Après la théorie sur « Poison Ivy », permettez-moi de vous présenter une méthodologie classique d’une cyber attaque avec ce type de cheval de Troie
L’assaillant recherche d’abord des cibles puis envoie un courriel spécifique aux cibles identifiées. Les pirates utilisent différents prétextes pour l’envoi de ces e-mails malveillants. On distingue cependant deux méthodologies.
1. Pour un destinataire spécifique, les e-mails sont souvent des invitations à des réunions de partenaires, de commerciaux, etc.
2. Pour l’envoi à un plus grand nombre de cibles, l’e-mail est censé être une mise à jour d’un de de votre ordinateur sécurité.
Dans les deux cas, les e-mails malveillants contiennent une pièce jointe qui est soit un exécutable représenté par un fichier texte basé sur le nom du fichier et l’icône, ou une archive protégée par un mot de passe contenant le fichier exécutable. Le mot de passe étant fourni dans l’email. Sympa le pirate !
Dans les deux cas il s’agit d’un fichier exécutable auto-extractible contenant le cheval de Troie « Poison Ivy » permettant d’ouvrir une porte dérobée. Dans une grande majorité des cas, le « Poison Ivy » a été conçu par…. (lire « Deux tigres sur la même colline »)
Lorsque le destinataire a tenté d'ouvrir la pièce jointe, il a par inadvertance exécuté le fichier, ce qui provoque l’installation du « Poison Ivy ».
Sur le nombre de e-mails envoyés, les cibles identifiées, l'assaillant sait que ses mails seront ouverts. Il ne lui reste plus qu'à "contacter" le serveur C & C sur le port TCP 80, par exemple, en utilisant un protocole de communication chiffré afin de disposer de l’adresse IP de l’ordinateur infecté, les noms de tous autres ordinateurs du groupe de travail ou de domaine ainsi que les décharges de « hashs » en cache Windows pour les mots de passe.
L’assaillant peut utiliser l’accès à d’autres ordinateurs à travers les mots de passe utilisateur actuellement en cours ou « fissurés » par hachage. L’assaillant va alors commencer à parcourir le réseau et infecter d’autres ordinateurs.
En général, son principal objectif est d'obtenir des informations d'identification d'administrateur de domaine et / ou accéder à un système de stockage de la propriété intellectuelle. Après identification de l'administrateur de domaines, il est plus facile pour l'attaquant de trouver des serveurs d'hébergement de la propriété intellectuelle souhaitée et avoir accès à des matériaux sensibles.
Naturellement, l’assaillant peut télécharger et installer des outils additionnels pour pénétrer davantage le réseau.
En conclusion méfiez-vous des e-mail d’invitations, de mise à jour au niveau sécurité et surtout n’oubliez pas de lire « Deux tigres sur la même colline ». Rassurez-vous le livre est moins technique. Cela reste un thriller...
Et si ce livre était bien plus qu’un simple thriller, avec les ingrédients d'un thriller : trahison, meurtre, intrigue, mais dans un cyber espace : le mien, le vôtre, celui de nos enfants.
1. Pour un destinataire spécifique, les e-mails sont souvent des invitations à des réunions de partenaires, de commerciaux, etc.
2. Pour l’envoi à un plus grand nombre de cibles, l’e-mail est censé être une mise à jour d’un de de votre ordinateur sécurité.
Dans les deux cas, les e-mails malveillants contiennent une pièce jointe qui est soit un exécutable représenté par un fichier texte basé sur le nom du fichier et l’icône, ou une archive protégée par un mot de passe contenant le fichier exécutable. Le mot de passe étant fourni dans l’email. Sympa le pirate !
Dans les deux cas il s’agit d’un fichier exécutable auto-extractible contenant le cheval de Troie « Poison Ivy » permettant d’ouvrir une porte dérobée. Dans une grande majorité des cas, le « Poison Ivy » a été conçu par…. (lire « Deux tigres sur la même colline »)
Lorsque le destinataire a tenté d'ouvrir la pièce jointe, il a par inadvertance exécuté le fichier, ce qui provoque l’installation du « Poison Ivy ».
Sur le nombre de e-mails envoyés, les cibles identifiées, l'assaillant sait que ses mails seront ouverts. Il ne lui reste plus qu'à "contacter" le serveur C & C sur le port TCP 80, par exemple, en utilisant un protocole de communication chiffré afin de disposer de l’adresse IP de l’ordinateur infecté, les noms de tous autres ordinateurs du groupe de travail ou de domaine ainsi que les décharges de « hashs » en cache Windows pour les mots de passe.
L’assaillant peut utiliser l’accès à d’autres ordinateurs à travers les mots de passe utilisateur actuellement en cours ou « fissurés » par hachage. L’assaillant va alors commencer à parcourir le réseau et infecter d’autres ordinateurs.
En général, son principal objectif est d'obtenir des informations d'identification d'administrateur de domaine et / ou accéder à un système de stockage de la propriété intellectuelle. Après identification de l'administrateur de domaines, il est plus facile pour l'attaquant de trouver des serveurs d'hébergement de la propriété intellectuelle souhaitée et avoir accès à des matériaux sensibles.
Naturellement, l’assaillant peut télécharger et installer des outils additionnels pour pénétrer davantage le réseau.
En conclusion méfiez-vous des e-mail d’invitations, de mise à jour au niveau sécurité et surtout n’oubliez pas de lire « Deux tigres sur la même colline ». Rassurez-vous le livre est moins technique. Cela reste un thriller...
Et si ce livre était bien plus qu’un simple thriller, avec les ingrédients d'un thriller : trahison, meurtre, intrigue, mais dans un cyber espace : le mien, le vôtre, celui de nos enfants.
Tags :
cheval de troie
Rédigé par Patrick JAULENT le Mercredi 25 Septembre 2013 à 11:22
> A LIRE EN CE MOMENT SUR DECIDEO
-
Equadis vise à devenir la référence européenne de la gestion de la donnée produit avec le soutien de Cathay Capital
-
HPE rejoint l’AFCDP pour renforcer son dispositif de conformité sur la protection des données
-
Veeam renforce son alliance stratégique avec Everpure pour offrir la résilience DataAI à l’échelle de l’entreprise
-
Shadow AI dans les collectivités : ce que révèle vraiment l'usage clandestin de ChatGPT en mairie
-
Targa Telematics France rejoint l’Agora des Responsables Flotte Auto & Mobilités (ARFAM PARIS)
-
Trop de règles, pas assez d'usage : le piège du Shadow AI
-
L'IA accélère le code. Mais qui contrôle la qualité ?
-
Et si la gouvernance des données devenait un moteur de croissance ?
-
Snowflake obtient la certification "Hébergeur de Données de Santé" en France pour accélérer les usages de la donnée et de l’IA dans le secteur
-
Données verrouillées, intelligence bridée
Dr Patrick JAULENT
Ancien consultant, professeur.
Plus de 80 projets en pilotage de la performance réalisé.
C'est un Expert en Définition & Exécution stratégique, Tableaux de bord & Indicateurs de performance
Auteurs de plusieurs ouvrages sur ces sujets (Piloter vos performances, édition AFNOR - Méthodes de Gestion comment les intégrer Editions d'organisation - Les leviers de la performance Editions Riscus) et Objectif performance (éditions AFNOR)
Derniers commentaires
-
Nous avons franchi le Rubicon des cybers incidents
24/12/2022 00:39 - MichelPaul M. -
A quand les cyber commémorations !!!
24/12/2022 00:25 - MichelPaul M. -
Game Over!
22/08/2021 10:53 - Rezo -
N’ayez plus peur !
02/07/2016 16:37 - Annick -
Etes-vous résilient ?
29/06/2016 20:35 - Jennifer -
Qu’est-ce qu’un KPI ?
19/07/2013 11:53 - César Pallueau -
Qu’est-ce qu’un KPI ?
24/06/2013 09:49 - Anthony -
La démarche « carte stratégique »
28/08/2012 16:55 - Maram -
Qu’est-ce qu’un KPI ?
03/04/2012 00:11 - sentissi -
Qu’est-ce qu’un KPI ?
26/02/2012 14:55 - Mezfor
Archives
Dernières notes
Game Over!
19/09/2014
A quand les cyber commémorations !!!
11/11/2013
Augmentez votre vigilance sur Internet
25/09/2013
Copyright Decideo.fr et Patrick Jaulent