{"id":1259729,"date":"2024-07-30T11:46:59","date_gmt":"2024-07-30T13:46:59","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-pouvoir-et-les-dangers-des-outils-rmm\/"},"modified":"2024-07-30T11:47:03","modified_gmt":"2024-07-30T13:47:03","slug":"le-pouvoir-et-les-dangers-des-outils-rmm","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-pouvoir-et-les-dangers-des-outils-rmm\/","title":{"rendered":"Le pouvoir et les dangers des outils RMM"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Alors que de plus en plus de personnes travaillent \u00e0 distance, les services informatiques doivent g\u00e9rer des appareils r\u00e9partis dans diff\u00e9rentes villes et pays en s’appuyant sur des VPN et des outils de surveillance et de gestion \u00e0 distance (RMM) pour l’administration du syst\u00e8me. <\/p>\n

Cependant, comme toute nouvelle technologie, les outils RMM peuvent \u00e9galement \u00eatre utilis\u00e9s de mani\u00e8re malveillante. Les acteurs malveillants peuvent \u00e9tablir des connexions avec l’appareil d’une victime et ex\u00e9cuter des commandes, exfiltrer des donn\u00e9es et rester ind\u00e9tectables. <\/p>\n

Cet article couvrira des exemples concrets d\u2019exploits RMM et vous montrera comment prot\u00e9ger votre organisation contre ces attaques. <\/p>\n

Que sont les outils RMM ? <\/strong><\/h2>\n

Le logiciel RMM simplifie la gestion du r\u00e9seau, permettant aux professionnels de l’informatique de r\u00e9soudre les probl\u00e8mes \u00e0 distance, d’installer des logiciels et de t\u00e9l\u00e9charger des fichiers vers ou depuis des appareils. <\/p>\n

Malheureusement, cette connexion n’est pas toujours s\u00e9curis\u00e9e et les attaquants peuvent utiliser des logiciels malveillants pour connecter leurs serveurs \u00e0 l’appareil d’une victime. Cependant, \u00e0 mesure que ces connexions deviennent plus faciles \u00e0 d\u00e9tecter, ransomware en tant que service (RaaS)<\/a> les groupes ont d\u00fb ajuster leurs m\u00e9thodes. <\/p>\n

Dans la plupart des cyberincidents sur lesquels Varonis a enqu\u00eat\u00e9 l’ann\u00e9e derni\u00e8re, les gangs RaaS ont utilis\u00e9 une technique connue sous le nom de Vivre de la terre<\/a>en utilisant des outils informatiques l\u00e9gitimes pour prendre le contr\u00f4le \u00e0 distance, naviguer sur les r\u00e9seaux sans \u00eatre d\u00e9tect\u00e9 et voler des donn\u00e9es. <\/p>\n

Les outils RMM permettent aux attaquants de se fondre dans la masse et d’\u00e9chapper \u00e0 la d\u00e9tection. Eux et leur trafic sont g\u00e9n\u00e9ralement \u00ab ignor\u00e9s \u00bb par les contr\u00f4les de s\u00e9curit\u00e9 et les politiques de s\u00e9curit\u00e9 organisationnelles, telles que la liste blanche des applications.<\/p>\n

Cette tactique aide \u00e9galement les script kiddies : une fois connect\u00e9s, ils trouveront tout ce dont ils ont besoin d\u00e9j\u00e0 install\u00e9 et pr\u00eat pour eux. <\/p>\n

Nos recherches ont identifi\u00e9 deux m\u00e9thodes principales utilis\u00e9es par les attaquants pour manipuler les outils RMM\u00a0: <\/p>\n

    \n
  1. Utilisation abusive des outils RMM existants\u00a0:<\/strong> Les attaquants obtiennent un acc\u00e8s initial au r\u00e9seau d’une organisation \u00e0 l’aide d’outils RMM pr\u00e9existants. Ils exploitent des informations d’identification faibles ou par d\u00e9faut ou des vuln\u00e9rabilit\u00e9s d’outils pour acc\u00e9der au r\u00e9seau sans d\u00e9clencher de d\u00e9tection. <\/li>\n
  2. Installation de nouveaux outils RMM\u00a0:<\/strong> Les pirates informatiques installent leurs outils RMM pr\u00e9f\u00e9r\u00e9s en acc\u00e9dant d’abord au r\u00e9seau. Ils utilisent des e-mails de phishing ou des techniques d’ing\u00e9nierie sociale pour inciter les victimes \u00e0 installer sans le savoir l’outil RMM sur leur r\u00e9seau. <\/li>\n<\/ol>\n

    Vous trouverez ci-dessous les outils RMM courants et les gangs RaaS\u00a0: <\/p>\n\n\n\n\n
    \"\"<\/a><\/td>\n<\/tr>\n
    Outils RMM courants et gangs RaaS<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Exemples concrets d’exploits RMM <\/strong><\/h2>\n

    Au cours d\u2019une enqu\u00eate r\u00e9cente, notre D\u00e9tection et r\u00e9ponse aux donn\u00e9es g\u00e9r\u00e9es (MDDR)<\/a> L’\u00e9quipe a analys\u00e9 les donn\u00e9es d’une organisation et a trouv\u00e9, dans l’historique PowerShell d’un appareil compromis, la preuve d’un outil RMM nomm\u00e9 \u00ab KiTTY \u00bb.<\/p>\n

    Ce logiciel \u00e9tait une version modifi\u00e9e de PuTTY, un outil bien connu pour cr\u00e9er des sessions Telnet et SSH avec des machines distantes. Comme PuTTY est un outil RMM l\u00e9gitime, aucun des logiciels de s\u00e9curit\u00e9 de l’organisation n’a d\u00e9clench\u00e9 de signal d’alarme, donc KiTTY a pu cr\u00e9er des tunnels invers\u00e9s sur le port 443 pour exposer les serveurs internes \u00e0 une bo\u00eete AWS EC2. <\/p>\n

    L\u2019\u00e9quipe Varonis a men\u00e9 une analyse compl\u00e8te. Elle a d\u00e9couvert que les sessions sur la box AWS EC2 utilisant KiTTY \u00e9taient essentielles pour r\u00e9v\u00e9ler ce qui s\u2019\u00e9tait pass\u00e9, comment cela avait \u00e9t\u00e9 fait et, surtout, quels fichiers avaient \u00e9t\u00e9 vol\u00e9s.<\/p>\n

    Cette preuve cruciale a constitu\u00e9 un tournant dans l’enqu\u00eate et a permis de retracer toute la cha\u00eene d’attaque. Elle a \u00e9galement r\u00e9v\u00e9l\u00e9 les failles de s\u00e9curit\u00e9 de l’organisation, la mani\u00e8re de les combler et les cons\u00e9quences potentielles de cette attaque. <\/p>\n

    Strat\u00e9gies pour d\u00e9fendre les outils RMM <\/strong><\/h2>\n

    Envisagez de mettre en \u0153uvre les strat\u00e9gies suivantes pour r\u00e9duire le risque que des attaquants abusent des outils RMM.<\/p>\n

    Une politique de contr\u00f4le des applications <\/strong><\/h3>\n

    Limitez l’utilisation de plusieurs outils RMM par votre organisation en appliquant une politique de contr\u00f4le des applications\u00a0:<\/p>\n