Voler sous le radar – Techniques d’évasion de sécurité

teknomers


Plongez dans l’évolution des techniques de phishing et d’évasion des logiciels malveillants et comprenez comment les attaquants utilisent des méthodes de plus en plus sophistiquées pour contourner les mesures de sécurité.

L’évolution des attaques de phishing

« J’aime vraiment le dicton selon lequel « C’est hors de portée » n’a jamais été dit par un pirate informatique. Qu’il s’agisse d’astuces, de techniques ou de technologies, les pirates informatiques feront tout pour échapper à la détection et s’assurer que leur attaque réussisse. » déclare Etay Maor, stratège en chef de la sécurité chez Cato Networks et membre de Caton CTRL. Les attaques de phishing se sont considérablement transformées au fil des années. Il y a 15 à 20 ans, de simples sites de phishing suffisaient à capturer les joyaux de l’époque : les détails des cartes de crédit. Aujourd’hui, les méthodes d’attaque et de défense sont devenues beaucoup plus sophistiquées, comme nous le détaillerons ci-dessous.

« C’est aussi l’époque où le jeu d’attaque-défense du « chat et de la souris » a commencé », déclare Tal Darsan, responsable de la sécurité et membre de Cato CTRL. À l’époque, une technique de défense majeure contre les sites de phishing par carte de crédit consistait à les inonder de grands volumes de numéros, dans l’espoir de les submerger et de les empêcher d’identifier les véritables détails de la carte de crédit.

Mais les acteurs malveillants se sont adaptés en validant les données à l’aide de méthodes telles que l’algorithme de Luhn pour vérifier les vraies cartes de crédit, en vérifiant les informations de l’émetteur via les numéros d’identification bancaire (BIN) et en effectuant des micro-dons pour tester si la carte était active.

Voici un exemple de la manière dont les attaquants ont validé les numéros de carte de crédit saisis sur des sites de phishing :

Techniques anti-chercheurs

À mesure que le phishing devenait plus avancé, les attaquants ont ajouté des techniques anti-recherche pour empêcher les analystes de sécurité d’étudier et d’arrêter leurs opérations. Les stratégies courantes incluaient le blocage de l’adresse IP après un accès unique pour créer un faux semblant que le site de phishing avait été fermé, et la détection des serveurs proxy, car les chercheurs utilisent souvent des proxys lors de leurs enquêtes.

Le code de l’attaquant pour un accès unique à l’adresse IP :

Le code de l’attaquant pour l’identification du proxy :

Les attaquants ont également randomisé les structures de dossiers dans leurs URL au cours des dernières décennies, dissuadant les chercheurs de suivre les sites de phishing en fonction des noms de répertoires courants utilisés dans les kits de phishing. Cela peut être vu dans l’image ci-dessous :

Éviter l’antivirus

Dans le passé, une autre façon d’échapper aux contrôles de sécurité consistait à modifier malware signatures avec des services de cryptage. Cela l’a rendu indétectable par les systèmes antivirus basés sur les signatures. Voici un exemple d’un tel service qui était autrefois très populaire :

Éviter la vérification de l’appareil

Passons à d’autres techniques d’évasion modernes. Premièrement, une attaque de phishing qui cible les victimes en collectant des informations détaillées sur l’appareil, telles que la version de Windows, l’adresse IP et le logiciel antivirus, afin que les attaquants puissent mieux usurper l’identité de l’appareil de la victime.

Ces données les aident à contourner les contrôles de sécurité, comme la vérification de l’identité de l’appareil, que les organisations, comme les banques, utilisent pour confirmer les connexions légitimes. En reproduisant l’environnement de l’appareil de la victime (par exemple, version de Windows, détails du lecteur multimédia, spécifications matérielles), les attaquants peuvent éviter toute suspicion lorsqu’ils se connectent à partir de différents emplacements ou appareils.

Certains services du Dark Web fournissent même des machines virtuelles préconfigurées qui reflètent le profil de l’appareil de la victime (voir l’image ci-dessous), ajoutant une couche supplémentaire d’anonymat pour les attaquants et permettant un accès plus sûr aux comptes compromis. Cela démontre à quel point la science des données et la personnalisation font désormais partie intégrante des opérations criminelles.

Éviter la détection des anomalies

Un autre cas est celui où les défenseurs ont été confrontés à un gang utilisant des logiciels malveillants pour exploiter des sessions bancaires en direct, attendant que les victimes se connectent avant d’effectuer rapidement des transactions non autorisées. Le problème était que ces actions semblaient provenir de la propre session authentifiée de la victime, ce qui rendait la détection difficile.

Cela a donné lieu à un jeu du chat et de la souris entre attaquants et défenseurs :

  1. Initialement, les défenseurs ont mis en place un contrôle de vitesse, signalant les transactions terminées trop rapidement comme étant probablement frauduleuses.
  2. En réponse, les attaquants ont modifié leur code pour simuler la vitesse de frappe humaine en ajoutant des délais entre les frappes. Cela peut être vu dans le code ci-dessous :
  3. Lorsque les défenseurs se sont adaptés à cela en ajoutant des contrôles de timing aléatoires, les attaquants ont riposté avec des délais variables, se fondant ainsi davantage dans un comportement légitime.

Cela illustre la complexité de la détection des fraudes bancaires sophistiquées et automatisées au milieu de transactions légitimes.

Attaques de phishing évasives

Passons maintenant aux attaques plus récentes. L’une des attaques les plus importantes analysées par Cato CTRL comprenait une attaque de phishing intelligente conçue pour imiter le support Microsoft. L’incident a commencé par un message d’erreur 403 qui dirigeait l’utilisateur vers une page prétendant être « Support Microsoft », avec des invites pour « obtenir l’aide et le support appropriés ». La page présentait des options de prise en charge « Accueil » ou « Business », mais quelle que soit l’option choisie, elle redirigeait l’utilisateur vers une page de connexion Office 365 convaincante.

Cette fausse page de connexion a été conçue dans le cadre d’un programme d’ingénierie sociale visant à inciter les utilisateurs à saisir leurs informations d’identification Microsoft. L’attaque a exploité des déclencheurs psychologiques, tels que l’imitation de messages d’erreur et d’invites d’assistance, pour renforcer la crédibilité et exploiter la confiance de l’utilisateur dans la marque Microsoft. Il s’agissait d’une tentative de phishing sophistiquée, axée sur l’ingénierie sociale plutôt que sur des techniques d’évasion avancées.

Chaîne de redirection trompeuse

Dans cette analyse suivante, Cato CTRL a enquêté sur une attaque de phishing utilisant des techniques de redirection complexes pour échapper à la détection. Le processus a commencé avec un lien initial trompeur, déguisé en moteur de recherche populaire en Chine, qui redirigeait vers plusieurs URL (en utilisant des codes d’état HTTP comme 402 et 301) avant d’aboutir sur une page de phishing hébergée sur un lien Web décentralisé (IPFS). Cette séquence de redirection en plusieurs étapes complique le suivi et la journalisation, ce qui rend plus difficile pour les chercheurs en cybersécurité de retracer la véritable origine de la page de phishing.

Alors que l’enquête se poursuivait, le chercheur de Cato CTRL a rencontré plusieurs techniques d’évasion intégrées dans le code du site de phishing. Par exemple, la page de phishing incluait du JavaScript codé en Base64 qui bloquait les interactions au clavier, empêchant ainsi le chercheur d’accéder ou d’analyser directement le code. D’autres tactiques d’obscurcissement incluaient des points d’arrêt dans les outils de développement, qui forçaient la redirection vers la page d’accueil légitime de Microsoft pour empêcher une inspection plus approfondie.

En désactivant ces points d’arrêt dans les outils de développement de Chrome, le chercheur a finalement contourné ces barrières, permettant un accès complet au code source du site de phishing. Cette tactique met en évidence les défenses sophistiquées et superposées mises en œuvre par les attaquants pour contrecarrer l’analyse et retarder la détection, en tirant parti de l’anti-sandboxing, de l’obscurcissement JavaScript et des chaînes de redirection.

Détection basée sur les ressources de phishing

Les attaquants adaptent constamment leurs propres techniques de défense pour éviter d’être détectés. Les chercheurs se sont appuyés sur des éléments statiques, tels que des ressources d’images et des icônes, pour identifier les pages de phishing. Par exemple, les sites de phishing ciblant Microsoft 365 reproduisent souvent les logos et icônes officiels sans modifier les noms ou les métadonnées, ce qui les rend plus faciles à repérer. Dans un premier temps, cette cohérence offrait aux défenseurs une méthode de détection fiable.

Cependant, les acteurs malveillants se sont adaptés en randomisant presque tous les éléments de leurs pages de phishing.

Pour échapper à la détection, les attaquants :

  1. Randomiser les noms de ressources – Les noms de fichiers d’images et d’icônes, auparavant statiques, sont fortement aléatoires à chaque chargement de page.
  2. Randomiser les titres de page et les URL – Les titres, sous-domaines et chemins d’URL changent constamment, créant de nouvelles chaînes aléatoires à chaque accès à la page, ce qui rend son suivi plus difficile.
  3. Mettre en œuvre les défis Cloudflare – Ils utilisent ces défis pour vérifier qu’un humain (et non un scanner automatisé) accède à la page, ce qui rend plus difficile la détection automatisée par les outils de sécurité.

Malgré ces techniques, les défenseurs ont trouvé de nouveaux moyens de contourner ces évasions, même s’il s’agit d’un jeu d’adaptation continu entre les attaquants et les chercheurs.

La masterclass révèle de nombreux autres logiciels malveillants et attaques de phishing et la manière dont ils échappent aux mesures traditionnelles, notamment :

  1. Droppers de logiciels malveillants pour la distribution de la charge utile.
  2. Fichiers HTML dans les e-mails de phishing pour lancer un téléchargement de malware en plusieurs étapes impliquant des fichiers zip protégés par mot de passe.
  3. Contrebande de fichiers et manipulation d’octets magiques.
  4. Contrebande SVG et encodage B64.
  5. Tirer parti d’applications cloud fiables (par exemple, Trello, Google Drive) pour le commandement et le contrôle afin d’éviter la détection par les systèmes de sécurité standard.
  6. Injections rapides dans des logiciels malveillants pour induire en erreur les outils d’analyse des logiciels malveillants basés sur l’IA.
  7. Réutilisation de l’outil de suppression du rootkit TDSS Killer pour désactiver les services EDR, ciblant spécifiquement Microsoft Defender.
  8. Les robots Telegram comme moyen de recevoir des informations d’identification volées, permettant aux attaquants de créer rapidement de nouvelles zones de dépôt selon leurs besoins.
  9. IA générative utilisée par les attaquants pour rationaliser la création et la distribution des attaques.
  10. Chasse aux menaces basée sur le réseau sans agents de point final.

Quelle est la prochaine étape pour les défenseurs ?

Comment les défenseurs peuvent-ils prendre le dessus dans ce jeu du chat et de la souris ? Voici quelques stratégies :

  1. Formation sur le phishing et sensibilisation à la sécurité – Même si elle n’est pas infaillible, la formation de sensibilisation augmente la probabilité de reconnaître et d’atténuer les cybermenaces.
  2. Surveillance des informations d’identification – L’utilisation d’outils qui analysent les modèles de connexion peut bloquer de manière préventive les activités potentiellement malveillantes.
  3. Apprentissage automatique et détection des menaces – Des outils avancés pour identifier les menaces sophistiquées.
  4. Plateforme unifiée de chasse aux menaces – Une approche de plateforme unique et convergée (plutôt que des solutions multipoints) pour une chasse aux menaces élargie. Cela inclut la recherche des menaces basées sur le réseau sans agents de point final et l’utilisation de l’analyse du trafic réseau pour détecter les IoC.
  5. Réduction de la surface d’attaque – Réduisez de manière proactive les surfaces d’attaque en auditant les pare-feu, en ajustant les configurations et en révisant régulièrement les paramètres de sécurité. Remédier aux erreurs de configuration et suivre les conseils des fournisseurs peut contribuer à sécuriser les défenses de l’organisation contre les nouvelles menaces.
  6. Éviter le gonflement de la plate-forme – Plusieurs points d’étranglement d’attaque tout au long de la chaîne d’élimination des menaces sont essentiels, « mais cela ne signifie pas ajouter de nombreuses solutions ponctuelles », souligne Maor. « Une plate-forme convergée avec une interface unique qui peut tout examiner : le réseau, les données, via un moteur à passage unique parcourant chaque paquet et comprenant s’il est malveillant ou non. »

Regardez l’intégralité de la masterclass ici.

Vous avez trouvé cet article intéressant ? Cet article est une contribution de l’un de nos précieux partenaires. Suivez-nous sur Gazouillement et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57