Et si les meilleurs malwares étaient… les antivirus ? Lors de la dernière Black Hat Europe, nous nous étions fait l’écho d’une session touchant à ce sujet. Plus précisément à une vulnérabilité permettant de détourner ces logiciels – EDR inclus – pour en faire des wipers.
Dans le registre « exploitation malveillante d’armes défensives », il y a aussi les pots de miel, ces systèmes volontairement exposés afin de collecter des informations sur les menaces.
Leurs faiblesses ont fait l’objet de plusieurs présentations à l’occasion de la dernière convention DEF CON. Un spécialiste en cybersécurité membre de l’Internet Storm Center (forme de celulle de veille rattachée au SANS Institute) s’en est nourri pour établir sa propre démonstration.
Celle-ci suppose que l’analyse des logs est faite dans un terminal (ici, celui de Windows 10)… au sein duquel on va introduire des séquences d’échappement. Pour cela, on envoie un fichier vers le pot de miel… et on espère qu’un analyste le consulte avec la commande cat.
En fonction du système cible, on peut insérer des données dans le presse-papiers, ouvrir des liens, suivre les mouvements de la souris, etc. Voire exécuter des processus (cf. faille CVE-2022-44702).
Pour masquer ces actions, on peut déclencher, à leur suite, une forme de dépassement de tampon : afficher une très longue suite de caractères, de sorte qu’on perd le début du log.
On admettra qu’un tel scénario d’« empoisonnement » de pot de miel implique une configuration spécifique. Et qu’on peut l’éviter de bien des manières. Par exemple en utilisant la commande file (qui révèle la nature du fichier) ou l’argument -v (qui affiche des caractères non imprimables).
À lire en complément :
Sous pression, Microsoft ouvre ses journaux de sécurité
Cybersécurité : les outils open source que conseille l’ANSSI américaine
Intégration de logiciels non maîtrisés : les bonnes pratiques de sécurité
Spring4Shell : faut-il comparer cette faille Java critique à Log4Shell ?
Photo d’illustration © lolloj – Shutterstock
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…
IBM publie, sous licence libre, quatre modèles de fondation Granite pour le code. Voici quelques…
C'est dans l'État de Brandebourg, en Allemagne, que sera lancée la première région AWS European…
Veeam prévoit une prise en charge de Proxmox au troisième trimestre 2024. Il en fera…
À l'appui de témoignages d'Airbus, Valeo et Worldline, la plénière du Google Cloud Summit Paris…
OpenAI lance son nouveau modèle GPT-4o avec une capacité de conversation vocale, une application de…