Les “Exploits Kits” font des ravages. Voici une tribune de Malcolm Murphy, Responsable de l’ingénierie des systèmes chez Infoblox, expliquant leur fonctionnement au sein des cyberattaques menées par les pirates informatiques.
Un constat est irréfutable : Plus le temps passe, plus l’utilisation des kits d’exploitation par les cybercriminels augmente. Personne ne semble à l’abri, et les sites Web infectés et piégés se multiplient, tout en infectant directement des millions d’internautes.
Le phénomène s’est encore démultiplié depuis l’avènement des ransomwares (ou rançongiciels) et des gains faramineux qu’ils rapportent aux cybercriminels les exploitant aux quatre coins du monde.
Exploit Kit = boite à outils pirate tout-en-un
Par définition, un kit d’exploitation est un pack tout-en-un facile à utiliser et à vendre au sein de la communauté cybercriminelle. Il suffit qu’un ou deux pirates de talent créés un tel outil pour que des centaines voir des milliers de pirates de moindre niveau puissent l’acheter et l’utiliser de manière massive, provoquant alors une augmentation drastique du taux d’infection global des machines dans le monde.
C’est là toute la dangerosité de tels outils, accessible en vente sur les espaces sombres dédiés, pour des tarifs allant de quelques centaines d’euros à quelques milliers selon la puissance et les possibilités d’exploitation de vulnérabilité intégrées au kit de piratage.
De ce fait, même avec des compétences techniques réduites au strict minimum, le lancement de campagnes de malware s’en retrouve facilité et à la portée de n’importe quel script kiddie. Les kits actuels s’accompagnent d’une interface ergonomique et fonctionnelle, intégrant des outils de tracking avancés et un gestionnaire de campagne d’infection. Le tout accompagné d’une notice. Que demander de plus ?
La dangerosité des kits d’exploitation
Il en existe des dizaines, certains actifs, certains abandonnés, et d’autres pas encore découverts, comme le montre cette infographie baptisée “Wild West Most Wanted” publiée par Kahu Security. Parmi eux, on retrouve actuellement : “Null Hole“, “Hanjuan EK“, “Archie EK“, “Astrum EK“, “SedKit“, “SPL2 Pack“, “Nuclear Exploit Pack v3.0“, “Neutrino Waves“, “Niteris Exploit Kit“, “Angler Exploit Kit“, “RIG“, “FlashPack“, “Kein Exploit Kit“, etc. L’infographie de Kahu Security est disponible en bas d’article.
La charge malveillante des kits d’exploitation est variable et au choix de l’opérateur de la campagne. De ce fait, on retrouve toute une multitude de malwares, allant de simples AdWares, de logiciels malveillants dédiés à la fraude au clic publicitaire, aux trojans bancaire, keyloggers, ransomwares, password stealer ou encore Botnets. La gamme de menaces actuelles est très large comme on peut le constater…
Une chose est certaine, ces kits d’exploitation sont devenus l’arme de prédilection de la majeure partie des cybercriminels, surtout ceux ayant des compétences techniques moindres et souhaitant des gains rapides.
Schématisation du fonctionnement des Exploits Kits
Généralement, les kits d’exploitation actuels partage une même infrastructure type comprenant trois composants :
- Le « back-end », qui contient le panneau de commande et d’administration ainsi que les charges malveillantes choisies prêtes à l’usage ;
- La couche intermédiaire, qui héberge le code malveillant et crée un tunnel dans le serveur back-end ;
- La couche proxy, qui transmet le malware directement à la victime.
La chaîne d’infection et d’exploitation est elle aussi standard et ne varie guère :
- La victime se rend sur un site web, entièrement ou partiellement contrôlé par l’assaillant
- Elle est ensuite redirigée à travers de nombreux serveurs intermédiaires
- À son insu, elle aboutit sur le serveur hébergeant le kit d’exploitation
- Le kit tente alors de s’installer en exploitant une vulnérabilité logicielle sur la machine cible
- En cas d’installation réussie, la ou les charges malveillantes sont alors activées.
Seule différence entre tous ces kits, la nature des vulnérabilités exploitées pour l’infection des machines cibles. La valeur des failles “0-Day” embarquées est à ce moment là critique : plus le 0-Day impactera un logiciel répandu, plus les résultats seront performants en terme d’infection. De même, plus les zero-day seront récentes et critiques, plus le kit sera puissant.
Les auteurs de certains Exploits Kits peuvent dépenser des sommes folles pour se fournir en vulnérabilité 0-Day pas encore rendue publiques et corrigées : plusieurs dizaines de milliers d’euros sont largement envisageables.
Des cibles désormais variées
Il y a quelques années, les kits d’exploitations se limitaient strictement à l’infection des ordinateurs (surtout sous Windows) du fait de leur majorité écrasante. Mais aujourd’hui les enjeux ont changés, et la part d’utilisateurs mobiles a littéralement explosée.
Du coup, les pirates se sont adaptés, et les smartphones et tablettes offrent aujourd’hui des cibles de choix, souvent faciles à pénétrer du fait des politiques de sécurité et de mise à jour laxistes. Dans les prochaines années, les menaces mobiles exploseront à coup sur, que ce soit celles visant Android ou iOS.
Ce type de menace touche aussi bien des particuliers que des entreprises, ces dernières étant des cibles de choix. Une fois la charge malveillante introduite sur une machine, elle est capable de découvrir le réseau local et d’infecter toutes les autres machines connectées.
Baromètre Infobox
Même si tous les kits d’exploitation ne sont pas identiques, il est important d’en identifier deux principaux types. Le baromètre Infoblox des menaces DNS observées au 4ème trimestre 2015 révèle que le kit Angler a représenté 56 % des nouvelles activités de ce type, contre 20% pour le kit RIG. Angler étant le kit d’exploitation le plus élaboré actuellement parmi ceux utilisés par les cybercriminels.
Il est notamment connu pour avoir inauguré la technique du « masquage de domaine », et ainsi contrer les stratégies de blocage sur la base de la réputation et infiltrer des URL malveillantes dans des réseaux publicitaires légitimes. C’est ce que l’on appelle le malvertising et les dégâts peuvent être terribles étant donné l’impact massif sur des millions d’internautes affichant les publicités du réseau infiltré.
Pour parfaire le tout, des techniques complexes de dissimulation ont été ajoutées à Angler, ce qui le rend particulièrement difficile à détecter pour les solutions antivirus classiques. Du coup, cela oblige les sociétés souhaitant une protection efficace à investir lourdement dans des solutions toute aussi avancées de filtrage, d’identification et de blocage d’activités potentiellement malveillantes, en agissant directement sur la chaîne d’infection.
Le kit d’exploitation RIG quant à lui, a récemment fait son retour, et persiste dans ses activités même s’il est de conception plus ancienne. Cela démontre que les menaces passées peuvent réapparaître sous une nouvelle forme à mesure que les kits sont mis à jour. L’analyse par Infoblox de l’activité de RIG en 2015 révèle que celui-ci a commencé à utiliser des techniques de masquage de domaine similaires à celles employées par Angler…
Même si RIG est souvent déployé dans le cadre de campagnes de publicité malveillante, Heimdal Security a récemment découvert qu’il sert également pour la pollution de référencement Google, consistant à détourner les tactiques d’optimisation du moteur de recherche pour faire la promotion de sites web malveillants.
Conclusion
Avec leurs différentes déclinaisons et techniques, les kits d’exploitation modernes offrent aux malfaiteurs dépourvus de compétences techniques l’opportunité de tirer profit du monde de la cybercriminalité. Pour se protéger contre cette menace sans cesse croissante, les entreprises doivent faire appel à une source fiable de veille des menaces et s’appuyer sur ces informations pour interrompre les communications des malwares passant par des protocoles au sein de leur propre infrastructure, notamment le DNS.
Source : GNT, Kahu Security