7 attaques sournoises utilisées par les pirates informatiques les plus sournois d'aujourd'hui

Des millions de logiciels malveillants et des milliers de gangs de pirates malveillants parcourent le monde en ligne d'aujourd'hui en proie à des dupes faciles. Réutilisant les mêmes tactiques qui ont fonctionné pendant des années, voire des décennies, ils ne font rien de nouveau ou d'intéressant pour exploiter notre paresse, nos lacunes dans le jugement ou notre pure idiotie.

Mais chaque année, les chercheurs sur les logiciels anti-programme malveillant rencontrent quelques techniques qui soulèvent les sourcils. Utilisées par des logiciels malveillants ou des pirates, ces techniques inspirées repoussent les limites du piratage malveillant. Considérez-les comme des innovations dans la déviance. Comme tout ce qui est innovant, beaucoup sont une mesure de simplicité.

[Plongez-vous dans 14 astuces de consultant en sécurité informatique sales, 9 pratiques de sécurité informatique populaires qui ne fonctionnent tout simplement pas et 10 astuces de sécurité folles qui fonctionnent. | Apprenez à sécuriser vos systèmes avec le rapport spécial PDF Deep Dive du navigateur Web et le bulletin d'information Security Central, tous deux disponibles sur. ]

Prenez le virus de macro Microsoft Excel des années 1990 qui remplaçait silencieusement et aléatoirement les zéros par des O majuscules dans les feuilles de calcul, transformant immédiatement les nombres en étiquettes de texte avec une valeur de zéro - des changements qui, pour la plupart, n'ont pas été détectés bien après que les systèmes de sauvegarde ne contenaient rien d'autre que mauvaises données.

Les logiciels malveillants et les pirates informatiques les plus ingénieux d'aujourd'hui sont tout aussi furtifs et complices. Voici quelques-unes des dernières techniques à noter qui ont piqué mon intérêt en tant que chercheur en sécurité et les leçons apprises. Certains reposent sur les épaules d'innovateurs malveillants du passé, mais tous sont très en vogue aujourd'hui pour arnaquer même les utilisateurs les plus avertis.

Attaque furtive n ° 1: faux points d'accès sans fil

Aucun hack n'est plus facile à réaliser qu'un faux WAP (point d'accès sans fil). Toute personne utilisant un logiciel et une carte réseau sans fil peut annoncer son ordinateur comme un WAP disponible qui est ensuite connecté au WAP réel et légitime dans un lieu public.

Pensez à toutes les fois où vous - ou vos utilisateurs - êtes allés au café local, à l'aéroport ou au lieu de rassemblement public et connecté au réseau «sans fil gratuit». Les pirates de Starbucks qui appellent leur faux WAP "Starbucks Wireless Network" ou à l'aéroport d'Atlanta l'appellent "Atlanta Airport Free Wireless" ont toutes sortes de personnes se connectant à leur ordinateur en quelques minutes. Les pirates peuvent alors renifler des données non protégées à partir des flux de données envoyés entre les victimes involontaires et leurs hôtes distants prévus. Vous seriez surpris de voir combien de données, même des mots de passe, sont encore envoyées en texte clair.

Les hackers les plus infâmes demanderont à leurs victimes de créer un nouveau compte d'accès pour utiliser leur WAP. Ces utilisateurs utiliseront très probablement un nom de connexion commun ou l'une de leurs adresses e-mail, ainsi qu'un mot de passe qu'ils utilisent ailleurs. Le pirate informatique WAP peut alors essayer d'utiliser les mêmes informations de connexion sur des sites Web populaires - Facebook, Twitter, Amazon, iTunes, etc. - et les victimes ne sauront jamais comment cela s'est passé.

Leçon: Vous ne pouvez pas faire confiance aux points d'accès sans fil publics. Protégez toujours les informations confidentielles envoyées sur un réseau sans fil. Envisagez d'utiliser une connexion VPN, qui protège toutes vos communications, et ne recyclez pas les mots de passe entre les sites publics et privés.

Attaque furtive n ° 2: le vol de biscuits

Les cookies de navigateur sont une merveilleuse invention qui préserve "l'état" lorsqu'un utilisateur navigue sur un site Web. Ces petits fichiers texte, envoyés à nos machines par un site Web, aident le site Web ou le service à nous suivre tout au long de notre visite, ou de plusieurs visites, nous permettant par exemple d'acheter plus facilement des jeans. Qu'est-ce qu'il ne faut pas aimer?

Réponse: Lorsqu'un pirate informatique vole nos cookies, et ce faisant, il devient nous - un événement de plus en plus fréquent de nos jours. Ils s'authentifient plutôt sur nos sites Web comme s'ils étaient nous et avaient fourni un nom de connexion et un mot de passe valides.

Bien sûr, le vol de cookies existe depuis l'invention du Web, mais de nos jours, les outils rendent le processus aussi simple que de cliquer, cliquer, cliquer. Firesheep, par exemple, est un module complémentaire de navigateur Firefox qui permet aux utilisateurs de voler des cookies non protégés à d'autres. Lorsqu'il est utilisé avec un faux WAP ou sur un réseau public partagé, le détournement de cookies peut être assez réussi. Firesheep affichera tous les noms et emplacements des cookies qu'il trouve, et d'un simple clic de souris, le hacker peut reprendre la session (voir le blog Codebutler pour un exemple de la facilité d'utilisation de Firesheep).

Pire encore, les pirates peuvent désormais voler même les cookies protégés par SSL / TLS et les renifler à partir de rien. En septembre 2011, une attaque intitulée «BEAST» par ses créateurs a prouvé que même des cookies protégés par SSL / TLS pouvaient être obtenus. D'autres améliorations et améliorations cette année, y compris le bien nommé CRIME, ont rendu le vol et la réutilisation des cookies cryptés encore plus faciles.

À chaque attaque de cookie lancée, les sites Web et les développeurs d'applications apprennent comment protéger leurs utilisateurs. Parfois, la réponse est d'utiliser le dernier chiffrement cryptographique; d'autres fois, il s'agit de désactiver une fonctionnalité obscure que la plupart des gens n'utilisent pas. La clé est que tous les développeurs Web doivent utiliser des techniques de développement sécurisées pour réduire le vol de cookies. Si votre site Web n'a pas mis à jour sa protection par cryptage depuis quelques années, vous êtes probablement en danger.

Leçons: même les cookies cryptés peuvent être volés. Connectez-vous à des sites Web qui utilisent des techniques de développement sécurisées et la dernière crypto. Vos sites Web HTTPS doivent utiliser la dernière cryptographie, y compris TLS version 1.2.

Attaque furtive n ° 3: astuces de noms de fichiers

Les pirates utilisent des astuces de noms de fichiers pour nous amener à exécuter du code malveillant depuis le début des logiciels malveillants. Les premiers exemples incluaient l'attribution d'un nom au fichier qui encouragerait les victimes sans méfiance à cliquer dessus (comme AnnaKournikovaNudePics) et l'utilisation de plusieurs extensions de fichier (telles que AnnaKournikovaNudePics.Zip.exe). Jusqu'à ce jour, Microsoft Windows et d'autres systèmes d'exploitation cachent facilement les extensions de fichiers "bien connues", ce qui donnera à AnnaKournikovaNudePics.Gif.Exe l'apparence d'AnnaKournikovaNudePics.Gif.

Il y a des années, les programmes de virus malveillants connus sous le nom de «jumeaux», «spawners» ou «virus compagnons» reposaient sur une fonctionnalité peu connue de Microsoft Windows / DOS, où même si vous tapiez le nom de fichier Start.exe, Windows aurait l'air pour et, si trouvé, exécutez Start.com à la place. Les virus compagnons recherchent tous les fichiers .exe sur votre disque dur et créent un virus portant le même nom que le fichier EXE, mais avec l'extension de fichier .com. Ce problème a depuis longtemps été résolu par Microsoft, mais sa découverte et son exploitation par les premiers pirates ont jeté les bases de moyens inventifs de masquer les virus qui continuent d'évoluer aujourd'hui.

Parmi les astuces de renommage de fichier les plus sophistiquées actuellement utilisées, il y a l'utilisation de caractères Unicode qui affectent la sortie du nom de fichier que les utilisateurs sont présentés. Par exemple, le caractère Unicode (U + 202E), appelé le remplacement de droite à gauche, peut tromper de nombreux systèmes en leur faisant afficher un fichier réellement nommé AnnaKournikovaNudeavi.exe comme AnnaKournikovaNudexe.avi.

Leçon: Dans la mesure du possible, assurez-vous de connaître le nom réel et complet de tout fichier avant de l'exécuter.

Attaque furtive n ° 4: emplacement, emplacement, emplacement

Une autre astuce furtive intéressante qui utilise un système d'exploitation contre lui-même est une astuce d'emplacement de fichier connue sous le nom de «relatif versus absolu». Dans les anciennes versions de Windows (Windows XP, 2003 et versions antérieures) et d'autres systèmes d'exploitation antérieurs, si vous avez tapé un nom de fichier et appuyez sur Entrée, ou si le système d'exploitation cherchait un fichier en votre nom, il commencerait toujours par votre dossier ou emplacement de répertoire actuel avant de chercher ailleurs. Ce comportement peut sembler suffisamment efficace et inoffensif, mais les pirates informatiques et les logiciels malveillants l'ont utilisé à leur avantage.

Par exemple, supposons que vous vouliez exécuter la calculatrice Windows intégrée et inoffensive (calc.exe). Il est assez facile (et souvent plus rapide que d'utiliser plusieurs clics de souris) pour ouvrir une invite de commande, tapez calc.exeet appuyez sur Entrée. Mais les logiciels malveillants peuvent créer un fichier malveillant appelé calc.exe et le cacher dans le répertoire actuel ou dans votre dossier personnel; lorsque vous essayez d'exécuter calc.exe, il exécute la copie bidon à la place.

J'ai adoré cette faute en tant que testeur de pénétration. Souvent, après avoir pénétré par effraction dans un ordinateur et avoir dû élever mes privilèges au rang d'administrateur, je prenais une version non corrigée d'un logiciel connu, auparavant vulnérable, et la plaçais dans un dossier temporaire. La plupart du temps, tout ce que j'avais à faire était de placer un seul exécutable ou DLL vulnérable, tout en laissant seul le programme patché précédemment installé. Je tapais le nom de fichier de l'exécutable du programme dans mon dossier temporaire, et Windows chargerait mon exécutable Trojan vulnérable à partir de mon dossier temporaire au lieu de la version la plus récemment corrigée. J'ai adoré - je pourrais exploiter un système entièrement patché avec un seul fichier défectueux.

Les systèmes Linux, Unix et BSD ont ce problème résolu depuis plus d'une décennie. Microsoft a résolu le problème en 2006 avec les versions de Windows Vista / 2008, bien que le problème demeure dans les versions héritées en raison de problèmes de compatibilité descendante. Microsoft avertit et apprend également aux développeurs à utiliser des noms de fichiers / chemins absolus (plutôt que relatifs) dans leurs propres programmes depuis de nombreuses années. Pourtant, des dizaines de milliers de programmes existants sont vulnérables aux astuces de localisation. Les hackers le savent mieux que quiconque.

Leçon: Utilisez des systèmes d'exploitation qui appliquent des chemins de répertoire et de dossier absolus, et recherchez d'abord les fichiers dans les zones système par défaut.

Attaque furtive n ° 5: redirection de fichiers hôtes

À l'insu de la plupart des utilisateurs d'ordinateurs actuels, il existe un fichier lié au DNS nommé Hosts. Situé sous C: \ Windows \ System32 \ Drivers \ Etc sous Windows, le fichier Hosts peut contenir des entrées qui lient les noms de domaine saisis à leurs adresses IP correspondantes. Le fichier Hosts était à l'origine utilisé par DNS comme moyen pour les hôtes de résoudre localement les recherches de nom à adresse IP sans avoir à contacter les serveurs DNS et à effectuer une résolution de nom récursive. Pour la plupart, DNS fonctionne très bien et la plupart des gens n'interagissent jamais avec leur fichier Hosts, bien qu'il soit là.

Les pirates et les logiciels malveillants adorent écrire leurs propres entrées malveillantes sur les hôtes, de sorte que lorsque quelqu'un tape un nom de domaine populaire - par exemple, bing.com - il est redirigé vers un autre endroit plus malveillant. La redirection malveillante contient souvent une copie presque parfaite du site Web souhaité d'origine, de sorte que l'utilisateur concerné n'est pas au courant du changement.

Cet exploit est encore largement utilisé aujourd'hui.

Leçon: Si vous ne parvenez pas à comprendre pourquoi vous êtes redirigé de manière malveillante, consultez votre fichier Hosts.

Attaque furtive n ° 6: attaques de points d'eau

Les attaques de points d'eau ont reçu leur nom de leur méthodologie ingénieuse. Dans ces attaques, les pirates tirent parti du fait que leurs victimes ciblées se rencontrent ou travaillent souvent à un endroit physique ou virtuel particulier. Ensuite, ils «empoisonnent» cet endroit pour atteindre des objectifs malveillants.

Par exemple, la plupart des grandes entreprises ont un café, un bar ou un restaurant local qui est populaire auprès des employés de l'entreprise. Les attaquants créeront de faux WAP pour tenter d'obtenir autant d'informations d'identification d'entreprise que possible. Ou les attaquants modifieront de manière malveillante un site Web fréquemment visité pour faire de même. Les victimes sont souvent plus détendues et sans méfiance car le lieu ciblé est un portail public ou social.

Les attaques de points d'eau sont devenues une grande nouvelle cette année lorsque plusieurs entreprises technologiques de haut niveau, notamment Apple, Facebook et Microsoft, entre autres, ont été compromises en raison des sites Web de développement d'applications populaires visités par leurs développeurs. Les sites Web avaient été empoisonnés par des redirections JavaScript malveillantes qui installaient des logiciels malveillants (parfois zéro jour) sur les ordinateurs des développeurs. Les postes de travail des développeurs compromis ont ensuite été utilisés pour accéder aux réseaux internes des entreprises victimes.

Leçon: Assurez-vous que vos employés comprennent que les "points d'eau" populaires sont des cibles courantes des pirates informatiques.

Attaque furtive n ° 7: appât et interrupteur

L'une des techniques de piratage les plus intéressantes en cours est appelée appât et interrupteur. On dit aux victimes qu'elles téléchargent ou exécutent une chose, et qu'elles le sont temporairement, mais elles sont ensuite éteintes avec un élément malveillant. Les exemples abondent.

Il est courant que les diffuseurs de logiciels malveillants achètent de l'espace publicitaire sur des sites Web populaires. Les sites Web, lors de la confirmation de la commande, reçoivent un lien ou un contenu non malveillant. Le site Web approuve la publicité et prend l'argent. Le méchant change alors le lien ou le contenu avec quelque chose de plus malveillant. Souvent, ils coderont le nouveau site Web malveillant pour rediriger les spectateurs vers le lien ou le contenu d'origine s'ils sont consultés par quelqu'un à partir d'une adresse IP appartenant à l'approbateur d'origine. Cela complique la détection et le retrait rapides.

Les attaques d'appâts et de commutateurs les plus intéressantes que j'ai vues récemment impliquent des méchants qui créent du contenu «gratuit» qui peut être téléchargé et utilisé par n'importe qui. (Pensez à la console d'administration ou à un compteur de visiteurs pour le bas d'une page Web.) Souvent, ces applets et éléments gratuits contiennent une clause de licence qui dit à l'effet: «Peut être réutilisé librement tant que le lien d'origine demeure». Les utilisateurs sans méfiance utilisent le contenu de bonne foi, en laissant le lien d'origine intact. Habituellement, le lien d'origine ne contient rien d'autre qu'un emblème de fichier graphique ou quelque chose d'autre trivial et petit. Plus tard, après que l'élément faux a été inclus dans des milliers de sites Web, le développeur malveillant d'origine modifie le contenu inoffensif pour quelque chose de plus malveillant (comme une redirection JavaScript nuisible).

Leçon: Méfiez-vous de tout lien vers un contenu qui n'est pas sous votre contrôle direct, car il peut être désactivé à tout moment sans votre consentement.