Cybersécurité : gare au détournement des pots de miel

Clément Bohic,
Linkedin
détournement pots de miel

Dans la lignée de la DEF CON émerge un PoC d’injection de commandes dans les terminaux connectés aux pots de miel.

Et si les meilleurs malwares étaient… les antivirus ? Lors de la dernière Black Hat Europe, nous nous étions fait l’écho d’une session touchant à ce sujet. Plus précisément à une vulnérabilité permettant de détourner ces logiciels – EDR inclus – pour en faire des wipers.

Dans le registre « exploitation malveillante d’armes défensives », il y a aussi les pots de miel, ces systèmes volontairement exposés afin de collecter des informations sur les menaces.

Leurs faiblesses ont fait l’objet de plusieurs présentations à l’occasion de la dernière convention DEF CON. Un spécialiste en cybersécurité membre de l’Internet Storm Center (forme de celulle de veille rattachée au SANS Institute) s’en est nourri pour établir sa propre démonstration.

S’échapper du terminal

Celle-ci suppose que l’analyse des logs est faite dans un terminal (ici, celui de Windows 10)… au sein duquel on va introduire des séquences d’échappement. Pour cela, on envoie un fichier vers le pot de miel… et on espère qu’un analyste le consulte avec la commande cat.

En fonction du système cible, on peut insérer des données dans le presse-papiers, ouvrir des liens, suivre les mouvements de la souris, etc. Voire exécuter des processus (cf. faille CVE-2022-44702).

Pour masquer ces actions, on peut déclencher, à leur suite, une forme de dépassement de tampon : afficher une très longue suite de caractères, de sorte qu’on perd le début du log.

On admettra qu’un tel scénario d’« empoisonnement » de pot de miel implique une configuration spécifique. Et qu’on peut l’éviter de bien des manières. Par exemple en utilisant la commande file (qui révèle la nature du fichier) ou l’argument -v (qui affiche des caractères non imprimables).

À lire en complément :

Sous pression, Microsoft ouvre ses journaux de sécurité
Cybersécurité : les outils open source que conseille l’ANSSI américaine
Intégration de logiciels non maîtrisés : les bonnes pratiques de sécurité
Spring4Shell : faut-il comparer cette faille Java critique à Log4Shell ?

Photo d’illustration © lolloj – Shutterstock