Après la théorie sur « Poison Ivy », permettez-moi de vous présenter une méthodologie classique d’une cyber attaque avec ce type de cheval de Troie
L’assaillant recherche d’abord des cibles puis envoie un courriel spécifique aux cibles identifiées. Les pirates utilisent différents prétextes pour l’envoi de ces e-mails malveillants. On distingue cependant deux méthodologies.
1. Pour un destinataire spécifique, les e-mails sont souvent des invitations à des réunions de partenaires, de commerciaux, etc.
2. Pour l’envoi à un plus grand nombre de cibles, l’e-mail est censé être une mise à jour d’un de de votre ordinateur sécurité.
Dans les deux cas, les e-mails malveillants contiennent une pièce jointe qui est soit un exécutable représenté par un fichier texte basé sur le nom du fichier et l’icône, ou une archive protégée par un mot de passe contenant le fichier exécutable. Le mot de passe étant fourni dans l’email. Sympa le pirate !
Dans les deux cas il s’agit d’un fichier exécutable auto-extractible contenant le cheval de Troie « Poison Ivy » permettant d’ouvrir une porte dérobée. Dans une grande majorité des cas, le « Poison Ivy » a été conçu par…. (lire « Deux tigres sur la même colline »)
Lorsque le destinataire a tenté d'ouvrir la pièce jointe, il a par inadvertance exécuté le fichier, ce qui provoque l’installation du « Poison Ivy ».
Sur le nombre de e-mails envoyés, les cibles identifiées, l'assaillant sait que ses mails seront ouverts. Il ne lui reste plus qu'à "contacter" le serveur C & C sur le port TCP 80, par exemple, en utilisant un protocole de communication chiffré afin de disposer de l’adresse IP de l’ordinateur infecté, les noms de tous autres ordinateurs du groupe de travail ou de domaine ainsi que les décharges de « hashs » en cache Windows pour les mots de passe.
L’assaillant peut utiliser l’accès à d’autres ordinateurs à travers les mots de passe utilisateur actuellement en cours ou « fissurés » par hachage. L’assaillant va alors commencer à parcourir le réseau et infecter d’autres ordinateurs.
En général, son principal objectif est d'obtenir des informations d'identification d'administrateur de domaine et / ou accéder à un système de stockage de la propriété intellectuelle. Après identification de l'administrateur de domaines, il est plus facile pour l'attaquant de trouver des serveurs d'hébergement de la propriété intellectuelle souhaitée et avoir accès à des matériaux sensibles.
Naturellement, l’assaillant peut télécharger et installer des outils additionnels pour pénétrer davantage le réseau.
En conclusion méfiez-vous des e-mail d’invitations, de mise à jour au niveau sécurité et surtout n’oubliez pas de lire « Deux tigres sur la même colline ». Rassurez-vous le livre est moins technique. Cela reste un thriller...
Et si ce livre était bien plus qu’un simple thriller, avec les ingrédients d'un thriller : trahison, meurtre, intrigue, mais dans un cyber espace : le mien, le vôtre, celui de nos enfants.
1. Pour un destinataire spécifique, les e-mails sont souvent des invitations à des réunions de partenaires, de commerciaux, etc.
2. Pour l’envoi à un plus grand nombre de cibles, l’e-mail est censé être une mise à jour d’un de de votre ordinateur sécurité.
Dans les deux cas, les e-mails malveillants contiennent une pièce jointe qui est soit un exécutable représenté par un fichier texte basé sur le nom du fichier et l’icône, ou une archive protégée par un mot de passe contenant le fichier exécutable. Le mot de passe étant fourni dans l’email. Sympa le pirate !
Dans les deux cas il s’agit d’un fichier exécutable auto-extractible contenant le cheval de Troie « Poison Ivy » permettant d’ouvrir une porte dérobée. Dans une grande majorité des cas, le « Poison Ivy » a été conçu par…. (lire « Deux tigres sur la même colline »)
Lorsque le destinataire a tenté d'ouvrir la pièce jointe, il a par inadvertance exécuté le fichier, ce qui provoque l’installation du « Poison Ivy ».
Sur le nombre de e-mails envoyés, les cibles identifiées, l'assaillant sait que ses mails seront ouverts. Il ne lui reste plus qu'à "contacter" le serveur C & C sur le port TCP 80, par exemple, en utilisant un protocole de communication chiffré afin de disposer de l’adresse IP de l’ordinateur infecté, les noms de tous autres ordinateurs du groupe de travail ou de domaine ainsi que les décharges de « hashs » en cache Windows pour les mots de passe.
L’assaillant peut utiliser l’accès à d’autres ordinateurs à travers les mots de passe utilisateur actuellement en cours ou « fissurés » par hachage. L’assaillant va alors commencer à parcourir le réseau et infecter d’autres ordinateurs.
En général, son principal objectif est d'obtenir des informations d'identification d'administrateur de domaine et / ou accéder à un système de stockage de la propriété intellectuelle. Après identification de l'administrateur de domaines, il est plus facile pour l'attaquant de trouver des serveurs d'hébergement de la propriété intellectuelle souhaitée et avoir accès à des matériaux sensibles.
Naturellement, l’assaillant peut télécharger et installer des outils additionnels pour pénétrer davantage le réseau.
En conclusion méfiez-vous des e-mail d’invitations, de mise à jour au niveau sécurité et surtout n’oubliez pas de lire « Deux tigres sur la même colline ». Rassurez-vous le livre est moins technique. Cela reste un thriller...
Et si ce livre était bien plus qu’un simple thriller, avec les ingrédients d'un thriller : trahison, meurtre, intrigue, mais dans un cyber espace : le mien, le vôtre, celui de nos enfants.
Tags :
cheval de troie
Rédigé par Patrick JAULENT le Mercredi 25 Septembre 2013 à 11:22
> A LIRE EN CE MOMENT SUR DECIDEO
-
Gouverner l’intelligence artificielle : un passage obligé afin d’en sécuriser les bénéfices pour l’entreprise (1ère partie)
-
Etude Panasonic : la vision par ordinateur sera le fer de lance de la productivité de l'IA en 2024
-
Étude Salesforce : Le manque de stratégie data entrave l'avancement de l'IA dans le secteur du Retail
-
LF AI & Data Foundation lance Open Platform for Enterprise AI (OPEA) pour une collaboration innovante en matière d'IA d'entreprise
-
SAP Labs France inaugure son premier Centre d’Expérience client dédié à l’IA, à Sophia Antipolis
-
Databricks annonce une croissance annualisée de plus de 70 % dans la région EMEA, alimentée par la demande des entreprises en matière d'IA
-
Selon une étude TEI réalisée par le cabinet Forrester, la solution Qlik Cloud Analytics assure un retour sur investissement de 209 %
-
Big data et sécurité intérieure : l’éditeur français Blueway, toujours au 1er rang pour remplacer l’américain Palantir, auprès de la DGSI
-
Publication du rapport de Stanford University : Artificial Intelligence Index Report 2024
-
Plaidoyer pour une adoption raisonnée de l’IA : en France, seulement 20 % des décideurs privilégient l’esprit critique de leurs employés, malgré un usage massif des outils d’IA
Dr Patrick JAULENT
Ancien consultant, professeur.
Plus de 80 projets en pilotage de la performance réalisé.
C'est un Expert en Définition & Exécution stratégique, Tableaux de bord & Indicateurs de performance
Auteurs de plusieurs ouvrages sur ces sujets (Piloter vos performances, édition AFNOR - Méthodes de Gestion comment les intégrer Editions d'organisation - Les leviers de la performance Editions Riscus) et Objectif performance (éditions AFNOR)
Derniers commentaires
-
Nous avons franchi le Rubicon des cybers incidents
24/12/2022 00:39 - MichelPaul M. -
A quand les cyber commémorations !!!
24/12/2022 00:25 - MichelPaul M. -
Game Over!
22/08/2021 10:53 - Rezo -
N’ayez plus peur !
02/07/2016 16:37 - Annick -
Etes-vous résilient ?
29/06/2016 20:35 - Jennifer -
Qu’est-ce qu’un KPI ?
19/07/2013 11:53 - César Pallueau -
Qu’est-ce qu’un KPI ?
24/06/2013 09:49 - Anthony -
La démarche « carte stratégique »
28/08/2012 16:55 - Maram -
Qu’est-ce qu’un KPI ?
03/04/2012 00:11 - sentissi -
Qu’est-ce qu’un KPI ?
26/02/2012 14:55 - Mezfor
Archives
Dernières notes
Game Over!
19/09/2014
A quand les cyber commémorations !!!
11/11/2013
Augmentez votre vigilance sur Internet
25/09/2013
Copyright Decideo.fr et Patrick Jaulent