mots de passe
Produits et Services PRODUITS & SERVICES

Leçon N°4 : empêcher les acteurs malveillants d’obtenir (et d’utiliser) vos mots de passe

Hindsight Security : les conseils que les victimes de violation auraient bien aimé recevoir. 

Cet article fait partie d’une série qui vise à informer les professionnels de la cybersécurité sur les leçons apprises par les victimes de violations. Chaque leçon comprendra des recommandations simples, dont beaucoup ne nécessitent pas l’achat d’outils par les entreprises.

Selon l’étude Sophos intitulée Active Adversary Playbook 2021, l’utilisation de comptes valides (via un nom d’utilisateur et un mot de passe) figurait parmi les cinq premières techniques d’accès initial utilisées lors de violations (MITRE ATT&CK Technique T1078). Bien que les identifiants valides occupent une place importante dans la phase d’accès initial, ils peuvent évidemment être utilisés tout au long de la chaîne d’attaque, notamment au niveau de la persistance, de l’élévation de privilèges et de l’évasion de défense.

Un problème compliqué

L’utilisation malveillante de comptes valides constitue un véritable défi pour les professionnels de la cybersécurité. Il est extrêmement difficile d’identifier l’utilisation non autorisée de comptes valides parmi toutes les utilisations légitimes, et les identifiants peuvent être obtenus de différentes manières. Un compte valide peut avoir différents niveaux d’autorisation au sein d’une entreprise, allant de l’utilisateur de base aux privilèges d’un administrateur de domaine.

Une autre complication est que vous pouvez configurer des comptes de test, des comptes de service pour un accès non humain, des API, des comptes permettant à des tiers d’accéder à vos systèmes (par exemple, un service d’assistance externalisé) ou disposer d’un équipement avec des identifiants hardcodés.

Nous savons que les gens utilisent les identifiants de leur entreprise au niveau de services en ligne indépendants, et la plupart utilisent une adresse email plutôt qu’un nom d’utilisateur, augmentant ainsi l’exposition aux menaces. La réutilisation des mots de passe est courante, donc une fois ces derniers récupérés, ils permettent d’ouvrir de nombreuses autres portes. La pandémie de COVID-19 a vu les entreprises se tourner rapidement vers l’autorisation de l’accès à distance pour tous, exposant ainsi davantage la surface d’attaque à une utilisation non autorisée des VPN (Virtual Private Network) et des outils d’accès à distance.

Comment les acteurs malveillants obtiennent-ils nos identifiants ?

La liste des méthodes utilisées est longue, mais explorons-en quelques-unes. Alors que l’objectif final des adversaires est d’obtenir le plus haut niveau de privilège nécessaire pour atteindre leurs objectifs (par exemple, désactiver la sécurité, exfiltrer des données, supprimer des sauvegardes et déployer un ransomware), ils ne pensent tout de même pas obtenir des comptes d’administrateur de domaine via un simple email de phishing, donc ils commencent par des cibles plus faciles et progressent ensuite vers le haut.

Des méthodes externes, notamment le phishing (T1598), la force brute (T1110), l’ingénierie sociale (parfois tout simplement par le biais d’une personne prétendant être un fournisseur IT de confiance et demandant la création d’un compte : T1593.1) et l’injection SQL (T1190) sont parfois regroupées dans ce que l’on appelle ‘Compilations of Many Breaches’ (COMB) et sont mises à disposition moyennant des frais voire même parfois gratuitement.

Certains opportunistes tentent de faire correspondre les identifiants obtenus avec vos méthodes d’accès externes (à savoir le RDP, voir l’article Leçon N°2, VPN, FTP, Terminal Services, CPanel, les outils d’accès à distance comme TeamViewer, les services Cloud comme O365 ou encore les consoles de sécurité) en utilisant une technique connue sous le nom de ‘credential stuffing‘ pour voir si l’un d’entre eux fonctionne. Étant donné que les utilisateurs ne peuvent pas se souvenir de plus de quelques mots de passe, il est courant que les identifiants soient réutilisés et les noms d’utilisateur peuvent souvent être des formes dérivées s’inspirant des formats d’adresse email. C’est pour cette raison que l’authentification multifacteur (MFA/2FA) est importante au niveau de tous les accès de type externe-vers-interne (voir l’article Leçon N°1). Une fois qu’un ensemble d’identifiants est associé avec succès à une méthode d’accès à distance, l’acteur malveillant peut alors devenir un utilisateur valide, en se cachant ainsi au sein de votre entreprise.

mots de passe

Avec un ensemble d’identifiants et des accès valides, l’acteur malveillant peut ressembler à n’importe quel autre employé

Avant de passer aux méthodes d’élévation de privilèges, il est important de noter qu’il existe d’autres méthodes d’accès qui ne nécessitent pas d’identifiants. Les exploits (T1212) ou les mots de passe par défaut (T1078.1) dans les concentrateurs VPN, Exchange, les pare-feu/routeurs, les serveurs Web et l’injection SQL ont tous déjà été utilisés pour pénétrer au sein d’un système. Les téléchargements drive-by peuvent également être utilisés pour mettre en place une backdoor (T1189). Une fois à l’intérieur, les comptes d’utilisateurs basiques disposeront toujours d’un accès suffisant pour effectuer diverses techniques de reconnaissance et définir un moyen de basculer vers un accès plus privilégié ou de créer des comptes afin de conserver un accès.

En tant qu’acteur malveillant, je veux éviter d’utiliser des outils qui pourraient dès le départ déclencher un code rouge, ainsi je vais plutôt privilégier :

  • La découverte d’informations sur le système et l’environnement proche en utilisant simplement des commandes telles que “whoami” et “ipconfig” (T1016).
  • La recherche au niveau de l’appareil sur lequel je suis (ainsi que sur tous les lecteurs mappés) de fichiers avec des “mots de passe” dans le nom ou le contenu (T1552.1).
  • La recherche du LDAP pour voir quels autres comptes pourraient être intéressants (T1087.2).
  • La recherche dans le registre Windows (T1552.2) d’identifiants stockés.
  • La recherche de cookies Web concernant les identifiants stockés (T1539).
  • L’utilisation d’un outil command & control de type PowerShell, afin de pouvoir revenir même si vous modifiez un mot de passe ou corrigez votre exploit (T1059.1).
  • La découverte des programmes qui sont installés : les outils d’accès à distance et les outils d’administration comme PSExec et PSKill peuvent être très utiles s’ils existent déjà (T1592.2).

Ensuite, et seulement si nécessaire, l’acteur malveillant peut passer à l’installation et/ou à l’utilisation de “programmes potentiellement indésirables (PUA)”. Les PSExec et PSKill mentionnés ci-dessus sont des outils d’administration Microsoft officiels, mais ils ont de nombreuses autres utilisations. IOBit, GMER, Process Hacker, AutoIT, Nircmd, les scanners de ports et les renifleurs de paquets ont tous été utilisés dans les violations sur lesquelles nous avons travaillé. Ces outils seront abordés dans le prochain article de notre série Hindsight Security. L’objectif de ces outils est de paralyser toutes les solutions de sécurité endpoint, afin que l’acteur malveillant puisse passer à l’étape suivante où il utilisera des outils qui déclencheront alors très probablement un code rouge.

Les outils populaires pour trouver des comptes à privilèges plus élevés incluent Mimikatz, IcedID, PowerSploit et Cobalt Strike. Trickbot faisait aussi partie des favoris. Ils contiennent des capacités sophistiquées pour capturer, interpréter, exporter et manipuler les informations que les réseaux utilisent pour authentifier les utilisateurs (par exemple Kerberos). Bien que les données soient chiffrées jusqu’à un certain point, ce chiffrement s’est avéré n’être qu’un frein plus ou moins gênant pour des attaquants qualifiés. Le jeton chiffré représentant le compte valide peut souvent être transmis et accepté sur le réseau, par le biais de techniques généralement appelées ‘pass-the-hash’ (T1550.2) et ‘pass-the-ticket’ (T1550.3). D’importantes tables de mots de passe accompagnés de leurs versions chiffrées potentielles sont utilisées pour faire correspondre rapidement un mot de passe chiffré avec la version en clair (T1110.2). Les outils d’enregistrement de frappe (keylogging) peuvent être utilisés pour capturer les frappes au clavier au niveau d’un appareil, et ce dès qu’une personne se connectera de nouveau. Certaines vulnérabilités ont été trouvées et permettaient l’accès aux identifiants, même sans aucun droit d’administration, telles que HiveNightmare/SeriousSam et PrintNightmare. Et pire encore, il existe des boîtes à outils disponibles facilement tel que LaZagne qui font tout pour vous, même la récupération des mots de passe stockés dans les navigateurs, les logiciels de messagerie instantanée, les bases de données, les jeux, les emails et le WiFi.

Utilisez des identifiants valides

Les identifiants valides, en particulier ceux associés à des droits d’administration, peuvent être utilisés dans certains contextes critiques. En effet, dans une entreprise, ils peuvent servir à modifier la stratégie de groupe (T1484.1), désactiver les outils de sécurité (T1562.1), supprimer des comptes et en créer de nouveaux. Les données peuvent être exfiltrées puis vendues, utilisées à des fins d’extorsion ou d’espionnage industriel. Ils peuvent être utilisés pour des attaques d’usurpation d’identité et d’autres de type BEC (Business Email Compromise) avec un haut niveau d’authenticité. Mais le plus souvent, ils ne sont qu’un excellent moyen de distribuer et d’exécuter n’importe quel ransomware-as-a-service qui sera très populaire à ce moment-là. Et enfin si cette tentative échoue, nous avons vu des adversaires utiliser simplement le compte valide pour activer BitLocker (ou déplacer la clé).

Protégez votre entreprise

Le problème est sérieux, les conséquences sont réelles, mais les solutions sont bien connues et sont en général abordées suivant 3 axes : l’humain, le processus et la technologie. La formation des employés en cybersécurité se concentre généralement sur l’humain :

  • Comment repérer un email de phishing ?
  • Ne pas réutiliser les mots de passe : les outils de gestion des mots de passe peuvent vous aider.
  • Ne pas utiliser de mots de passe professionnels pour les comptes personnels.
  • Exigez des mots de passe complexes.
  • Évitez les sites Web douteux.

En termes de processus et de technologie :

  • L’authentification multifacteur doit être utilisée aussi largement que possible.
  • La surface d’attaque externe doit être aussi petite que possible et mise à jour.
  • Limitez au minimum le nombre de comptes de niveau supérieur. Par exemple, huit administrateurs de domaine, c’est trop …
  • Restreindre l’utilisation des droits d’administration locale.
  • En matière d’hygiène des comptes de service : supprimez les comptes de service et de test inutilisés.
  • Contrôlez et surveillez l’utilisation d’outils d’administration puissants et de programmes potentiellement indésirables.
  • Surveillez les connexions inattendues (par exemple, en fonction de la géographie et de l’heure).

Billet inspiré de Hindsight #4: Prevent threat actors getting (and using) your passwords, sur le Blog Sophos.