L’actualité cyber sécurité de la semaine dernière (14 au 20 août 2017)

de | 21 août 2017

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : les données d’accès à des systèmes industriels à vendre dans le dark web, l’Ukraine qui prend (encore) cher, mettez à jour vos outils d’administration NetSarang, Microsoft Powerpoint… et votre Raspberry Pi et pour terminer Lazarus APT s’attaque aux fournisseurs de l’armée américaine.

Quelques outils intéressants sont proposés à la fin de ce post :

  • Le dark web regorge d’informations surprenantes, ainsi le groupe de pirates “Black hat hackers” a mis en vente dans un site “e-commerce” du dark web, CMarket, connu également sous le nom de Babylon APT, des données d’accès à différents systèmes industriels qu’ils ont compromis.

Cette information a été fournie par un employé de la société BlckOps spécialisée dans le threat intelligence et qui sonde en continu le dark web à la recherche de renseignements sur les potentielles futures attaques contre leurs clients.

Affaire à prendre avec des pincettes et à suivre, car il semble qu’il s’agît d’une vente de données collectées suite à des attaques menées pour le compte du Parti communiste chinois.

Source :

https://latesthackingnews.com/2017/08/15/22073/

  • Après l’attaque informatiques sur les réseaux de transport électrique ukrainien qui a perturbé la distribution électrique fin 2016 puis des agences gouvernementales en juin dernier, la poste ukrainienne et la banque centrale d’Ukraine ont subit de nouvelles attaques informatiques la semaine dernière. La poste ukrainienne a subi une attaque de type déni de service là où la banque centrale semble avoir été infectée par une variante du malware Petya.

Étant donné que l’Ukraine est un ancien pays de l’est, probablement que certaines informations sur ses infrastructures et ses systèmes d’information n’ont pas/peu de secret pour un de ses ennemis du moment ! On ne peut pas dire que la cyber guerre est un fantasme.

Sources

http://www.zataz.com/ukrposhta-poste-ddos/

http://securityaffairs.co/wordpress/62132/malware/ukrainian-central-bank-cyberattack.html

  • Les heureux possesseurs de Raspberry PI doivent immédiatement mettre à jour leurs systèmes pour adresser de nombreuses vulnérabilités critiques dont une qui touche le chipset wifi Broadcom43xx qu’ils embarquent ( CVE-2017-9417). Cette vulnérabilité permet à une personne malveillante d’exécuter à distance un code malveillant sur le système pour, par exemple, transformer le Raspberry en borne wifi et s’y connecter facilement.

Cette vulnérabilité concerne également les IPhone et des terminaux Android et qui a été corrigée en juillet sur ces terminaux.

Ce qu’il faut retenir de cette vulnérabilité : il est important de s’assurer de l’ensemble des éléments électroniques qui composent un système et pas que la sécurité d’un système d’exploitation ou des applications

Sources :

https://www.techrepublic.com/article/raspberry-pi-owners-update-now-to-block-this-wi-fi-hack/

https://www.wired.com/story/broadpwn-wi-fi-vulnerability-ios-android/

https://nvd.nist.gov/vuln/detail/CVE-2017-9417#vulnDescriptionTitle

  • Des personnes malveillantes ont réussi à ajouter un backdoor dans des outils d’administration NetSarang utilisés par des milliers d’entreprises. La backdoor transmettait périodiquement des informations sur les serveurs (nom d’utilisateur, domaine, nom de machine, etc.) . Le canal de communication utilisé par le backdoor pour échanger avec le serveur de commande and de contrôle (C&C) était les requêtes DNS.

La singularité du backdoor réside dans le fait que son implantation a été réalisée suite à la compromission du système d’information de l’éditeur et qui a touché l’ensemble plusieurs de leurs clients.

La compromission a été détectée par Kaspersky.

Les logiciels concernaient sont les suivants :

Xmanager Enterprise 5 Build 1232

Xmanager 5 Build 1045

Xshell 5 Build 1322

Xftp 5 Build 1218

Xlpd 5 Build 1220

Source :

http://www.csoonline.com/article/3216547/security/kaspersky-discovers-supply-chain-attack-at-netsarang.html

  • Dans la série des attaques indirectes, des fournisseurs de l’armée américaine ont été ciblée par des attaques du groupe Lazarus APT, groupe qui a été lié au gouvernement Nord-coréen et à l’origine du hack de Sony Picture. Ce groupe a ciblé des employés de ces entreprises en leur transmettant des mails de proposition d’emploi qui contiennent un fichier Microsoft Office qui décrivait le poste. Ce fichier contenant une macro qui installe un malware qui permettait aux membres du groupe de prendre le contrôle à distance du poste de travail infecté

On ne le dira jamais suffisamment, assurez vous de la sécurité des systèmes d’information de vos partenaires et fournisseurs qui vous proposent leurs services et solutions, qui disposent d’information sur votre système d’information ou s’y connectent directement.

Source :

http://www.cyberdefensemagazine.com/north-korea-linked-lazarus-apt-targets-u-s-defense-contractors/

  • Après la vulnérabilité dans les fichiers RTF (CVE-2016-7193), qui permettait au malware Dridex de se propager afin de récupérer, sur les PC infectés, les codes d’accès aux banques, c’est maintenant à Microsoft Powerpoint d’être vulnérable (CVE-2017-0199) : une personne malveillante pour exploiter cette vulnérabilité en transmettant un fichier contenant un malware qui permettrait de prendre le contrôle du poste de travail à distance.

Source :

http://www.cyberdefensemagazine.com/cve-2017-0199-crooks-exploit-powerpoint-slide-show-files-to-deliver-malware/


Quelques outils de sécurité glanés sur Internet afin d’enrichir votre arsenal de test et de supervision de la sécurité de votre SI :

  • Security Scenario Generator (SecGen) est un outil qui permet de générer à la volée des machines virtuelles avec des vulnérabilités différentes. Cette approche, différente des systèmes statiques comme Metasploitable), permet d’améliorer vos compétences de pentesters qui permettent d’évaluer et d’améliorer la sécurité des systèmes d’information.

https://github.com/cliffe/SecGen

  • WMI_Forensics : l’outil permet de lancer des recherches dans le WMI (Windows Management Instrumentation qui permet de gérer à distance les systèmes Windows) afin de détecter :
    • des programmes malicieux
    • des changements qui nuiraient au fonctionnement du système cible
    • de nouvelles classes de gestion dédiées au contrôle à distance, par une personne malveillante, du système compromis (méthode utilisée par le groupe de pirate APT 29, probablement lié aux services de renseignement militaires russes)

https://github.com/davidpany/WMI_Forensics

https://media.defcon.org/DEF%20CON%2023/DEF%20CON%2023%20presentations/DEFCON-23-Ballenthin-Graeber-Teodorescu-WMI-Attacks-Defense-Forensics.pdf

  • Cyber probe est un système open source modulaire qui permet de mettre en place un système distribué de supervision de la sécurité du système d’information et de détection d’intrusions. Il est composé
    • d’une sonde qui collecte le trafic réseau et qui transmettre le trafic à, la sonde collecte les événements générés par des solutions de détection d’intrusion de type Snort. Par ailleurs, plusieurs sondes peuvent être déployées dans le réseau
    • d’un module de supervision qui agrège le trafic transmis par les sondes

http://cyberprobe.trustnetworks.com/

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *