{"id":238442,"date":"2022-07-04T11:15:22","date_gmt":"2022-07-04T13:15:22","guid":{"rendered":"https:\/\/teknomers.com\/fr\/certains-vers-utilisent-leurs-pouvoirs-pour-le-bien\/"},"modified":"2022-07-04T11:15:23","modified_gmt":"2022-07-04T13:15:23","slug":"certains-vers-utilisent-leurs-pouvoirs-pour-le-bien","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/certains-vers-utilisent-leurs-pouvoirs-pour-le-bien\/","title":{"rendered":"Certains vers utilisent leurs pouvoirs pour le bien"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les jardiniers savent que les vers sont bons.  Les professionnels de la cybers\u00e9curit\u00e9 savent que les vers sont <em>mal<\/em>.  Tr\u00e8s mauvais.  En fait, les vers sont litt\u00e9ralement la force la plus d\u00e9vastatrice du mal connue dans le monde informatique.  La <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Mydoom\" target=\"_blank\">MonDoom<\/a> le ver occupe la position douteuse des logiciels malveillants informatiques les plus co\u00fbteux <em>d\u00e9j\u00e0<\/em> &#8211; responsable de certains <a rel=\"nofollow noopener\" href=\"https:\/\/www.hp.com\/us-en\/shop\/tech-takes\/top-ten-worst-computer-viruses-in-history\" target=\"_blank\">52 milliards de dollars<\/a> en d\u00e9g\u00e2ts.  En deuxi\u00e8me position\u2026 <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Sobig\" target=\"_blank\">Tellement gros<\/a>un autre ver.<\/p>\n<p>Il s&#8217;av\u00e8re cependant qu&#8217;il existe des exceptions \u00e0 chaque r\u00e8gle.  Certains vers biologiques sont en fait <a rel=\"nofollow noopener\" href=\"https:\/\/www.lancasterfarming.com\/farm_life\/gardening\/if-you-find-this-worm-in-your-garden-it-s-bad-news\/article_e407a138-6d12-5200-8211-ba025b77dd44.html\" target=\"_blank\">Pas les bienvenus<\/a> dans la plupart des jardins.  Et certains cyber-vers, semble-t-il, peuvent utiliser leurs pouvoirs pour le bien\u2026 <\/p>\n<h2><strong>Rencontrez Hopper, le bon ver<\/strong><\/h2>\n<p>Les outils de d\u00e9tection ne sont pas bons pour <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/lateral-movement\" target=\"_blank\">intercepter la propagation non bas\u00e9e sur l&#8217;exploitation<\/a>, ce que les vers font le mieux.  La plupart des solutions de cybers\u00e9curit\u00e9 sont moins r\u00e9sistantes aux m\u00e9thodes d&#8217;attaque de vers telles que l&#8217;usurpation d&#8217;identit\u00e9 de jeton et d&#8217;autres qui tirent parti de configurations internes d\u00e9ficientes &#8211; PAM, segmentation, stockage d&#8217;informations d&#8217;identification non s\u00e9curis\u00e9, etc.<\/p>\n<p>Alors, quelle meilleure fa\u00e7on de battre un ver furtif qu&#8217;avec\u2026 un autre ver furtif ?<\/p>\n<p>Et c&#8217;est ainsi qu&#8217;est n\u00e9 Hopper !  Hopper est un v\u00e9ritable ver, avec commande et contr\u00f4le, \u00e9l\u00e9vation de privil\u00e8ges int\u00e9gr\u00e9e et bien d&#8217;autres capacit\u00e9s parmi les plus sournoises du genre ver.  Mais contrairement \u00e0 la plupart des vers, <em>Hopper a \u00e9t\u00e9 construit pour faire le bien<\/em>.  Au lieu de causer du tort, Hopper raconte \u00e0 ses op\u00e9rateurs White Hat o\u00f9 et comment il a r\u00e9ussi \u00e0 infiltrer un r\u00e9seau.  Il indique jusqu&#8217;o\u00f9 il est all\u00e9, ce qu&#8217;il a trouv\u00e9 en cours de route et comment am\u00e9liorer les d\u00e9fenses. <\/p>\n<h2><strong>De pr\u00e8s et personnel avec Hopper <\/strong><\/h2>\n<p>L&#8217;\u00e9quipe de d\u00e9veloppement de Cymulate a bas\u00e9 Hopper sur un programmeur de logiciels malveillants courant &#8211; un petit ex\u00e9cutable qui sert de charge utile initiale, son objectif principal \u00e9tant de pr\u00e9parer une charge utile plus importante.  Notre stager sert \u00e9galement de packer PE, un programme qui charge et ex\u00e9cute des programmes indirectement, g\u00e9n\u00e9ralement \u00e0 partir d&#8217;un package.<\/p>\n<p>Le stager de Hopper a \u00e9t\u00e9 \u00e9crit de mani\u00e8re \u00e0 ce que la charge utile initiale n&#8217;ait pas \u00e0 \u00eatre modifi\u00e9e si nous effectuons une mise \u00e0 jour de Hopper.  Cela signifie que l&#8217;exclusion des hachages sur chaque mise \u00e0 jour s&#8217;est transform\u00e9e en historique, et les utilisateurs de Hopper n&#8217;ont besoin d&#8217;exclure qu&#8217;une seule fois le hachage du stager.  L&#8217;\u00e9criture du stager de cette mani\u00e8re a \u00e9galement ouvert la voie \u00e0 l&#8217;ex\u00e9cution d&#8217;autres outils dont Hopper a besoin.<\/p>\n<p>Pour maximiser la flexibilit\u00e9 de Hopper, notre \u00e9quipe a ajout\u00e9 diff\u00e9rentes m\u00e9thodes d&#8217;ex\u00e9cution initiales, des m\u00e9thodes de communication suppl\u00e9mentaires, diverses fa\u00e7ons de r\u00e9cup\u00e9rer la charge utile de la premi\u00e8re \u00e9tape, diff\u00e9rentes m\u00e9thodes d&#8217;injection, etc.  Et, pour cr\u00e9er un ver tr\u00e8s furtif, nous devons permettre une personnalisation maximale des fonctionnalit\u00e9s furtives, nous avons donc fait des configurations presque enti\u00e8rement contr\u00f4l\u00e9es par l&#8217;op\u00e9rateur\u00a0: <\/p>\n<ul>\n<li><strong>Configuration initiale de la charge utile<\/strong> &#8211; m\u00e9thodes d&#8217;ex\u00e9cution enti\u00e8rement configurables, y compris les ex\u00e9cutables, les biblioth\u00e8ques, les scripts python, les shellcodes, les scripts PowerShell, etc.<\/li>\n<li><strong>Configuration de la charge utile de la premi\u00e8re \u00e9tape<\/strong> \u2013 m\u00e9thodes de r\u00e9cup\u00e9ration de package personnalisables et m\u00e9thodes d&#8217;injection de package (par exemple, injection r\u00e9fl\u00e9chissante) <\/li>\n<li><strong>Configuration de la balise de deuxi\u00e8me \u00e9tage<\/strong> &#8211; canaux de communication sur mesure, maintien du timing et du d\u00e9lai d&#8217;attente, et gigue<\/li>\n<li><strong>API<\/strong> &#8211; ajout en direct de nouvelles capacit\u00e9s pour permettre une expansion future plus facile des capacit\u00e9s, y compris les m\u00e9thodes de communication, les m\u00e9thodes de diffusion et les exploits<\/li>\n<\/ul>\n<h2><strong>Ex\u00e9cution, gestion des informations d&#8217;identification et diffusion<\/strong><\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/blog\/lateral-thinking\/\" target=\"_blank\">L&#8217;ex\u00e9cution initiale de Hopper<\/a> est en m\u00e9moire et par \u00e9tapes.  La premi\u00e8re \u00e9tape est un petit stub avec une capacit\u00e9 limit\u00e9e.  Ce stub sait comment ex\u00e9cuter un morceau de code plus important au lieu de contenir le code en lui-m\u00eame, ce qui rend plus difficile de le signaler comme fichier malveillant.  Pour l&#8217;\u00e9l\u00e9vation des privil\u00e8ges, nous avons choisi diff\u00e9rentes m\u00e9thodes de contournement UAC, exploitant des services vuln\u00e9rables tels que Spooler et utilisant des services ou des ex\u00e9cutions automatiques mal configur\u00e9s pour obtenir une \u00e9l\u00e9vation ou une persistance des privil\u00e8ges.  L&#8217;id\u00e9e ici est que Hopper utilise les privil\u00e8ges minimaux n\u00e9cessaires pour atteindre ses objectifs.  Par exemple, si une machine fournit un acc\u00e8s utilisateur \u00e0 notre machine cible, Hopper n&#8217;a peut-\u00eatre pas besoin d&#8217;\u00e9lever les privil\u00e8ges pour se propager \u00e0 cette machine cible. <\/p>\n<p>Hopper propose une gestion centralis\u00e9e des informations d&#8217;identification, ce qui lui permet de distribuer les informations d&#8217;identification entre les instances de Hopper par n\u00e9cessit\u00e9, ce qui signifie que tous les Hoppers ont acc\u00e8s aux informations d&#8217;identification collect\u00e9es, \u00e9liminant ainsi le besoin de dupliquer la base de donn\u00e9es d&#8217;informations d&#8217;identification sensibles sur d&#8217;autres machines.<\/p>\n<p>Pour se propager, Hopper pr\u00e9f\u00e8re les erreurs de configuration aux exploits.  La raison?  Les exploits peuvent potentiellement faire planter les syst\u00e8mes, ils se d\u00e9marquent davantage et sont facilement identifi\u00e9s par les produits de surveillance IPS\/r\u00e9seau et les produits EDR.  Les erreurs de configuration, en revanche, ne sont pas facilement d\u00e9tect\u00e9es comme des activit\u00e9s malveillantes.  Par exemple, des erreurs de configuration d&#8217;Active Directory peuvent conduire un utilisateur \u00e0 acc\u00e9der \u00e0 une ressource \u00e0 laquelle il n&#8217;aurait pas d\u00fb avoir acc\u00e8s, et donc conduire \u00e0 une propagation.  De m\u00eame, des erreurs de configuration logicielle peuvent permettre \u00e0 un utilisateur d&#8217;ex\u00e9cuter du code \u00e0 distance et donc de se propager.<\/p>\n<h2><strong>Communications furtives et C&amp;C<\/strong><\/h2>\n<p>L&#8217;\u00e9quipe Cymulate a choisi l&#8217;ex\u00e9cution en m\u00e9moire pour Hopper, car le chiffrement du code malveillant en m\u00e9moire une fois qu&#8217;il n&#8217;est plus utilis\u00e9 peut perturber la capacit\u00e9 des produits EDR \u00e0 identifier le contenu en m\u00e9moire.  De plus, l&#8217;ex\u00e9cution en m\u00e9moire utilise des appels syst\u00e8me directs au lieu d&#8217;appels d&#8217;API, qui peuvent \u00eatre surveill\u00e9s par des produits EDR.  Si Hopper a besoin d&#8217;utiliser des fonctions API, il d\u00e9tecte et d\u00e9charge les crochets EDR avant de le faire.<\/p>\n<p>Pour maintenir la discr\u00e9tion, Hopper communique avec Command and Control pendant les heures de travail en masquant l&#8217;activit\u00e9 avec l&#8217;activit\u00e9 normale des heures de travail dans des sch\u00e9mas de synchronisation al\u00e9atoires.  Il communique \u00e9galement uniquement avec des serveurs autoris\u00e9s ou des serveurs qui ne sont pas consid\u00e9r\u00e9s comme malveillants, comme les cha\u00eenes Slack, Google Sheets ou d&#8217;autres services publics.<\/p>\n<h2><strong>L&#8217;essentiel<\/strong><\/h2>\n<p>Pour pr\u00e9venir les attaques de vers, une tr\u00e9mie semblable \u00e0 un ver White Hat est une solution id\u00e9ale.  En voyant le r\u00e9seau du point de vue d&#8217;un ver, pour ainsi dire, Hopper donne le plus grand avantage du ver au <em>le plus grand avantage du d\u00e9fenseur<\/em>.<\/p>\n<p>Remarque\u00a0: cet article a \u00e9t\u00e9 \u00e9crit et contribu\u00e9 par Yoni Oren, chef d&#8217;\u00e9quipe, chercheur principal en s\u00e9curit\u00e9 et d\u00e9veloppeur chez <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\" target=\"_blank\">Cymuler<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/some-worms-use-their-powers-for-good.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les jardiniers savent que les vers sont bons. Les professionnels de la cybers\u00e9curit\u00e9 savent que les vers sont mal. Tr\u00e8s mauvais. En fait, les vers sont litt\u00e9ralement la force la plus d\u00e9vastatrice du mal connue dans le monde informatique. La MonDoom le ver occupe la position douteuse des logiciels malveillants informatiques les plus co\u00fbteux d\u00e9j\u00e0 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":238443,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[285,5935,4168,4158,4165,4161,4157,4159,4171,4170,4660,4167,4160,4163,4162,185,28054,4172,4169,10784,1218,4166,4164],"class_list":["post-238442","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-bien","tag-certains","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-leurs","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-pouvoirs","tag-securite-informatique","tag-securite-internet","tag-utilisent","tag-vers","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/238442","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=238442"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/238442\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/238443"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=238442"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=238442"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=238442"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}