Sécurité et espionnage informatique
Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage
Cédric Pernet
Eyrolles
Chapitre 1
APT : définition1
Différentes définitions
1
Mandiant2
Dell Secure Works2
NIST2
Damballa3
Mot à mot
3
Advanced3
Persistent4
Threat4
En résumé
5
Chapitre 2
APT : contexte7
Le calme dans la tempête
8
Données sensibles
9
Classification de données9
Accès sensibles9
Emplacement physique des données10
Personnes sensibles10
Machines sensibles11
En résumé
12
Chapitre 3
APT : généralités13
Portée et responsabilité
13
Uniquement des cibles américaines ?
13
Qui ?
14
Combien de techniques différentes les attaquants utilisent-ils ?
14
Pourquoi ?
15
La chaîne d'attaque APT
15
Malwares, rootkits, command and control... De quoi s'agit-il ?
17
En résumé
18
Chapitre 4
Cycle APT : phase de reconnaissance19
Reconnaissance passive
21
Noms de domaines, informations Whois21
archive.org25
Serveurs DNS et commande dig26
Netcraft29
Collecte d'adresse e-mails30
Publications en ligne31
Réseaux sociaux32
Reconnaissance active
34
Anonymat34
Moteurs de recherche/opérateurs de recherche Google35
Aspirateurs de sites web36
Scanners de vulnérabilités37
Collecte de métadonnées38
Serveurs d'e-mails40
Adresses de courriels personnelles40
Note sur le stockage de données
40
Interview : Nart Villeneuve, FireEye
42
En résumé
43
Chapitre 5
Cycle APT : compromission initiale45
Phishing et spear phishing (hameçonnage)
46
Spear phishing de masse49
Spear phishing traditionnel51
Spear phishing : le contenu53
Exemples réels de spear phishing53
Attaque contre défense56
Pièces jointes56
Bonnes pratiques57
Exploitation des réseaux sociaux
58
Infections par watering hole
59
Attaques de fournisseurs de services Internet
61
Attaques directes
61
Accès physiques
62
Interview : Gavin O'Gorman, Symantec
63
En résumé
65
Chapitre 6
Cycle APT : compromission initiale - malwares et exploits67
Les exploits
68
Logiciels ciblés68
Obtention d'exploit 0day70
Catégories d'exploits70
Marché des exploits 0day71
Exploits et APT : la réalité73
Différents types de malwares
73
Malwares et spear phishing : pièces jointes
76
Malwares et spear phishing : liens
77
Malwares utilisés en APT : point de vue technique
78
Contournement des antivirus79
Contournement des pare-feu81
Contournement des sécurités de Windows liées au binaire82
Obfuscation du binaire82
RAT et malwares les plus utilisés dans les attaques APT
84
Interview : Fabien Perigaud, Airbus DS CyberSecurity
90
En résumé
93
Chapitre 7
Cycle APT : renforcement des accès et mouvements latéraux95
Devenir administrateur local
96
Collecte de mots de passe et de hashes
98
Mots de passe locaux99
LM hashes
100
NTLM hashes
100
Secrets LSA (Local Security Authority)
102
Cache d'informations de connexion au domaine (cached domain logon information)
102
Credential Manager Store
103
Prodented Storage
104
Sessions Logon
104
Mots de passe sur le réseau105
Challenge/réponse LM/NTLM
105
Attaque Pass the Hash
106
Devenir administrateur de domaine
107
Dump de l'Active Directory (ntds.dit)
108
Mouvements latéraux
109
En résumé
110
Chapitre 8
Cycle APT : exfiltration de données111
Utilisation d'un RAT
111
Exfiltration par FTP/SFTP
112
Exfiltration par e-mail
113
Exfiltration par tunnel DNS
113
Volumes transférés
114
Contenu des transferts
115
Interview : Silas Cutler, CrowdStrike
116
En résumé
119
Chapitre 9
Cycle APT : les cibles121
L'opinion des professionnels de la sécurité de l'information
121
Définition des cibles
122
Localisation des cibles
124
Connaissance des cibles des groupes d'attaquants
125
Types de données recherchées et motivation
126
En résumé
127
Chapitre 10
Cycle APT : les attaquants129
Différentes attaques, mêmes profils
129
Le profil « hacker »130
Le profil « analyste Threat Intelligence »132
Le profil « analyste Competitive Intelligence »133
Le profil « administrateur système »134
Le profil « développeur de malwares »135
Le profil « développeur généraliste135
Structure d'un groupe d'attaquants
136
Attribution des attaques APT
137
Interview : Anonyme
140
Partage de ressources entre différents groupes d'attaquants
142
Interview : Joe Stewart, Dell SecureWorks
143
En résumé
145
Chapitre
Exemples de campagnes de cyberespionnage147
« Operation Aurora » et autres attaques
147
De nombreuses victimes148
Utilisation d'exploit 0day148
Watering hole et cibles149
Des outils efficaces pour optimiser les campagnes d'infection initiales150
Origine probable du Projet Elderwood150
La plate-forme Elderwood en 2014150
Le groupe APT1/Comment Crew
152
Un groupe gigantesque et sponsorisé152
Quelques chiffres153
Infrastructure informatique APT1154
Cycle d'attaque155
Phase de compromission initiale
155
Phase de renforcement des accès et mouvements latéraux
158
Phase d'exfiltration
160
Professionnalisme variable : des individus commettant des erreurs160
Derniers rebondissements : la Justice américaine passe à l'attaque165
Le futur d'APT1167
Le cas Su bin
167
Une petite équipe bine rodée168
Structure opérationnelle du groupe169
Chronologie partielle de l'attaque169
Vente de données171
Conclusion171
Shell_Crew
171
Un exemple de compromission initiale du groupe171
Renforcement des accès172
Conclusion173
Chronologie d'attaques APT médiatisées
173
Moonlight Maze (1998-2000)174
Titan Rain (2000-2003)174
NetTraveler/Travnet (2004/2005)174
Affaire Sin Digoo (2004)175
« Opération Shady RAT » (2006)176
Lurid (2006)176
Red October (également appelé ROCRA) (2007)177
Gh0stNet/Shadownet (mai 2007)178
Putter Panda (2007)178
Careto/The Mask (2007)179
Taidoor (2008)180
Ixeshe (juillet 2009)180
« Operation Aurora » (2009)181
« Operation Troy »/ Dark Seoul (2009)181
Winnti (2009)182
« Operation Night Dragon » (novembre 2009)183
Campagne HeartBeat (novembre 2009)184
« Operation Ke3chang » (2010)184
« Operation Hangover » (septembre 2010)185
Energetic Bear/DragonFly/Crouching Yeti (2011)185
« Operation Beebus » (avril 2011)/Mutter Campaign (2011/2013)186
Luckycat (juin 2011)187
Nitro (juillet 2011)188
IceFog (2011)188
Deep Panda (2011)189
Pitty Tiger (2011)190
Flamer (mai 2012)190
Mirage (avril 2012)191
Voho (juillet 2012)192
Campagne Madi/Mahdi (juillet 2012)192
Safe (octobre 2012)193
« Operation Molerats » (octobre 2012)193
Surtr (novembre 2012)194
Campagne Quarian (novembre 2012)194
« Operation Kimsuky » (2013)195
Khaan Quest (juin 2013)195
« Operation DeputyDog » (août 2013)196
« Operation Ephemeral Hydra » (novembre 2013)196
« Operation Saffron Rose » (2014)196
« Operation SnowMan » (février 2014)197
Campagne Siesta (mars 2014)197
Autres attaques
198
En résumé
201
Chapitre 12
Détection d'attaques APT203
Détection d'APT dans les logs des solutions antivirales
204
Détection d'APT sur le réseau
205
Détection dans les e-mails205
Détection dans les logs des pare-feu206
Détection dans les logs proxies, DNS et VPN206
Détection d'APT sur les postes de travail
208
Prévention
209
Sensibilisation des employés209
Protection des postes des employés210
Simulations d'APT211
Veille212
Communication212
Le futur de la détection213
En résumé216
Conclusion217
Index219