Que sont les attaques masquées et comment les éviter
Une attaque par mascarade est une attaque en ligne dans laquelle l'attaquant se fait passer pour un utilisateur légitime pour accéder à un appareil. Que cela se produise par vol informations d'identification (généralement via un stratagème de phishing), en exploitant des bugs logiciels ou en contournant le processus d’autorisation lui-même ne fait aucune différence – tout cela se résume à une attaque masquée. À cet égard, une attaque par hachage, dans laquelle l'attaquant pénètre dans un appareil et utilise les hachages de mot de passe stockés sur cet appareil pour remonter latéralement dans la chaîne d'autorisations, volant plus de hachages et répétant le processus si nécessaire, peut être considérée comme une attaque masquée. . Une attaque de macrovirus conçue pour voler des informations d’identification pourrait également être considérée comme une attaque masquée.
Quelqu’un à l’intérieur ou à l’extérieur de votre organisation peut perpétrer des attaques masquées. Un étranger peut monter une attaque masquée tant que votre organisation est connectée à l’Internet public, et l’écrasante majorité le fait.
L’ampleur des dégâts que les attaques de mascarade peuvent créer dépend du niveau d’autorisation de l’attaquant. S’ils mettent la main sur les informations d’identification de l’administrateur système, ils pourraient potentiellement prendre le contrôle de l’ensemble de l’infrastructure de votre organisation.
Comment fonctionnent les attaques masquées ?
En raison de sa nature même, une attaque masquée peut signifier beaucoup de choses ; les flux d’attaque se présentent sous de nombreuses formes et tailles. Vous trouverez ci-dessous un scénario possible et probablement assez courant.
- L'attaquant envoie Hameçonnage e-mails ou SMS à différents membres d’une organisation. L’e-mail pourrait contenir, par exemple, ce qui ressemble à un lien vers le portail informatique de l’organisation, demandant aux employés de se connecter et de confirmer une modification récente. Cependant, le site Web vers lequel mène réellement le lien est un site usurpé contrôlé par l’attaquant. Alternativement, les informations d'identification compromises pourraient être obtenues en exploitant un bug logiciel, ou l'attaquant pourrait trouver un vulnérabilité leur permettant de contourner complètement le mécanisme d’authentification. Dans notre exemple, nous nous en tiendrons au phishing, car il s’agit du moyen le plus courant de tenter une attaque masquée.
- Une fois que l’attaquant dispose des informations d’identification de la victime, il peut se connecter au réseau en tant qu’utilisateur. Si les identifiants volés sont ceux de l’administrateur du réseau, l’attaquant est désormais en possession de la « clé en or » et pourrait causer toutes sortes de dégâts, voire une prise de contrôle complète du réseau. Dans ce cas, l’attaque réussit et se termine ici. Toutefois, si les informations d’identification compromises ne donnent pas à l’attaquant les autorisations suffisantes pour accéder à la charge utile souhaitée, il peut décider de tenter une attaque de hachage pour obtenir des autorisations supplémentaires.
- L'attaquant récupère la machine compromise (pour laquelle il dispose déjà des informations d'identification) pour tous les éléments stockés. hachages de mot de passe , qui peut être utilisé pour créer une nouvelle session légitime en tant qu'utilisateur sans avoir besoin des informations d'identification en texte brut.
- L'attaquant utilise ensuite les hachages volés pour se déplacer latéralement d'un compte à l'autre et d'un appareil à l'autre, en récupérant les hachages sur chaque machine dans l'espoir de trouver des hachages disposant d'autorisations suffisamment élevées pour les amener à leur charge utile.
- Avec un peu de chance, l’attaquant finit par trouver les hachages de mot de passe de l’administrateur système (ou un autre compte à autorisations élevées) et peut accéder à sa charge utile, ce qui nous ramène à l’étape 2.
Risques d'attaques masquées
Les risques liés aux attaques masquées peuvent être presque n’importe quoi. En effet, les dommages potentiels qu’une attaque de mascarade peut causer dépendent du niveau d’autorisation des informations d’identification compromises (ou de celles accordées par la vulnérabilité logicielle exploitée). Il n’est donc pas facile de dresser une liste détaillée ou complète des conséquences. Cela peut aller de la perte de données à la prise de contrôle complète du réseau et tout le reste.
Les risques courants associés aux attaques de mascarade comprennent :
- Violations de données
- Les informations sensibles/propriétaires de votre organisation sont fuite en ligne
- Attaques de rançongiciels
- Vol d'identité
- Les fichiers système critiques sont modifiés
- Le réseau est mis hors ligne
- Les utilisateurs sont exclus de leurs comptes
- Le trafic Internet est redirigé vers des sites malveillants
- Le téléchargement et l'installation de malware
N’oubliez pas que cette liste n’est en aucun cas exhaustive et n’est pas non plus exclusive aux attaques masquées.
Exemples concrets d'attaques masquées
Phishing sur le thème de la fiscalité
En 2019, une vaste campagne de phishing a été lancée pour usurper l’identité de l’autorité fiscale américaine, la Service du revenu interne (IRS). Les attaquants ont ciblé des cabinets comptables et ont tenté de se faire passer pour l'IRS en renvoyant les documents financiers demandés au cabinet fiscal.
Les documents en question contenaient des macros malveillantes qui, une fois exécutées, déclencheraient le téléchargement d’un cheval de Troie d’accès à distance (RAT), qui transmettrait à l’attaquant toutes les informations et documents fiscaux stockés sur l’ordinateur de la victime.
La cible a été ciblée
En 2013, le Société cible a été victime d'une violation de données qui a touché plus de 40 millions de clients Target. Plus de 70 millions de dossiers ont été compromis à la suite de cette attaque.
Il est intéressant de noter que dans ce cas, les attaquants ont d’abord compromis les informations d’identification d’un employé de l’entrepreneur en chauffage, ventilation et climatisation (CVC) de Target, Fazio Mechanical Services. Ils ont ensuite utilisé ces informations d'identification pour se connecter au portail de services Web hébergé par Target dédié à ses fournisseurs et partenaires, tels que Fazio Mechanical Services. À partir de là, les attaquants ont lancé une attaque par hachage pour remonter dans la chaîne d'autorisations et ont pu récupérer les hachages du Active Directory administrateur. Ils ont utilisé ces autorisations pour créer un nouveau compte d'administrateur de domaine et ajouter le nouveau compte au groupe Administrateurs de domaine. À partir de là, ils ont pu voler les informations de paiement de plus de 40 millions de clients Target.
Comment se défendre contre les attaques masquées
Comme c’est souvent le cas, la manière de se défendre contre les attaques de mascarade dépend du fait que vous soyez administrateur ou utilisateur. Nous vous fournirons des conseils pour les deux. Gardez simplement à l’esprit que pour qu’une organisation soit bien protégée, les utilisateurs et les administrateurs doivent appliquer des mesures d’atténuation tout en gardant à l’esprit les attaques de mascarade. De plus, en raison de la nature d’une attaque masquée, les symptômes qu’elle présente sont assez étendus et pourraient s’appliquer à d’autres types d’attaques. Mais que vous soyez victime d’une attaque masquée ou d’un autre type d’attaque, vous souhaitez toujours la détecter et vous défendre, donc suivre les conseils ci-dessous vous aidera dans les deux cas.
Pour les administrateurs réseau
Surveillez vos réseaux
Si vous souhaitez détecter des attaques masquées, vous devrez être à l’affût des comportements suspects sur votre réseau. Dans le contexte des attaques masquées, cela signifie :
- Surveillance des hachages de fichiers – Si les noms de certains de vos fichiers ne correspondent pas à leurs hachages, ces fichiers peuvent avoir été falsifiés, ce qui pourrait être le signe d’une attaque masquée.
- Surveillance des emplacements des fichiers – Si vous disposez de fichiers correctement nommés mais stockés au mauvais emplacement, cela peut également être le signe d’une falsification via une attaque masquée.
- Surveillance des connexions et des emplacements réseau – Vous souhaitez également surveiller vos connexions utilisateur. Est-ce que certains surviennent à des moments inhabituels ? Des emplacements réseau inhabituels sont-ils consultés ? Cela pourrait être le signe d’une attaque masquée.
Envisagez d'utiliser un système de détection d'intrusion (IDS) basé sur l'IA
Les exemples ci-dessus sont tous liés à des comportements suspects. Mais il peut être difficile pour les défenses informatiques traditionnelles d’identifier ce qui constitue un comportement suspect. Après tout, si les informations d’identification permettent à l’utilisateur d’accéder à des fichiers ou à des emplacements spécifiques, comment le logiciel de sécurité pourrait-il reconnaître une telle connexion comme suspecte ? Cependant, nous disposons aujourd’hui de technologies permettant d’analyser et de détecter efficacement de tels événements. La technologie basée sur l’IA a récemment fait de grands progrès dans de nombreux secteurs. L'un de ces secteurs est la sécurité informatique. Avec un système basé sur l'IA ID , vous pouvez lui « apprendre », via le machine learning, ce qui constitue un comportement « normal » sur votre réseau. Avec un peu de formation, il sera bientôt capable de détecter les comportements aberrants qui se produisent sur votre réseau.
Mettre en œuvre la signature de code numérique
Signature numérique empêchera l'exécution de logiciels non autorisés à moins qu'ils ne soient signés par une entité de confiance. Cela peut limiter les dégâts causés par une attaque masquée réussie.
Limitez autant que possible les autorisations des utilisateurs
Vous devez mettre en œuvre le principe du moindre privilège et attribuer à chaque utilisateur de votre organisation le moins d'autorisations requises pour qu'il puisse faire son travail et rien de plus. Cela contribuera encore une fois à limiter les dégâts causés par une attaque masquée réussie.
Configurez l'authentification à deux facteurs (2FA) sur tous les comptes qui la prennent en charge
2FA C'est un excellent moyen de rendre plus difficile l'abus de vos informations d'identification par des acteurs malveillants, et cela peut en décourager beaucoup d'entre eux.
Mettez en œuvre des exigences de mot de passe strictes dans votre organisation
Assurez-vous de définir des exigences de mot de passe strictes pour les utilisateurs de votre réseau. Les utilisateurs ne doivent pas être autorisés à utiliser des mots de passe faibles. Les mots de passe forts constituent votre première ligne de défense – assurez-vous qu’ils sont aussi forts que possible.
Assurer une formation de sensibilisation à la sécurité
La conscience sera toujours votre alliée. Par conséquent, la formation à la sécurité de votre personnel vous aidera non seulement à atténuer les attaques masquées, mais également de nombreux autres types d’attaques. Une telle formation favorise des habitudes plus sécuritaires au sein de votre organisation et limitera bon nombre des risques auxquels vous êtes confronté au quotidien. De plus, votre personnel sera mieux préparé à faire face aux événements de sécurité.
Pour les utilisateurs
Il s’agit avant tout de conseils de bon sens qui peuvent vous aider à éviter diverses menaces en ligne. Toutefois, les quatre premiers points sont directement liés à l’atténuation des attaques masquées.
- Déconnectez-vous et redémarrez votre ordinateur – Lorsque vous avez fini d’utiliser votre ordinateur, déconnectez-vous de votre session et redémarrez la machine. Cela effacera la mémoire qui pourrait être utilisée pour compromettre votre machine.
- N'ouvrez pas les pièces jointes dans les e-mails sans savoir qui est l’expéditeur et confirmer qu’il vous a bien envoyé l’e-mail en question. Confirmez également avec eux que l’e-mail contient une pièce jointe et qu’ils savent de quoi il s’agit.
- Ne cliquez pas sur les liens (URL) dans les e-mails à moins que vous sachiez qui vous a envoyé le lien, sa destination et que l'expéditeur n'a pas usurpé l'identité. Même dans ce cas, vous devriez examiner le lien. Est-ce un HTTP ou un HTTPS lien? La plupart des sites Internet légitimes utilisent aujourd’hui HTTPS. Et bien sûr, vérifiez le lien pour une orthographe incorrecte (faceboook au lieu de Facebook ou goggle au lieu de Google) ? Si vous pouvez arriver à destination sans utiliser le lien, faites-le à la place.
- Utilisez des mots de passe forts et complexes – Cela peut sembler évident, mais ce sera votre première ligne de défense lors de toute attaque basée sur les informations d’identification.
- Utilisez un programme antivirus – Et n’achetez que des logiciels antivirus authentiques et bien évalués auprès de fournisseurs légitimes. Gardez votre antivirus à jour et effectuez régulièrement des analyses fréquentes.
- Gardez votre système d'exploitation à jour - Les dernières mises à jour du système d'exploitation contiennent les dernières correctifs de sécurité . Assurez-vous qu’ils sont installés dès qu’ils sont disponibles.
- Utiliser un pare-feu - Tous les principaux systèmes d'exploitation ont un système entrant intégré pare-feu , et tous les routeurs commerciaux du marché fournissent un Pare-feu NAT . Assurez-vous qu'ils sont activés. Ils pourraient très bien protéger votre système si vous cliquez sur un lien malveillant.
- Ne cliquez jamais sur les pop-ups. Jamais. Vous ne savez jamais où ils vous mèneront.
- Ne cédez pas à la « fatigue des avertissements » si votre navigateur affiche un avertissement concernant un site Web. Vous essayez d'accéder. Vous devez prendre au sérieux l’avertissement de votre navigateur et obtenir vos informations ailleurs. Si vous avez cliqué sur un lien qui vous a été envoyé par e-mail ou SMS, il se peut que celui-ci vous renvoie vers un site malveillant pour récupérer un fichier infecté. Ne négligez pas les invites d’avertissement de votre ordinateur.
Conclure
Voilà donc les tenants et les aboutissants des attaques masquées. Comme d’autres attaques en ligne, elles peuvent être difficiles à détecter car leurs principaux symptômes peuvent indiquer de nombreuses choses différentes. Espérons que les mesures détaillées ci-dessus vous aideront à les éviter complètement. Mais au minimum, ils vous aideront à récupérer plus rapidement si vous les mettez en œuvre.