Après la théorie sur « Poison Ivy », permettez-moi de vous présenter une méthodologie classique d’une cyber attaque avec ce type de cheval de Troie
L’assaillant recherche d’abord des cibles puis envoie un courriel spécifique aux cibles identifiées. Les pirates utilisent différents prétextes pour l’envoi de ces e-mails malveillants. On distingue cependant deux méthodologies.
1. Pour un destinataire spécifique, les e-mails sont souvent des invitations à des réunions de partenaires, de commerciaux, etc.
2. Pour l’envoi à un plus grand nombre de cibles, l’e-mail est censé être une mise à jour d’un de de votre ordinateur sécurité.
Dans les deux cas, les e-mails malveillants contiennent une pièce jointe qui est soit un exécutable représenté par un fichier texte basé sur le nom du fichier et l’icône, ou une archive protégée par un mot de passe contenant le fichier exécutable. Le mot de passe étant fourni dans l’email. Sympa le pirate !
Dans les deux cas il s’agit d’un fichier exécutable auto-extractible contenant le cheval de Troie « Poison Ivy » permettant d’ouvrir une porte dérobée. Dans une grande majorité des cas, le « Poison Ivy » a été conçu par…. (lire « Deux tigres sur la même colline »)
Lorsque le destinataire a tenté d'ouvrir la pièce jointe, il a par inadvertance exécuté le fichier, ce qui provoque l’installation du « Poison Ivy ».
Sur le nombre de e-mails envoyés, les cibles identifiées, l'assaillant sait que ses mails seront ouverts. Il ne lui reste plus qu'à "contacter" le serveur C & C sur le port TCP 80, par exemple, en utilisant un protocole de communication chiffré afin de disposer de l’adresse IP de l’ordinateur infecté, les noms de tous autres ordinateurs du groupe de travail ou de domaine ainsi que les décharges de « hashs » en cache Windows pour les mots de passe.
L’assaillant peut utiliser l’accès à d’autres ordinateurs à travers les mots de passe utilisateur actuellement en cours ou « fissurés » par hachage. L’assaillant va alors commencer à parcourir le réseau et infecter d’autres ordinateurs.
En général, son principal objectif est d'obtenir des informations d'identification d'administrateur de domaine et / ou accéder à un système de stockage de la propriété intellectuelle. Après identification de l'administrateur de domaines, il est plus facile pour l'attaquant de trouver des serveurs d'hébergement de la propriété intellectuelle souhaitée et avoir accès à des matériaux sensibles.
Naturellement, l’assaillant peut télécharger et installer des outils additionnels pour pénétrer davantage le réseau.
En conclusion méfiez-vous des e-mail d’invitations, de mise à jour au niveau sécurité et surtout n’oubliez pas de lire « Deux tigres sur la même colline ». Rassurez-vous le livre est moins technique. Cela reste un thriller...
Et si ce livre était bien plus qu’un simple thriller, avec les ingrédients d'un thriller : trahison, meurtre, intrigue, mais dans un cyber espace : le mien, le vôtre, celui de nos enfants.
1. Pour un destinataire spécifique, les e-mails sont souvent des invitations à des réunions de partenaires, de commerciaux, etc.
2. Pour l’envoi à un plus grand nombre de cibles, l’e-mail est censé être une mise à jour d’un de de votre ordinateur sécurité.
Dans les deux cas, les e-mails malveillants contiennent une pièce jointe qui est soit un exécutable représenté par un fichier texte basé sur le nom du fichier et l’icône, ou une archive protégée par un mot de passe contenant le fichier exécutable. Le mot de passe étant fourni dans l’email. Sympa le pirate !
Dans les deux cas il s’agit d’un fichier exécutable auto-extractible contenant le cheval de Troie « Poison Ivy » permettant d’ouvrir une porte dérobée. Dans une grande majorité des cas, le « Poison Ivy » a été conçu par…. (lire « Deux tigres sur la même colline »)
Lorsque le destinataire a tenté d'ouvrir la pièce jointe, il a par inadvertance exécuté le fichier, ce qui provoque l’installation du « Poison Ivy ».
Sur le nombre de e-mails envoyés, les cibles identifiées, l'assaillant sait que ses mails seront ouverts. Il ne lui reste plus qu'à "contacter" le serveur C & C sur le port TCP 80, par exemple, en utilisant un protocole de communication chiffré afin de disposer de l’adresse IP de l’ordinateur infecté, les noms de tous autres ordinateurs du groupe de travail ou de domaine ainsi que les décharges de « hashs » en cache Windows pour les mots de passe.
L’assaillant peut utiliser l’accès à d’autres ordinateurs à travers les mots de passe utilisateur actuellement en cours ou « fissurés » par hachage. L’assaillant va alors commencer à parcourir le réseau et infecter d’autres ordinateurs.
En général, son principal objectif est d'obtenir des informations d'identification d'administrateur de domaine et / ou accéder à un système de stockage de la propriété intellectuelle. Après identification de l'administrateur de domaines, il est plus facile pour l'attaquant de trouver des serveurs d'hébergement de la propriété intellectuelle souhaitée et avoir accès à des matériaux sensibles.
Naturellement, l’assaillant peut télécharger et installer des outils additionnels pour pénétrer davantage le réseau.
En conclusion méfiez-vous des e-mail d’invitations, de mise à jour au niveau sécurité et surtout n’oubliez pas de lire « Deux tigres sur la même colline ». Rassurez-vous le livre est moins technique. Cela reste un thriller...
Et si ce livre était bien plus qu’un simple thriller, avec les ingrédients d'un thriller : trahison, meurtre, intrigue, mais dans un cyber espace : le mien, le vôtre, celui de nos enfants.
Tags :
cheval de troie
Rédigé par Patrick JAULENT le Mercredi 25 Septembre 2013 à 11:22
> A LIRE EN CE MOMENT SUR DECIDEO
-
Automatisation intelligente : Wall-E est notre ami
-
Les caméras d’Axis Communications assurent la surveillance des cours d’eau du territoire de la Métropole Toulon Provence Méditerranée
-
The Kooples fait entrer la Business Intelligence dans ses boutiques avec Qlik et modernise son système décisionnel
-
Choisir les indicateurs justes et développer l’intelligence collective
-
Installez votre système décisionnel dans les nuages à vos risques et périls !
-
42% des environnements de données des entreprises considérés comme « obsolètes » ou « anciens » selon une étude Veritas
-
La technologie Pure Diamond Blockchain - nouvelle innovation révolutionnaire de l'industrie de la bijouterie
-
L’IA doit fluidifier l’information qui circule dans les organisations et aider à la décision
-
Dynamisé par sa croissance continue dans la zone EMEA, MapR étend son territoire commercial et renforce son équipe de direction dans la region
-
AO.com construit une vue unique à 360° de ses clients sur MongoDB Atlas pour améliorer l’expérience client, lutter contre les fraudes et se conformer à la RGPD
Dr Patrick JAULENT
Ancien consultant, professeur.
Plus de 80 projets en pilotage de la performance réalisé.
C'est un Expert en Définition & Exécution stratégique, Tableaux de bord & Indicateurs de performance
Auteurs de plusieurs ouvrages sur ces sujets (Piloter vos performances, édition AFNOR - Méthodes de Gestion comment les intégrer Editions d'organisation - Les leviers de la performance Editions Riscus) et Objectif performance (éditions AFNOR)
Derniers commentaires
Archives
Dernières notes
Game Over!
19/09/2014
A quand les cyber commémorations !!!
11/11/2013
Augmentez votre vigilance sur Internet
25/09/2013
Copyright Decideo.fr et Patrick Jaulent