Blog

Qu'est-ce qu'une attaque par reniflage ? (Plus des exemples d'attaques par reniflement)

Qu



Les pirates peuvent utiliser attaques de reniflage pour aspirer les données sensibles qui voyagent sur votre réseau . Mais avant de pouvoir expliquer ce que sont les attaques par reniflage et comment s’en défendre, nous devons présenter un peu de contexte. Cela vous permettra de bien comprendre comment ces attaques peuvent vous affecter et pourquoi vous devez adopter certaines mesures défensives.

Qu’est-ce que le trafic réseau ?

Le trafic dans une ville est composé de véhicules qui sortent à un moment donné, et le trafic du réseau est sensiblement le même. Le trafic réseau est simplement constitué des données entrant et sortant d'un réseau d'ordinateurs. . On l’appelle aussi trafic de données, ou même simplement trafic.



Les données entrant et sortant du réseau sont décomposées en petites parcelles appelées paquets réseau, paquets de données ou paquets. Un paquet est composé de deux éléments :

  • La charge utile — Ce sont les données réelles qui sont envoyées.
  • L'en-tête — Celui-ci contient des informations sur les données, d'où elles proviennent, où elles sont censées être fournies, ainsi que d'autres informations techniques.

Reniflage de paquets - paquet IPv4



Un diagramme d'un paquet IPv4. L'en-tête contient toutes les informations deVersionàPossibilités. La charge utile est représentée par la case marquéeDonnées. Notez que le diagramme n'est pas dessiné à l'échelle et que leDonnéespeut atteindre 65 536 octets. Paquet de données IPv4 par Michel Rakni sous licence CC BY-SA 4.0.

Utilisons un e-mail comme analogie pour expliquer la différence entre les deux. Le corps du message (Hé, comment allez-vous ? Pouvez-vous s'il vous plaît… Cordialement…) est la charge utile. L'en-tête comprend des informations telles que l'expéditeur, le destinataire, l'objet, l'heure et la date, ainsi que des informations techniques qui permettent de garantir que l'e-mail est livré là où il doit aller dans un format lisible. Même si nous n’accordons pas trop d’importance à ces informations d’en-tête, elles sont essentielles pour transmettre le corps du message au destinataire.

Les paquets réseau sont sensiblement les mêmes. Même si nous ne nous soucions vraiment que des données contenues dans la charge utile, les informations contenues dans les en-têtes sont essentielles pour les amener là où elles doivent être.

Les paquets réseau sont envoyés et reçus dans une variété de formats différents appelés protocoles. . Il s’agit de formes de communication standardisées qui répondent chacune à des objectifs différents. À titre d'exemple, HTTPS sécurise les communications sur un réseau, tandis que SMTP est utilisé pour envoyer et recevoir des e-mails.

Ces différents protocoles permettent aux ordinateurs d'envoyer et de recevoir différents types d'informations de manière mutuellement compréhensible.

Le trafic d'un réseau donné comprend tous ces différents types de paquets qui entrent et sortent du réseau à tout moment. Si vous êtes au travail et envoyez un e-mail, les paquets de données qui composent l’e-mail feront partie du trafic sortant du réseau. Si vous recherchez quelque chose sur Google, vous enverrez des paquets hors du réseau sous la forme d'une requête. Les résultats de la recherche vous seront livrés sous forme de paquets de données entrants.

Heureusement, nos navigateurs Web, clients de messagerie et autres programmes font tout cela en secret, nous n'avons donc généralement pas à penser aux paquets dans notre utilisation quotidienne d'Internet. Mais au fond, c’est la forme que prennent toutes nos informations lorsqu’elles entrent et sortent de nos réseaux informatiques.

Qu’est-ce qu’un renifleur de paquets ?

Un renifleur de paquets est un logiciel capable de capturer et d'enregistrer les paquets qui transitent sur un réseau. . Ils sont également appelés analyseurs de réseau, analyseurs de protocole ou analyseurs de paquets.

Ces outils aident à donner aux administrateurs réseau un aperçu de ce qui se passe sur leur réseau, leur permettent de diagnostiquer les problèmes, et bien plus encore. Bien qu’ils aient toute une série d’utilisations légitimes, ces programmes peuvent également faire l’objet d’abus sous la forme d’attaques par reniflage.

Exemples de logiciel de détection de paquets inclure:

  • Requin filaire — Wireshark est un analyseur de protocole réseau gratuit qui vous aide à identifier ce qui se passe sur votre réseau. Il est open source et peut être utilisé pour inspecter les données de centaines de protocoles différents.
  • TCPDUMP — Il s'agit d'un renifleur de paquets en ligne de commande qui n'a pas d'interface utilisateur graphique. Il est compatible avec la plupart des systèmes d'exploitation de type Unix, notamment Linux, macOS et FreeBSD. Il existe un port pour TCPDUMP pour Windows, appelé WinDump.
  • Renifleur de paquets réseau SolarWinds — Il s'agit d'un outil payant qui offre une gamme de fonctionnalités de haut niveau. Il est fourni avec un logiciel de surveillance complet.
  • Moniteur réseau Paessler PRTG — Paessler PRTG Network Monitor est une autre offre payante qui comprend également d'autres outils d'analyse et un tableau de bord complet.

Il existe également des renifleurs de paquets matériels, que les administrateurs réseau peuvent brancher directement sur leurs réseaux pour collecter certaines informations.

Les utilisations légitimes du reniflage de paquets

Les réseaux sont complexes, avec un grand nombre de types de paquets différents qui entrent, sortent et transitent par le réseau d'ordinateurs connectés. Cette complexité peut facilement conduire à des problèmes. La plupart du temps, il s’agit de quelque chose d’innocent, comme un problème de compatibilité, un bug logiciel ou une panne matérielle. Cependant, les pirates peuvent également s'infiltrer dans les réseaux, les infecter avec des logiciels malveillants, voler des données et causer d'autres dégâts.

Un logiciel de détection de paquets donne aux administrateurs réseau un aperçu en temps réel de ce qui se passe sur leurs réseaux. . Ces outils les aident à surveiller le trafic circulant sur leurs réseaux, leur permettent de voir si tout se passe bien, d'identifier les goulots d'étranglement et peuvent les aider à leur fournir les informations dont ils ont besoin pour diagnostiquer tout problème ou déterminer si les systèmes sont attaqués.

Non seulement les renifleurs de paquets donnent aux administrateurs un aperçu en temps réel, mais leurs capacités de journalisation leur permettent d'inspecter l'historique du réseau et de déterminer les changements au fil du temps.

Les renifleurs de paquets peuvent capturer tous les paquets qu'ils rencontrent mode non filtré . Ceux-ci peuvent ensuite être enregistrés et analysés ultérieurement si nécessaire. Une autre option est mode filtré , qui permet à l'administrateur réseau de capturer spécifiquement les paquets avec certains attributs, comme uniquement les paquets HTTPS. Cela peut être pratique pour se concentrer sur certains problèmes, car cela permet aux administrateurs d'examiner les paquets concernés, tout en éliminant tout le bruit.

Bien que les renifleurs de paquets soient excellents pour donner un aperçu des activités qui se déroulent sur un réseau, ils ne peuvent pas discerner le contenu du trafic chiffré à moins que l'administrateur ne dispose de la clé pour déchiffrer les données. Si un mécanisme de sécurité faible comme WEP protège les données, ils pourront peut-être récupérer facilement la clé.

Qu'est-ce qu'une attaque par reniflage ?

Nous avons expliqué comment les outils de détection de paquets peuvent être utilisés par les administrateurs pour mieux comprendre leurs réseaux, diagnostiquer les problèmes et détecter les menaces. Mais que se passe-t-il lorsqu’un attaquant se connecte secrètement au réseau d’une organisation et détecte avec son propre paquet le trafic du réseau ?

Les renifleurs de paquets peuvent intercepter et enregistrer de nombreux paquets circulant sur un réseau. C'est un pouvoir dangereux lorsqu'il tombe entre de mauvaises mains. surtout si des données sensibles circulent sur le réseau dans un format non crypté.

Les écoutes téléphoniques sont l’analogie la plus couramment utilisée pour aider les gens à comprendre les attaques par reniflage. Autrefois, la police faisait appel à un technicien pour rediriger le circuit physique afin de pouvoir écouter les appels d'un criminel présumé et les enregistrer. En s'insérant dans la connexion, ils sauraient tout ce dont le criminel discute sur la ligne téléphonique et pourraient utiliser ces informations pour monter un dossier.

Les attaques par reniflage suivent des concepts très similaires, sauf avec une technologie mise à jour. Essentiellement, un attaquant peut s'insérer dans le réseau, puis enregistrer tous les paquets qui y transitent . Cela peut leur donner accès à des informations qu'une organisation ou les utilisateurs de son réseau souhaitent garder privées.

Les attaquants peuvent utiliser un renifleur de paquets pour intercepter des paquets de données contenant des éléments tels que des noms d'utilisateur, des mots de passe et d'autres données précieuses. Ils pourraient utiliser ce qu’ils ont appris de l’attaque par détection pour prendre le contrôle de comptes, élever leurs privilèges et pénétrer davantage dans le réseau ciblé. Cela pourrait entraîner toutes sortes de ravages pour les victimes.

Les attaquants pourraient également tenter d’intercepter directement des paquets de données contenant des informations précieuses telles que des numéros de carte de crédit et des informations électroniques protégées sur la santé. Ils pourraient alors prendre ces informations et en abuser eux-mêmes, ou les vendre sur les marchés du darknet.

Lorsque les données sont envoyées via des protocoles non cryptés, elles sont vulnérables aux attaques par reniflage. Ces protocoles non sécurisés incluent :

  • HTTP
  • POPULAIRE
  • SMTP
  • IMAP
  • TELNET
  • FTP
  • DNS

Comment les attaquants lancent-ils des attaques de reniflage de paquets

Il existe de nombreuses façons différentes pour un attaquant de détecter des paquets. Ceux-ci varient en fonction des objectifs de l’attaquant, ainsi que de la configuration du réseau ciblé, par exemple s’il est filaire ou sans fil, et des mécanismes de sécurité qui le protègent.

Reniflage de paquets sur les réseaux wifi

La facilité de détection des paquets Wi-Fi dépend de divers facteurs. Tout d’abord, un attaquant doit avoir accès au routeur pour pouvoir effectivement intercepter les paquets de données. Si l'attaquant se trouve à l'autre bout de la ville ou dans un autre pays et ne peut pas accéder directement au signal Wi-Fi de sa cible, il devra trouver un moyen de charger des logiciels malveillants sur l'un des systèmes du réseau.

Dans les rares cas où un réseau wifi n'est pas sécurisé, un attaquant peut renifler les paquets de données en étant à portée , transformant leur contrôleur d'interface réseau sans fil en mode promiscuité ou moniteur , et exécuter un programme comme Wireshark.

Mode moniteur et mode promiscuité

Décomposons cela un peu. Les contrôleurs d'interface réseau sans fil sont les composants des ordinateurs qui leur permettent de capter les signaux wifi et de se connecter aux réseaux.

Ils ont deux modes qui sont utiles dans ce scénario. Mode moniteur leur permet de surveiller tous du trafic wifi, sans avoir à s'associer à un point d'accès. Cependant, les attaquants utilisant le mode moniteur ne pourront toujours pas accéder aux données cryptées, à moins qu’ils n’utilisent une forme de protection faible. Les réseaux qui ne sont protégés que par le protocole WEP obsolète en sont un bon exemple, mais nous en discuterons plus en détail dans un instant.

Mode promiscuité permet soit un filaire contrôleur d'interface réseau ou un sans fil contrôleur d’interface réseau pour transmettre tous les paquets qu’il reçoit au processeur. Cela signifie que le mode promiscuité peut récupérer tous les paquets envoyés sur le réseau filaire ou sans fil auquel l'appareil est connecté. , plutôt que uniquement les paquets adressés au périphérique.

Notez que la principale différence entre le mode moniteur et le mode promiscuité est que le mode moniteur est uniquement Wi-Fi, tandis que le mode promiscuité est à la fois Wi-Fi et filaire. Le mode de surveillance ne nécessite pas que l'appareil soit connecté au réseau, contrairement au mode promiscuité.

Autres mécanismes de protection

Dans le scénario ci-dessus, un attaquant pourra intercepter les paquets, mais cela ne signifie pas nécessairement qu’il pourra accéder à toutes les données. Bien que le fait de disposer du mot de passe wifi puisse leur permettre de contourner le cryptage à ce niveau, le trafic est souvent crypté par d'autres moyens. Ces jours, l'écrasante majorité des sites Web populaires utilisent HTTPS, qui crypte la connexion entre le navigateur et le serveur Web.

Lorsque HTTPS est en place, il empêche les pirates informatiques d'accéder à des données sensibles telles que les noms d'utilisateur, les mots de passe et les détails des cartes de crédit via le reniflage de paquets. Si la cible utilise un VPN, celui-ci crypte également les paquets et empêche un pirate informatique d'accéder aux données.

Ces différents mécanismes de sécurité signifient que le reniflage de paquets n’est plus aussi efficace qu’avant. Dans de nombreuses situations que nous aborderons dans cet article, le reniflage de paquets peut ne pas aider un attaquant à trouver beaucoup de données utiles en pratique. Dans les cas où c’est le cas, il faut souvent la combiner avec toute une gamme d’autres techniques d’attaque.

Réseaux protégés WPA, WPA2 et WPA3

Ces jours, la plupart des réseaux Wi-Fi sont sécurisés par une forme d'accès Wi-Fi protégé (WPA) , ce qui signifie que les paquets sont cryptés et qu’un attaquant ne peut pas simplement apparaître à l’improviste et écouter. Il doit d’abord effectuer un petit travail de préparation.

Une option dont ils disposent est de simplement recevoir le mot de passe. Dans ce cas, il pourrait s’agir d’un utilisateur du réseau formellement fiable qui est simplement devenu un voyou. Un autre scénario est celui où le mot de passe est faible et peut être déchiffré par un attaquant. Les attaquants peuvent également cibler les vulnérabilités de sécurité, en particulier dans les cas où la première version obsolète du protocole sécurise un réseau. Il existe de nombreuses façons de faire ces deux choses, mais les couvrir toutes nous amènerait à prendre une trop grande tangente.

Même si un attaquant parvient à trouver le mot de passe, il se heurte toujours à des obstacles supplémentaires. Chaque connexion WPA est chiffrée avec sa propre clé transitoire par paire, qui est dynamique . Cela signifie que chaque appareil qui se connecte au point d’accès possède une clé différente et que la clé de l’attaquant sera différente de celle de sa cible.

Pour cette raison, un attaquant doit trouver un moyen de voler la clé de la cible s’il souhaite accéder aux données de son réseau. Pour ce faire, ils doivent être capables de capturer la poignée de main entre le point d'accès et le client qu'ils ciblent.

La poignée de main est le mécanisme par lequel les deux parties établissent une connexion sécurisée . L’écoute de cette connexion peut donner à l’attaquant toutes les informations dont il a besoin pour déterminer la clé de la cible.

Une fois que l'attaquant a la clé en main, il peut l'utiliser pour décrypter tous les paquets et inspecter les données qui transitent entre la cible et le point d'accès. Ce Comment décrypter le trafic WPA dans Wireshark le guide fait un excellent travail en expliquant l’ensemble du processus.

Réseaux protégés par WEP

Il se peut que certains systèmes existants ne soient protégés que par Wired Equivalent Privacy (WEP), qui est un ancien système de sécurité. C'est facile à pirater pour les pirates car il utilise l'algorithme RC4 obsolète pour le cryptage.

Dans ces cas-là, l’attaquant peut facilement découvrir le mot de passe s’il ne le connaît pas déjà. Tout ce qu'ils ont à faire est de surveiller le périphérique protégé par WEP pendant quelques minutes. Cela permet aux pirates de capturer les vecteurs d'initialisation aléatoires transmis sous forme de texte brut, et ils peuvent ensuite utiliser ces informations pour déterminer la clé qui protège le réseau .

Lorsque les données sont uniquement sécurisées par WEP, elles ne bénéficient pas des protections supplémentaires fournies par les différentes versions de WPA. Cela signifie qu’il n’y a pas de clés individuelles pour chaque connexion au point d’accès. Ainsi, une fois qu’un attaquant dispose du mot de passe, il peut décrypter le trafic de sa cible et inspecter les données.

Reniflage de paquets sur les réseaux filaires

Les choses ont beaucoup évolué au cours des dix ou vingt dernières années, et désormais seuls les réseaux les plus mal administrés manqueront de mécanismes de sécurité. Cela signifie que dans la plupart des cas, un attaquant ne sera pas en mesure de se connecter facilement au câble Ethernet d’une organisation et de siphonner les données. Malgré cela, il existe encore un certain nombre d’attaques qui peuvent être viables dans de rares cas.

Attaques de reniflage passives et actives

Les attaques de reniflage étaient traditionnellement divisées en attaques passives et actives. Pour comprendre la différence entre les deux, nous devons aborder certaines bases du matériel réseau.

Hubs et reniflage passif

Un hub est un élément matériel qui connecte plusieurs ordinateurs dans un segment de réseau partagé . Il relaie les données qu'il reçoit à tous les ordinateurs qui s'y connectent. Les données arrivant sur l'un de ses ports sont ensuite transmises à tous les autres ports, ce qui signifie que tous les ordinateurs connectés reçoivent le trafic de données, même les paquets réseau qui ne leur sont pas spécifiquement destinés.

Les hubs peuvent être reniflés passivement. ce qui signifie que les attaquants peuvent utiliser les adresses MAC pour écouter discrètement le trafic réseau. Étant donné que les données sont répétées sur tous les ports, un attaquant peut souvent les aspirer tout en échappant à la détection pendant une longue période. Cependant, les hubs sont une technologie obsolète et rarement utilisée de nos jours. les opportunités pour ce type de reniflage passif sont extrêmement rares.

Commutateurs et reniflage actif

Les commutateurs sont des éléments matériels plus avancés. Ils transmettent des données aux adresses MAC spécifiques des ordinateurs d’un réseau, plutôt que d’utiliser l’approche inefficace utilisée par les hubs et de répéter les données sur tous les ports, même lorsque cela n’est pas nécessaire.

Envoyer les données uniquement là où elles sont nécessaires rend le travail de l’attaquant plus difficile, car celui-ci ne peut pas se contenter d’écouter les données inutilement répétées hors des ports. Les attaquants doivent plutôt recourir à d’autres tactiques.

Inondation MAC

Une option consiste à submerger le commutateur avec un grand nombre de fausses requêtes, qui remplissent la table de mémoire adressable par le contenu (CAM). Dans ce cas, la table CAM contient les adresses MAC que le commutateur utilise pour envoyer des données aux ordinateurs appropriés.

Le fait de remplir la table CAM entraîne la perte par le commutateur des adresses MAC des ordinateurs spécifiques sur lesquels il est censé envoyer du trafic. C'est ce qu'on appelle l'inondation MAC, et cela force le commutateur à agir comme un hub. . Une fois que le commutateur a été inondé, il commence à envoyer des données à tous les ports plutôt que uniquement là où les données sont nécessaires, comme le ferait un hub. Cela permet à l'attaquant d'écouter et d'inspecter les paquets.

L’inconvénient de cette approche est qu’elle est beaucoup plus évidente. Bien que ce soit plus pratique sur la plupart des réseaux modernes, Il est peu probable qu’une attaque de reniflage actif contre un commutateur passe inaperçue aussi longtemps que les attaques de reniflage passif d’antan.

Attaques de reniflage ou d'usurpation d'identité

Essentiellement, les attaques par reniflage impliquent une écoute non autorisée du trafic réseau. Lorsqu’ils sont utilisés contre des réseaux modernes sécurisés, ils nécessitent souvent quelques astuces de la part du pirate informatique, mais en fin de compte, l’objectif est simplement de capturer les données. Les pirates peuvent ensuite utiliser les données qu’ils interceptent à diverses autres fins, notamment les vendre ou les utiliser pour obtenir des privilèges supplémentaires sur le réseau.

reniflage de paquets - usurpation d

Un exemple d'attaquant utilisant l'usurpation d'identité pour usurper l'identité d'une autre partie. Cela leur permet de lancer une attaque de l’homme du milieu. Usurpation ARP par Dit Azadi sous licence CC BY-SA 4.0.

L'usurpation d'identité, quant à elle, implique que l'attaquant se fasse passer pour une autre partie. Les pirates informatiques incitent leurs victimes à leur envoyer des données destinées à quelqu'un d'autre. Souvent, les deux attaques peuvent être utilisées pour atteindre des objectifs relativement similaires : accéder à des données précieuses. Il existe une grande variété d'attaques d'usurpation d'identité, notamment l'usurpation d'identité DNS, l'usurpation MAC et Usurpation d'ARP .

Exemples d'attaques par reniflement

Nous avons rassemblé quelques exemples de la manière dont les attaques par détection de paquets se déroulent dans le monde réel pour vous donner une idée de la manière dont elles sont réellement utilisées. Comme vous le verrez, le reniflage n'est généralement qu'une petite partie de l'attaque , et il existe généralement un grand nombre d'autres techniques impliquées, notamment inciter la cible à télécharger des logiciels malveillants.

Logiciel malveillant bancaire EMOTET

Un bon exemple d’attaque par reniflage a été trouvé dans le malware bancaire EMOTET. Tendance Micro a publié pour la première fois un rapport sur le malware en 2014. Les exemples d'EMOTET décrits pour la première fois par Trend Micro ont commencé avec les courriers indésirables. Beaucoup d'entre eux étaient accompagnés de factures d'expédition ou de messages concernant les virements bancaires, qui sont le genre de messages sur lesquels les gens se sentent souvent obligés de cliquer, simplement parce qu'ils semblent si importants.

Lorsqu'une cible cliquait sur l'un des liens contenus dans le texte de l'e-mail, cela finirait par télécharger des variantes d'EMOTET sur le système . Une fois qu'EMOTET aurait pris pied, il téléchargerait ses fichiers de composants. Ceux-ci comprenaient un fichier de configuration contenant des informations sur les banques ciblées par le groupe à l’origine du malware. Ce fichier de configuration variait quelque peu selon les infections, mais dans de nombreux cas, les listes se concentraient fortement sur les banques allemandes.

Un autre composant était un fichier .DLL, qui serait ensuite injecté dans tous les processus pour enregistrer le trafic réseau sortant. C’est là que la partie reniflant de l’attaque est entrée en jeu. . Le fichier .DLL malveillant a été injecté dans les navigateurs, où il comparerait les sites Web consultés par le navigateur avec ceux répertoriés dans le fichier de configuration.

Lorsque les chaînes d'un site Web correspondaient à celles ciblées dans le fichier de configuration, le logiciel malveillant volait toutes les données possibles de la connexion. Il a intercepté ces données bancaires en les reniflant par un processus appelé Accrochage d'API .

Il s'agit d'une forme de reniflage plus avancée que les exemples évoqués plus tôt dans l'article, et elle tire parti de la manière dont différentes applications partagent des données entre elles pour améliorer les fonctionnalités et rendre les processus plus fluides. En discuter en profondeur nous amènerait sur une trop grande tangente, alors n'hésitez pas à consulter le lien ci-dessus si vous souhaitez en savoir plus.

EMOTET surveille le trafic réseau en connectant les API suivantes :

  • PR_OpenTcpSocket
  • PR_Écriture
  • PR_Fermer
  • PR_GetNameForIndentity
  • Fermer la prise
  • Connecter
  • Envoyer
  • WsaEnvoyer

Cette configuration a conduit à une situation intéressante. Lorsque les chercheurs de Trend Micro ont expérimenté le logiciel malveillant et tenté de se connecter à une banque, ils ont découvert qu'EMOTET était capable de capturer leurs informations de connexion . Même si la page de connexion était protégée par TLS , le hooking de l'API a permis au malware de voler les informations avant qu'elles ne soient cryptées. Cette technique a contourné les protections de sécurité, posant une grave menace pour les précieuses données des utilisateurs.

L’utilisation du reniflage dans le cadre de l’attaque était une manière relativement nouvelle de voler des informations, car d’autres attaques à l’époque reposaient souvent sur Hameçonnage , l'insertion de faux formulaires dans une page Web et d'autres tactiques visant à voler des données, plutôt que de surveiller l'activité du réseau.

L'analyse du trafic réseau a également rendu l'attaque plus difficile à détecter. , car cela n’impliquait aucune modification visible sur le site Web, comme de nouveaux champs de saisie ou une page de phishing. Une autre tactique qui a permis à EMOTET d’éviter d’être détecté était l’utilisation d’entrées de registre. Les fichiers de composants téléchargés par EMOTET sur le système, ainsi que les informations volées, étaient stockés dans des entrées de registre.

La plupart des utilisateurs normaux vérifient rarement leurs entrées de registre pour détecter toute activité suspecte. Cette approche a donc permis à EMOTET de ne pas être détecté dans le système.

Au fil du temps, le malware EMOTET a évolué et s’est répandu. Il était utilisé pour transporter des charges utiles dangereuses et a été classé en 2020 parmi les plus performants. souches répandues de malwares dans le monde. Cependant, en 2021, Europol a procédé à une série d’arrestations qui ont perturbé une grande partie des infrastructures du groupe, limitant sa capacité à poursuivre son règne sur la cybercriminalité.

Attaque par reniflage BIOPASS RAT

Au milieu de l'année 2021, Tendance Micro découvert une autre attaque impliquant le reniflage de paquets. Ils l'ont surnommé BIOPASS RAT et ont remarqué qu'il ciblait les sociétés de jeux d'argent chinoises. . Cela a commencé par un attaque de point d'eau , avec un chargeur de malware soigneusement déguisé pour ressembler à Microsoft Silverlight, Adobe Flash Player et d'autres applications courantes.

Le chargeur livrerait alors soit le Frappe au cobalt shellcode, ou le nouveau découvert BIOPASS RAT backdoor, un cheval de Troie d'accès à distance écrit en Python . BIOPASS RAT incluait certains éléments de base des logiciels malveillants, tels que l'accès au bureau à distance, l'évaluation du système de fichiers, l'exfiltration de fichiers et l'exécution de commandes shell. Il avait même la capacité de voler des données sur les clients de messagerie instantanée et les navigateurs Web, ce qui lui permettait de collecter des informations personnelles.

Trend Micro pensait que BIOPASS RAT était encore en développement actif, car il s'appuyait fortement sur Cobalt Strike. Les chercheurs de l’entreprise ont également trouvé des numéros de version dans le code, ce qui pourrait indiquer que les attaquants travaillaient toujours sur son développement.

L’une des fonctionnalités les plus intéressantes de BIOPASS RAT est qu’il abuse du cadre d’Open Broadcaster Software Studio pour détecter les paquets. Il s'agit d'une application d'enregistrement vidéo et de diffusion en direct. BIOPASS RAT a utilisé le protocole RTMP (Real-Time Messaging Protocol) pour configurer la diffusion en direct vers un service cloud contrôlé par l'attaquant. . Il a également abusé Service de stockage d'objets d'Alibaba Cloud , que les attaquants ont utilisé pour héberger à la fois les scripts BIOPASS RAT et les données qu'ils ont volées aux victimes.

Dans le cadre de notre article, l’une des fonctionnalités les plus importantes était l’un des deux plugins utilisés par l’attaquant. Cependant, ils ne sont pas implémentés dans le malware BIOPASS RAT lui-même. Celui qui nous intéresse est écrit en Python et appelé xss_spoof .

Le Le plugin xss_spoof contenait un certain nombre de scripts Python conçus pour utiliser des attaques de type cross-site scripting (XSS). pour infecter les serveurs Web. Il utilisait le package WinDivert, un programme Windows similaire à Wireshark qui surveille le trafic réseau. Le plugin a exploité WinDivert pour injecter des scripts malveillants dans la réponse du serveur Web de la cible.

Les scripts d'usurpation d'identité XSS ont accompli cela en capturant les requêtes HTTP GET envoyées au port 80. Le trafic réseau avec des extensions de fichiers autres que JavaScript et HTML a été filtré avec une liste d'ignorés contenant tous les types que les attaquants ne recherchaient pas. .

Lorsque les scripts tombaient sur du contenu HTML en JavaScript, ils le modifiaient avant de l'envoyer aux visiteurs sans méfiance d'un site Web déjà compromis par les attaquants.

Lorsqu'une victime tombait sur le script modifié, celle-ci analysait localhost pour détecter si l'appareil avait déjà été infecté par BIOPASS RAT. Cette étape a empêché l’attaque de cibler une victime déjà infectée.

Dans l’ensemble, le malware BIOPASS RAT était capable de surveiller un flux du bureau de la victime en temps réel, de prendre des captures d’écran, de voler des cookies, etc. Il a envoyé toutes ces données au serveur cloud de l’attaquant. À partir de ce moment, l’attaquant peut le parcourir en toute sécurité et rechercher toute information directement utile. Ils pourraient également rechercher des données sensibles qui pourraient éventuellement être utilisées dans d'autres attaques.

Attaque de reniflage de flammes

Notre prochain exemple d’attaque par reniflage était étiqueté « …le malware le plus sophistiqué que nous ayons rencontré au cours de notre pratique ; il s’agit sans doute du malware le plus complexe jamais découvert. » par une équipe de des chercheurs qui l'a analysé. Nous parlons de Flame, qui a été lié au groupe Equation, qui à son tour a été lié au premier hacker du gouvernement américain, la NSA.

Pour être honnête, il a été qualifié de malware le plus sophistiqué en 2012, et le reniflage de paquets ne représente qu’une petite partie de ce qu’il peut faire, mais cela vaut quand même la peine de parler de l’incroyable complexité de Flame.

Le malware était découvert en mai 2012, par Kaspersky Lab, la société russe d'antivirus, après que l'Union internationale des télécommunications des Nations Unies lui ait demandé de mener une enquête. La Compagnie pétrolière nationale iranienne et le ministère iranien du Pétrole ont été attaqués par des logiciels malveillants qui volaient et supprimaient des informations cruciales de leurs réseaux.

Les chercheurs de l’entreprise ont fouillé dans ses propres archives et ont découvert les noms de fichiers et les hachages MD5 des logiciels malveillants qui n’avaient été déployés qu’au Moyen-Orient, l’Iran étant la cible principale.

Le même logiciel malveillant était également analysé de manière indépendante par le Laboratoire de cryptographie et de sécurité des systèmes (CrySyS Lab) de l'Université de technologie et d'économie de Budapest. Le malware est également connu sous le nom de Flamer, Skywiper ou, si vous préférez les majuscules étranges, sKyWIper.

Flame est beaucoup trop vaste pour que nous puissions discuter de tous ses modules et capacités, mais nous pouvons nous concentrer sur les aspects liés au reniflage de paquets. En plus des nombreuses autres méthodes utilisées par Flames pour collecter des données sur les victimes, il avait également un module de renifleur de paquets.

Lorsqu'une machine était infectée par Flame, ce module pourrait détecter tout le trafic sur le réseau local auquel il était connecté . Cela lui a permis de collecter des noms d’utilisateur et des hachages de mots de passe circulant sur tout le réseau. Les attaquants pourraient utiliser ces informations pour s'emparer des comptes d'administrateur, leur donnant ainsi un accès privilégié à d'autres parties du réseau.

En plus de cela, Flame pourrait capturer des captures d'écran, l'activité du clavier et même enregistrer de l'audio. Il pourrait également transformer les appareils infectés en balises Bluetooth, qui tentaient de télécharger les informations de contact des appareils à portée.

Finalement, les données ont été envoyées à des serveurs de commande et de contrôle situés dans le monde entier , et Flame attendait des instructions supplémentaires de ses opérateurs. La complexité du malware indiquait qu'il avait clairement été développé par un acteur étatique, tandis que les cibles du Moyen-Orient et certaines signatures ont conduit beaucoup à l'attribuer soit au NOUS ou Israël , ou peut-être une collaboration entre les deux.

Les estimations initiales de Kaspersky indiquaient que Flame n’avait infecté qu’environ 1 000 machines , dont la plupart appartenaient à organisations gouvernementales , entreprises privées, établissements d’enseignement et particuliers. Cependant, après sa découverte, les opérateurs ont envoyé un code de suicide qui l'a supprimé des machines infectées. La commande a été envoyée par le serveur de commande et de contrôle et il était capable de supprimer tous les fichiers Flame sur un ordinateur infecté . Cela a aidé les créateurs à cacher leurs traces une fois qu'ils ont été arrêtés.

En 2019, des chercheurs en sécurité ont découvert un nouvelle version de Flame , qu'ils ont surnommé Flame 2.0. Il était lié au malware GOSSIPGIRL et a probablement fonctionné de 2014 à 2016. Il comprenait de nouvelles mesures encore plus sophistiquées pour contrer toute ingérence des chercheurs.

Comment détecter les attaques par reniflage

Une façon de détecter le reniflage de paquets sur un réseau consiste à rechercher les appareils configurés en mode promiscuité. Il est facile à détecter sur les systèmes Linux et Unix. Un utilisateur privilégié peut simplement exécuter le ipconfig -a commande, puis recherchez une chaîne indiquant PROMESSE .

S'il apparaît dans la recherche, alors il y a des machines sur le réseau qui sont en mode promiscuité . Ceux-ci peuvent être définis en mode promiscuité pour des raisons valables, ce n’est donc pas un indicateur certain qu’un reniflage de paquets malveillant se produit sur votre réseau. Cependant, cela vous donne au moins un aperçu.

Microsoft propose l'outil gratuit Promqry sur son site Web, vous permettant d'obtenir un aperçu similaire des systèmes Windows. Cependant, Promqry ne peut pas détecter les renifleurs sur les systèmes d'exploitation autres que Windows, ni sur les systèmes autonomes.

Comment se défendre contre les attaques par reniflage

Si vous souhaitez protéger votre réseau contre les renifleurs de paquets, vous devez suivre les étapes ci-dessous :

Sécurisez votre réseau

Plus tôt dans l’article, nous avons mentionné que les systèmes existants étaient vulnérables au reniflage. Si votre réseau utilise un mécanisme de sécurité obsolète tel que WEP, vous êtes incroyablement vulnérable aux attaques par reniflage. . Il est préférable d'utiliser WPA2 ou même WPA3 .

Nous avons déjà expliqué à quel point les hubs sont incroyablement faciles à détecter pour les attaquants. Il est préférable de mettre à jour votre équipement et d’utiliser plutôt un commutateur réseau. De plus, vous devez limiter l’accès physique à vos systèmes pour empêcher les attaquants de pouvoir installer du matériel de détection de paquets.

Chiffrement

Un autre bon plan consiste à s’assurer que autant de données que possible sont cryptées. Le reniflage fonctionne au niveau des paquets, mais si les paquets sont chiffrés, le renifleur ne peut pas détecter grand-chose, à part un fouillis de caractères apparemment aléatoires.

C'est pourquoi il est important d'utiliser des mécanismes de sécurité comme HTTPS, VPN , applications de messagerie sécurisées et d'autres outils de cryptage la mesure du possible. Si les données sont cryptées de manière sécurisée, peu importe qu’un pirate informatique les intercepte avec un renifleur de paquets.

Il y a une mise en garde à cela, en particulier si votre modèle de menace inclut des attaquants étatiques. Algorithmes de chiffrement standard comme AES sont sûrs pour l’instant, cependant, cela n’est vrai qu’avec les techniques et la puissance de calcul actuelles. Au fil du temps, les ordinateurs deviendront plus puissants et les cryptographes développeront de nouvelles techniques. Cela signifie que les données chiffrées aujourd’hui ne le seront peut-être plus dans 10 ou 20 ans.

Un adversaire pourrait potentiellement capturer vos paquets cryptés et les conserver jusqu'à ce que leur déchiffrement devienne financièrement viable, découvrant éventuellement tous vos secrets. Dans la plupart des cas, ce n’est pas trop inquiétant, car peu d’adversaires jouent une partie aussi longue.

Il convient également de considérer que les données sensibles aujourd’hui pourraient être inutiles à l’avenir. Si nous devions capturer le paquet HTTPS contenant votre mot de passe Facebook crypté, nous pourrons peut-être le déchiffrer dans 20 ans et accéder à toutes vos données. Mais la plupart des gens auront changé leur mot de passe au cours de cette période, de sorte que l’ancien mot de passe ne sera plus utile.

De plus, si vous utilisez le même mot de passe depuis 20 ans, vous avez probablement des problèmes de sécurité plus importants que le piratage de votre compte Facebook en quelques décennies.

Évitez le wifi public

Lorsque vous vous connectez au wifi public, vous ne savez pas qui d’autre peut écouter. Le point d'accès peut même n'être qu'une ruse élaborée mise en place par un attaquant pour lancer l'homme au milieu attaques contre les internautes involontaires.

Si vous devez utiliser le wifi public, vous devez au moins utiliser un VPN. Lorsque vous êtes connecté via un VPN, toutes les données sont cryptées entre le client de votre appareil et le serveur VPN.

Vous ne devez absolument jamais vous connecter à un site Web via le wifi public si vous ne voyez pas HTTP. S à gauche de la barre d'adresse. S’il indique uniquement HTTP, cela signifie que vos données ne sont pas cryptées et qu’un attaquant pourrait facilement voir vos informations de connexion. En fait, vous ne devriez jamais vous connecter à un site Web qui utilise uniquement HTTP. Si le site n’a pas configuré HTTPS, il ne se soucie clairement pas de sécuriser vos données.

Antivirus

Comme vous l'avez vu dans les exemples que nous avons répertoriés, les attaquants ont souvent implanté des logiciels malveillants sur les systèmes cibles afin de pouvoir détecter les paquets. Cela signifie qu'une bonne solution antivirus peut vous aider à défendre vos données contre le reniflage de paquets non autorisé. . Des outils comme Windows Defender et Malwarebytes sont de bonnes options pour commencer, car ils sont relativement efficaces et incluent un minimum de surcharge.

Bien sûr, il est encore plus logique de limiter vos chances de rencontrer des logiciels malveillants en premier lieu . Cela signifie que vous devez être à l'affût tentatives de phishing , et vous ne devez jamais cliquer sur des liens ou des pièces jointes suspects.

Vous devez également éviter les parties les plus sommaires du Web, telles que les sites de jeux d’argent en ligne et ceux qui proposent du contenu classé X. Il est également important de garder tous vos logiciels à jour , car les attaquants profitent souvent des vulnérabilités laissées par les logiciels non corrigés. Cela inclut votre système d'exploitation, votre navigateur Web, vos plugins et autres outils.

Renifleur de paquets : ami ou ennemi ?

Les renifleurs de paquets sont extrêmement utiles pour diagnostiquer les problèmes de réseau et vous donner un aperçu du trafic circulant sur votre réseau. Cependant, ils constituent également une menace si vous ne prenez pas les précautions de sécurité appropriées. Mais tant que vous suivez les étapes décrites ci-dessus, comme chiffrer autant de données que possible et éviter les activités Internet à risque, vous n’avez pas trop à craindre des renifleurs de paquets.

^