Kaspersky Lab : les attaques ciblées (APT) décortiquées en 7 étapes

Kaspersky Lab : les attaques ciblées (APT) décortiquées en 7 étapes

Les attaques ciblées (APT) constituent aujourd'hui une menace réelle notamment comme le souligne Nicolas Brulez, chercheur chez Kaspersky Lab, celles qui touchent les milieu bancaire « les chevaux de Troie dédiés aux environnements financiers affichent une croissance inquiétante ».

A l'origine de la découverte du fameux « système d'attaques ciblées » Mask Careto, les chercheurs de Kaspersky Lab décortiquent les différentes attaques pour mieux les comprendre. Selon Nicolas Brulez, les APT partagent toutes 7 étapes cruciales pour atteindre leurs objectifs.

La première c'est la reconnaissance de l'environnement ciblé (services aéronautiques, environnements militaires, centrales nucléaires, ambassades...) avec la détection du type de serveurs, leur nombre, les services proposés... La deuxième étape c'est l'envoi d'un mail piégé pour « entrer » sur le réseau ciblé via une boite mail anonyme ou une boite mail déjà compromise. La troisième étape consiste à installer le backdoor proprement dit via un lien URL piégé proposer dans le corps du mail expédié. La quatrième étape cible l'obtention de droits supplémentaires auprès du système cible. Il s'agit par exemple d'obtenir plus de privilèges ce que l'on nomme l'escalade de privilèges, en usurpant des mots de passe d'administrateurs. La cinquième étape déclenche dans les codes du backdoor désormais installé sur le réseau les process liés à l'obtention d'informations sensibles via les privilèges obtenus. La sixième étape consiste pour les attaquants a s'assurer que leurs codes malveillants sont « bien installés » sur le réseau et ne se trouvent pas en situation de « vulnérabilité ». Enfin, la septième et dernière étape met en œuvre le module d'envoi des données sensibles récupérées ; Ces données sont alors expédiées vers des serveurs « amis » des attaquants.

Deux modes de récupération par ingénierie sociale sont couramment utilisés par les attaquants : le mode passif via linkedin et le mode plus actuel par Watering hote ou «Infection par site Web », autrement appelé «Drive-By Download». Cette méthode d'attaque s'effectue en trois étapes : Création ou compromission d’un site Web par l’attaquant (accès à l’interface d’administration, compromission des régies publicitaires pour injecter du code au sein des publicités affichées, découverte d’une vulnérabilité de type XSS…). Deuxième étape : Dépôt du malware sur le site (Ex : code JavaScript offusqué s’exécutant au chargement de la iframe contenant un ActiveX ou un applet Java malicieux hébergé sur un autre site, …). Dernière étape :

Read more...

FORTE CROISSANCE DES MALWARES BANCAIRES SUR MOBILES (Angl.)

The third quarter of the year shone the spotlight on parts of the hidden Internet that would have preferred to remain hidden. Services favored by cybercriminals such as the digital currency Liberty Reserve and the online marketplace Silk Road were all shut down during the quarter. Right after the quarter ended, the notorious creator of the Blackhole Exploit Kit, Paunch, was arrested as well, severely curtailing related spam campaigns.

Read more...

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information