Connect the dots #10: Synthèse « La Cyber Kill Chain »
Lors de nos neuf articles "Connect the dots", nous avons vu neuf éléments opératoires des attaquants, chacun constituant un "dot", un point de l'ensemble de la séquence d'attaque. Maintenant nous allons relier les points entre eux pour comprendre la globalité des attaques qui impactent de très nombreuses entreprises. En comprenant l'attaque, nous pourrons alors adapter notre défense et limiter son impact.
De la même manière que l'on repère une constellation particulière d'étoiles, nous allons passer en revue les neuf dots, puis les relier entre eux pour avoir l'image précise de l'attaque:
Dot#1: Reconnaissance.
Dans cette phase les attaquants repèrent les machines exposées ou obsolètes, les versions utilisées, les patches manquants, les failles exploitables de la cible. Ils relèvent également tous les renseignements de type e-mail valides, dirigeants, administrateurs informatiques, voire s'il y a des mots de passe déjà divulgués dans le darkweb.
Dot#2: Préparation de l'attaque.
Les attaquants préparent des payloads et des beacons pertinents par rapport à la cible en fonction de ses vulnérabilités. Ile peuvent également déposer des domaines "typo" (avec une légère modification du domaine de la cible, comme une erreur typographique, un zéro à la place d'un "o" par exemple) qui peuvent faire croire à la cible qu'elle reçoit un e-mail légitime.
Dot#3: Envoi de phishing.
Dans cette phase un certains nombre d'emails sont envoyés à des utilisateurs identifiés de la cible, avec une pièce jointe ou un lien à cliquer qui va permettre aux attaquants de pénétrer à l'intérieur du périmètre défensif, tel un Cheval de Troie. Récemment on a vu des variantes basées sur l'exploitation de failles de serveurs connectés à internet ou bien de fausses mises à jour d'un logiciel (attaque récente Solarwinds) .
Dot#4: Compromission initiale.
Une machine compromise va servir de relai interne pour établir un dialogue depuis l'intérieur avec un site externe des attaquants.
Dot#5: Etablissement du C2.
Le command & control se met en fonction en utilisant les beacons et l'interaction avec la ou les machines compromises.
Dot#6: Post-exploitation.
Un certain nombre de payloads sont exécutés de manière discrète en utilisant les canaux de communication habituels de la machine compromise. Des captures d'écran, des keyloggers (pour intercepter ce que la cible tape au clavier, y compris son mot de passe), des commandes systèmes sont lancés. Des processus existants valides dans la machine sont utilisés pour cacher les activités malicieuses.
Dot#7: Elévation de privilèges.
L'Active Directory notamment est analysé pour trouver des failles exploitables et également pour récupérer des identifiants ou des hash de mots de passe notamment des administrateurs du domaine. Le "golden ticket" permet aux attaquants d'accéder à toutes les ressources du domaine, sans même à avoir à s'identifier à nouveau.
Dot#8: Mouvement latéral.
Des actions de mouvement latéral cherchent à utiliser les relations de confiance entre machines du domaine pour pénétrer dans d'autres serveurs ou d'autres réseaux que celui initialement compromis.
Dot #9: Pivoting.
Le pivotement d'un système à un autre permet alors aux attaquants de se maintenir dans la cible alors même que les communications sont coupées entre le C2 et la plupart des ordinateurs compromis. Il suffit d'un seul ordinateur encore compromis pour servir de proxy d'accès aux autres.
Voici donc l'image globale de ces attaques "Cyber Kill Chain":
Dot#0: Pourquoi on nous attaque, nous ?!
Ce sont les ransomware qui sont la raison principale de toutes ces attaques. Si notre système informatique est paralysé, alors on va être enclin à payer une rançon pour récupérer nos fichiers et reprendre le travail le plus tôt possible. D'autant plus si notre sauvegarde est vérolée aussi: La reconstitution de ces fichiers nous prendrait des jours, voire des semaines… Une variante du mécanisme de ransomware (demande de payer une rançon en échange du code de déchiffrement des fichiers) sont le "déni de service", autrement dit le blocage des fonctions informatiques, comme par exemple dans le domaine de la santé, ce qui aboutit à l'impossibilité de faire fonctionner correctement un hôpital, les plans de soins et les dossiers des patients n'étant plus accessibles ou à jour. C'est pour cela que certains domaines sont plus attaqués que d'autres. Une autre variante consiste à divulguer sur Internet des échantillons de fichiers internes de la société attaquée dans l'espoir que la société cible paye, non pas pour récupérer ses fichiers (qu'elle a sauvegardés), non pas pour rétablir ses serveurs (elle finira par y arriver), mais pour éviter que des informations confidentielles ou privées soient divulguées sur internet. C'était notamment le mobile des attaquants du groupe Maze. En dehors des ransomware, il existe d'autres motivations des attaquants: la géopolitique notamment, avec des actions de cyber-espionnage, voire de cyber-guerre ou de "défacement" (changement des pages web de la cible avec de la propagande ou bien injection de fake news). Dans ces cas, les attaquants ne vont pas lancer un ransomware pour bloquer les machines mais vont plutôt tenter pendant des mois, voire des années, d'exfiltrer des informations sensibles pouvant être utilisées contre le pays ou l'entreprise ciblée.
Bienvenue dans le cyber-monde ! Le fait que de si nombreuses entreprises, y compris des sociétés spécialisées dans la cybersécurité (voire des états) ont été piratées avec ces attaques de la "cyber kill chain" montre à quel point nous étions faiblement préparés. Dans le prochain et dernier article de cette série, nous allons voir quelles parades on doit mettre en place d'urgence pour limiter à la fois le risque et l'impact de ces attaques.