Spear Phishing, la technique préférée des attaques ciblées

Notre étude sur le Spear Phishing a démontré que cette technique était à l’origine de 91% des attaques ciblées (APT : Advanced Persistent Threats)…

Pas si étonnant… le facteur humain est sans limite 🙂 et les pirates l’ont bien compris !

Ils rusent d’ingéniosité pour que les personnes ciblées ne se doutent de rien et ouvrent des pièces jointes comme «Bonne année 2013 !.doc » de l’email envoyé par un ancien collègue de travail (Qui n’est pas celui que l’on pense… mais le pirate lui-même !).

Le fichier est ouvert… il s’agit d’une carte de vœux des plus classiques… un peu déçu, l’utilisateur ferme son document…

Malheureusement le mal est fait… le document (doc, xls, pdf…) contient un exploit de vulnérabilité et dépose un exécutable d’accès à distance « FUD » (Fully UnDetectable). Le trojan est installé, le pirate à un accès quasi-total sur la machine.

Voici la liste des ingrédients pour la recette du Spear Phishing :

– 1 cible

– 1 adresse email

– 200 gr d’ingénierie sociale

– 250 gr de pièce jointe infectée (contenant un crypted RAT indétectable ou presque)

– Laisser reposer quelques heures et attendre 🙂

– Option : Remplacer la pièce jointe par une URL vers un site exploitant des vulnérabilités de navigateur

Contrairement au Mass Phishing, le Spear Phishing est envoyé à une ou quelques personnes d’un service important de l’entreprise. Bien souvent, les VIPs, et leurs assistants, sont des cibles de choix car ils ont des accès élargis et des droits « administrateurs » sur leur poste.

Comme expliqué un peu plus haut, le point d’entrée de l’attaque est l’ingénierie sociale. Aujourd’hui, le spam fait partie de nos vies numériques, et la majorité des utilisateurs ne se laisse presque plus avoir… enfin presque 🙂. Le pirate va donc devoir ruser et personnaliser l’email afin que le destinataire n’ai aucun soupçon et ouvre la pièce jointe (Souvent un fichier malicieux de type .exe déguisé en fichier .doc, .pdf, .xls, etc…),  ou clique sur un lien Web (Site Web malicieux contenant un drive-by-download ou exploitant une faille de vulnérabilité type Zero Day).

L’attaque étant limitée à quelques personnes, les éléments utilisés par le pirate comme l’adresse email, le fichier infecté ou l’URL du site Web malicieux ne pourront être détectés par les solutions de sécurité classiques (endpoint AV, parefeu, IDS/IPS, proxy web , antispam, etc…) car les mécanismes de protection par signature recherchent des « éléments » reconnaissables dans le fichier. Hors, l’ensemble des fichiers de l’attaque sont unique à l’opération.

 

Comment se protéger des attaques ciblées alors… (APT killer ?)

D’une part en sensibilisant les personnes ayant accès aux informations importantes, voire confidentielles  de l’entreprise (VIP, finance, R&D, etc…). Ils peuvent être à tout moment la cible d’une « APT ».

Ensuite, côté technique, des technologies de protection contre les « attaques ciblées » existent. Pour répondre à ce type d’attaques sophistiquées,  Trend Micro a créé l’approche « Custom Defense », un ensemble de technologie et de service permettant d’identifier ces nouvelles menaces quel que soit l’endroit où elles arrivent (Messagerie, Web, Poste de Travail, etc…).

Deep Discovery Advisor, au centre de cette offre, embarque plusieurs « sandbox » personnalisées, représentant les « gold image » de l’entreprise, et analyse tout type fichier « dangereux » (office, adobe, multimédia, binaire …), quelque soit le flux de transfert (mail, web, partage de fichier…) . Un de ses objectifs est de collecter les fichiers suspicieux envoyés par les différents produits Trend Micro (IMSva, Scanmail Exchange/Domino, IWSva…) mais aussi par le biais d’outils Trend Micro disponibles pour auditer les postes de travail, boîtes aux lettres ou même de détecter des modifications de compte Active Directory puis de les exécuter en environnement « cloisonnés » pour déterminer si les fichiers utilisent des vulnérabilités 0-day ou connues et présentent un comportement dangereux pour le système.

Autre élément important de cette offre, notre système de réputation Smart Protection Network.  Ce système collecte, analyse et identifie quotidiennement un peu plus d’un milliard d’échantillons de fichiers, adresses IP, URL, nom de domaine, applications mobiles, etc…  collectés chez près de 200 millions de clients Trend Micro.

Toutes ces informations sont ensuite utilisées par nos TrendLabs pour développer des patchs virtuels, signatures, listes noires, listes blanches, etc… et mis à disposition pour l’ensemble des clients Trend Micro.

Et le Spear Phishing dans tout ça…

Pour le blocage des spams, mass phishing, malware…, Trend Micro sécurise de nombreux clients (dont de nombreuses grandes entreprises) avec la solution IMSva. Depuis le Service Pack 2 de la version 8.2, un moteur d’analyse « agressif »  (ATSE)  est intégré, permettant de détecter les pièces jointes « suspectes », de les placer en quarantaine temporaire et de les envoyer vers la solution Deep Discovery Advisor pour analyse complète.

Exemple d’alerte sur Deep Discovery Advisor :

11

Lorsque l’analyse est terminée, un rapport détaillé est édité sur l’analyse du mail  et le résultat est transmis à la passerelle IMSva.

Exemple d’identification des risques d’un fichier sur DDA :

12

L’analyse en sandbox a permis de mettre en avant des comportements dangereux :

13

14

Lorsqu’un email est identifié comme « suspicieux ou dangereux »,  la solution IMSva définit quelle action doit être appliquée, sur de multiples critères, par exemple :

– Mise en quarantaine définitive

– Transmission à l’équipe CSIRT

– Alerte à l’utilisateur…

16

Pour conclure, les attaques de type Spear phishing sont en pleine expansion, et deviendront bientôt courante pour certaines organisations. S’en protéger deviendra une nécessité.

PS : le Spear Phishing n’est pas encore un argument suffisant pour ne plus ouvrir les emails de son patron… Dommage 😉

Une réflexion au sujet de « Spear Phishing, la technique préférée des attaques ciblées »

  1. bonjour
    Jai ete victime du phishing sur facebook suite a une adresse electronique inconue auquel j,ai retrouver dans mes parametres du compte facebook .l,ayant suspecter, j,ai imediatement supprimé sans avoir signaler a la securité de facebook .et le resultat de suppression m,a plutot choquer
    il s,agit precisement du probleme d,hameçonnage expoitant la faille humaine
    c,est exactement le probleme auquel je suis confronter sur internet
    je suis mageur agee de 40ans et vous prient de croire au type d,hameçonnage auquel je fais mention
    merci d,avance pour votre bonne compréhension et je reste a votre entiere disposition pour plus de details

    Bankeng Romain

Leave a Reply

Your email address will not be published. Required fields are marked *