learn.hack.repeat

EDRSilencer : un outil Red Team détourné pour échapper aux solutions de sécurité

Les solutions de sécurité des entreprises sont de plus en plus perfectionnées, notamment grâce aux technologies de détection et réponse sur les endpoints (EDR). Mais récemment, un outil appelé EDRSilencer a refait surface, conçu initialement pour les tests de sécurité offensifs (Red Team). Malheureusement, cet outil est désormais utilisé par des cybercriminels pour contourner les mesures de protection des EDR dans des attaques réelles.

Qu’est-ce qu’EDRSilencer ?

EDRSilencer est un outil destiné aux professionnels de la cybersécurité qui réalisent des tests d’intrusion pour évaluer les vulnérabilités des infrastructures IT. Cependant, comme c’est souvent le cas avec des outils utilisés par les équipes de sécurité, des acteurs malveillants l’ont détourné de son usage initial pour le déployer dans des cyberattaques. Ce qui rend EDRSilencer particulièrement inquiétant, c’est sa capacité à désactiver ou contourner les solutions de sécurité sur les terminaux (comme les ordinateurs) de l’entreprise.

(EDRSilencer attack chain. Sources: Trend Micro)

En pratique, EDRSilencer intercepte les processus de communication entre un logiciel EDR et ses consoles de gestion. L’outil exploite des vulnérabilités dans la Windows Filtering Platform (WFP), une fonctionnalité native de Windows qui gère le trafic réseau et les communications des applications. Cela permet aux attaquants de bloquer les alertes générées par les EDR avant qu’elles ne soient envoyées aux équipes de sécurité, rendant leurs actions invisibles pendant un temps crucial.

Un danger pour plusieurs solutions EDR

Selon les chercheurs en cybersécurité de Trend Micro, EDRSilencer a été utilisé pour compromettre plusieurs des solutions de sécurité les plus répandues. Parmi celles-ci, on retrouve Microsoft Defender, FortiEDR de Fortinet, et Cortex XDR de Palo Alto Networks. En désactivant les processus d’alerte de ces outils, les attaquants peuvent se déplacer latéralement dans les réseaux d’entreprise sans déclencher d’alarme.

(Blocage du trafic d’exécutables codés en dur. Source : Trend Micro)

En outre, l’outil est hautement personnalisable. Les cybercriminels peuvent définir des filtres spécifiques dans EDRSilencer pour cibler certains processus ou services qu’ils souhaitent masquer, ce qui leur donne un contrôle fin sur les actions qu’ils souhaitent dissimuler aux solutions de sécurité. Par exemple, ils pourraient choisir de cacher les processus liés à des ransomwares ou d’autres logiciels malveillants tout en permettant d’autres processus de rester visibles, ce qui rend l’identification de l’attaque encore plus difficile.

Une menace croissante pour les entreprises

L’utilisation d’un outil comme EDRSilencer montre à quel point les cyberattaques sont en constante évolution. Les entreprises se retrouvent confrontées à des attaques de plus en plus sophistiquées, capables de déjouer les systèmes de défense les plus avancés. Ce genre de menace montre également que la cybersécurité ne peut pas reposer uniquement sur une seule couche de protection.

Il est fortement recommandé de mettre en place des stratégies de défense multicouche. Ces stratégies incluent non seulement des solutions EDR, mais aussi des systèmes de détection des anomalies comportementales, des pare-feux, et des politiques strictes de gestion des accès. De plus, appliquer le principe du moindre privilège sur les utilisateurs et les processus permet de limiter l’ampleur des dégâts en cas de compromission d’un système.

Pour une détection proactive des comportements liés à des outils comme EDRSilencer, il est recommandé de mettre en place des règles analytiques personnalisées dans votre SIEM. Ces règles peuvent surveiller les modifications inhabituelles des filtres de la Windows Filtering Platform (WFP) ou les interruptions des processus critiques des solutions EDR. La plupart des SIEM (Microsoft Sentinel, Splunk, QRadar, etc.) permettent de créer des alertes spécifiques à ces comportements, aidant ainsi à prévenir les attaques.

/* 
Exemple de requête KQL qui surveille les événements WFP (5156, 5157) et les interruptions ou modifications des processus liés à Microsoft Defender 
*/
SecurityEvent
| where EventID == 5156 or EventID == 5157  // Modification dans la WFP
| where ProcessName contains "MsMpEng.exe" // Microsoft Defender Antivirus Process
| where ActionType == "ProcessTerminated" or ActionType == "AuditPolicyChange"
| project TimeGenerated, Computer, Account, ProcessName, EventID, ActionType

En plus de la détection proactive des menaces par la surveillance des comportements suspects, des audits réguliers de la sécurité des infrastructures, sont des éléments clés pour se protéger contre des outils comme EDRSilencer. Cela montre l’importance d’être toujours en avance sur les cybercriminels, qui ne cessent d’adapter leurs techniques.

Conclusion

L’émergence de EDRSilencer comme outil dans les mains des attaquants illustre une tendance inquiétante dans le domaine de la cybersécurité. Des outils initialement développés pour aider les professionnels à tester et renforcer les systèmes de sécurité peuvent être utilisés à des fins malveillantes. Cela souligne l’importance d’une vigilance constante et d’une adaptation rapide face à des menaces toujours plus sophistiquées.

Plus d’information:
EDRSilencer red team tool used in attacks to bypass security
Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions | Trend Micro (US)

Insomni’hack 2024

Cela faisait très longtemps que j’avais envie d’assister à un rendez-vous incontournable dans le panorama de la cyber sécurité en Suisse romande comme l’est Insomni’hack, mais en raison de contretemps professionnels de dernière minute, de contraintes de calendrier ou autres covid, ça n’avait jamais pu se concrétiser… c’est maintenant chose faite 🙂

Pour ma première visite à Insomni’Hack, le SwissTech Convention Center s’est révélé être l’endroit idéal pour un événement de cette envergure. Les interactions avec les partenaires et exposants, passionnés et non intrusifs, ainsi que le niveau technique élevé des présentations, ont rendu cette expérience inoubliable.

Insomni’hack c’est donc avant tout un évènement pour technards, passionnés de sécu et de gentils hackers. Qu’on se situe du côté des organisateurs, exposants, conférenciers ou visiteurs, les échanges sont toujours riches en partage d’expérience, bonne humeur et convivialité!

Célèbre pour son CTF, remporté cette année par 0rganizers, Insomni’hack c’est aussi plus de 30 conférences techniques, ainsi que plusieurs workshops pour ceux qui voudraient faire du deep dive sur un des nombreux sujets abordés.

Pour ma part, j’ai été présent toute la journée de vendredi et j’ai notamment eu la chance de participer à deux conférences concernant l’OIDC dans le cloud ainsi que la sécurité AD DS.

Abus de la configuration OIDC dans les environnements cloud

L’une des sessions les plus enrichissantes a été celle de Christophe Tafani-Dereeper, intitulée « Abusing misconfigured OIDC authentication in cloud environments« . Cette présentation détaillée a exploré les failles de sécurité courantes associées aux configurations OIDC dans les pipelines CI/CD. Christophe a commencé par une introduction aux fondamentaux d’AWS IAM, expliquant la différence entre les utilisateurs IAM et les rôles IAM, ainsi que l’importance de la gestion sécurisée des politiques d’accès.

Le cœur de la présentation a traité des erreurs de configuration spécifiques qui permettent des escalades de privilèges et des attaques par exécution de code arbitraire. Christophe a illustré comment une politique de confiance mal configurée dans un rôle IAM peut être exploitée pour obtenir des accès étendus sur l’infrastructure AWS. Il a utilisé des exemples réels, montrant des scripts et des commandes pour démontrer comment les attaquants peuvent récupérer des jetons Web JSON (JWT) mal sécurisés et les utiliser pour assumer des rôles IAM vulnérables. Des conseils pratiques ont été donnés pour sécuriser les configurations, incluant l’utilisation de conditions strictes dans les politiques de confiance et la limitation des permissions accordées aux rôles.

Des études de cas ont clôturé la session, où Christophe a détaillé comment son équipe a identifié et signalé de manière responsable des rôles vulnérables, aidant ainsi plusieurs entreprises à améliorer leur posture de sécurité. Cette présentation a non seulement mis en lumière les risques liés à une mauvaise gestion des identités dans le cloud mais a aussi montré l’importance d’une vérification continue et rigoureuse des configurations de sécurité.

Burn it, burn it all : Persistance dans AD DS

La deuxième conférence, présentée par Volker Carstein (Aka Volker) et Charlie Bromberg (Aka Shutdown), nous a plongé dans le monde complexe de la persistance au sein des services de domaine Active Directory avec leur présentation intitulée « Burn it, burn it all« . Le duo a exposé diverses méthodes de persistance, allant des attaques GoldenGMSA à Skeleton Key, en passant par des techniques de délégation KRBTGT et des manipulations de l’SID history.

Volker et Charlie ont commencé par expliquer le concept de GoldenGMSA, détaillant comment les attaquants peuvent exploiter les clés KDS root pour prendre le contrôle de comptes de service gérés par groupe (gMSA). Ils ont démontré, en direct, comment extraire et calculer les mots de passe des gMSA à partir d’informations système apparemment bénignes.

La discussion s’est ensuite tournée vers la technique du Skeleton Key, où ils ont illustré comment l’injection dans le processus LSASS permet de créer un mot de passe maître pour n’importe quel compte sans altérer les mots de passe existants. Cette partie de la session a mis en évidence les risques de sécurité liés aux contrôleurs de domaine et l’importance de surveiller et de sécuriser ces systèmes critiques.

Pour conclure, ils ont abordé des techniques plus avancées telles que la manipulation de l’SID history et l’exploitation de l’objet AdminSDHolder pour obtenir une persistance quasi-indétectable dans des environnements AD. Chaque technique était accompagnée d’exemples de code, de recommandations pour la mitigation et d’histoires de cas réels, rendant la session à la fois éducative et profondément technique.

Rideau de fin et à l’année prochaine!

Je tiens à exprimer ma gratitude envers l’organisateur de l’évènement, Orange Cyberdefense Suisse ainsi que tous les sponsors et exposants, tout particulièrement: Kyos, Yes We Hack, Kaspersky, Zscaler, Palo Alto Networks, et Boll pour leur accueil chaleureux sur leur stand. Leur engagement envers la communauté de la sécurité informatique est la clé de la réussite de ces échanges enrichissants.

Avec des souvenirs plein la tête, pas mal d’articles à lire et de sujets à approfondir, je suis plus que jamais motivé à revenir à Insomni’hack l’année prochaine. Et qui sait, peut-être même pour participer au célèbre CTF 😉

Plus d’information:
https://www.insomnihack.ch/
https://docs.google.com/presentation/d/1TwGYsxgJRWRhm9aO8SIK4NIhwYaXZelWzWk337DTxUk/edit?usp=sharing
https://drive.google.com/file/d/11tfRmol18T7itiZXbAS03OFu3UoRAwhC/view

Le groupe cybercriminel chinois Earth Krahang porte atteinte à la sécurité de 70 organisations dans 23 pays

Une campagne de cyberespionnage avancée attribuée au groupe cybercriminel chinois Earth Krahang a porté atteinte à la sécurité de 70 organisations dans le monde, y compris des ministères des affaires étrangères et d’autres agences gouvernementales, en déployant un arsenal sophistiqué d’outils pour compromettre des infrastructures clés et récolter des informations sensibles.

Ce groupe a utilisé des techniques avancées telles que l’exploitation de vulnérabilités dans des serveurs exposés à Internet, des emails de spear-phishing et des attaques par force brute pour installer des portes dérobées personnalisées et mener des activités de cyber-espionnage.

Les attaquants ont spécifiquement exploité des vulnérabilités telles que CVE-2023-32315 et CVE-2022-21587 pour accéder à des réseaux compromis et y persister. En outre, ils ont utilisé des emails de spear-phishing à thème géopolitique pour inciter les destinataires à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens, ce qui facilite l’installation de logiciels malveillants et l’extraction ultérieure d’informations.

Une fois dans le réseau, Earth Krahang a utilisé des infrastructures compromises pour héberger des charges utiles malveillantes, rediriger le trafic d’attaque et utiliser des comptes de messagerie gouvernementaux piratés pour cibler d’autres gouvernements ou contacts avec des courriels de spear-phishing. Dans un cas notoire, ils ont utilisé un compte de courrier électronique compromis d’une entité gouvernementale pour envoyer une pièce jointe malveillante à 796 adresses électroniques appartenant à la même entité.

Chaîne d’infection d’une attaque de spear-phishing de Earth Krahang (voir la section ATT&CK de MITRE pour plus de détails sur chaque identifiant de technique).
Source: trendmicro.com

Compte tenu de la sophistication et de l’ampleur de la campagne Earth Krahang, il est vivement conseillé aux organisations gouvernementales et aux autres entités cibles potentielles de rester vigilantes face à toute activité suspecte sur leurs systèmes. Dans ce contexte, la mise en œuvre des mises à jour de sécurité en temps opportun devient un pilier essentiel. En outre, la sensibilisation des employés aux risques inhérents à l’ingénierie sociale et aux attaques de spear-phishing, associée à l’adoption de mesures d’authentification multifactorielle, sont des stratégies clés pour atténuer le risque de compromission.

Dans ce scénario, la collaboration avec des partenaires de confiance spécialisés dans la protection contre les cybermenaces peut fournir une couche de sécurité supplémentaire. Des entreprises comme Swisscom, qui ont fait leurs preuves en matière de détection et de réponse aux menaces numériques, proposent des solutions qui peuvent être cruciales pour anticiper, identifier et neutraliser les attaques avant qu’elles n’affectent les opérations critiques. L’utilisation de leurs services de protection contre les cybermenaces n’est pas seulement une mesure proactive, mais aussi un investissement dans la continuité et la résilience des opérations face à l’adversité dans le cyberespace.

Plus d’information:
https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html
https://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/
https://nvd.nist.gov/vuln/detail/CVE-2023-32315

Microsoft confirme le problème de Windows Server à l’origine des pannes de contrôleurs de domaine

Une fuite de mémoire introduite avec les mises à jour de sécurité Windows Server de mars 2024 provoque le plantage et le redémarrage de certains contrôleurs de domaine, selon de nombreux rapports d’administrateurs Windows.

Source: Microsoft

Cette situation dure depuis un certain temps, depuis qu’en décembre 2022, Microsoft a résolu une autre fuite de mémoire LSASS affectant les contrôleurs de domaine. Après l’installation des mises à jour de Windows Server publiées lors du Patch Tuesday de novembre 2022, les serveurs concernés se figeaient et redémarraient. En outre, en mars 2022, Microsoft a corrigé une autre panne LSASS qui provoquait des redémarrages inattendus des contrôleurs de domaine Windows Server.

Points importants :

  • Microsoft a confirmé qu’une fuite de mémoire introduite avec les mises à jour de sécurité de Windows Server de mars 2024 provoque le blocage des contrôleurs de domaine Windows.
  • De nombreux rapports d’administrateurs Windows indiquent que les mises à jour de mars 2024 provoquent le plantage et le redémarrage de certains contrôleurs de domaine.
  • La fuite de mémoire dans le processus Local Security Authority Subsystem Service (LSASS) affecte les serveurs, provoquant des pannes et des redémarrages inattendus.
  • Microsoft a identifié le problème et travaille à sa résolution.
  • En attendant, il est conseillé aux administrateurs Windows de supprimer les mises à jour problématiques de leurs contrôleurs de domaine et Microsoft a publié des mises à jour d’urgence pour résoudre ce problème.

Microsoft publie un correctif pour les pannes de Windows Server

En attendant que Microsoft publie un correctif pour ce grave problème de fuite de mémoire, et s’ils ne sont pas disposés à surveiller l’utilisation de la mémoire des systèmes concernés et à les redémarrer si nécessaire, il est conseillé aux administrateurs Windows de supprimer les mises à jour problématiques de leurs contrôleurs de domaine.

Le service d’assistance de Microsoft nous a recommandé de désinstaller la mise à jour pour le moment

Comme de nombreux administrateurs l’ont signalé, après l’installation des mises à jour Windows Server KB5035855 et KB5035857 publiées ce Patch Tuesday, les contrôleurs de domaine équipés des dernières mises à jour se bloquent et redémarrent en raison d’une utilisation accrue de la mémoire LSASS.

Pour supprimer ces mises à jour problématiques, il est recommandé d’ouvrir une invite de commande à partir du menu Démarrer en tapant « cmd », en cliquant avec le bouton droit de la souris sur l’application Invite de commande et en cliquant sur « Exécuter en tant qu’administrateur ».

Ensuite, en fonction de la mise à jour que vous avez installée sur les contrôleurs de domaine concernés, exécutez l’une des commandes suivantes:

wusa /uninstall /kb:5035855
wusa /uninstall /kb:5035849
wusa /uninstall /kb:5035857

Une fois la désinstallation effectuée, pensez à aller dans « Afficher ou masquer les mises à jour » pour masquer la mise à jour défectueuse afin qu’elle n’apparaisse plus dans la liste des mises à jour disponibles.

Plus d’information:

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-windows-server-issue-behind-domain-controller-crashes/
https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2024-exchange-server-security-updates/bc-p/4088764/highlight/true#M38300
https://www.reddit.com/r/sysadmin/comments/1bcp2ql/comment/kusp4bs/
https://www.reddit.com/r/sysadmin/comments/1bcp2ql/comment/kvlf7ed/

Plus de 100 modèles IA/ML malveillants découverts dans Hugging Face

Les logiciels malveillants ont un nouveau vecteur à la mode : les grands modèles de langage (LLM) distribués gratuitement. La popularisation de l’intelligence artificielle a attiré l’attention des créateurs de logiciels malveillants. Distribués sur des sites tels que Hugging Face, les modèles sous licence libre sont accessibles à tous et n’importe qui peut publier un modèle ou un dérivé d’un modèle populaire.

Source: pexels.com

Des chercheurs de JFrog ont découvert de nombreux modèles de langage (LLM) compromis par des virus informatiques sur Hugging Face. Ils ont notamment identifié un modèle malveillant qui utilisait un pickle (une façon de sauvegarder des objets dans un fichier) pour insérer un reverse shell (un outil de contrôle à distance) qui s’activait au moment où le modèle était utilisé avec PyTorch, un logiciel de machine learning. Des problèmes similaires ont été trouvés avec des modèles destinés à TensorFlow, qui est un autre outil important dans ce domaine.

Ces modèles ont été conçus pour exécuter un code malveillant en chargeant des fichiers pickle, ce qui compromet la sécurité des systèmes qui les mettent en œuvre.

Les modèles malveillants, qui se faisaient passer pour des modèles légitimes, pouvaient exécuter un code caché lorsqu’ils étaient téléchargés par les utilisateurs, ce qui permettait aux attaquants d’obtenir un shell sur les machines compromises et d’en prendre le contrôle total. Ce type d’attaque, connu sous le nom d’exécution de code à distance (RCE), utilise des fichiers pickle malveillants comme vecteur d’attaque. La plateforme Hugging Face, réputée pour sa vaste bibliothèque de modèles d’IA/ML, est donc affectée par un fort impact sur la sécurité de ses utilisateurs.

Pour limiter les risques, il est conseillé aux utilisateurs d’être extrêmement prudents lors du téléchargement et de l’installation des modèles Hugging Face, d’examiner attentivement les modèles avant leur déploiement et d’utiliser des solutions de sécurité capables de détecter et de bloquer les fichiers malveillants.

Cet incident souligne l’importance de la cybersécurité dans le domaine de l’IA/ML et la nécessité pour les utilisateurs d’être informés des risques associés à l’utilisation de modèles open source. Il est essentiel de prendre des mesures préventives pour protéger les systèmes et les informations précieuses.

Ces incidents nous rappellent l’importance cruciale de l’AML (Apprentissage Automatique Adversarial), qui vise à élaborer des méthodes pour attaquer et défendre les modèles d’IA. Ce domaine nous montre combien il est nécessaire d’avoir des protections solides pour maintenir la sûreté de ces systèmes. L’AML crée des stratégies comme l’empoisonnement de données, les techniques d’évasion, et les attaques par rétropropagation pour tester et renforcer la sécurité des modèles d’IA. L’objectif est d’éviter que les performances des modèles soient diminuées ou que leurs prédictions soient altérées. En réponse, des tactiques de défense, telles que la détection des anomalies et le renforcement des modèles, sont mises en place pour prévenir ces dangers. Détecter rapidement les comportements suspects et concevoir des modèles plus robustes face aux tentatives de manipulation est vital pour se protéger contre les menaces, y compris celles concernant la sécurité financière comme la lutte contre le blanchiment d’argent.

Il est vital de connaître les faiblesses des modèles de ML et de développer des défenses efficaces contre les attaques adverses. Avec l’évolution de l’AML, il est de plus en plus important pour les développeurs d’adopter des stratégies de sécurité avancées pour préserver l’intégrité de leurs modèles.

Plus d’information:
https://fr.wikipedia.org/wiki/Grand_mod%C3%A8le_de_langage
https://fr.wikipedia.org/wiki/PyTorch
https://fr.wikipedia.org/wiki/TensorFlow
https://huggingface.co/docs/hub/security-pickle
https://jfrog.com/blog/data-scientists-targeted-by-malicious-hugging-face-ml-models-with-silent-backdoor/
https://www.vaadata.com/blog/fr/rce-remote-code-execution-exploitations-et-bonnes-pratiques-securite/

Page 1 of 28

Fièrement propulsé par WordPress & Thème par Anders Norén