Powered By Blogger

Rechercher sur ce blogue

mercredi 21 avril 2021

Top 10 des menaces de logiciels malveillants dans le cloud

 Top 10 des menaces de logiciels malveillants dans le cloud

 Ils ciblent tous les systèmes Linux

 Pendant longtemps, Linux n'a pas été considéré comme une cible sérieuse des acteurs de la menace. Ce système d'exploitation représente un si petit pourcentage de la part de marché des ordinateurs de bureau par rapport à Windows, il n'est pas surprenant que les acteurs de la menace concentrent la majeure partie de leur attention sur l'attaque des points de terminaison Windows.

 Cependant, les temps changent rapidement à mesure que le prochain champ de bataille majeur passe des points de terminaison Windows traditionnels sur site aux serveurs et conteneurs Linux dans le cloud. Pour la perspective, 90% du cloud public fonctionne sous Linux. Les attaquants en prennent note. Certains ont commencé à écrire de nouveaux logiciels malveillants à partir de zéro exclusivement pour Linux, tandis que d'autres adaptent leurs programmes malveillants Windows existants pour cibler Linux. Les plates-formes traditionnelles de protection des terminaux conçues pour sécuriser Windows ont du mal à faire face aux menaces Linux. 

Si vous êtes dans le cloud, assurez-vous de disposer d'une solution de sécurité compatible avec les systèmes Linux, à la fois en termes de détection des menaces et de performances. Ci-dessous, nous mettons en évidence 10 familles de logiciels malveillants Linux ciblant le cloud qui devraient être sur votre radar. 

1. TrickBot Cela peut surprendre certains que TrickBot possède des logiciels malveillants Linux. Le populaire cheval de Troie bancaire Windows est utilisé comme malware-as-a-service (MaaS) par les cybercriminels et les acteurs des États-nations, principalement dans le cadre de campagnes à motivation financière. TrickBot est capable de voler des informations d'identification, de se propager sur le réseau, de voler des cookies et de déployer des ransomwares. Fin 2019, SentinelOne et NTT ont signalé une nouvelle menace TrickBot, appelée Anchor, qui agit comme une porte dérobée et utilise DNS pour communiquer avec son serveur de commande et de contrôle (C2). En juillet 2020, le chercheur Waylon Grange a découvert un échantillon Anchor ciblant les systèmes Linux. La variante Linux n'est pas seulement une porte dérobée, mais a également la capacité de supprimer et d'exécuter d'autres logiciels malveillants, y compris la version Windows de TrickBot, dans le but d'infecter les machines Windows sur le même réseau.

 2. Kobalos Les chercheurs d'ESET ont découvert une porte dérobée multiplateforme sophistiquée appelée Kobalos. Le logiciel malveillant ciblait des ordinateurs hautes performances appartenant à des fournisseurs de sécurité de point de terminaison, des fournisseurs de services Internet et des universités de premier plan. Kobalos possède des fonctionnalités avancées, notamment l'évasion du réseau et des techniques anti-médico-légales. Une fois qu'un serveur est compromis, il peut être utilisé comme serveur de commande et de contrôle (C2) par d'autres serveurs compromis. Il a été découvert plus tard que les hôtes des victimes contenaient un processus de porte dérobée OpenSSH destiné à voler les informations d'identification des connexions entrantes. 

3. FreakOut Le botnet FreakOut infecte les systèmes Linux principalement en exploitant des vulnérabilités connues. Les serveurs vulnérables ciblés incluent le Zend Framework, le Liferay et le stockage en réseau (NAS) TerraMaster. Une fois que l'attaquant a obtenu l'accès au système, il télécharge un script python connectant la victime à un serveur de commande et de contrôle (C2) afin que l'attaquant puisse contrôler la machine compromise. FreakOut a été vu effectuer tous les types d'activités malveillantes, du cryptojacking, de l'analyse de port et du reniflage de réseau, à la propagation à d'autres appareils du réseau via des exploits de vulnérabilité, des attaques DDoS et un reverse-shell ouvert. FreakOut met l'accent sur la nécessité de mises à jour de sécurité régulières ainsi que sur la sécurité d'exécution.

 4. RansomEXX RansomEXX, un cheval de Troie de cryptage de fichiers ciblant autrefois uniquement les machines Windows, a commencé à attaquer les machines Linux à la fin de 2020 lorsqu'il est devenu un malware multiplateforme. Cette menace cible diverses entités gouvernementales et entreprises technologiques. Les attaques récentes incluent le département des transports du Texas, le système judiciaire brésilien et le géant de la technologie commerciale Konica Minolta.

 5. Drovorub Selon l’alerte conjointe du FBI et de la NSA, Drovorub est l’œuvre d’APT28, également connue sous le nom de Sofacy ou Fancy Bear. Drovorub se compose d'un implant avec un rootkit de module de noyau, un outil de transfert de fichiers, un module de transfert de port et un serveur de commande et de contrôle (C2). Une fois installé sur la machine de la victime, le logiciel malveillant est capable de communiquer avec le serveur C2, de télécharger / télécharger des fichiers, d’exécuter des commandes arbitraires avec des privilèges root et de se propager à d’autres hôtes du réseau. Le rootkit du module noyau utilise notamment diverses techniques pour cacher le malware, permettant à l'implant de rester caché dans le réseau et d'attaquer à tout moment. Étant donné que cette menace est associée à un groupe APT russe, nous supposons que ses opérations ciblant Linux ne font que commencer. 

6. WellMess WellMess est une porte dérobée avec une version Windows et Linux, chacune possédant des capacités similaires qui ont été mises à jour depuis la première version du logiciel malveillant en 2018. Le National Cyber ​​Security Center du Royaume-Uni rapporte que WellMess a été utilisé dans plusieurs tentatives pour voler des informations à entreprises développant des vaccins COVID-19. Cette menace est attribuée à Blue Kitsune (alias APT29 ou Cozy Bear).

 7. GitPaste-12 Découvert en octobre 2020 par Juniper Threat Labs, ce botnet cible les serveurs Linux et les appareils Internet des objets (IoT). GitPaste-12 utilise plusieurs vulnérabilités connues pour exploiter ses victimes, certaines de ces vulnérabilités étant Apache Struts (CVE-2017-5638), les routeurs ASUS (CVE-2013-5948), les routeurs Tenda (CVE-2020-10987) et un plugin WebAdmin pour opendreambox (CVE-2017 -14135). Le botnet héberge du code malveillant sur GitHub et Pastebin pour les portes dérobées et les logiciels malveillants de cryptomining.

 8. IPStorm IPStorm est un autre botnet autrefois ciblé uniquement sur les machines Windows, mais a fait le passage à Linux (et également à macOS). IPStorm abuse d'un peer-to-peer (P2P) légitime pour masquer le trafic malveillant, permettant à l'attaquant d'exécuter du code arbitraire sur la machine infectée. Les nouvelles variantes de Linux partagent le code avec les anciennes versions de Windows tout en implémentant de nouvelles fonctionnalités, notamment la force brute SSH, pour se propager à d'autres victimes sur le réseau cloud. IPStorm fait partie de la liste croissante de logiciels malveillants multiplateformes écrits en Golang et utilisés dans des attaques sur des serveurs cloud Linux. Téléchargez le guide de détection et de réponse IPStorm. 

9. Cloud Snooper Cloud Snooper fait partie d'une attaque sophistiquée utilisant une combinaison unique de techniques pour échapper à la détection, tout en permettant au malware de communiquer librement avec son serveur de commande et de contrôle (C2) via un pare-feu. Les hôtes Windows et Linux ont été infectés par cette campagne. La complexité de cette attaque nous donne des raisons de croire que les acteurs de la menace derrière le malware sont soutenus par l'État-nation.

 10. Logiciel malveillant de cryptojacking Le marché haussier récent et la valeur accrue des crypto-monnaies ont attiré un grand nombre de logiciels malveillants de cryptojacking Linux ciblant les environnements cloud. Ce type d'attaque exploite la grande puissance de traitement du cloud computing pour extraire de manière malveillante la crypto-monnaie. Il existe de nombreux types de logiciels malveillants de cryptojacking. Certains sont basés sur des projets open source comme XMRig Miner, tandis que d'autres sont développés à partir de zéro comme Kinsing, ce dernier qui fait partie d'une campagne en cours compromettant les serveurs qui ont exposé les ports de l'API Docker. Outre l'extraction de la crypto-monnaie, Kinsing a d'autres capacités. Il collecte les informations d'identification SSH pour accéder à d'autres serveurs cloud hébergés sur l'infrastructure, assure la persistance et met en œuvre des techniques de contournement de la défense. Des attaques récentes ont montré que les cryptomineurs Linux trouveront leur chemin dans l'environnement de production. Assurez-vous que vous disposez d'une protection d'exécution pour les éliminer lors de l'exécution. 

Résumé

 Le paysage des menaces du cloud abrite un certain nombre de logiciels malveillants Linux et de plus en plus. Avec une augmentation de 500% du nombre de familles de malwares liés à Linux au cours de la dernière décennie, les environnements cloud sont un vecteur d'attaque majeur pour les acteurs de la menace. 

Si vous utilisez actuellement le cloud ou prévoyez de le faire prochainement, gardez un œil attentif sur ces menaces.

 Les EDR Windows traditionnels ont du mal à détecter les menaces Linux. Intezer Protect défend les environnements cloud contre les dernières menaces Linux sans ralentir les performances. Essayez notre édition communautaire gratuite.

 

REF.:

mardi 20 avril 2021

On sait qui a piraté l’iPhone de San Bernardino pour le FBI

 

 

On sait qui a piraté l’iPhone de San Bernardino pour le FBI

Un appel d’envergure semble guetter les deux acteurs de la polémique.


Publié le

 

Par

Valentin

 Dans une enquête publiée hier, le Washington Post révèle avoir réussi à identifier le hacker qui a réussi à pirater l’iPhone le plus célèbre de Californie. Utilisé par un terroriste de la fusillade survenue à San Bernardino près de Los Angeles en 2015, celui-ci était verrouillé. Le FBI, chargé des investigations, avait alors enjoint Apple de fournir une backdoor* pour accéder au contenu de l’appareil iOS. Sans succès.

On a ensuite appris que le Bureau avait finalement pu arriver à ses fins, en faisant appel à des professionnels. Car non, malgré toutes les promesses de confidentialité de la marque à la pomme, ses mobiles ne sont pas inviolables. Comme ceux de tous les autres fabricants, d’ailleurs.

Mozilla mis en cause

Selon le Post, le responsable derrière cette prouesse technique s’appelle David Wang. Depuis cofondateur de Corellium, ce dernier était alors en poste chez Azimuth Security. Son exploit aurait été payé 900 000 dollars par les officiels : de quoi faire rêver n’importe quel participant à un bug bounty. Ce qui n’a en revanche pas plu à Apple, puisque cette dernière a par la suite attaqué en justice la nouvelle entreprise du white hat. C’est par ce nom que l’on désigne les experts informatiques dont les actes sont bienveillants.

La faille identifiée par cet ancien de Yale -dont il a abandonné le cursus- était issue d’une intégration avec Firefox, depuis patchée par la fondation derrière le logiciel. Cette dernière n’a pas souhaité commenter l’affaire. Nommée Condor, il faut dire que l’astuce a tout de même pu passer outre la protection anti-brute force qu’on retrouve également dans le Secure Enclave de deuxième génération. Pour de toute façon ne rien trouver de bien intéressant comme indice.

Une question politique ?

Depuis, les interrogations s’enchaînent aussi bien au sommet des instances gouvernementales outre-Atlantique qu’à l’Apple Park. Car si la seconde craint qu’un tribunal puisse faire jurisprudence et donc potentiellement menacer la vie privée de tous ses clients… Il lui suffit en fait d’aligner plus d’argent pour que les chercheurs en cybersécurité n’aient pas à collaborer avec les autorités.

Les équipes de Tim Cook avaient bien tenté d’engager Wang ou de racheter Corellium en 2018, mais sans succès et après que le scandale ait éclaboussé la Maison-Blanche. Pour finir, un juge avait enfin refusé de les obliger à fournir à leur opposant tous les détails quant aux brèches identifiées dans le système d’exploitation des iPhone. Depuis, les affaires semblent florissantes.

*littéralement porte dérobée en anglais : paramètre inconnu du propriétaire, offrant un accès secret au logiciel

 

REF.:

Pourquoi désinstaller Zoom ?

 

 

 

 

Pourquoi désinstaller Zoom ?

Qui ne connait pas encore Zoom ? L’outil préféré des adeptes de la visioconférence est rentré dans les habitudes de tous, à tel point qu’on se dit maintenant : « Je te zoom »… Un peu comme on se dit « Je te skype ».

Sauf que voilà, pour utiliser Zoom sur PC ou Mac, il faut installer ce qui s’appelle un client. C’est un petit bout de logiciel silencieux qui s’installe sur l’ordinateur et qui vous permet ensuite d’utiliser ce service. Et malheureusement, cela peut poser plusieurs problèmes. Tout en d’abord en termes de sécurité, il suffit qu’un jour une vulnérabilité soit détectée dans cet agent, et paf, votre ordinateur peut-être potentiellement à risque ou votre caméra activée à distance. Ce genre d’incident a d’ailleurs déjà eu lieu en 2019 avec une faille permettant d’activer les webcams. Ou plus récemment en mars dernier avec du partage d’écran non sollicité.


Mais au-delà de ça, Zoom collecte également pas mal de données personnelles que la société partage ensuite avec d’autres sociétés tierces. Et cela même si vous utilisez Zoom sans vous créer de compte. Zoom va enregistrer votre IP, le type d’appareil utilisé et même le compte Facebook que vous utilisez si vous êtes connecté en même temps sur le réseau social.

Vous l’aurez compris, c’est de la saloperie. Après, on est souvent forcé d’utiliser Zoom parce que notre employeur l’exige ou parce que nos amis sont trop noobs pour savoir utiliser autre chose. Dans ce cas, je vous recommande de passer exclusivement par l’application mobile. Ça vous évite au moins d’installer le client sur votre PC ou votre Mac.

Après si c’est trop tard, et bien pas de stress. Car il existe un outil open source qui s’appelle Zoom Deleter et qui s’installe sur macOS ou Windows, et qui une fois lancé, possède 2 fonctions :

  • Désinstaller le client Zoom
  • Empêcher une installation future de ce client Zoom

Ainsi, vous retrouverez un OS vierge de tout agent infiltré Zoom et surtout vous serez protégé d’une éventuelle réinstallation à l’insu de votre plein gré. On ne sait jamais…

Pour plus d’infos, je vous invite à :

REF.:

Êtes vous déjà fichés par Google avec FLoC et comment l’empêcher ?

 

 

Êtes vous déjà fichés par Google avec FLoC et comment l’empêcher ?

Vous le savez, les cookies n’ont pas le vent en poupe. Ils sont bloquables avec certains plugins de navigateur, voire carrément par le navigateur lui-même sans oublier le RGPD qui force les sites à proposer un bouton « Refuser les cookies ». Pour rappel, un cookie, c’est quoi ? C’est un petit fichier texte qu’une société ou un site dépose sur votre ordinateur, ce qui lui permet de vous reconnaître lors d’une connexion ultérieure ou de vous suivre de sites en sites.

Autant dire que les cookies sont très malmenés en ce moment, ce qui pose un gros problème aux vendeurs de publicité en ligne qui les utilisent pour vous profiler et vous proposer de la publicité ciblée. Et quel est selon vous le plus gros acteur de la pub en ligne ? Et bien c’est Google !

Mais vous connaissez Google, ils ont noyauté l’ensemble d’Internet avec leur moteur de recherche, leur navigateur Chrome, leur Adsense, leurs players Youtube, leurs Analytics, Android, leur Google Sign-in, Gmail, Maps et même leurs DNS 8.8.8.8… Impossible de leur échapper, même si on est dégoogeulisé.

C’est donc mal les connaître que de croire qu’ils vont se laisser perturber par le blocage des cookies. Car oui, il existe d’autres façons de déterminer votre profil en ligne et de vous traquer, sans « vraiment » vous traquer. Cette façon, je l’ai déjà expliqué dans cet article au sujet du panopticlick.

Avec votre historique, les plugins installés, la config matérielle et une blinde d’autres paramètres, il est possible de générer une empreinte plus ou moins unique de votre ordinateur. Et Google va encore plus loin puisqu’il ne vous individualise plus, mais vous range dans des groupes d’intérêt en fonction de votre historique du mois en cours. Si vous êtes un geek en surpoids localisé en France qui vote à gauche et aime les chatons mignons ainsi que la cuisine asiatique, vous serez dans le même groupe que tous vos frères d’armes. Et Google sera alors capable de vous proposer de la publicité ciblée pour la catégorie à laquelle vous appartenez. Il n’y a donc plus de suivi individuel, mais plutôt un profilage réalisé en fonction de votre historique.


Cette techno mise au point par Google s’appelle la Federated Learning of Cohorts a.k.a. FLoC. Chaque groupe est désigné par son FLoC ID et caractérisé par ses habitudes et centres d’intérêt. Cela permet donc de se passer d’un tracker comme le cookie. Il n’y a plus de fichier stocké sur votre ordinateur ou blocable par un plugin.

À titre perso, et je ne dois pas être le seul, je m’intéresse à tellement de sujets différents à la fois qu’il est FORT PROBABLE que Google me range dans un groupe de 1 où je serai seul. Et il y a fort à parier qu’on sera nombreux dans des groupes de 1 personne avec le temps et l’affinage des critères, ce qui va permettre à Google d’ultra-cibler la publicité. Après c’est vrai que les humains sont facilement classables dans des groupes et suivent pour la plupart les mêmes schémas de pensée. Un peu comme des clichés qu’on retrouve partout et on en a tous fait l’expérience. Il y a certaines personnes qui se ressemblent aussi bien dans leurs centres d’intérêt que dans leurs habitudes.

Mais une chose est sûre, c’est que ça va marcher. Et là pour bloquer ça ensuite, bonjour !

Google a d’ailleurs commencé à déployer FLoC chez certains utilisateurs de Chrome 89 ou supérieure dans divers pays (pas encore la France, mais en Australie, Brésil, Canada, Inde, Indonésie, Japon, Mexique, Nouvelle-Zélande, Philippines et aux États-Unis bien sûr !).

Un suivi mis en place chez des millions d’utilisateurs pour être précis et à leur insu. Bon le savez, Chrome est une saloperie. Si c’est pas encore fait, désinstallez cette merde. Mais avant, je vous invite à faire le test pour savoir si Google vous a déjà classé dans un de ces groupes. Pour cela, l’EFF a mis en ligne un site baptisé AmIFLoced.org qui vous indiquera si votre navigateur fait partie du bêta test de FLoC.


Si un FLoC ID vous a été attribué, cela veut que votre navigateur a utilisé votre historique internet sur les 7 derniers jours pour calculer un « simhash » qui vous permettra de rejoindre un ou plusieurs des actuels 33 000 groupes comportementaux mis en place par Google dans le cadre de ses tests et contenant chacun quelques centaines de personnes. Tout ceci est encore expérimental donc vous pouvez facilement imaginer que ces chiffres vont rapidement gonfler au fur et à mesure des semaines.

Si c’est le cas, pas de panique. Vous pouvez en sortir, mais à condition de désactiver les cookies tiers dans les paramètres de Chrome (oui, je sais, c’est pas forcement logique). Maintenant en tant que webmaster, votre site est déjà intégré comme facteur dans les algos FLoC de Google. Si vous avez un site sur le jardinage, vos visiteurs (via leur historique) seront alors flaggés comme fan de jardinage. Si vous ne voulez pas participer à cette mascarade, vous pouvez sortir votre site de l’algo en balançant ce header dans les réponses HTTP :

 Permissions-Policy: interest-cohort=() 

Si vous utilisez un AUTRE navigateur que Chrome >= 89, vous ne serez pas concerné par ce tracking pour le moment. À voir maintenant ce que va faire Google. Comment est-ce qu’ils vont imposer ça dans Chromium ou d’autres navigateurs utilisant le moteur de Chrome… Firefox sera-t-il de la partie. J’en doute, mais on verra bien…

 

REF.:

Comment identifier une personne sur Internet

 

 

Comment identifier une personne sur Internet


On se croit en sécurité derrière son navigateur mais des chercheurs en sécurité sont en train de travailler sur une technique pour dé-anonymiser les internautes. Il partent du principe que chaque personne possède un navigateur différent, des plugins différents, avec des versions différentes, des polices différentes, un fuseau horaire différent…etc. Et toutes ces petites différences, misent bout à bout, permettent au final de créer une empreinte unique du navigateur (donc de la machine utilisée pour aller sur le net). Ça, c’est ce que l’EFF a appelé Panopticlick et que vous pouvez tester en allant ici.

Mais une nouvelle technique exploite les réseaux sociaux. En effet, en exploitant l’historique de votre navigateur, un attaquant (ou un espion ou une société privée) peut savoir sur quels sites vous avez été. A partir de là, en connaissant vos préférences de navigation, les groupes auxquels vous appartenez sur Facebook ou autre et en utilisant la technique de la EFF sur l’empreinte unique du navigateur, il devient possible de clairement vous identifier en tant que personne lors de votre surf quotidien et ce même si vous passez par un VPN…

Effrayant non ?

Toutes les explications sont disponibles dans ce document PDF et vous pouvez tester la technique si vous faites parti du réseau social Xing en cliquant ici.

 

REF.: