité critique permettant à un attaquant de charger un fichier malveillant sur le serveur où est hébergé le site web. Faisons le point sur cette menace.
L'extension Forminator, développée par WPMU DEV, sert à ajouter des formulaires de différents types à WordPress, dont des formulaires de paiements, ainsi que des quiz et des sondages.
Le CERT du Japon a mis en ligne un bulletin d'alerte au sujet de la faille de sécurité critique CVE-2024-28890 présente dans Forminator et associée à un score CVSS v3 de 9.8 sur 10. "Un attaquant distant peut obtenir des informations sensibles en accédant aux fichiers du serveur, modifier le site qui utilise le plugin et provoquer un déni de service.", peut-on lire.
Par ailleurs, ce n'est pas la seule faille de sécurité évoquée, puisqu'il y en a deux autres avec une sévérité inférieure : la CVE-2024-31077, une injection SQL qui implique d'être administrateur du site WordPress pour être exploitée, et la CVE-2024-31857 (une vulnérabilité de type XSS).
Comment se protéger ?
Pour se protéger de ces trois failles de sécurité, vous devez installer Forminator 1.29.3. Cette version a été publiée le 8 avril 2024. L'extension Forminator compte plus de 500 000 installations actives, et depuis le 8 avril 2024, elle a été téléchargée environ 180 000 fois. Ce qui signifierait que la mise à jour de sécurité n'a pas été déployé sur environ 320 000 sites WordPress et qu'ils sont vulnérables à une attaque.
Pour le moment, rien n'indique qu'elles sont exploitées dans le cadre d'attaques. Néanmoins, cela pourrait évoluer compte tenu de la popularité de cette extension et du nombre de cibles potentielles.
En résumé : si vous utilisez l'extension Forminator sur votre site WordPress, vous devez passer sur la version 1.29.3 le plus rapidement possible pour vous protéger de ces 3 vulnérabilités.
Opération de rebranding dans le monde de la cybercriminalité : le gang de ransomware HelloKitty devient HelloGookie ! À cette occasion, des informations sensibles issues de précédentes piratages ont été publiées, ainsi que des clés de déchiffrement ! Faisons le point.
Désormais, HelloKitty va laisser sa place à HelloGookie ! C'est celui que l'on appelle "Gookee/kapuchin0" et qui prétend être le créateur du ransomware HelloKitty, qui a fait cette annonce il y a quelques jours. Un nouveau « site vitrine » a été mis en ligne pour le ransomware HelloGookie. À l'heure actuelle, ce site ne référence aucune victime. Malheureusement, cela risque d'évoluer...
Des données et des clés de déchiffrement divulguées !
Pour célébrer ce nouveau départ, Gookee a publié quatre clés de déchiffrement qui peuvent être utilisées pour récupérer des fichiers chiffrés lors de précédentes attaques ! Ceci devrait permettre à certaines victimes de déchiffrer leurs données, et ce gratuitement. Un outil de déchiffrement pourrait être publié dans les prochains jours.
Il a également publié des informations internes volées à l'entreprise Cisco, lors d'une attaque en 2022. Mais, ce n'est pas tout, puisqu'il a aussi mis en ligne des données issues du piratage de CD Projekt Red en 2021 : des mots de passe pour accéder au code source de Gwent, Witcher 3 et Red Engine.
À l'époque, cette cyberattaque avait fait beaucoup de bruit : les cybercriminels étaient parvenus à chiffrer les serveurs de l'entreprise CD Projekt Red, un studio de développement polonais à l'origine de plusieurs gros titres, dont Cyberpunk 2077.
Suite à la publication de ces données, un groupe de développeurs s'est penché sur le sujet. Ils sont parvenus à partager des captures d'écran et des vidéos de la version de développement de Witcher 3, après avoir réussi à compiler le jeu à partir du code source divulgué. C'est surtout pour le fun, car ce jeu est disponible depuis plusieurs années.
La plateforme pour obtenir un laissez-passer dématérialisé doit ouvrir en mai 2024. Elle sera incontournable pour avoir un QR Code qui sera réclamé à l'entrée de certains périmètres sécurisés, durant les Jeux olympiques de Paris.
Une campagne de phishing contre les internautes utilisant LastPass comme gestionnaire de mots de passe a été repérée. Elle mobilise le kit de phishing CryptoChameleon. Un site utilisé pour le hameçonnage a été neutralisé, mais d'autres tentatives pourraient survenir.
Une campagne de phishing contre les internautes utilisant LastPass comme gestionnaire de mots de passe a été repérée. Elle mobilise le kit de phishing CryptoChameleon. Un site utilisé pour le hameçonnage a été neutralisé, mais d'autres tentatives pourraient survenir.
Attention, ça va faire mal surtout si vous pensiez que vos conversations sur Discord étaient à l’abri des regards indiscrets. Désolé de casser l’ambiance, mais c’est loin d’être le cas.
Un petit malin a eu la bonne idée de créer un service en ligne baptisé « Spy Pet » qui s’amuse à aspirer en masse les données des serveurs Discord dont vos messages publics, les canaux vocaux que vous rejoignez, et les données liées à votre activité sur les différents serveurs. Et le pire, c’est que ces données sont ensuite revendues à bon prix (5$) à qui veut bien les acheter. De quoi être un brin parano !
Normalement, avec Discord, notre activité est éparpillée façon puzzle sur tout un tas de serveurs, et personne à part Discord lui-même ne peut voir ce qu’ont fait sur la plateforme dans son ensemble. Mais avec Spy Pet, n’importe qui peut potentiellement mater une partie de vos faits et gestes numériques pour une poignée de dollars. Le site se targue de pister plus de 14 000 serveurs et d’avoir en stock pas moins de 3 milliards de messages, de plus de 600 millions de comptes, mais difficile de vérifier ces chiffres.
Finalement, Discord n’est pas aussi privé qu’on pourrait le croire puisque les messages postés publiquement sur les serveurs sont à la merci du premier scraper venu. Heureusement, tout n’est pas perdu. Pour limiter les dégâts, voici quelques conseils :
Ouvrez l’œil sur les bots qui essaient de rejoindre vos serveurs. C’est souvent comme ça que les scrapers s’infiltrent mine de rien. Méfiez-vous des nouveaux venus sans photo de profil ni historique.
Si vous êtes admin, virez sans pitié les comptes louches qui traînent dans le coin.
Et surtout, partez du principe que tout ce que vous postez publiquement sur Discord peut potentiellement être vu par n’importe qui. Ça vaut pour tous les services en ligne d’ailleurs.
Bref, restez vigilants, sécurisez vos serveurs et réfléchissez avant de poster des trucs trop perso sur Discord ! Et si vous tenez vraiment à ce que vos échanges restent privés, passez plutôt par des apps de messagerie sécurisées de bout en bout, genre Signal ou Telegram. Ça évitera les mauvaises surprises !
Mateusz Jurczyk, un nom qui ne vous dit peut-être rien, mais retenez-le bien, car le bonhomme est fort. Ce chercheur en sécurité bien intentionné bosse pour Google Project Zero, une équipe de choc qui traque les failles dans tous les recoins depuis des années déjà. Et pendant quasi 2 ans, de mai 2022 à décembre 2023, il s’est lancé le défi d’ausculter un des organes les plus vitaux de Windows : sa base de registre.
Pour ceux qui débarquent, le registre, c’est un peu le cerveau de Windows. Une méga base de données qui stocke tous les réglages, options et préférences du système et des applis, organisés de manière hiérarchique avec des clés, des sous-clés et des valeurs. Bref, un truc super sensible et stratégique. Si un pirate arrive à mettre ses mains là dedans, bonjour les dégâts !
Mais notre Mateusz, c’est pas le genre à se dégonfler. Armé de ses outils et de ses connaissances en reverse engineering, il a plongé dans les millions de lignes de code de ce monolithe vieux de 30 ans et croyez-moi, il a frappé fort : pas moins de 50 failles critiques déterrées, dont 39 qui permettent une élévation de privilèges ! En gros, la totale pour passer de simple clampin à admin suprême sur une machine.
La force de son taf, c’est d’avoir exploré des endroits de la base de registres que personne n’avait vu avant. Des trucs bien planqués comme la récupération des transactions avortées, le chargement de ruches extraites ou les bails de virtualisation du registre (une fonctionnalité qui permet aux vieilles applis de tourner sans broncher sur les Windows récents). Bref, un vrai boulot de fourmi avec une grosse dose de persévérance.
Et le plus flippant, c’est que la moitié de ces failles seraient plutôt faciles à exploiter notamment via des techniques de corruption de mémoire ou de cassage des garanties de sécurité comme les ACL (les listes qui contrôlent qui a le droit de faire quoi dans le registre). Pour vous donner une idée, Mateusz a même créé des exploits de démo pour deux vulnérabilités, montrant comment détourner le registre à son avantage.
Heureusement, c’est un White Hat avec un grand cœur et toutes ses trouvailles ont été balancées en temps et en heure à Microsoft via le programme de divulgation responsable de Project Zero. Les ingés de Redmond ont évidemment remédié au boxon en patchant, avec des délais moyens de correction de 80 jours. Vous pouvez donc souffler !
Mais l’histoire est loin d’être finie. Il a tellement kiffé son voyage dans les méandres du registre, qu’il prévoit d’en faire une série de posts de blog pour partager son savoir. Au menu, des analyses bien poussées des bugs, des techniques d’exploit et plein de tips pour mieux protéger nos bécanes, comme :
Toujours avoir une sauvegarde du registre avant d’installer un nouveau soft : regedit.exe /e sauvegarde.reg
Scanner régulièrement le registre avec des outils comme CCleaner Registry Cleaner, Wise Registry Cleaner ou Glarysoft Registry Repair.
Se méfier des applis louches qui veulent mettre leur nez dans le registre et les virer en cas de doute.
Garder son Windows et ses drivers à jour pour bénéficier des derniers patchs de sécurité.
Utiliser les outils de monitoring comme l’Observateur d’événements ou les Performances Windows pour garder un œil sur l’activité du registre.
Tout roule pour les membres du gang de ransomware Akira puisqu'ils seraient parvenus à voler la jolie somme de 42 millions de dollars grâce à la compromission de l'infrastructure de plus de 250 organisations. Il s'agit de chiffres publiés par plusieurs agences, dont le FBI.
Le FBI, la CISA, le Centre européen de lutte contre la cybercriminalité (European Cybercrime Centre) et le National Cyber Security Centre (NCSC) du Pays-Bas ont travaillé sur l'écriture d'un rapport complet au sujet de la menace Akira. Ce bulletin d'alerte disponible sur le site de la CISA montre la progression fulgurante de ce gang de ransomware apparu pour la première fois en mars 2023.
Le gang de ransomware a fait des victimes partout dans le monde, même si la majorité des organisations ciblées sont situées en Amérique du Nord, en Europe et en Australie. Au début, Akira s'en prenait principalement aux systèmes Windows, mais assez rapidement, les cybercriminels ont mis au point une variante pour Linux afin de chiffrer les machines virtuelles sur les serveurs VMware ESXi.
Ainsi, au 1er janvier 2024, le groupe de ransomwares avait touché plus de 250 organisations et volé environ 42 millions de dollars grâce aux victimes qui ont pris la décision de payer la rançon demandée.
Le mode opératoire du gang de ransomware Akira
Le rapport publié sur le site de la CISA fournit des informations intéressantes sur les techniques et méthodes employées par les cybercriminels d'Akira.
L'accès initial est notamment évoqué, et d'après le FBI, ils ciblent principalement les accès VPN, les accès RDP, le spear phishing et l'utilisation de comptes utilisateurs valides qu'ils ont en leur possession. Deux failles de sécurité, liées aux équipements Cisco, sont citées : CVE-2020-3259 et CVE-2023-20269.
Pour les différentes phases de l'attaque, notamment pour la persistance, la découverte et l'exfiltration des données, le gang de ransomware Akira utilisent différents outils dont certains que vous connaissez et utilisez probablement : Mimikatz, LaZagne, SoftPerfect et Advanced IP Scanner. À cela s'ajoutent des outils accessibles facilement et peut-être même déjà présents sur certaines machines : AnyDesk, MobaXterm, RustDesk, Ngrok, RClone, les protocoles FTP et SFTP ou encore le service de stockage de fichiers Mega.
Les conseils pour se protéger du ransomware Akira
Ce rapport contient également un ensemble de conseils et recommandations pour se protéger de cette menace.
Voici la liste de ces recommandations :
Mise en œuvre d'un plan de reprise d'activité.
Effectuer des sauvegardes déconnectées (hors ligne) des données.
Effectuer des sauvegardes chiffrées et immuables.
Exiger que tous les comptes soient protégés par des mots de passe conformes aux normes du NIST, et qui doivent être suffisamment long. "Envisagez de ne pas exiger de changements de mot de passe récurrents, car cela peut affaiblir la sécurité", peut-on lire.
Exiger une authentification multifactorielle pour tous les services dans la mesure du possible.
Maintenir tous les systèmes d'exploitation, les logiciels et les firmwares à jour.
Segmenter les réseaux pour empêcher la propagation des ransomwares.
Identifier, détecter et étudier les activités anormales et les mouvements potentiels du ransomware à l'aide d'un outil de surveillance du réseau.
Filtrer le trafic réseau en empêchant des sources inconnues ou non fiables d'accéder à des services distants sur des systèmes internes.
Installer, mettre à jour régulièrement et activer la détection en temps réel des logiciels antivirus sur tous les hôtes.
Examiner les contrôleurs de domaine, les serveurs, les postes de travail et les annuaires actifs pour détecter les nouveaux comptes et/ou les comptes non reconnus.
Auditer les comptes d'utilisateurs disposant de privilèges élevés et configurer les contrôles d'accès selon le principe du moindre privilège.
Désactiver les ports inutilisés.
Ajouter un avertissement aux e-mails dont l'expéditeur est externe à votre organisation.
Désactiver les hyperliens dans les e-mails reçus.
Mettre en place une politique Time-based Access (Zero Trust) basée sur la durée pour les comptes avec des privilèges élevés.
Désactiver les activités et les autorisations relatives à la ligne de commande et aux scripts.
En novembre 2023, la société Derichebourg a subi une cyberattaque ayant entrainé une paralysie totale et temporaire de son logiciel d'exploitation. Cet incident de sécurité aurait fait perdre entre 15 et 20 millions d'euros à l'entreprise.
Dans la nuit du 9 au 10 novembre 2023, le groupe français Derichebourg, spécialisé dans le recyclage de métaux, avait été victime d'une cyberattaque ayant eu un impact important sur une partie de son activité : "Le groupe Derichebourg a subi une cyberattaque qui n’a pas interrompu ses activités opérationnelles mais en a cependant perturbé le déroulement.", peut-on lire dans le communiqué de presse publié mardi 16 avril 2024.
La cyberattaque a impactée directement le logiciel d'exploitation principal utilisé par les équipes du groupe Derichebourg et Derichebourg Multiservices. Cette indisponibilité, bien que temporaire, a été relativement longue à en croire les informations fournies dans le communiqué de presse : "Cette cyberattaque a cependant perturbé le déroulement des activités du fait de l'indisponibilité temporaire du principal logiciel d'exploitation, en particulier au cours des mois de novembre 2023, décembre 2023 et dans une moindre mesure janvier 2024."
Cette indisponibilité du logiciel d'exploitation causée par la cyberattaque a perturbé le pilotage de l'activité de l'entreprise, et il a été à l'origine de pertes de volumes d'achats et de retard dans la saisie informatique. Résultat, Derichebourg estime que cette cyberattaque a un impact financier compris entre 15 et 20 millions d'euros. À cela s'ajoute des difficultés liées à la conjoncture actuelle et à la difficulté du marché.
Pour ces différentes raisons, le groupe Derichebourg estime qu'il est peu probable d'atteindre son objectif initial pour l'année 2024 : 350 millions d'euros d'excédent. Enfin, sachez que suite à la publication de ce communiqué de presse, le titre Derichebourg a fortement reculé à la Bourse de Paris.
Les développeurs du jeu de tir tactique réaliste confirment s'être fait voler 4 To de données au mois de mars, ce qui représente un total de 2,1 millions de fichiers. Le studio Void Interactive, à l'origine du titre, continue de mener son enquête.
Le malware Raspberry Robin est en circulation depuis plusieurs années et il continue de se propager pour infecter les appareils Windows. Désormais, il est capable de contourner Microsoft Defender et d'être très furtif sur la machine infectée. Faisons le point !
À la base, le logiciel malveillant Raspberry Robin se propage principalement par l'intermédiaire de clés USB, comme nous l'avions évoqué dans un précédent article publié en juillet 2022. Mais, depuis mars 2024, les pirates semblent bien décidés à le distribuer plus largement, alors qu'initialement, il ciblait plutôt les industries et les grandes entreprises.
Campagnes de phishing et fausses publicités
Un nouveau rapport publié par l'équipe de chercheurs en sécurité HP Wolf Security met en avant les nouvelles capacités et techniques employées par Raspberry Robin. Désormais, la clé USB est remplacée par de fausses publicités et des campagnes de phishing par e-mails. L'objectif étant de rediriger les utilisateurs vers des sites malveillants contrôlés par les pirates sur lesquels sont hébergés des fichiers WSF (Windows Script Files) obscurci.
"Le format de fichier WSF prend en charge les langages de script, tels que JScript et VBScript, qui sont interprétés par le composant Windows Script Host intégré au système d'exploitation Windows.", peut-on lire. De plus, les chercheurs en sécurité précisent que le code des scripts WSF distribués par les pirates est long et difficile à analyser. En effet, il y a beaucoup de lignes de code inutiles, uniquement là pour brouiller les pistes.
Une analyse minutieuse de la machine infectée
La dernière version de Raspberry Robin se démarque également par sa capacité à contourner les solutions de sécurité et à passer entre les mailles du filet. Avant de passer à l'action, le malware effectue une analyse complète de la machine pour déterminer l'environnement sur lequel il se trouve, avant de passer à la phase d'infection.
Parmi les éléments vérifiés, il y a la version de Windows, le type d'appareils (machine virtuelle, serveur, poste de travail), le type de processeur, la détection de la solution de virtualisation via l'adresse MAC, et enfin, il vérifie la présence éventuelle de certains antivirus (Kaspersky, ESET, Avast, Avira, Check Point et Bitdefender). Si l'un de ces antivirus est identifié, le script s'arrête. L'objectif principal de cette série de vérifications est de s'assurer que le malware est exécuté sur l'appareil d'un utilisateur final.
Par contre, les chercheurs en sécurité précisent que Raspberry Robin est capable de contourner Microsoft Defender : "Il est donc plus probable que le script s'exécute sur un terminal protégé par Microsoft Defender. Pour échapper à la détection, le script ajoute une exception à Microsoft Defender qui exclut l'ensemble du disque principal de l'analyse antivirus."
La phase finale : le déploiement de Raspberry Robin
Si tous les voyants sont au vert et qu'il s'agit de l'appareil d'un utilisateur final, le script va télécharger la DLL Raspberry Robin depuis un serveur situé sur Internet. Pour cela, il va s'appuyer sur la commande "curl" prise en charge nativement sur Windows, et il va stocker la DLL malveillante dans le dossier "AppData" local. Ainsi, Raspberry Robin est déployé sur la machine et il peut agir sans déclencher d'alerte sur Microsoft Defender.
Raspberry Robin est capable de télécharger et d'exécuter des charges utiles supplémentaires. Les cybercriminels ont l'habitude de l'utiliser pour déployer un ransomware ou d'autres malwares comme IcedID, BumbleBee et Truebot.
Aujourd’hui on va parler d’un outil de ouf pour trouver des buckets S3 ouverts : FestIn !
C’est le genre d’outil dont raffolent les chercheurs en sécurité puisqu’il qui explore tous les recoins du web pour dénicher des trucs que vous n’auriez jamais trouvé.
FestIn c’est la grosse artillerie de l’énumération de buckets S3 puisqu’il a tellement d’options que les autres outils à côté c’est de la gnognotte. Attention, c’est bien sûr à utiliser uniquement sur vos propres noms de domaines ou dans le cadre de missions d’audit pour lesquelles vous avez toutes les autorisations.
Avec lui, vous allez pouvoir :
Utiliser différentes techniques pour trouver des buckets : crawling du DNS et des pages web, analyse des réponses S3
Faire vos requêtes en passant par un proxy, no stress 🕶
Vous passer des credentials AWS, puisque ça marche avec n’importe quel provider compatible S3
Configurer vos propres serveurs DNS, parce que vous êtes trop beau gosse.
Profiter d’un crawler HTTP de compétition qui va retourner le web pour vous
Faire des recherches récursives et avoir du feedback entre les différents modules pour un max d’efficacité
Faire tourner le schmilblick en mode « watch » pour choper les nouveaux domaines en temps réel, ce qui est assez ouf quand on y pense.
Sauvegarder tous les domaines découverts dans un fichier, pour faire joujou avec plus tard
Indexer direct le contenu des objets des buckets pour faire des recherches full text de la mort, mieux que Google ! 😎
Cibler votre recherche sur des domaines spécifiques si vous voulez pas vous éparpiller
Pour l’installer c’est fastoche, au choix :
pip install festin
Ou en mode Docker :
docker run --rm -it cr0hn/festin -h
C’est du brut, du bourrin, puisqu’on va envoyer des requêtes en masse et gratter un max d’infos. Attention cependant, on reste fair-play, on ne veut pas faire planter le serveur non plus.
Par défaut, FestIn prend un unique domaine en argument :
festin mon-super-site.com
Mais on peut aussi lui filer un fichier texte contenant une liste de domaines, histoire d’être plus productif :
Crée un fichier domaines.txt avec tes domaines, un par ligne.
Lance la commande :
cat domaines.txt | festin -f -
FestIn balance plusieurs tests en même temps pour aller plus vite. Par défaut, il en lance 5. Si vous êtes pressé et que votre machine encaisse, vous pouvez augmenter ce nombre avec l’option -c :
festin -c 10 mon-super-site.com
Attention cependant, ne balancez pas un truc de fou, ça risque de faire bugger le site ciblé. On est là pour glaner des infos, pas pour casser du serveur.
L’outil dispose également d’un petit bot intégré qui va scanner le site à la recherche de liens pouvant mener à des buckets S3. On peut le configurer avec plusieurs options :
Timeout (-T ou –http-timeout) : Si le site est lent, on augmente le timeout pour pas que le scan plante. Par défaut, c’est 5 secondes.
Récursion max (-H ou –http-max-recursion) : On limite la profondeur du scan pour éviter de partir en vadrouille sur tout le net. Par défaut, c’est 3 niveaux, genre site.com -> lien -> site2.com -> lien -> site3.com.
Limite de domaine (-dr ou –domain-regex) : On peut dire au robot de se focaliser uniquement sur les sous-domaines qui correspondent à une expression régulière.
Liste noire (-B) : Fich un fichier texte contenant des mots clés. Si un domaine contient un de ces mots, on l’ignore.
Liste blanche (-W) : Même principe, mais à l’envers. On scanne uniquement les domaines contenant des mots clés de la liste blanche.
Pour cela, vous devez créer un fichier blacklist.txt contenant « cdn » et « photos » (on ignore les liens vers des CDN et des images) puis lancer la commande :
Attention : l’option -dr attend une expression régulière valide au format POSIX. Par exemple, mondomaine.com est invalide, alors que \.mondomaine\.com est correct.
FestIn crache un paquet d’infos intéressantes, pas seulement sur les buckets S3, mais aussi sur d’autres éléments identifiés. Ces infos peuvent ensuite être utilisées avec d’autres outils comme nmap.
Pour récupérer les résultats, FestIn propose trois modes qu’on peut combiner :
Fichier de résultats FestIn (-rr ou –result-file) : Ce fichier contient une ligne JSON par bucket trouvé, avec le nom de domaine d’origine, le nom du bucket et la liste des objets qu’il contient.
Fichier de domaines découverts filtrés (-rd ou –discovered-domains) : Celui-là liste un domaine par ligne. Ce sont des domaines trouvés par le crawler, le DNS ou les tests S3, mais qui ont été filtrés selon les options définies.
Fichier brut de tous les domaines découverts (-ra ou –raw-discovered-domains) : Comme son nom l’indique, c’est la liste brute de tous les domaines identifiés par FestIn, sans aucun filtre. Idéal pour du post-traitement et de l’analyse.
récupérer les résultats dans trois fichiers distincts et enchaîner avec nmap :
FestIn peut utiliser Tor pour plus de discrétion. Il faut juste avoir un proxy Tor lancé en local sur le port 9050 (configuration par défaut). Activez-le avec l’option --tor :
tor & festin --tor mon-super-site.com
Et il peut aussi effectuer des recherches DNS. Voici les options dispo :
Désactiver la découverte DNS (-dn ou –no-dnsdiscover) : Si on a pas besoin de ce type de recherche.
Serveur DNS personnalisé (-ds ou –dns-resolver) : Pratique si on veut utiliser un serveur DNS différent de celui par défaut.
Comme ceci :
festin -ds 8.8.8.8 mon-super-site.com
Ce script ne se contente pas de dénicher les buckets S3 ouverts, il peut aussi télécharger leur contenu et l’indexer dans un moteur de recherche plein texte. Ça permet ensuite de lancer des recherches directement sur le contenu des buckets ! Pour activer l’indexation, FestIn utilise Redis Search, un projet Open Source.
Il faut deux options :
Activer l’indexation (–index) : Indispensable pour que le contenu soit stocké dans le moteur de recherche.
Configuration du serveur Redis Search (–index-server) : Uniquement si votre serveur Redis Search est sur une IP/port différent de localhost:6379 par défaut.
Lancez d’abord Redis Search en tâche de fond :
docker run --rm -p 6700:6379 redislabs/redisearch:latest -d
Puis lancez FestIn avec l’indexation et le serveur distant :
Attention : l’option --index-server doit obligatoirement commencer par le préfixe redis://.
Bien sûr, on a pas forcément envie de relancer FestIn à chaque nouveau domaine à analyser. C’est pour ça qu’il existe le mode surveillance. FestIn se lance et attend l’ajout de nouveaux domaines dans un fichier qu’il surveille. Pratique pour l’utiliser avec d’autres outils comme dnsrecon.
Lancez FestIn en mode surveillance avec le fichier domaines.txt :
festin --watch -f domaines.txt
Dans un autre terminal, ajoutez des domaines à domaines.txt :
echo "encore-un-autre-site.com" >> domaines.txt
Dès qu’un nouveau domaine est ajouté au fichier, FestIn le scanne automatiquement à la recherche de buckets S3 ouverts. Pour aller plus loin, on peut combiner FestIn avec un outil de reconnaissance DNS comme DnsRecon. L’idée est de récupérer des sous-domaines potentiels liés au domaine principal et de les balancer ensuite à FestIn pour scanner d’éventuels buckets S3 cachés.
Etape 1 : Scruter le domaine cible avec DnsRecon
On va utiliser DnsRecon pour trouver des sous-domaines associés à cible.com. Sauvegardez la sortie dans un fichier CSV :
dnsrecon -d cible.com -t crt -c cible.com.csv
Etape 2 : Préparer le fichier pour FestIn
On isole les sous-domaines du fichier CSV pour les injecter dans FestIn (un domaine par ligne) :
Etape 3 : Lancer FestIn et récupérer les résultats
On balance le fichier de sous-domaines à FestIn en activant la recherche Tor, la concurrence à 5, un serveur DNS personnalisé et en sauvegardant les résultats dans des fichiers distincts :
festin -f cible.com.domaines -
Et pour automatiser tout ça sur plein de domaines à la chaîne, on a même un petit script loop.sh bien pratique dans les examples du repo GitHub.
Voilà les amis, vous avez toutes les clés pour utiliser FestIn comme un pro et aller secouer les buckets S3 qui traînent ! C’est quand même un outil hyper complet et puissant, pensez à l’utiliser avec un proxy ou Tor pour pas vous faire bloquer, et amusez vous bien mais toujours de manière éthique et responsable hein !
Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.
C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.
Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !
Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.
Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.
Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :
Patcher encore plus vite les vulnérabilités critiques, en priorité les « 0day » qui menacent les systèmes en prod
Monitorer en continu l’émergence de nouvelles vulnérabilités et signatures d’attaques
Mettre en place des mécanismes de détection et réponse aux incidents basés sur l’IA pour contrer le feu par le feu
Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de « cyber-hygiène »
Repenser l’architecture de sécurité en adoptant une approche « zero trust » et en segmentant au maximum
Investir dans la recherche et le développement en cybersécurité pour garder un coup d’avance
Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.
Depuis quelques jours, la faille de sécurité critique découverte dans le système PAN-OS utilisé par les firewalls de Palo Alto Networks fait beaucoup parler d'elle. Désormais, un code d'exploitation est disponible et pourrait être utilisé pour compromettre les firewalls exposés sur Internet. Faisons le point.
Rappel sur la vulnérabilité CVE-2024-3400
Voici un résumé de la situation actuelle, avec quelques dates et points clés :
Depuis le 26 mars 2024, une nouvelle faille de sécurité zero-day est exploitée par les cybercriminels dans le cadre d'attaque. Elle a été utilisée pour déployer une porte dérobée nommée Upstyle et pivoter vers l'infrastructure interne de l'entreprise. Lors d'une attaque, les pirates sont parvenus à voler des données sensibles telles que la base de données Active Directory.
Vendredi 12 avril 2024, Palo Alto Networks a publié un bulletin de sécurité pour évoquer cette vulnérabilité (CVE-2024-3400) et les risques associés.
Dimanche 14 avril 2024, l'éditeur a publié de premiers correctifs de sécurité à destination de ses firewalls sous PAN-OS : PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3. Depuis, de nouveaux correctifs ont été publiés, car Palo Alto Networks va publier des patchs pour une dizaine de versions différentes de PAN-OS.
Voici nos précédents articles pour approfondir le sujet :
Un code d'exploit et des dizaines de milliers de firewalls vulnérables
Le mardi 16 avril 2024, watchTowr Labs a publié un rapport au sujet de cette vulnérabilité, ainsi qu'un PoC d'exploitation permettant d'exécuter des commandes à distance sur un firewall vulnérable. Dans le même temps, Justin Elze, directeur technique de TrustedSec, a également évoqué sur X (Twitter) un exploit utilisé par les cybercriminels pour exporter la configuration du pare-feu Palo Alto pris pour cible.
D'après une carte partagée par The Shadowserver Foundation, il y a environ 156 000 firewalls Palo Alto exposé sur Internet et potentiellement vulnérables. Ce chiffre est à prendre avec des pincettes, car il ne tient pas compte de la version de PAN-OS, ni de la configuration.
Vendredi dernier, le chercheur en sécurité Yutaka Sejiyama, a partagé sur X (Twitter) des statistiques au sujet des firewalls vulnérables à cette faille de sécurité. Il en a identifié un peu plus de 82 000 firewalls. Ce chiffre a certainement diminué désormais, mais le nombre de cibles potentielles doit rester élevé.
Voici quelques chiffres clés (nombre de firewalls vulnérables par pays) :
États-Unis : 32 916
Allemagne : 3 268
Royaume-Uni : 3 213
Canada : 2 239
France : 1 794 (sur un total de 3 162, si l'on s'appuie sur la carte de The Shadowserver Foundation)
Belgique : 772
Suisse : 561
Le correctif de sécurité comme seule et unique solution pour se protéger
La seule solution pour vous protéger, c'est d'installer le correctif de sécurité sur votre firewall. La mesure d'atténuation partagée initialement par Palo Alto consistait à désactiver la télémétrie, mais elle n'est pas efficace et ne permet pas de se protéger.
Voici ce que l'on peut lire dans le bulletin de sécurité de Palo Alto : "La désactivation de la télémétrie sur l'équipement n'est plus une mesure d'atténuation efficace. Il n'est pas nécessaire que la télémétrie soit activée pour que les pare-feux PAN-OS soient exposés aux attaques liées à cette vulnérabilité."
Malgré tout, si vous avez un abonnement à la fonction "Threat Prevention", vous pouvez bloquer cette attaque en activant la protection contre la menace avec l'ID 95187. De plus, assurez-vous que cette protection soit activée sur l'interface GlobalProtect, en suivant cette page de la documentation. Cette méthode est toujours efficace.
Dans cet article, nous allons nous intéresser à Sysmon, un outil qui permet une meilleure journalisation des évènements de sécurité système sous Windows. Il s'agit d'un élément indispensable pour une surveillance efficace des évènements de sécurité.
Nous allons notamment voir que les évènements Windows par défaut ne permettent pas d'avoir une détection très précise des activités systèmes et des attaques telles qu'elles sont opérées aujourd'hui, et comment Sysmon permet d'améliorer cette détection.
Nous verrons également comment l'installer et le configurer à l'aide de modèles de configuration proposés par la communauté, et analyserons ensuite concrètement les journaux produits par Sysmon.
II. Sysmon : qu'est ce que c'est ?
Sysmon (pour System monitor) est à la fois un service et un driver fournit dans le package SysInternals de Microsoft. Il vise à améliorer la journalisation des évènements Windows avec un focus sur la journalisation des évènements de sécurité système. Il s'agit plus d'un outil de détection que de prévention, dans le sens où il permet une meilleure journalisation des évènements, mais ne permet pas à lui seul de bloquer des activités malveillantes.
Depuis Sysmon 14, Microsoft a revu sa stratégie concernant Sysmon. Celui-ci peut maintenant bloquer des exécutables malveillants ("FileBlockExecutable") ainsi que la suppression de fichiers via certains outils ("FileBlockShredding"). Cette protection n'est cependant pas parfaite et ne remplace par une solution dédiée (EPP/EDR).
Pour être plus clair, voici une partie de la liste des évènements que Sysmon peut surveiller et journaliser :
Création de processus
Modification de l'heure de création d'un fichier
Connexion réseau
Modification de l'état du service Sysmon
Fin d'un processus
Chargement de pilote
Chargement d'image (injection de DLL)
Evènement CreateRemoteThread (création d'un thread par un processus)
Evènement RawAccessRead
Requête DNS
ProcessTampering
etc.
Tous ces évènements peuvent paraitre très (trop) précis pour être intéressants. Mais, tous correspondent à des attaques et modes opératoires bien identifiés et connus des attaquants. Sysmon permet alors de retracer bien plus précisément que les logs par défaut une activité malveillante sur un système.
En plus de journaliser ces évènements clés pour surveiller l'activité d'un système, il inclut plusieurs éléments importants du point de vue des équipes de sécurité et relatifs au contexte de l'évènement :
les condensats (ou hash) des images des processus lancés
les GUID des processus (facilite la corrélation des évènements)
des informations précises sur les connexions réseau (processus source, adresse IP, numéro de port, etc.)
Integrity Level du processus
des informations relatives aux métadonnées des processus (signature, auteur, description)
etc.
Ces différents éléments facilitent également l'investigation numérique ainsi que la recherche et corrélation d'évènements, par exemple, grâce aux IOC (Indicators of compromise) publiés par la communauté ou une équipe interne de Threat Intelligence (adresse IP, nom DNS, hash d'un binaire, etc). Rien de mieux qu'un exemple pour illustrer cela. Comparons la journalisation de l'évènement "Création d'un processus" entre les logs par défaut Windows et les journaux créés par Sysmon (cliquez sur l'image pour zoomer) :
Comparaison entre l'évènement par défaut de Windows et celui de Sysmon concernant la création d'un nouveau processus :
L'eventID 1 (à droite de l'image) créé par Sysmon est beaucoup plus verbeux en contenu technique. Il fournit plus d'informations de contexte autour de l'exécution du processus. Ces informations vont notamment grandement faciliter la recherche et la détection d'activité malveillante qui ont lieu sur le système.
Il faut savoir que l'intérêt de Sysmon est aussi la journalisation d'évènements qui ne sont pas du tout journalisés par Windows (au contraire de la création d'un processus, qui est le cas le plus simple pour exposer les capacités de Sysmon). Nous verrons ensuite que, grâce à la configuration que nous allons utiliser, les TTP (Tactics, Techniques and Procedures) relatifs à tel ou tel évènement journalisé sont aussi indiqués. Nous comprenons donc bien ici que l'intérêt de Sysmon est d'avoir des logs plus précis, orientés autour d'évènements de sécurité très importants sur un système d'exploitation et facilitant la détection et l'investigation numérique.
Enfin, comme tout élément capable de générer des journaux d'évènement, la puissance Sysmon est décuplée si ces évènements sont centralisés et analysés par une plateforme de type SIEM (ELK, Splunk, etc.) et traités par un SOC (Security Operation Center).
Le code source de Sysmon est public et peut être consulté librement. Ainsi, vous pouvez découvrir précisément comment il fonctionne : Github - Sysinternals/SysmonCommon
III. Logs Windows : quelques trous dans la raquette
Les journaux d'évènements Windows peuvent paraitre complexes au premier abord. D'apparence, ils sont assez verbeux et consultables à travers un outil de visualisation/recherche peu efficace ("Observateur d'évènements"). Il est difficile de trouver exactement ce que l'on cherche si l'on n'y est pas familier.
Également, la politique d'audit par défaut de Windows passe sous silence des évènements importants de l'activité sur le système. Pour illustrer ce constat, intéressons-nous aux journaux produits durant trois étapes d'attaque d'un système. Pour faciliter cette analyse, j'ai créé un filtre de journalisation dans l'Observateur d'évènements qui centralise tous les Event ID, peu importe leur source :
Création d'un filtre permettant de voir tous les évènements Windows.
Admettons qu'en tant qu'attaquant, j'exécute le binaire "mimikatz64.exe" :
.\mimikatz64.exe
Par défaut, cette activité n'est pas journalisée comme nous le montre "auditpol.exe" :
Visualisation de l'état de la stratégie d'audit par défaut Windows concernant la "création du processus".
Evènement 4688 concernant la création d'un processus mimikatz64.exe
La moindre des choses que l'on puisse dire est que cet évènement est peu verbeux. Les seuls éléments concrets dont nous disposons sont : le nom de compte ayant exécuté la commande, le nom du processus créateur et le nom du processus. Par exemple, le simple fait de renommer "mimikatz64.exe" en "itconnect.exe" suffit à contourner l'un des principaux éléments sur lequel une détection serait possible (le nom du processus) :
Evènement 4688 concernant l'exécution d'un mimikatz renommé.
Dans un second temps, je décide d'ajouter un moyen de persistance en modifiant le contenu de la clé de registre "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run". Cette clé de registre est utilisée pour lancer des binaires au démarrage (voir Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder). Il s'agit d'un moyen de persistance très connu et souvent utilisé par les attaquants, qui leur permet d'avoir une connexion vers leur serveur C2 (Command & Control) dès le démarrage du système compromis :
J'utilise ensuite la CmdLet PowerShell "Get-EventLog" pour récupérer les évènements 4657 – A Registry Value Was Modified relatifs à la modification d'une clé de registre :
À nouveau, aucun évènement n'est journalisé par défaut sous Windows lors de la modification des clés de registre. Enfin, je vais initialiser une connexion réseau vers un serveur malveillant afin de récupérer un ransomware :
Absence de journaux de sécurité relatifs au téléchargement d'un exécutable.
À nouveau, aucun évènement journalisé.
Comment nous le voyons à travers cet exemple, les journaux d'évènements produits par Windows par défaut ne sont pas suffisants pour tracer exactement le déroulement de mon attaque et de mon activité sur le système. Par défaut, ils ne sont pas tous activés et lorsqu'ils le sont, leur contenu n'est pas assez détaillé pour une investigation numérique efficace.
Autrement dit, si vous subissez une cyberattaque et que, par chance, vos journaux d'évènements sont préservés (externalisation, centralisation, voire sauvegarde), ceux-ci ne seront pas suffisants pour que l'équipe d'investigation numérique ou de remédiation puisse vous dire précisément ce qu'il s'est passé, par où est passé l'attaquant, quelles ont été ses actions, etc.
IV. Déploiement de Sysmon
A. Installer Sysmon de façon classique
Nous allons à présent voir comment installer Sysmon sur un système Windows (serveur ou client, la procédure est la même). Pour acquérir la dernière version de Sysmon, il faut le télécharger depuis le site de Microsoft : SysInternals - Sysmon.
Attention à bien télécharger le binaire depuis le site de Microsoft, et nulle part ailleurs.
Une fois que ce binaire est téléchargé, décompressé et présent sur notre système cible, nous allons ouvrir une Invite de commande en tant qu'administrateur, puis exécuter le binaire avec l'option "-i" :
.\Sysmon64.exe -i -accepteula
Voici la sortie attendue :
Installation de Sysmon sur un système WIndows.
L'installation de Sysmon64 entraine notamment la création d'un service "Sysmon64" et l'installation d'un driver "SysmonDrv", dont le rôle est de capturer les évènements de sécurité côté kernel. Le driver échange notamment avec les API Windows et exploite l'Event Tracing for Windows (ETW) pour capturer les informations sur les actions qu'il souhaite surveiller.
Il est important de noter que l'installation de Sysmon est permanente, son service et son driver seront toujours présents et actifs après un redémarrage. Il peut toutefois être désinstallé simplement.
Le driver permet notamment à Sysmon d'utiliser des callbacks, aussi appellés hooks (crochet), sur des fonctions clés du système d'exploitation. Lorsqu'une fonction surveillée est invoquée, le callback associé au driver Sysmon est déclenché. À ce moment-là, Sysmon peut collecter des informations pertinentes sur l'événement en cours, telles que les détails du processus impliqué, les arguments de la fonction, les fichiers accédés, etc. Ces informations sont ensuite journalisées. On retrouve cette mécanique sur la plupart des services type EPP/EDR aujourd'hui.
Aucun redémarrage n'est nécessaire, en vous rendant dans le "Gestionnaire de tâches" puis dans "Services", vous devriez voir le service "Sysmon64" en cours d'exécution :
Présence du service "Sysmon64" dans la liste des services du Gestionnaire des tâches.
Vous noterez également qu'il est impossible d'arrêter ce service en tant qu'administrateur :
Tentative d'arrêt du service "Sysmon64" en tant qu'administrateur via le Gestionnaire des tâches.
Cela est dû à une protection mise en place par Windows sur ce service : le Protected ProcessLight. Cette protection est notamment chargée de vérifier l'intégrité du code pour s'assurer que seul le code "vérifié" et "de confiance" est chargé dans le processus protégé. Ainsi, il ne peut être pris pour cible d'une injection de code ou de DLL et personne ne peut toucher à ce processus :
Vue de la protection PPL du processus "Sysmon64.exe" via "ProcessHacker".
Grâce à cette protection, il sera plus difficile pour l'attaquant d'altérer le fonctionnement de ce processus en vue de mettre fin à la journalisation de ses actions.
Sysmon s'installe par défaut avec une configuration qui permet de journaliser certains évènements. Cette configuration par défaut peut être consultée via l'option "-s" :
.\Sysmon64.exe -s
Voici le résultat attendu :
Visualisation de la configuration par défaut de "Sysmon".
Comme vous pouvez le voir, il s'agit d'une configuration au format XML. Celle-ci permet de définir les évènements à journaliser, leur Event ID et leur contenu. Exemple avec la journalisation de la création d'un processus :
Configuration par défaut pour l'évènement "1 - Create process" de Sysmon.
Ici, nous voyons dans un premier temps la définition de l'event ID avec son nom et son ID ("1"). Les sections précédentes de cet article contiennent déjà un exemple d'évènement créé via cette règle, vous pourrez donc voir les champs déclarés par la configuration dans cet évènement. Par défaut, la journalisation de cet évènement est activée ("ruledefaut=include"). Ce qui n'est pas le cas de tous les évènements, exemple avec l'évènement "11 - Process Create" :
Configuration par défaut pour l'évènement "11 - File create" de Sysmon.
Ainsi, avec la configuration par défaut, vous ne constaterez aucun évènement avec l'ID 11 dans vos logs. Nous voyons ici qu'il faut savoir lire et comprendre cette configuration, au risque de ne pas être assez précis dans notre journalisation.
Pour visualiser les logs, ouvrez l'Observateur d'évènements, puis rendez-vous dans "Journaux des applications et des services" > "Microsoft" > "Windows" > "Sysmon".
Accès aux journaux Sysmon dans l'observateur d'évènement Windows.
En fonction de la configuration en place (pour l'instant, celle par défaut), vous verrez dès à présent différents évènements journalisés.
B. Installation discrète de Sysmon
Les attaquants les plus avancés vont toujours commencer par regarder quels sont les composants de sécurité en place sur un système avant de tenter d'aller plus loin dans leur compromission. Il s'agit d'une phase de prise d'information très classique, par exemple :
Est-ce qu'un EPP (Endpoint Protection) est en place ? Ils peuvent pour cela regarder la liste des processus en cours d'exécution à la recherche de nom d'agents EPP connus (Trellix, Symantec, Sophos, etc.)
Est-ce que Microsoft Defender est actif ? Si oui, quelle est sa configuration ? Contient-elle des exclusions intéressantes ? Sa base antivirale est-elle à jour ?
Les journaux d'évènements sont-ils envoyés sur un autre système ? Ce qui serait le signal qu'un SIEM, voire un SOC peut enregistrer et voir son activité malveillante. L'attaquant peut pour cela regarder les processus et services actifs à la recherche d'agent de transmission de log connus, ou encore les connexions établies visant des ports connus, etc.
Est-ce que Sysmon est installé ? Quelle est sa configuration ? Contient-elle des exclusions intéressantes ?
La réponse à ces questions permet à l'attaquant d'avoir une idée du niveau de discrétion dont il doit faire preuve pour ses prochaines opérations sur le système ou le réseau.
Cependant, Sysmon donne la possibilité aux administrateurs de dissimuler sa présence, notamment en modifiant le nom du driver et du service lorsqu'il s'exécute. Par défaut, comme nous l'avons vu, nous pouvons voir un service "Sysmon64" actif dans la liste des services en cours d'exécution :
VIsualisation du service "Sysmon64" dans le gestionnaire des tâches.
Lors de la phase d'installation, Sysmon propose l'option "-d" pour permettre de donner un nom arbitraire au driver Sysmon (limité à 8 caractères). Quant au nom du service, il est déterminé par le nom du binaire exécuté lors de l'installation. Il nous suffit donc de le modifier avant installation :
Renommage puis installé de "Sysmon" avec un nom de driver personnalisé.
Une fois cette opération effectuée, il sera plus difficile pour l'attaquant de détecter la présence de Sysmon sur le système :
Présence du service "Sysmon" renommé dans le Gestionnaire des tâches.
Sur l'image ci-dessus, le processus Sysmon apparait bien comme "ITCProc". Dès lors, pour gérer le service Sysmon et par exemple, récupérer sa configuration actuelle, il faudra utiliser le binaire nommé "ITCProc.exe", l'utilisation de "Sysmon64.exe" ne fonctionnera plus.
Attention, cette méthode est une dissimulation et il existe d'autres moyens de détecter la présence du driver Sysmon (notamment via son altitude identifier).
V. Configuration de Sysmon
A. Récupération et étude d'une configuration XML Sysmon
À présent, nous allons configurer Sysmon pour qu'il journalise les évènements qui nous intéressent. La configuration par défaut est un bon départ, mais vous allez voir qu'il est possible d'aller beaucoup plus loin assez simplement.
Nous allons notamment nous baser sur des configurations connues et éprouvées créées par la communauté de la cybersécurité. La configuration la plus connue est celle proposée par SwiftOnSecurity, consultable et téléchargeable ici : Github - SwiftOnSecurity :
Extrait de la configuration Sysmon proposée par "SwitfOnSecurity".
Cette configuration comporte plusieurs intérêts :
Elle est éprouvée par la communauté et sa pertinence est reconnue. Vous pouvez notamment jeter un œil à son historique de modification Github.
Elle est documentée, même si la lecture de son contenu peut être difficile à cause du format XML, elle contient différents commentaires permettant de comprendre ses principales sections, exclusions
Elle est bien structurée, ce qui permet une compréhension et une modification aisée. Elle peut ainsi servir de base à une configuration propre à vos besoins et environnements
Elle contient des cas d'exclusions permettant d'éliminer les faux positifs "classiques" sur les OS Windows, facilitant ainsi l'exploitation des journaux créés par Sysmon.
Elle apporte des éléments de contexte supplémentaires sur chaque Event ID tels que les TTP du MITRE relatif à une action malveillante journalisée.
Bref, utiliser cette configuration apporte une réelle plus-value par rapport à celle par défaut et un gain de temps qui évite d'avoir à concevoir sa propre configuration XML, avec les difficultés que le format et la complexité des uses-case apportent. Avant de l'appliquer, je vous recommande tout de même de finir la lecture de cet article, puis de lire en détail le contenu de la configuration XML, afin que vous sachiez exactement ce qui sera journalisé et ce qui sera exclu de la journalisation.
B. Application d'une nouvelle configuration Sysmon
Il nous suffit donc de télécharger cette configuration XML puis de l'appliquer à Sysmon, nous pouvons utiliser l'option "-c" :
.\Sysmon64.exe -c .\sysmonconfig-export.xml
Voici la sortie attendue :
Ajout d'une nouvelle configuration à "Sysmon".
Pour vérifier que notre configuration est en place, nous pouvons utiliser l'option "-c" de "Sysmon" :
Affichage de la configuration SwiftOnSecurity importée dans Sysmon.
Les éléments de configuration affichés sont à présent très différents et bien plus verbeux que la configuration par défaut de Sysmon.
Nous pouvons à tout moment revenir à la configuration par défaut avec l'option "-c --".
C. Suppression du fichier de configuration
Maintenant que nous avons appliqué notre configuration à Sysmon, il est très important de ne pas laisser le fichier de configuration persister sur le système sous la forme d'un fichier XML. Si l'attaquant accède à ce fichier, il aura la possibilité de comprendre en détail les règles de détection en place, incluant ses potentielles exclusions et exceptions. Ainsi, il pourra construire une attaque qui exploite ou contourne les règles configurées.
En cela, il est mieux de laisser l'attaquant dans le noir et de supprimer cette configuration du système. Attention à ne pas non plus la laisser accessible sur un partage réseau trop ouvert auquel l'attaquant pourrait avoir accès.
Même si le fichier de configuration initial a été supprimé, Sysmon aura toujours cette configuration à disposition. Lors de l'import d'une configuration avec l'option "-c", Sysmon transforme cette configuration XML en blob de données et le stocke dans une clé de registre :
Stockage de la configuration actuelle de Sysmon dans une clé de registre.
Ce blob de donnée n'est pas facile à parser et l'attaquant aura du mal à récupérer en clair les règles et exclusions de la configuration à partir de celui-ci.
VI. Exemple de journaux Sysmon
Comme nous l'avons vu, les journaux d'évènements Sysmon sont stockés dans "Journaux des applications et des services" > "Microsoft" > "Windows" > "Sysmon". Si je réitère mon activité malveillante initiale (celle qui n'avait pas été ou peu journalisée par les logs par défaut de Windows) : voici ce que je peux voir dans les logs Sysmon (cliquez sur l'image pour zoomer) :
Journaux d'évènement Sysmon relatifs aux actions malveillantes effectuées sur le système.
Nous voyons clairement dans les logs : un event ID 1 - Process Create, un event ID 13 - Registry value set et and event ID 3 : Network Connecion detected. Ce qui correspond et retrace exactement les activités malveillantes réalisées sur le système. Dans la capture ci-dessus, nous avons les détails de l'exécution de "mimikatz64.exe", déjà exposé précédemment dans cet article. On peut noter la présence de nombreuses informations, dont le hash MD5 du binaire, qui ne changera pas en fonction du nom qui lui est donné (bien que des méthodes simples permettent de modifier ce hash pour qu'il ne colle plus aux signatures classiques).
Nous pouvons également regarder le contenu de l'évènement relatif à l'ajout d'une valeur dans une clé de registre :
Evènement Sysmon 13, relatif au paramétrage d'une valeur dans une clé de registre (mise en place d'une backdoor par l'attaquant).
À nouveau, nous avons un grand nombre d'informations à propos de l'évènement, le processus parent, le nom de la clé de registre modifiée, sa valeur, on y retrouve clairement l'exécutable malveillant, etc. Vous remarquerez également la présence du "T1060" dans l'attribut "RuleName", il s'agit de l'identifiant du TTP relatif à cette action malveillante. Cet ajout provient de la configuration SwitfOnSecurity et vise à aider l'analyste à comprendre la nature et l'impact d'un évènement de sécurité.
Pour mieux comprendre l'intérêt et les bénéfices de cette information, regardons par exemple le contenu du TTP T1060 sur le site du framework MITRE ATT&CK (le framework ayant été mis à jour récemment, l'action au TTP 1060 rédige vers son nouvel identifiant : T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder ):
Extrait des détails du TTP1547.001 (anciennement T1060).
Il ne s'agit là que d'un extrait, mais l'on comprend ici bien plus en détail les enjeux de cet évènement : l'attaquant a cherché à établir une persistance sur le système en modifiant une clé de registre contenant des binaires exécutés au démarrage.
Enfin, voici l'évènement relatif au téléchargement d'un binaire malveillant depuis un serveur appartenant à l'attaquant, action qui n'était pas du tout journalisée par les logs par défaut de Windows :
Evènement Sysmon 3 relatif à une connexion réseau sortante.
Là aussi, nous obtenons des informations claires et précises sur l'évènement, notamment l'IP, nom et port de destination, qui sont des informations importantes en termes de détection (grâce aux IOC) et d'investigation.
Pour mieux comprendre chaque évènement produit par Sysmon, nous pouvons utiliser la documentation Microsoft, qui référence précisément les eventID et leur définition : Sysmon - Events
VII. Conclusion
J'espère que cet article vous a aidé à mieux comprendre ce qu'est Sysmon, son utilisation standard ainsi que sa plus-value pour la sécurité d'un système Windows et plus globalement du système d'information. Nous n'avons pas fait un tour complet de l'outil, notamment en ce qui concerne les évènements plus techniques (CreateRemoteThread, RawAccessRead, Process Tampering, etc.), ni la construction complète d'un fichier de configuration avec ses exclusions, exceptions, etc. Mais, le contenu de l'article devrait être suffisant pour mettre en place et utiliser Sysmon au sein de votre système d'information.
Ce qu'il est important de retenir au-delà de Sysmon est l'importance d'avoir une journalisation la plus complète et précise possible concernant les évènements de sécurité, puis d'être capable de la centraliser (SIEM) et de surveiller activement et comprendre ces différents évènements. Dans cette démarche macro, Sysmon n'est finalement qu'un point de départ.
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Alpes-Maritime : l'Hôpital Simone Veil de Cannes est actuellement victime d'une cyberattaque ! Certaines activités clés sont paralysées suite à cet incident de sécurité. Voici ce que l'on sait !
Malheureusement, l'Hôpital Simone Veil de Cannes vient s'ajouter à la longue liste d'hôpitaux victimes d'une cyberattaque, malgré tous les efforts effectués par les équipes techniques. Cette cyberattaque s'est visiblement déroulée dans la nuit du 15 au 16 avril, puisque les activités de l'Hôpital sont perturbées depuis mardi 16 avril. Plusieurs systèmes informatiques sont paralysés suite à cet incident.
En réponse à cet incident de sécurité, une cellule de crise a été activée "en lien avec l’Agence Régionale de santé PACA et le Groupement Hospitalier de territoire des Alpes Maritimes, le directeur et le président de la commission médicale d’établissement.", peut-on lire sur le compte X (Twitter) du centre. L'ANSSI est également sur le coup pour l'accompagnement technique.
Cette cyberattaque impact l'hôpital et ce dernier ne peut pas fonctionner normalement. Justement, en attendant un retour à la normale, les opérations non urgentes ont été reportées, tout comme les consultations. "Dans ce cadre, le CH est contraint de reporter l’activité programmée non urgente n’entraînant pas de perte de chance. Les consultations non urgentes sont également reportées jusqu’à retour à la normale.", a indiqué l'Hôpital Simone Veil sur X.
Pour le moment, aucune information n'a été publiée quant à l'origine de cette attaque. Nous ignorons s'il s'agit d'un ransomware. Si vous disposez d'informations supplémentaires, n'hésitez pas à commenter cet article ou à me contacter.
Vous connaissez probablement l'application PuTTY. Sachez que de nombreuses versions sont affectées par une nouvelle vulnérabilité pouvant permettre de deviner votre clé privée. D'autres applications sont impactées. Faisons le point sur cette menace !
Pour rappel, PuTTY est une application open source permettant de se connecter à des équipements réseaux ou des serveurs distants, généralement sous Linux, par l'intermédiaire de plusieurs protocoles, dont le SSH et le Telnet. Même s'il existe de nombreuses alternatives et des gestionnaires de connexions plus complets, PuTTY reste un "client SSH" populaire et très utilisé par les administrateurs systèmes sous Windows.
Cette vulnérabilité, associée à la référence CVE-2024-31497, a été découverte par Fabian Bäumer et Marcus Brinkmann de l'Université de la Ruhr à Bochum, en Allemagne.
Elle est liée à la manière dont l'application PuTTY génère les nonces ECDSA pour la courbe NIST P-521 utilisée dans le cadre de l'authentification SSH. Un nonce ECDSA est un nombre aléatoire utilisé dans le processus de création de la signature ECDSA. Un nonce est unique pour chaque signature. Dans le cas présent, nous pouvons dire que la fonction de génération de signatures est biaisée à cause de ce problème de sécurité lié à la génération des nonces.
Cette signature numérique est créée à partir de la clé privée de l'utilisateur, et cette clé, comme son nom l'indique, doit rester uniquement en possession de son propriétaire. La signature doit être vérifiée à partir de la clé publique (on parle d'une paire de clés) afin de garantir l'identité de l'utilisateur et sécuriser la connexion.
Calculer la clé privée grâce à la CVE-2024-31497
En exploitant cette vulnérabilité, un attaquant peut parvenir à calculer la clé privée utilisée par l'utilisateur, sans en avoir connaissance à la base.
Pour cela, comme l'explique Marcus Brinkmann sur X (Twitter) : "L'attaque de l'ECDSA avec des nonces biaisés est une technique standard. Un attaquant collecte au moins 521/9≈58 signatures à partir de commits Git signés ou de connexions de victimes au serveur SSH de l'attaquant. Un peu de mathématiques permet à l'attaquant de calculer la clé privée hors ligne."
Ceci implique la collecte de 58 signatures effectuées à partir de la même clé privée pour que celle-ci puisse être découverte. La collecte de ces informations à partir de commits Git signés est certainement plus réaliste et plus "pratique" pour les attaquants.
Cette vulnérabilité, associée à la référence CVE-2024-31497, affecte toutes les versions de PuTTY de la 0.68 à la 0.80, publiée en décembre 2023. La dernière version, à savoir PuTTY 0.81, a été développée et publiée ce lundi 15 avril 2024 dans l'unique but de corriger cette faille de sécurité.
Cependant, il est essentiel de préciser que toutes les clés privées P-521 générée à l'aide d'une version vulnérable de l'outil pourraient être compromises et elles représentent un risque. Dans ce cas, ces clés doivent être renouvelées pour éliminer tous les risques de compromission, et elles sont également à retirer de la liste "authorized_keys" de vos serveurs et équipements.
D'autres logiciels s'appuie directement sur PuTTY et sont également affectés.
Voici une liste, probablement pas exhaustive, de logiciels et des versions impactées :
FileZilla 3.24.1 - 3.66.5 (corrigé dans 3.67.0)
WinSCP 5.9.5 - 6.3.2 (corrigé dans 6.3.3)
TortoiseGit 2.4.0.2 - 2.15.0 (corrigé en 2.15.0.1)
TortoiseSVN 1.10.0 - 1.14.6 (atténuation possible en configurant TortoiseSVN pour utiliser Plink)
D'autres logiciels sont potentiellement affectés, ce qui pourrait être le cas si un outil s'appuie sur PuTTY (à voir, selon la version).
Connexion
