Après la théorie sur « Poison Ivy », permettez-moi de vous présenter une méthodologie classique d’une cyber attaque avec ce type de cheval de Troie
L’assaillant recherche d’abord des cibles puis envoie un courriel spécifique aux cibles identifiées. Les pirates utilisent différents prétextes pour l’envoi de ces e-mails malveillants. On distingue cependant deux méthodologies.
1. Pour un destinataire spécifique, les e-mails sont souvent des invitations à des réunions de partenaires, de commerciaux, etc.
2. Pour l’envoi à un plus grand nombre de cibles, l’e-mail est censé être une mise à jour d’un de de votre ordinateur sécurité.
Dans les deux cas, les e-mails malveillants contiennent une pièce jointe qui est soit un exécutable représenté par un fichier texte basé sur le nom du fichier et l’icône, ou une archive protégée par un mot de passe contenant le fichier exécutable. Le mot de passe étant fourni dans l’email. Sympa le pirate !
Dans les deux cas il s’agit d’un fichier exécutable auto-extractible contenant le cheval de Troie « Poison Ivy » permettant d’ouvrir une porte dérobée. Dans une grande majorité des cas, le « Poison Ivy » a été conçu par…. (lire « Deux tigres sur la même colline »)
Lorsque le destinataire a tenté d'ouvrir la pièce jointe, il a par inadvertance exécuté le fichier, ce qui provoque l’installation du « Poison Ivy ».
Sur le nombre de e-mails envoyés, les cibles identifiées, l'assaillant sait que ses mails seront ouverts. Il ne lui reste plus qu'à "contacter" le serveur C & C sur le port TCP 80, par exemple, en utilisant un protocole de communication chiffré afin de disposer de l’adresse IP de l’ordinateur infecté, les noms de tous autres ordinateurs du groupe de travail ou de domaine ainsi que les décharges de « hashs » en cache Windows pour les mots de passe.
L’assaillant peut utiliser l’accès à d’autres ordinateurs à travers les mots de passe utilisateur actuellement en cours ou « fissurés » par hachage. L’assaillant va alors commencer à parcourir le réseau et infecter d’autres ordinateurs.
En général, son principal objectif est d'obtenir des informations d'identification d'administrateur de domaine et / ou accéder à un système de stockage de la propriété intellectuelle. Après identification de l'administrateur de domaines, il est plus facile pour l'attaquant de trouver des serveurs d'hébergement de la propriété intellectuelle souhaitée et avoir accès à des matériaux sensibles.
Naturellement, l’assaillant peut télécharger et installer des outils additionnels pour pénétrer davantage le réseau.
En conclusion méfiez-vous des e-mail d’invitations, de mise à jour au niveau sécurité et surtout n’oubliez pas de lire « Deux tigres sur la même colline ». Rassurez-vous le livre est moins technique. Cela reste un thriller...
Et si ce livre était bien plus qu’un simple thriller, avec les ingrédients d'un thriller : trahison, meurtre, intrigue, mais dans un cyber espace : le mien, le vôtre, celui de nos enfants.
1. Pour un destinataire spécifique, les e-mails sont souvent des invitations à des réunions de partenaires, de commerciaux, etc.
2. Pour l’envoi à un plus grand nombre de cibles, l’e-mail est censé être une mise à jour d’un de de votre ordinateur sécurité.
Dans les deux cas, les e-mails malveillants contiennent une pièce jointe qui est soit un exécutable représenté par un fichier texte basé sur le nom du fichier et l’icône, ou une archive protégée par un mot de passe contenant le fichier exécutable. Le mot de passe étant fourni dans l’email. Sympa le pirate !
Dans les deux cas il s’agit d’un fichier exécutable auto-extractible contenant le cheval de Troie « Poison Ivy » permettant d’ouvrir une porte dérobée. Dans une grande majorité des cas, le « Poison Ivy » a été conçu par…. (lire « Deux tigres sur la même colline »)
Lorsque le destinataire a tenté d'ouvrir la pièce jointe, il a par inadvertance exécuté le fichier, ce qui provoque l’installation du « Poison Ivy ».
Sur le nombre de e-mails envoyés, les cibles identifiées, l'assaillant sait que ses mails seront ouverts. Il ne lui reste plus qu'à "contacter" le serveur C & C sur le port TCP 80, par exemple, en utilisant un protocole de communication chiffré afin de disposer de l’adresse IP de l’ordinateur infecté, les noms de tous autres ordinateurs du groupe de travail ou de domaine ainsi que les décharges de « hashs » en cache Windows pour les mots de passe.
L’assaillant peut utiliser l’accès à d’autres ordinateurs à travers les mots de passe utilisateur actuellement en cours ou « fissurés » par hachage. L’assaillant va alors commencer à parcourir le réseau et infecter d’autres ordinateurs.
En général, son principal objectif est d'obtenir des informations d'identification d'administrateur de domaine et / ou accéder à un système de stockage de la propriété intellectuelle. Après identification de l'administrateur de domaines, il est plus facile pour l'attaquant de trouver des serveurs d'hébergement de la propriété intellectuelle souhaitée et avoir accès à des matériaux sensibles.
Naturellement, l’assaillant peut télécharger et installer des outils additionnels pour pénétrer davantage le réseau.
En conclusion méfiez-vous des e-mail d’invitations, de mise à jour au niveau sécurité et surtout n’oubliez pas de lire « Deux tigres sur la même colline ». Rassurez-vous le livre est moins technique. Cela reste un thriller...
Et si ce livre était bien plus qu’un simple thriller, avec les ingrédients d'un thriller : trahison, meurtre, intrigue, mais dans un cyber espace : le mien, le vôtre, celui de nos enfants.
Tags :
cheval de troie
Rédigé par Patrick JAULENT le Mercredi 25 Septembre 2013 à 11:22
> A LIRE EN CE MOMENT SUR DECIDEO
-
Le ministre Bains présente la Charte canadienne du numérique
-
Informatica et Google Cloud étendent leur partenariat stratégique
-
Atos reconnu leader en intelligence artificielle et automatisation pour le secteur bancaire par NelsonHall
-
61 % des DSI pensent que le Calcul Haute Performance aura plus d'impact sur l'innovation que l'Intelligence Artificielle
-
RGPD un an après : ce que l’on a appris
-
Les Employés ne craignent pas l'automatisation et sont heureux de se reconvertir pour le futur
-
Tableau 2019.2 propose de nouvelles fonctionnalités de cartographie, pour une expérience plus précise et fluide avec les données spatiales
-
Devoteam renforce son activité Intelligence Artificielle et nomme Aymen Chakhari Directeur de l’IA Groupe
-
Qlik renforce son offre axée sur la réussite client pour favoriser l’adoption de l’Analytics et accroître sa valeur
-
Le passage du statut de propriétaire à celui de dépositaire des données
Dr Patrick JAULENT
Ancien consultant, professeur.
Plus de 80 projets en pilotage de la performance réalisé.
C'est un Expert en Définition & Exécution stratégique, Tableaux de bord & Indicateurs de performance
Auteurs de plusieurs ouvrages sur ces sujets (Piloter vos performances, édition AFNOR - Méthodes de Gestion comment les intégrer Editions d'organisation - Les leviers de la performance Editions Riscus) et Objectif performance (éditions AFNOR)
Derniers commentaires
Archives
Dernières notes
Game Over!
19/09/2014
A quand les cyber commémorations !!!
11/11/2013
Augmentez votre vigilance sur Internet
25/09/2013
Copyright Decideo.fr et Patrick Jaulent