Connect the dots #4: Accès initial

Connect the dots #4: Accès initial

"D'accord, les pirates disposent de super outils pour nous attaquer… Mais ils ne fonctionneront que s'ils sont "à l'intérieur", c'est à dire sur une de nos machines. Pour cela, il faut qu'un utilisateur clique sur un message contaminé et de toute manière l'anti-virus va bloquer le fichier dangereux". 

Cheval de Troie.

Nous avons vu lors de notre article précédent, que les attaquants disposent de techniques d'obfuscation, comme avec le fameux Cheval de Troie, pour cacher le payload dans un fichier anodin. Il peut s'agir d'un fichier MS Office ou Adobe, une applet Java ou encore un programme Windows, voire même un faux site, "cloné" sur le vrai, qui contient un lien contaminant. 

Un e-mail piégé est donc envoyé à la cible avec l'artefact et sa charge utile (fichier joint ou lien sur un site piégé). Imaginez un PDF reçu par email: une facture. On clique dessus, rien. On clique à nouveau: rien. Là certains vont cliquer plusieurs fois de suite… Dix fois ? "Décidément ce PDF ne veut pas s'ouvrir ! Je vais appeler la société qui m'a envoyé cette facture pour qu'elle me la renvoie ou je vais répondre à l'email ou le transférer à mon collègue pour voir s'il arrive à l'ouvrir...". 

(c) Muses de la Littérature

Le problème des défenseurs est qu'il suffit d'un seul utilisateur négligent, une seule fois, pour contaminer potentiellement tout le système. Croyez vous raisonnable de faire reposer nos défenses sur le comportement impeccable de la totalité des utilisateurs pendant des années ? 

La première parade consiste donc à disposer un anti-virus au niveau de la passerelle d'email, car un e-mail piégé est la façon la plus simple de procéder pour les attaquants, sauf dans le cas où le système informatique n'est pas du tout relié à Internet (systèmes industriels), auquel cas ils ont utilisé des mises à jour bidon des drivers du système, des périphériques ou remplacé des modules du système lui-même (driver de la carte réseau pour Stuxnet avec un "vrai" certificat Rockwell). Le problème va être que tous les messages et les fichiers devront passer en clair dans cette passerelle car l'anti-virus standard ne pourra pas déchiffrer les fichiers protégés par mot de passe ou ceux zippés avec un mot de passe également. C'est pour cela que les attaquants chiffrent leur fichier d'attaque de manière à éviter d'être détectés au niveau de cette passerelle. Le fichier suspect passe alors en statut "unknown" et il faudra la couche de sandbox dynamique pour l'analyser, comme nous avons vu dans notre article précédent. Le score dépendra de la réputation du domaine de l'émetteur, de l'identité de l'émetteur, etc.

Les attaquants ont eu alors l'idée d'envoyer leurs e-mails avec l'adresse réelle d'un membre de l'entreprise vers un autre membre de l'entreprise… Pour ce faire ils ont récupéré des millions d'adresses e-mail valides, voire les e-mails eux-mêmes, depuis la publication notamment de Collection#1 début 2019, dont j'ai parlé dans un article précédent. Si vous allez sur Have I Been Pwned https://haveibeenpwned.com/ vous verrez l'ampleur du phénomène. Tapez votre email ou celui du domaine de votre société pour voir combien d'emails ont été piratés à ce jour…

(c) https://haveibeenpwned.com/

Ce spear phishing (phishing ciblé) fait que la gateway d'e-mail considère que le domaine est valide, ainsi que l'émetteur, et laisse passer le message vers la cible à qui on a expliqué lors des sensibilisations que c'était ok de répondre uniquement à quelqu'un que l'on connait. Notre pauvre utilisateur peut-il croire une seconde que son propre patron lui a envoyé un e-mail contaminé ?!

Mais est-ce possible ? Peut-on envoyer un e-mail en se faisant passer pour n'importe qui ? Techniquement oui, si l'émetteur n'est pas contrôlé au niveau du domaine… 

DMARC, DKIM, SPF, les trois "Charlie's Angels" de la messagerie.

(c) 2019 – Sony Pictures

Ces trois outils fonctionnent en protection du dispositif d'email de manière à protéger le système d'emails frauduleux. Le premier "ange" est le Sender Policy Framework (SPF), un système de validation des courriers électroniques, conçu pour empêcher l'envoi de courriers électroniques indésirables à l'aide d'un système de spoofing (usurpation). Pour vérifier ce problème de sécurité courant, le SPF va vérifier l'IP source du courriel et la comparer à un enregistrement DNS txt avec un contenu SPF. Autrement dit, le Sender ID va être vérifié et comparé à une base de réputation.

(c) dmarcian.com

Notez que le SPF ici est ok pour "elysee.fr", mais que les attaquants ont maintenant l'information du MX de ce domaine, autrement dit l'adresse de la passerelle d'e-mails de l'Elysée…

Le deuxième "ange" est le DomainKeys Identified Mail (DKIM), une méthode pour associer le nom de domaine et le courrier électronique, permettant à une personne ou une entreprise d'assumer la responsabilité du courrier électronique. Comment ça fonctionne ?  Pour utiliser DKIM, les serveurs de courrier électronique sont configurés de manière à adjoindre des signatures DKIM spéciales aux courriers électroniques qu'ils envoient. Ces signatures voyagent avec les courriels et sont vérifiées en cours de route par les serveurs de courrier électronique qui acheminent les courriels vers leur destination finale. Ces signatures agissent comme un filigrane pour le courrier électronique afin que les destinataires puissent vérifier que le courrier électronique provient bien du domaine qu'il indique et qu'il n'a pas été altéré.

Le troisième "ange" qui travaille de concert avec les deux autres est le Domain-based Message Authentication, Reporting & Conformance (DMARC), une spécification technique créée par un groupe d'organisations afin de réduire le potentiel d'abus basés sur le courrier électronique en résolvant quelques problèmes de longue date liés aux protocoles d'authentification du courrier électronique en matière de fonctionnement, de déploiement et de signalement. 

Vous pouvez tout de suite vérifier que votre domaine n'a pas de problème avec les e-mails en faisant appel au "DMARC check":

(c) dmarcian.com

Notez que j'ai pu vérifier le site de l'Elysée, par exemple, autrement dit, les pirates font faire de même avant de vous attaquer, pour voir si vous avez bien protégé votre domaine concernant les e-mails. Si ce n'est pas le cas, agissez immédiatement. Vous allez éviter de nombreuses attaques par e-mail.

On peut finalement "faire appel à Charlie" en utilisant un rDNS, un reverse DNS où le DNS résout le domaine par une IP correspondant à la gateway d'email et inversement le rDNS retrouve le domaine en fonction d'une IP. 

Si vous installez ces dispositifs au niveau de votre e-mail vous allez pouvoir filtrer quasiment toutes les attaques basées sur l'usurpation

L'intelligence artificielle pour aider les utilisateurs.

Le dernier outil à installer est au niveau de l'analyse du contenu de l'e-mail d'attaque par une intelligence artificielle. En effet, nous recevons des dizaines d'e-mails par jour et presque par réflexe nous cliquons sur ceux qui nous semblent corrects. Si on vous annonce un iPhone12 pour 1€ ou bien la nouvelle PS5 contre les frais d'envoi, bien peu se font avoir. Mais si on reçoit un e-mail qui a recopié le phrasé, la signature habituelle d'un collègue ou d'un fournisseur avec qui nous correspondons régulièrement, c'est très difficile de ne pas se faire piéger. Or l'e-mail est faux (le vrai a été récupéré lors d'un piratage précédent Collection#1), seuls les liens cachés sont erronés, mais on ne les verra que lors d'une analyse attentive du message. Dans le cas de spear phishing, comme les "arnaques au Président", il n'y a même pas de lien frauduleux ou de pièce jointe contaminée… 

C'est là où intervient l'IA: En analysant le contexte et le contenu de l'email l'algorithme va déterminer s'il s'agit d'un message licite ou non. S'il propose une transaction financière, par exemple. L'IA va également "apprendre" les habitudes d'emails de l'entreprise entre les employés, dresser des profils et pourra ainsi détecter ceux qui sortent de l'ordinaire (par inférence Bayésienne). De même l'IA va analyser les phrases qui instillent des "urgences" ou des "impératifs hiérarchiques" typiques de ce type de messages: 

(c) VADESECURE

Si vous utilisez des solutions cloud, vérifiez que votre fournisseur a bien mis en place toutes ces protections sur votre messagerie, ce qui sera naturellement le cas pour les grands fournisseurs renommés. 

En résumé de cet article sur l'accès initial à votre système par les pirates, il s'agit de renforcer considérablement la protection de votre messagerie par un anti-virus next gen au niveau de la gateway, la mise en œuvre des Charlie's Angels sur les domaines et l'IA sur les messages eux-mêmes. Sinon, vous serez dépendants pour toujours de la vigilance parfaite de vos utilisateurs…