Les kits d’exploitation pour les Nuls!

On constate que les menaces ayant actuellement le plus d’impact sont véhiculées par le Web et sont pour la plupart produites par des kits « clés en main » utilisables par tous, ou presque. Ils se nomment BlackHole, ProPack, Nuclear, CritXPack, Phoenix, … et peuvent tester en quelques secondes des dizaines de vulnérabilités, non seulement sur un système et un navigateur, mais également sur l’écosystème logiciel tel que Java, Adobe Reader, QuickTime, Flash ou Office par exemple. Chaque vulnérabilité représentant une porte d’entrée potentielle pour une attaque si les ordinateurs ne sont pas à jour (or ils le sont très rarement !)
Qu’est-ce qu’un kit d’exploitation ?

Un kit d’exploitation est un ensemble de logiciels principalement conçu pour faire du cyber-espionnage, pour effectuer des fraudes bancaires (virements automatiques) ou pour voler des données.  Il permet aux cyber-délinquants de prendre le contrôle d’ordinateurs en utilisant des failles logicielles et en outrepassant les moyens de sécurité traditionnels.

Un kit d’exploitation dispose d’au moins 3 composants  (qui peuvent être ou non regroupés sur le même serveur) :

  • Un serveur web (WWW), qui va exploiter les vulnérabilités du navigateur ou de l’environnement Web de la cible;
  • Un serveur Command &Control (C&C), par lequel les ordres vont être véhiculés vers l’ordinateur de la victime;
  • Un serveur d’administration (Admin), qui permet à l’attaquant de gérer les machines des victimes.

kit d'exploitation

Quel est le mode opératoire ?

1èrePhase : Redirection de la victime vers le serveur d’exploitation

But : Faire venir la victime sur le site qui héberge le kit d’exploitation

Kit d'exploitation Phase 1

La méthode la plus classique consiste à envoyer à la cible un e-mail contenant un lien la dirigeant vers le serveur d’exploitation, (qui héberge le kit d’exploitation). Cependant, certains groupes de cyber-délinquants vont jusqu’à compromettre des sites Internet légitimes pour rediriger les utilisateurs à leur insu. Cette méthode leur permet de prendre le contrôle d’un très grand nombre d’ordinateurs en un temps réduit. Dès que le navigateur de la cible se connecte sur le serveur d’exploitation, ce dernier tente d’exploiter toutes les vulnérabilités connues de l’environnement informatique de la victime.

Une autre variante consiste à envoyer par e-mail une pièce jointe compromise (un fichier Word, PDF, Excel, etc.). Certains kits d’exploitation permettent de générer de tels fichiers (piégés) permettant d’exploiter des vulnérabilités.

Kit d'exploitation Phase 1.1

2ème Phase : Exploitation de vulnérabilité et installation du logiciel de contrôle « Remote Access Tool » (RAT)

But : Installer sur l’ordinateur cible les composants qui vont permettre d’en prendre le contrôle.

Kit d'exploitation Phase 2

 

Une fois que la victime a cliqué sur le lien ou a ouvert la pièce jointe compromise, une vulnérabilité de l’environnement est exploitée. Un fichier est alors téléchargé et exécuté par la victime, ce qui va permettre  « l’administration » à distance. Ce fichier exécutable est « chiffré » de manière à ne pas être détecté par les antivirus.

3ème Phase : Contrôle et vol de données

But : Rester furtif de manière à garder le contrôle le plus longtemps possible.

Kit d'exploitation Phase 3

L’ordinateur cible est maintenant  sous le contrôle de l’attaquant.

Le logiciel de contrôle installé sur le poste client (RAT) communique alors avec le serveur d’exploitation (C&C pour Command &Control). Cette communication, souvent réalisée en HTTP ou HTTPS, permet au RAT de recueillir ses ordres et de s’emparer de données. Pour passer inaperçus, certains kits d’exploitation utilisent des canaux de communication plus exotiques (voir ce billet).

 

Leave a Reply

Your email address will not be published. Required fields are marked *