Arsenal Red Team – Episode 4 : L’attaque à 5 euros qui peut compromettre le SI !

Sécurité de l'information
Arsenal Red Team – Episode 4 : L’attaque à 5 euros qui peut compromettre le SI !

Dans l’épisode précédent, nous avions découvert le Rubber Ducky. Depuis… il a évolué et il est encore plus méchant. Il propose maintenant de nouvelles capacités :

  • Il se connecte via WiFi afin d’être contrôlé à distance : il n’y a plus qu’à attendre que l’utilisateur revienne à son poste puis détourner son attention pour lancer des charges malveillantes sur le Rubber Ducky branché derrière son poste ! Fini les restrictions liées à une session verrouillée.
  • Il s’est doté d’une capacité à contourner les restrictions mises en place afin de n’autoriser que les périphériques bienveillants : il peut maintenant imiter un périphérique original utilisé dans la société. Un clavier Logitech autorisé sur un poste utilisateur peut alors devenir subitement malveillant 
  • Il s’est miniaturisé jusqu’à 3cm…et ses coûts de production ont chuté drastiquement. Un nouveau circuit est disponible en Chine pour un prix aux environs de 2$ ! Nous ne donnerons ici pas de lien ni de référence, afin de ne pas donner de mauvaise idée aux malveillants.

De la même façon que le Rubber Ducky, il est possible de charger une ligne de commande d’une centaine de caractères qui télécharge et exécute en 3 secondes (par exemple via powershell, wmi, ou l’invité de commande cmd), un exécutable malveillant caché qui viendra compromettre le Système d’Information.

Nous utilisons par exemple plusieurs scénarios lors de missions redteam afin de rester le plus discret possible. La première étape est le branchement de la clé utilisant les identifiants du clavier légitime de l’utilisateur (identifiant du fabricant et identifiant du périphérique). Suite à cela, deux options.
 

  Scénario 1 (le moins discret) :

  • Exécution du stage 1 de l’infection depuis la clé : téléchargement direct depuis internet (en utilisant les paramètres proxy du système) du stage 2
  • Exécution du stage 2 : infection du poste et lancement d’un canal de contrôle TCP vers un serveur distant
  • Le poste est alors compromis, et nous prenons son contrôle à distance

o   Scénario 2 :

  • Exécution du stage 1 de l’infection depuis la clé : téléchargement depuis internet du stage 2 via des requêtes DNS chiffrées (uniquement). Le stage 2 passe alors à travers les solutions de sécurité : le pare-feu, le filtrage du proxy web et la solution antivirale qui analyse éventuellement le trafic réseau.
  • Exécution du stage 2 : infection du poste et lancement d’un canal de contrôle TCP vers un serveur distant
  • Le poste est alors compromis, et nous prenons son contrôle à distance via un canal de contrôle DNS

Lorsque l’attaquant souhaite mettre à jour la charge présente sur la clé, il suffit d’ajouter un outil spécial à un certain endroit de la clé, permettant de désactiver la charge malveillante et de télécharger la nouvelle. En 1 seconde, la clé est mise à jour. Cependant… l’attaquant n’a pas à s’embêter puisqu’il lui suffit d’utiliser plusieurs stages afin de pouvoir mettre à jour à distance sa charge :

  • Côté clé : celle-ci télécharge et exécute la charge malveillante depuis une entrée DNS
  • Côté attaquant : il suffit de mettre à jour l’entrée DNS avec la nouvelle charge, et de l’adapter au fil de l’eau, en fonction de ses découvertes des types de technologies utilisées sur le SI, et surtout du type de système d’exploitation

Pour rester discret dans les journaux et n’éveiller aucun soupçon aux yeux des analyses manuelles des requêtes DNS, il suffit à l’attaquant de faire du « typosquatting » et d’utiliser un nom de domaine ressemblant à des domaines légitimes ou une extension qui n’est pas encore enregistrée : « redteamm.com », « red.team », ou encore un sous domaine tel que « r.edteam.com ». Chez un certain hébergeur connu du Nord (notre terre d’attache), il est actuellement  possible d’acheter un nom de domaine (par exemple .eu) et d’obtenir un serveur VPS dédié gratuit durant 1 mois, afin de mettre en place ses scénariis d’attaque facilement.

On pourrait se dire que le budget nécessaire pour mettre en place une attaque Redteam avec un nom de domaine dédié + un serveur de contrôle + une clé malveillante est conséquent… cependant cela revient à un budget tout compris de 5 euros TTC !

Rien n’arrête alors un individu malveillant ayant un accès physique à un port USB, qui peut alors répéter et perfectionner ses attaques jusqu’à ce que l’une d’entre-elles lui permette d’obtenir les pleins pouvoirs sur sa cible ! Son attaque nécessitera alors surtout du temps et la connaissance afin de développer la charge malveillante adaptée pour rester invisible et obtenir la donnée qu’il souhaite.

Nous verrons également dans le prochain épisode que cet accès physique n’est pas forcément requis dans certains cas.
 

 

Jérémy L, Auditeur Sécurité, Advens