Menaces

---

Liste non exhaustive des Menaces

• Checkers : les Checkers (ainsi que les Brute-Forcers, voir point 2) tentent d’accéder rapidement et efficacement aux mots de passe, afin de s’introduire sur les systèmes avec les droits de l’utilisateur. Ils sont disponibles clandestinement dans le but très précis de valider les comptes et y avoir accès. Grâce aux identifiants obtenus à partir de Bases de données volées, les hackers peuvent utiliser des Checkers et Brute-forcers pour lancer des tentatives de connexion automatisées massives sur les sites web et autres pages d’accès disponibles, afin de vérifier leurs validités et confirmer un accès sans autorisation.
  Les Checkers sont des outils automatisés (scripts ou logiciels) utilisés par les cybercriminels pour vérifier la validité et la combinaison de l'identifiant et du mot de passe volés avec le système d’authentification d'un site web, d’une application, d’une interface de programmation d’application (API), etc.
• Brute-Forcers : Les cybercriminels ont recours à des Brute-Forcers pour accéder de façon automatisée à des informations et des comptes d'utilisateurs.
  Les Brute-Forcers sont des outils automatisés qui tentent de cracker des mots de passe ou des noms d'utilisateur en utilisant une méthode d'essais et d'erreurs. Ils peuvent également être utilisés pour découvrir des pages et des contenus cachés, comme par exemple, une application ou page web.
  Les Checkers et les Brutes-forcers permettent aux cybercriminels d'automatiser la phase de reconnaissance d'une attaque et obtenir l’accès à un compte valide.
  L’accès permettra d’atteindre toute information, mais plus particulièrement des informations personnelles supplémentaires sur l'utilisateur, comme un carnet d’adresse, des photos, des numéros et codes bancaires. La reconnaissance est la première étape utilisée par les cyber-attaquants pour collecter des informations sur les cibles visées.
  Toute information, même partielle, obtenue à partir d’un vol de données, permettent aux hackers qui utilisent des Brute-forces de faciliter la découverte d’un mot de passe.
  Ces types d'attaques sont possibles si les victimes réutilisent les mêmes informations de connexion sur plusieurs plateformes de sites en ligne.
  Les principales causes de réutilisation des mots de passe sont une question de facilité de mémorisation mais également une mauvaise compréhension des risques encourus.
• Loaders : Les Loaders et Crypters (point suivant) permettent de contourner les anti-virus en dissimulant et délivrant des payloads (charges actives).
  Le terme de « charge utile » est utilisé au figuré pour désigner la partie du code exécutable d'un virus qui est spécifiquement destinée à nuire (par opposition au code utilisé par le virus pour se répliquer notamment). Une fois que les hackers ont identifié une cible, l'étape suivante consiste à introduire la menaces, telle que les logiciels malveillants, vers le dispositif ou système ciblé. Étant donné que ces derniers sont généralement protégés par un logiciel antivirus, qui peut reconnaître, signaler ou bloquer le payload de l’application malveillante, les criminels utilisent couramment des outils spéciaux tels que les Loaders et des Crypters.
  Ces outils permettent d’échapper aux détections des outils de sécurité des Endpoint, pour leur permettre de télécharger et exécuter le ou les applications malveillantes en toute discrétion.
  Les Loaders ont généralement des capacités restreintes.
• Crypters : Les Crypters sont des services essentiels pour les hackers impliqués dans la propagation de logiciels malveillants. Les Crypters sont utilisés pour encrypter et donc masquer les logiciels malveillants des payloads afin d’éviter leur détection par les solutions de sécurité comme des antivirus par exemple. Les Crypters peuvent, entre autres, compresser des exécutables, se faire passer pour un programme légitime et éviter d’être testé en bac à sable (sandbox).
  Afin de rendre les choses encore plus faciles pour tout hacker novice ne possédant pas l’expertise technique nécessaire pour déployer leurs logiciels malveillants maisons, les développeurs de Crypters ont développé des interfaces graphiques intuitives simples pour leurs Crypters.
  Via ces panneaux de configuration, chaque néophyte aura la possibilité d’adapter les options souhaitées, comme la destination de l’injection du payload, les méthodes et clés d’encryption.
• Stealers : Les Stealers et Keyloggers permettent d’obtenir des informations sur les systèmes des victimes, tel que les informations d’identification personnelle, sur les moyens de paiement et autres données sensibles. Les Stealers (Voleurs, en français) sont aussi des outils très populaires pour les cybercriminels habitués à exfiltrer des informations sensibles des victimes. Un peu comme les Crypters, ils permettent d’installation des payloads secondaires sur les systèmes des victimes.
  L’objectif, par contre, est de récolter principalement les identifiants des services en ligne, des clients de messagerie électronique et des fichiers utilisés par la victime.
  Les créateurs de Stealers fournissent non seulement les logiciels, mais également les mises à jour et un support client en continu pour garantir la bonne fonctionnalité du logiciel espion.
  Très consciencieux n’est-ce pas ?
• Keyloggers : Un Keyloggers est un logiciel espion de type “enregistreur de frappe” en français, qui enregistre fidèlement les séquences de touches tapées au clavier.
  Agissant silencieusement en arrière-plan, l’une des techniques est d’enregistrer les touches dans un fichier de “log” et les envoyer vers une adresse e-mail ou vers un serveur distant, via FTP.
  L’objectif premier du Keylogger est de démarrer dès le lancement du Système d’Exploitation. Il va utiliser des APIs pour récupérer les événements du clavier. Son objectif de base : enregistrer, via une fonction de récupération, tout événement du clavier dès qu’une touche est enfoncée, et envoyer ensuite ces informations via le réseau.
• Injectors : Une injection, bancaire ou autre, est une superposition d’un faux site sur un site légitime permettant de recueillir toute sorte d’information des victimes tentant de visiter le site légitime. Très populaires et largement disponibles sur le Dark Web, les injections bancaires (Banking Injects) sont généralement utilisées avec des Trojans bancaires pour l'injection de code HTML ou de JavaScript dans du contenu avant qu'il ne soit redirigé vers un site web d'une banque légitime.
  On appelle, plus généralement, ce type d’attaque Man in the Browser via laquelle le Trojan bancaire peut modifier le contenu de la page bancaire légitime en temps réel en effectuant un API Hooking. Un API Hooking, en bref, permet de personnaliser le fonctionnement d’un logiciel, en lui faisant réaliser des actions supplémentaires à des moments déterminés (une sorte de .batch). Le contenu infecté modifié, à ajouter à la page légitime, se trouve dans un fichier de configuration d'injection web. Celui-ci est généralement hébergé sur un serveur distant de type Commande et de Contrôle (CnC) et téléchargé ensuite sur la machine infectée.
  Ce fichier de configuration, encrypté et dissimulé pour éviter toute détection, permet d’adapter et de mettre à jour automatiquement la configuration sur les machines infectées.
  Certaines injections Web intégrées aux chevaux de Troie permettent même de prendre le contrôle total de la machine corrompue.
  L’objectif monétaire est de compromettre à la fois le compte bancaire de la victime et l'utilisation des systèmes de transfert pour voler automatiquement l'argent.
  De plus, certaines injections web peuvent aisément contourner l'authentification à double facteurs.
  Des développeurs d'injections bancaires sur le réseau clandestin criminel proposent à la fois des injections prêtes à l'emploi et des injections personnalisées par client.
  Côté prix, le prix moyen de ces types d'injections sur la toile est de 250 €.
• Exploit Kits : Les Exploit Kits permettent d’utiliser plusieurs Exploit simultanément afin de cibler diverses vulnérabilités de différentes cibles. Un Exploit, pour faire simple, est un élément de programme qui va permettre d’exploiter une faille de sécurité par une personne ou logiciel malveillant.
  Les Exploit Kits sont comme des trousses à outils, automatisant l’exploitation des vulnérabilités des navigateurs web, systèmes d’exploitation et autres. Ils vont également servir de conteneur pour tout type de payloads malveillants telles que des Trojans, des Loaders, des Ransomware et d'autres logiciels malveillants.
  On peut les retrouver sous forme de fausse publicité, de site web compromis ou lien frauduleux via courrier électronique.
• SPAM : Le Spam et Phishing (voir point suivant) sont des leurres permettant de toucher et d’attirer un très grand nombre de victimes potentielles. Attention toutefois, car le spamming et le phishing (y compris le spearphishing) sont souvent regroupés, mais il s’agit pourtant de techniques bien différentes. Il ne se passe pas un jour sans que nous ne soyons confrontés à des contenus publicitaires générés de façon automatique, que ce soit dans nos boîtes mails, sur nos blogs et sites préférés, dans les commentaires d'une boutique en ligne.
  Ces programmes informatiques vont rechercher sur la toile des champs de formulaires et d'autres éléments de pages Web interactifs pour placer les messages publicitaires en surmontant très rapidement les procédures ingénieuses anti-spam. Les spammeurs ciblent généralement des milliers de victimes en même temps et sans discrimination. Le spam concerne généralement les pharmacies en ligne, la pornographie, les rencontres, les jeux d'argent, les combines pour "devenir riche rapidement" qui impliquent de travailler à domicile, les Hoax (chaînes de messages), etc.
• Phishing : Le phishing est généralement mené de la même manière que le spam en envoyant de emails à nombre élevés de destinataires. La technique est l’usurpation d’identités légitimes.
  L'objectif final de cette attaque est le vol d’informations confidentielles, ou encore plus rapide, le transfert d'argent vers des comptes contrôlés par des cybercriminels. Ces emails d'hameçonnage se font passés généralement pour des banques, des sociétés de cartes de crédit, des boutiques en ligne, des sites d'enchères, ou tous types d’organisations de confiance. L’objectif de l’email est d’inciter la victime à cliquer sur un lien, prenant comme excuse de mettre à jour un mot de passe pour éviter la suspension du compte ou télécharger un document important en pièce jointe.
  La pièce jointe dans le courriel lui-même redirige vers un site web qui ressemble exactement à l’officiel, et on l’aura donc bien compris, il s'agit du faux site subtilement conçu pour tromper les victimes et les amener à la saisie d'informations personnelles ou le téléchargement de fichiers malveillants Le phishing reste l'un des vecteurs d'attaque les plus populaires pour les hackers qui obtiennent ainsi des comptes supplémentaires et fonctionnels de victimes.
• Bulletproof Hosting : Pour prolonger la longévité de leurs entreprises criminelles, les hackers se sont tournés vers les services d'hébergement proxy et littéralement à l'épreuve des balles. Les Bulletproof Hosting sont des services garantissent l’anonymat des acteurs malveillant en offrant un hébergement sécurisé pour leur contenu.
  Ces types d’hébergements brouillent les pistes et évitent que les sites web ne soient fermées par les forces de l'ordre. Ces services utilisent souvent des techniques de geo-spoofing pour créer un large éventail d’adresses IP.
  Le terme géo-spoofing signifie simplement : masquer la véritable localisation et faire en sorte que le serveur apparaisse autre part. En gros, il s’agit de changer son adresse IP.
  Ces services d’hébergements sont généralement localisés dans des contrées où les lois sont plus laxistes, ne pouvant perturber les opérations des malfaiteurs ni les incriminer.
• Sniffers : Les Sniffers, présents généralement sur les sites d’achats en ligne, récoltent les informations personnelles et bancaires des clients s’y connectant.
  Les CreditCard Sniffers font référence aux logiciels malveillants, généralement écrit en JavaScript, conçu pour voler les données de type CVV des cartes de crédit.
  Les CVV, ces petits codes à 3 chiffres sur les cartes de crédit, permettent d’effectuer tout type d’achat en ligne.
  La technique est la suivante : 1. Le hacker identifie une vulnérabilité d’une site via un sniffer.
  2. Il injecte une javascript qui va capturer et collecter automatiquement les données de tous les clients s’y connectant (carte de paiement, informations personnelles, etc).
  3. Le sniffer transmet ensuite les données volées au hacker en vue d'une exploitation ultérieure.
• Database Theft : Les vols et bases de données, vendues sur des sites clandestins, permettent aux pirates d’accéder aux informations personnelles des clients ou employés. L’objectif étant de pouvoir accéder aux systèmes internes ou commettre d’autres types de fraudes.
• Underground Marketplace : Les marchés noirs permettent aux hackers de revendre les données volées à d’autres acteurs malintentionnés qui les utiliseront pour la fraude ou faciliter d’autres infractions.
  L'un des plus grands défis auxquels sont confrontés les cybercriminels a toujours été de savoir comment monétiser le contenu qu'ils ont acquis. Au départ, de nombreuses transactions étaient effectuées de personne à personne, sur des forums et services de messagerie privés.
  Vu l’augmentation de l’ampleur des vols, sont apparus des Marketplaces spécifiques constitués de magasins en ligne pour cartes de crédit, comptes et autres données sensibles.
  Les voleurs n'avaient plus à se soucier de trouver des acheteurs : ils revendaient le contenu volé sur un ces Marketplaces pour une somme forfaitaire ou une part des bénéfices des ventes.
  L’arrivée de ces marchés ont facilité l'arrivée d'autres acteurs dans l'économie clandestine. Il n'est plus nécessaire d'avoir des compétences techniques pour se lancer dans la fraude avec des cartes de crédit volées.
  En gros, les criminels du dimanche peuvent aisément télécharger un petit plug-in, suivre les instructions simples fournies par le magasin en ligne, déposer quelques centaines d’euros, acheter quelques cartes de crédit et commencer à faire des achats.
  Dans certains cas, même les informations personnelles des détenteurs de cartes peuvent être obtenues dans la même boutique, ce qui facilite encore plus les transactions frauduleuses.
  C’est aussi simple que de regarder Netflix ! Certains magasins revendent des identifiants de toutes sortes de comptes volés par des malfrats, notamment bancaires, de magasins en ligne, de rencontre et tout autre type de compte pouvant permettre d’effectuer des fraudes en ligne.
  Les criminels profitent de moteur de recherche leur permettant de trier et classifier les millions d’informations disponibles par type d’entreprise, domaine ou simplement par types d’identifiants. De plus, les malfaiteurs peuvent même acquérir les empreintes digitales des systèmes compromis pour usurper l’identité d’une machine victime en question et faciliter le contournement des mesures anti-fraude mises en œuvre par les systèmes de protection.
  Pour parfaire les choses, certains magasins vendent les certificats non seulement des domaines clients mais également des domaines et VPN d'entreprises.
  Évidemment, cela peut s’avérer fortement dangereux, car des cybercriminels plus sophistiqués peuvent utiliser des identifiants des employés pour accéder directement aux systèmes et réseaux internes des entreprises afin d’effectuer toute sorte d’opérations ou manipulations avec la casquette légitime d’un collaborateur.


Nouvelles

Articles à télécharger du net

• https://www.databreachtoday.eu/blogs/ransomware-average-ransom-payment-drops-to-137000-p-3071
• https://www.databreachtoday.eu/iot-security-dangers-loom-as-office-workers-return-a-17138
• https://www.databreachtoday.eu/mercenary-hacking-group-deploys-android-malware-a-17139
• https://www.databreachtoday.eu/south-african-port-operations-disrupted-by-cyberattack-a-17134
• https://www.bankinfosecurity.com/fbi-attackers-continue-to-exploit-unpatched-fortinet-flaws-a-16764
• https://www.databreachtoday.com/patient-files-dumped-on-darknet-site-after-hacking-incidents-a-15969
• https://www.databreachtoday.eu/chinese-apt-group-attacks-french-organizations-a-17124?highlight=true


Les Menaces en général

En constante augmentation, les menaces ne sont pas forcément là où on les attend. Evaluer la menace est un exercice que trop peu d’organisation gouvernementale ou privée ne pratique régulièrement. Cette évaluation, devrait être continue et pouvoir aider à orienter les règles et mesures de protections. Car c’est bien la menace qui permet d’évaluer le risque et ainsi mesurer l’effort nécessaire à fournir pour mettre en place un dispositif de sécurité dans les bonnes proportions. Hors cette menace évolue constamment, à cause du comportement imprévisible des utilisateurs et applications, découvertes soudaines de faiblesse ou vulnérabilités, apparition de nouvelles techniques et outils d’exploit, exposition inutile ou excessive, évolution des motivations et présence de pirates et groupements criminels. Tout dispositif efficace devrait pouvoir tenir compte de la menace pour mettre en application ses mesures protectrices.