Les groupes malveillants aussi adorent l’open source

Spread the love
  • Yum

Les groupes malveillants aussi adorent l'open source

Dans le domaine de la cybersécurité, le terme OST (Offensive Security Tools) fait référence aux applications logicielles, aux bibliothèques et aux exploits qui possèdent des capacités de piratage offensives et qui ont été publiés soit sous forme de téléchargements gratuits, soit sous une licence open source.

Les projets OST sont généralement publiés pour fournir une preuve de concept pour une nouvelle vulnérabilité, pour démontrer une nouvelle (ou ancienne) technique de piratage, ou comme des utilitaires de test d’intrusion partagés avec la communauté.

Aujourd’hui, l’OST est l’un des sujets les plus (sinon le plus) controversés de la communauté de la sécurité de l’information .

D’un côté, certaines personnes sont en faveur de la diffusion de tels outils, arguant qu’ils peuvent aider les défenseurs à apprendre et à préparer les systèmes et les réseaux pour de futures attaques.

De l’autre, certains soutiennent que les projets OST aident les attaquants à réduire les coûts de développement de leurs propres outils et à dissimuler leurs activités dans un nuage de tests et de tests d’intrusion légitimes.

publicité

Une carte interactive de l’utilisation des OST

Ces discussions ont lieu depuis plus d’une décennie. Cependant, elles ont toujours été fondées sur des expériences et des convictions personnelles, et jamais sur des données brutes réelles.

C’est ce que Paul Litvak, chercheur en sécurité pour la société de cybersécurité Intezer Labs, a tenté d’aborder au début de ce mois, dans une présentation à la conférence sur la sécurité de Virus Bulletin.

Litvak a compilé des données sur 129 outils de piratage offensif open source et a effectué des recherches parmi des échantillons de logiciels malveillants et des rapports sur la cybersécurité pour découvrir l’étendue de l’adoption des projets OST par les groupes malveillants.

Les résultats ont été compilés dans cette carte interactive.

Les OST les plus populaires

M. Litvak a constaté que les OST sont largement adoptés dans l’ensemble de l’écosystème de la cybercriminalité. Des célèbres groupes comme DarkHotel aux botnets comme TrickBot, de nombreux groupes ont déployé des outils ou des bibliothèques qui avaient été initialement développés par des chercheurs en sécurité mais qui sont maintenant régulièrement utilisés pour la cybercriminalité.

“Nous avons découvert que les projets les plus couramment adoptés étaient les bibliothèques d’injection de mémoire et les outils RAT”, a déclaré M. Litvak.

“L’outil d’injection de mémoire le plus populaire était la bibliothèque ReflectiveDllInjection, suivie par la bibliothèque MemoryModule. Pour les RAT, [les outils d’accès à distance], Empire, Powersploit et Quasar étaient les projets les plus importants”.

La catégorie des mouvements latéraux a sans surprise été dominée par Mimikatz.

Les bibliothèques de contournement de l’UAC étaient principalement représentée par la bibliothèque UACME. Cependant, les groupes malveillant asiatiques semblent avoir préféré Win7Elevate, probablement en raison de la plus grande base d’installation régionale de Windows 7.

Les seuls projets OST qui n’étaient pas populaires étaient ceux qui mettaient en place des fonctionnalités de vol d’identifiants.

M. Litvak estime qu’ils ne sont pas populaires du fait de la concurrence des outils similaires fournis par les black hat sur les forums de piratage clandestins. Ces outils sont dotés de fonctionnalités supérieures, que les gangs de malveillants ont choisi d’adopter au lieu des outils offensifs fournis par la communauté de la sécurité informatique.

Limiter les abus

Mais Litvak a fait une observation encore plus intéressante. Le chercheur d’Intezer Labs a déclaré que les outils OST qui mettent en œuvre des fonctionnalités complexes nécessitant un niveau de compréhension plus approfondi pour être utilisés étaient également rarement employés par les attaquants.

Partant de ce constat, M. Litvak soutient que les chercheurs en sécurité qui souhaitent à l’avenir mettre en place des outils de piratage offensif devraient également adopter cette approche et introduire de la complexité dans leur code, afin de dissuader les acteurs malveillants d’adopter leurs outils.

Si cela n’est pas possible, M. Litvak a fait valoir que les chercheurs en sécurité devraient au moins rendre leur code unique en “introduisant dans la bibliothèque des valeurs spéciales ou irrégulières” afin de permettre une détection et une identification rapide.

“Par exemple, une telle approche a été adoptée par l’auteur de Mimikatz, où la durée de vie d’un ticket généré est laissée à 10 ans par défaut – un nombre très irrégulier”, a déclaré M. Litvak.

L’exposé du chercheur est également intégré ci-dessous. Une version PDF de sa recherche est disponible ici.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *