Les 10 règles qui auraient sauvé Hacking Team

Le récit détaillé du piratage de la société Hacking Team, raconté par son auteur, est une excellente occasion de se poser la question qui fâche : votre entreprise aurait-elle résisté à un tel assaut ? Sauriez-vous limiter l’impact des techniques des piratage parfois complexes utilisées contre Hacking Team si elles étaient dirigées contre votre entreprise ?

Soyons clairs : Hacking Team a été ciblé pour des raisons idéologiques et la motivation de l’attaquant était forte. Il a notamment exploité une vulnérabilité zéro day découverte par ses soins, ce qui constitue un niveau d’engagement élevé. Toutes les entreprises ne feront pas l’objet d’une telle attention.

Il reste toutefois qu’à la lecture de la progression de l’attaquant l’on ne peut s’empêcher de constater que l’absence de certaines bonnes pratiques a joué un rôle important dans le succès de l’attaque. Il y a donc matière à un retour d’expérience utile !

Voici les 10 points-clés de ce retour d’expérience :

1. Maîtriser son exposition sur Internet

Hacking Team était pourtant bien partie : la société était de taille raisonnable et elle limitait son exposition sur Internet. Un site web, un serveur email, deux services VPN, deux routeurs et une appliance antispam. C’est peu, et c’est une bonne chose car cela permet de mieux contrôler son exposition. 

2. Contrôler l'information publique disponible

L’attaquant a d’abord exploré en détail cette surface d’attaque réduite. Et pas uniquement à l’aide de scanners de vulnérabilités traditionnels, mais également auprès de sources extérieures à l’entreprise : dans les métadonnées des fichiers publiés sur Internet, dans des annuaires publics d’employés, sur LinkedIn, Google, ou encore à travers des recherches DNS poussées (afin de découvrir d’éventuels sous-domaines cachés, oubliés ou ignorés).

Il est important de réaliser ou de faire réaliser un tel travail régulièrement afin d’avoir une vision réaliste des informations que l’entreprise rend accessible publiquement aux attaquants potentiels.

3. Sensibiliser les utilisateurs (oui, encore !)

Sans vulnérabilités exploitables à distance, la première idée du pirate est d’avoir recours à un phishing ciblé afin de briser le périmètre. Mais dans le cas de Hacking Team l’attaquant a vite renoncé à cette stratégie : il a estimé que cela était trop risqué contre une entreprise dont les collaborateur sont très sensibilisés.

Il sera bien entendu difficile pour une entreprise de taille plus importante ou opérant dans un secteur d’activité moins spécialisé d’atteindre le niveau de sensibilisation des employés de Hacking Team. Mais cela prouve que des collaborateurs sensibilisés sont un facteur dissuasif efficace.

4. Contrôler si l'on est déjà sur le marché noir

L’autre réflexe du pirate a été de se tourner vers des pirates d’Europe de l’Est : des groupes organisés qui disposent selon lui de machines compromises au sein des réseaux de « la quasi-totalité des Fortune 500 », et qui se proposent d’en louer l’accès. Mais cela n’était pas envisageable ici car Hacking Team était trop petit et trop spécialisé.

Pour une organisation plus importante, en revanche, il peut être intéressant d’essayer d’obtenir cette information, par exemple à travers les services d’une société spécialisée dans la Threat Intelligence (elles ne sont cependant pas nombreuses à bénéficier d’un tel niveau d’infiltration et leurs tarifs sont à la hauteur de la difficulté de la tâche)

5. Réaliser que les zero-day ne sont pas si rares

Pas de vulnérabilités connues exploitables et pas de phishing possible. Il ne reste alors au pirate de Hacking Team qu’une seule option : tenter d’exploiter une vulnérabilité zero-day dans l’un des systèmes exposés à Internet. Et c’est précisément ce qu’il a fait.
Mais plutôt que d’en acheter une il a décidé de mener ses propres recherches. La tâche était, de son propre aveu, extrêmement complexe. Il y est cependant parvenu après deux semaines de recherche. C’est certes un bel exploit, mais dans le grand ordre des choses deux semaines du travail d’un expert, ce n’est finalement pas grand chose. Et c’est surtout à la portée de beaucoup plus d’acteurs que l’on ne l’imagine.

La protection contre de telles vulnérabilités inconnues est difficile mais si l’activité de la société (et donc le profil de ses attaquants potentiels) le justifie, il est important de prendre en compte cette menace. Des solutions existent, basées notamment sur l’analyse générique. Ce n’est cependant pas toujours parfait et les outils peuvent être délicats à configurer et sujets aux fausses alertes. 

6. Recenser les outils d'administration illégitimes

S’il est difficile de repérer l’exploitation de la vulnérabilité zero-day qui permet la brèche initiale, la suite, en revanche, est plus prévisible et c’est là que l’attaquant est le plus vulnérable. Car une fois en place l’intrus s’installe sur le premier système (la « tête de pont ») et y amène ses outils. Il s’agit le plus souvent d’outils d’administration traditionnels qui n’ont rien à faire ici, ou d’outils de test d’intrusion connus (qui n’ont, évidemment, rien à y faire non plus !). L’incapacité de Hacking Team à détecter rapidement la présence de tels outils sur ses systèmes a permis au pirate de s’implanter durablement.

Il est donc vital de procéder à des analyses régulières afin d’identifier les PowerView et PowerUp, dsniff, pwdump, lsadump, etc. qui traînent sur les systèmes, ainsi que les utilitaires d’administration Active Directory.

7. Identifier les proxies SOCKS sauvages

Afin d’être en mesure de piloter ses outils et d’exfiltrer les données, le pirate a fait un usage abondant de proxies SOCKS. Et c’était facile : Hacking Team ne procédait pas à des recherches régulières de nouveaux proxies sur son réseau.

La détection régulière de tels proxies sauvages est impérative mais trop rarement pratiquée. Il s’agit pourtant d’un signe fort de compromission.

8. Identifier les artefacts Windows

Une fois introduit dans un domaine Microsoft l’attaquant va tenter de s’y installer durablement.
S’il existe de très nombreux mécanismes de persistance dans Windows un attaquant confirmé préférera les ignorer car leur usage laisse des traces trop visibles sur les systèmes. Il préférera (et c’était le cas pour Hacking Team) repérer quelques serveurs avec un uptime élevé et leur insérer une porte dérobée en mémoire. Dans le cas peu probable où ils viendraient tous à être redémarrés simultanément, il s’octroie en parallèle un « Golden Ticket » afin de revenir à sa guise depuis le premier poste de travail venu (voir le point suivant)

Enfin, une fois en place, l’attaquant de Hacking Team a inséré de nouvelles tâches programmées et déployé de nouvelles GPO sur les serveurs Windows, évidemment à l’insu de l’entreprise. Et là aussi Hacking Team ne contrôlait pas la présence et l’évolution de ces artefacts, ce qui lui aurait pourtant permis de détecter rapidement les entrées illégitimes.

9. Changer régulièrement le mot de passe du compte krbgt

Le pirate de Hacking Team a utilisé une autre méthode afin de garantir son accès au réseau : un « golden ticket ». Il s’agit d’un ticket d’authentification pré-généré qui permet à l’intrus, à partir d’un compte utilisateur non-privilégié, d’obtenir les droits d’administration sur le domaine. L’intérêt pour l’attaquant est de ne pas laisser de traces sur des serveurs critiques forcément mieux surveillés, et de pouvoir se contenter à la place d’un banal poste de travail sous son contrôle, forcément plus difficile à détecter.

Il n’y a qu’une seule façon de se débarrasser des Golden Tickets : changer régulièrement le mot de passe du compte krbgt (Kerberos Windows). Microsoft publie d’ailleurs gratuitement un outil destiné à faciliter le renouvellement périodique de ce mot de passe.

10. Isoler les équipements de stockage du réseau de production

Au coeur de l’affaire Hacking Team il y a les emails : le pirate a accédé à l’ensemble des échanges des dirigeants de l’entreprise afin de les rendre publics. Et pourtant il n’a jamais attaqué directement le serveur email !

Son approche a été beaucoup plus intelligente, et elle a été rendue possible par une erreur d’architecture la part de Hacking Team : les équipements de stockage iSCSI étaient accessibles depuis le réseau de production alors qu’ils doivent être hébergés sur un réseau isolé.

Cela a permis à l’attaquant d’accéder à des backups d’images virtuelles, dont celle du serveur d’emails. En montant celle-ci à distance il a été en mesure d’y rechercher des éléments d’authentification restés sur le disque-fichier. Il a ainsi pu extraire des mots de passe encore valides, qu’il a ensuite pu aller utiliser avec succès sur le serveur d’email actif (ce qui milite également pour une meilleure protection des fichiers machines virtuelles sensibles une fois celles-ci sauvegardées)

A la lecture de ces dix conseils, trois constats s’imposent :

  1. Il est devenu excessivement difficile de protéger une entreprise contre un attaquant de bon niveau. Et cela d’autant plus que le périmètre est étendu. L’intrusion est donc quasi-certaine. Le focus de l’équipe de protection doit alors passer de la défense à tout prix au contrôle des dégâts et à la reprise rapide de l’activité.
  2. L’attaquant a désormais l’avantage au moment de la brèche initiale. Il est en revanche vulnérable durant sa phase de déplacement latéral immédiatement après l’intrusion. Le focus des équipes de protection devrait donc se déplacer également vers la détection des mouvements latéraux (outils et artefacts inévitables). Leur tâche sera aidée par une prise en compte de ce changement de paradigme dans l’architecture du SI, qui peut être conçu afin de rendre plus difficile les déplacements latéraux.
  3. L’attaquant n’a pas eu recours ici à une intrusion physique. Cela lui aurait permis de court-circuiter plus facilement encore les mesures de protection de Hacking Team. Il est donc impératif d’aligner les exigences de sûreté avec celles de la SSI.

Ces points, évidemment, doivent accompagner une stratégie de protection globale pour être efficaces. Ils exigent notamment une attention particulière à l’aspect organisationnel de la sécurité, afin d’assurer efficacement la surveillance des différents indicateurs de compromission, générer des tableaux de bord significatifs et s’assurer que la bonne information parvienne à la bonne personne au bon moment. C’est tout le travail dans lequel j’accompagne mes clients avec OPFOR Intelligence. Visitez notre site opforintel.com pour nous découvrir !  

Lire les articles précédents :
HappyLocker, le ransomware qui vous veut du bien

HappyLocker se propage sur les smartphones européens. Ce nouveau ransomware verrouille les fichiers et les applications et force sa victime...

Fermer