Crédit : Gerd Altmann
Détecter les compromissions par des attaquants hautement qualifiés n’est pas une tâche facile, nécessitant une surveillance avancée du trafic réseau, une analyse comportementale des journaux des points de terminaison et même des équipes dédiées à la recherche des menaces qui recherchent manuellement des signes de compromission en imitant les attaquants. Ceci est mis en évidence dans un nouveau McAfee rapport sur un compromis à long terme découvert sur un réseau client qui a commencé comme une simple enquête sur une infection par un logiciel malveillant.
Les chercheurs de McAfee ont surnommé la campagne d’attaque Opération Harvest, car son objectif était l’exfiltration à long terme d’informations sensibles pouvant être utilisées à des fins stratégiques militaires et de propriété intellectuelle pouvant être utilisées pour la fabrication. Le groupe à l’origine de l’attaque utilisait Winnti, un programme de porte dérobée personnalisé qui serait partagé par plusieurs groupes APT chinois.
Sur la base d’une analyse des techniques utilisées lors de l’attaque, les chercheurs de McAfee ont découvert un chevauchement important avec APT27 alias Emissary Panda, connu pour avoir ciblé des organisations dans les secteurs de l’aérospatiale, du gouvernement, de la défense, de la technologie, de l’énergie et de la fabrication. et avec APT41, également connu sous le nom de Baryum et parfois Winnti après le malware. On pense que l’APT41 exécute des campagnes de cyberespionnage au nom du gouvernement chinois, mais a également été vu en train de mener des attaques à motivation financière.
Les deux groupes fonctionnent depuis de nombreuses années et sont hautement qualifiés pour le mouvement latéral, l’escalade des privilèges et la persistance. Dans cette attaque particulière, les pirates ont fait irruption dans le réseau en compromettant l’un des serveurs Web de la victime.
Mappez, développez et exfiltrez
Une fois qu’ils ont acquis cette position initiale, ils ont déployé des outils sur le serveur qui leur ont permis de cartographier le réseau et de commencer à étendre à d’autres systèmes. Les outils trouvés par les chercheurs de McAfee comprenaient PSexec, un outil qui permet l’exécution de fichiers sur d’autres systèmes sur le réseau, ProcDump, un outil qui peut être utilisé pour extraire des informations sensibles de la mémoire RAM des processus, et Mimikatz, un outil utilisé pour vidage des informations d’authentification de Windows. Tous sont gratuits ou open source et parfois utilisés par les administrateurs système ou les testeurs d’intrusion.
Deux autres outils open source utilisés par le groupe et découverts au cours de l’enquête sont BadPotato et RottenPotato. Ceux-ci utilisent des techniques d’escalade de privilèges pour exécuter du code avec des privilèges SYSTEM.
Pour l’élévation des privilèges, les attaquants ont également déployé un programme de porte dérobée appelé PlugX qui utilise une technique appelée DLL sideloading. Cela abuse de l’ordre de recherche des DLL programmées dans certaines applications, en essayant d’abord le répertoire courant. Ainsi, si une application est conçue pour charger une DLL avec un nom particulier à partir du même dossier, tout ce que les attaquants doivent faire est de remplacer cette DLL par une malveillante, puis d’exécuter l’application légitime. L’avantage de cette technique est que le code malveillant est chargé dans la mémoire d’un processus par ailleurs légitime.
« Le fichier .exe est un exécutable valide et signé et, dans ce cas, un exécutable de HP (participation client HP) », ont déclaré les chercheurs. « Nous avons également observé l’utilisation d’autres exécutables valides, allant des fournisseurs audiovisuels aux logiciels vidéo. Lorsque l’exécutable est exécuté, la DLL à côté est chargée. La DLL est valide mais contient un petit crochet vers la charge utile qui, dans notre cas, est le fichier .bin. La DLL charge la configuration PlugX et l’injecte dans un processus. »
Le malware PlugX cache également sa communication avec le serveur de commande et de contrôle dans le trafic DNS, en exploitant les enregistrements DNS TXT. Cela peut facilement être manqué par les outils de défense du réseau s’ils ne recherchent pas également les anomalies dans les requêtes DNS.
Sur certains systèmes, les privilèges SYSTEM acquis via les outils Potato ont été utilisés pour créer un nouveau service système appelé « SysmainUpdate », qui imite un service légitime appelé SysMain associé au service Superfetch.
« Le modèle utilise la technique de persistance utilisant svchost.exe avec service.dll pour installer un service malveillant », ont déclaré les chercheurs. « Il semble que la dll utilise plusieurs mécanismes pour identifier le système ciblé et éviter l’analyse dans le bac à sable, ce qui rend l’analyse plus difficile. La DLL intègre plusieurs chaînes obscurcies décodées lors de l’exécution. Une fois la prise d’empreinte effectuée, le malware installera le service malveillant en utilisant l’API RegisterServiceHandlerA puis SetServiceStatus, et enfin CreateEventA. »
Lien avec les attaques passées
Cette technique a également été décrite dans un rapport de 2017 de Trend Micro sur les activités malveillantes attribuées au groupe Winnti. Les chercheurs de McAfee pensent également que la charge utile déployée dans la campagne sur laquelle ils ont enquêté appartient à la famille des logiciels malveillants Winnti.
Les pirates ont également utilisé l’interface Windows Management Instrumentation (WMI) dans PowerShell pour exécuter des commandes sur les systèmes, configurer des tâches planifiées et utiliser des comptes valides acquis grâce à leur utilisation de Mimikatz.
La variante PsExec utilisée par les attaquants n’était pas l’outil d’origine qui fait partie de la suite Windows Sysinternals pour les administrateurs système, mais une réimplémentation open source en Python qui semble avoir été copiée de GitHub.
Les données ont été collectées à partir de partages réseau et de systèmes compromis à l’aide de scripts batch, puis compressées avec RAR. Les attaquants ont soit exfiltré ces archives directement via leurs portes dérobées, soit les ont placées sur le serveur Web compromis à partir duquel elles pouvaient être consultées et téléchargées depuis l’extérieur du réseau. La chaîne User-Agent de l’outil utilisé pour télécharger ces archives avait une empreinte unique qui correspond également aux informations d’un rapport de 2015 de Dell SecureWorks, suggérant que ces attaquants opèrent depuis de nombreuses années dans différentes campagnes.
En fait, alors qu’ils enquêtaient sur cet incident, les chercheurs de McAfee ont découvert une deuxième attaque ciblée contre une autre organisation du même pays qui utilisait un mode opératoire et des techniques très similaires. Cela suggère que les attaques faisaient partie d’une campagne plus large où les attaquants ont réussi à maintenir l’accès aux réseaux des victimes pendant plusieurs années.
Se défendre contre les attaques APT
Cette pléthore de techniques avancées utilisées dans cette campagne liée à Winnti met en évidence la difficulté de découvrir des compromis par des groupes APT qualifiés. La détection précoce de telles attaques nécessite une approche à plusieurs niveaux avec des investissements importants dans divers types de technologies de surveillance et de détection.
Malheureusement, le nombre d’organisations qui peuvent se permettre de faire de tels investissements ou de mettre en place des équipes internes qualifiées de chasse aux menaces est faible par rapport au nombre de victimes d’APT. Et avec la montée en puissance de groupes de cybermercenaires et avec les groupes de cybercriminels ont également adopté les techniques APT ces dernières années, toute organisation, quelle que soit sa taille ou son secteur d’activité, peut devenir la cible d’attaques de niveau APT.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
