Après la théorie sur « Poison Ivy », permettez-moi de vous présenter une méthodologie classique d’une cyber attaque avec ce type de cheval de Troie
L’assaillant recherche d’abord des cibles puis envoie un courriel spécifique aux cibles identifiées. Les pirates utilisent différents prétextes pour l’envoi de ces e-mails malveillants. On distingue cependant deux méthodologies.
1. Pour un destinataire spécifique, les e-mails sont souvent des invitations à des réunions de partenaires, de commerciaux, etc.
2. Pour l’envoi à un plus grand nombre de cibles, l’e-mail est censé être une mise à jour d’un de de votre ordinateur sécurité.
Dans les deux cas, les e-mails malveillants contiennent une pièce jointe qui est soit un exécutable représenté par un fichier texte basé sur le nom du fichier et l’icône, ou une archive protégée par un mot de passe contenant le fichier exécutable. Le mot de passe étant fourni dans l’email. Sympa le pirate !
Dans les deux cas il s’agit d’un fichier exécutable auto-extractible contenant le cheval de Troie « Poison Ivy » permettant d’ouvrir une porte dérobée. Dans une grande majorité des cas, le « Poison Ivy » a été conçu par…. (lire « Deux tigres sur la même colline »)
Lorsque le destinataire a tenté d'ouvrir la pièce jointe, il a par inadvertance exécuté le fichier, ce qui provoque l’installation du « Poison Ivy ».
Sur le nombre de e-mails envoyés, les cibles identifiées, l'assaillant sait que ses mails seront ouverts. Il ne lui reste plus qu'à "contacter" le serveur C & C sur le port TCP 80, par exemple, en utilisant un protocole de communication chiffré afin de disposer de l’adresse IP de l’ordinateur infecté, les noms de tous autres ordinateurs du groupe de travail ou de domaine ainsi que les décharges de « hashs » en cache Windows pour les mots de passe.
L’assaillant peut utiliser l’accès à d’autres ordinateurs à travers les mots de passe utilisateur actuellement en cours ou « fissurés » par hachage. L’assaillant va alors commencer à parcourir le réseau et infecter d’autres ordinateurs.
En général, son principal objectif est d'obtenir des informations d'identification d'administrateur de domaine et / ou accéder à un système de stockage de la propriété intellectuelle. Après identification de l'administrateur de domaines, il est plus facile pour l'attaquant de trouver des serveurs d'hébergement de la propriété intellectuelle souhaitée et avoir accès à des matériaux sensibles.
Naturellement, l’assaillant peut télécharger et installer des outils additionnels pour pénétrer davantage le réseau.
En conclusion méfiez-vous des e-mail d’invitations, de mise à jour au niveau sécurité et surtout n’oubliez pas de lire « Deux tigres sur la même colline ». Rassurez-vous le livre est moins technique. Cela reste un thriller...
Et si ce livre était bien plus qu’un simple thriller, avec les ingrédients d'un thriller : trahison, meurtre, intrigue, mais dans un cyber espace : le mien, le vôtre, celui de nos enfants.
1. Pour un destinataire spécifique, les e-mails sont souvent des invitations à des réunions de partenaires, de commerciaux, etc.
2. Pour l’envoi à un plus grand nombre de cibles, l’e-mail est censé être une mise à jour d’un de de votre ordinateur sécurité.
Dans les deux cas, les e-mails malveillants contiennent une pièce jointe qui est soit un exécutable représenté par un fichier texte basé sur le nom du fichier et l’icône, ou une archive protégée par un mot de passe contenant le fichier exécutable. Le mot de passe étant fourni dans l’email. Sympa le pirate !
Dans les deux cas il s’agit d’un fichier exécutable auto-extractible contenant le cheval de Troie « Poison Ivy » permettant d’ouvrir une porte dérobée. Dans une grande majorité des cas, le « Poison Ivy » a été conçu par…. (lire « Deux tigres sur la même colline »)
Lorsque le destinataire a tenté d'ouvrir la pièce jointe, il a par inadvertance exécuté le fichier, ce qui provoque l’installation du « Poison Ivy ».
Sur le nombre de e-mails envoyés, les cibles identifiées, l'assaillant sait que ses mails seront ouverts. Il ne lui reste plus qu'à "contacter" le serveur C & C sur le port TCP 80, par exemple, en utilisant un protocole de communication chiffré afin de disposer de l’adresse IP de l’ordinateur infecté, les noms de tous autres ordinateurs du groupe de travail ou de domaine ainsi que les décharges de « hashs » en cache Windows pour les mots de passe.
L’assaillant peut utiliser l’accès à d’autres ordinateurs à travers les mots de passe utilisateur actuellement en cours ou « fissurés » par hachage. L’assaillant va alors commencer à parcourir le réseau et infecter d’autres ordinateurs.
En général, son principal objectif est d'obtenir des informations d'identification d'administrateur de domaine et / ou accéder à un système de stockage de la propriété intellectuelle. Après identification de l'administrateur de domaines, il est plus facile pour l'attaquant de trouver des serveurs d'hébergement de la propriété intellectuelle souhaitée et avoir accès à des matériaux sensibles.
Naturellement, l’assaillant peut télécharger et installer des outils additionnels pour pénétrer davantage le réseau.
En conclusion méfiez-vous des e-mail d’invitations, de mise à jour au niveau sécurité et surtout n’oubliez pas de lire « Deux tigres sur la même colline ». Rassurez-vous le livre est moins technique. Cela reste un thriller...
Et si ce livre était bien plus qu’un simple thriller, avec les ingrédients d'un thriller : trahison, meurtre, intrigue, mais dans un cyber espace : le mien, le vôtre, celui de nos enfants.
Tags :
cheval de troie
Rédigé par Patrick JAULENT le Mercredi 25 Septembre 2013 à 11:22
> A LIRE EN CE MOMENT SUR DECIDEO
-
La plateforme SaaS Iron Mountain Insight disponible sur Amazon Web Services
-
Le futur de la relation client passera par une donnée bien exploitée
-
MarqVision lève 20 millions de dollars en série A pour développer un système d'exploitation de la propriété intellectuelle sans précédent
-
Talend annonce son intégration à Amazon Redshift Serverless
-
Acquisition de Re:Infer par UiPath: Le traitement automatique du langage naturel pour améliorer l’expérience client grâce à l’automatisation
-
Toucan reçoit le prix d’excellence industrielle décerné par Dresner
-
Informatica accompagne les entreprises du secteur de l’énergie face à une transition sans précédent
-
Ivan Smets promu District Manager de Snowflake
-
La marque italienne de luxe Missoni fait appel à Board pour transformer ses processus de planification de commerce de détail
-
Avec TIBCO ModelOps, les entreprises augmentent considérablement leur efficience et leur flexibilité grâce à la puissance de l’intelligence artificielle
Dr Patrick JAULENT
Ancien consultant, professeur.
Plus de 80 projets en pilotage de la performance réalisé.
C'est un Expert en Définition & Exécution stratégique, Tableaux de bord & Indicateurs de performance
Auteurs de plusieurs ouvrages sur ces sujets (Piloter vos performances, édition AFNOR - Méthodes de Gestion comment les intégrer Editions d'organisation - Les leviers de la performance Editions Riscus) et Objectif performance (éditions AFNOR)
Derniers commentaires
-
N’ayez plus peur !
02/07/2016 16:37 - Annick -
Etes-vous résilient ?
29/06/2016 20:35 - Jennifer -
Qu’est-ce qu’un KPI ?
19/07/2013 11:53 - César Pallueau -
Qu’est-ce qu’un KPI ?
24/06/2013 09:49 - Anthony -
La démarche « carte stratégique »
28/08/2012 16:55 - Maram -
Qu’est-ce qu’un KPI ?
03/04/2012 00:11 - sentissi -
Qu’est-ce qu’un KPI ?
26/02/2012 14:55 - Mezfor -
Qu’est-ce qu’un KPI ?
14/11/2011 13:28 - AHMED -
Qu’est-ce qu’un KPI ?
12/11/2011 07:54 - Abdelhamid -
Qu’est-ce qu’un KPI ?
12/11/2011 07:52 - Abdelhamid
Archives
Dernières notes
Game Over!
19/09/2014
A quand les cyber commémorations !!!
11/11/2013
Augmentez votre vigilance sur Internet
25/09/2013
Copyright Decideo.fr et Patrick Jaulent