Posté le janvier 29, 2019 à 6:05
FIREEYE MET EN GARDE CONTRE UNE NOUVELLE MÉTHODE UTILISÉE PAR LES PIRATES EFFECTUANT DES ATTAQUES RDP
Selon un rapport récent d’une société de cybersécurité, FireEye, les pirates qui choisissent de mener des attaques RDP (Remote Desktop Protocol) semblent utiliser une nouvelle méthode pour éviter la détection et les mesures de protection. Les chercheurs préviennent que les pirates informatiques ont commencé à utiliser de plus en plus le tunnel réseau, ainsi que les techniques de transfert de port basées sur l’hôte.
RDP est un composant bien connu des systèmes Windows, qui est généralement utilisé pour permettre aux utilisateurs d’accéder au système à distance. Cependant, les pirates ont rapidement découvert que cette fonctionnalité pouvait être utilisée pour leur propre bénéfice, ce qui a déclenché toute une tendance qui tourne autour de ce type d’attaque, comme il est difficile de le découvrir.
Dans le rapport, FireEye a déclaré que les pirates préfèrent également cette méthode en raison de la stabilité et de plusieurs avantages concernant la fonctionnalité. Cependant, afin de compromettre les systèmes visés, les pirates informatiques doivent adopter une approche différente des méthodes d’infiltration habituelles, comme l’hameçonnage.
Comment se produit l’infraction?
Ces systèmes ont de multiples couches de protection, comme les règles NAT, les pare-feu, etc. Cependant, les pirates ont découvert que le tunnel réseau et le transfert de port basé sur l’hôte leur permettent de contourner la plupart de ces protections.
En abusant de ces méthodes, les pirates peuvent obtenir une connexion avec un serveur distant qui est généralement protégé par le pare-feu. Les chercheurs ont également signalé que l’un des utilitaires utilisés pour « tunneler » les sessions RDP s’appelle Plink (PuTTY Link), qui peut également créer une connexion réseau SSH avec d’autres systèmes.
Comme les protocoles SSH ne sont généralement pas bloqués par les environnements informatiques, cela peut conduire à des pirates informatiques à obtenir un accès complet et à établir une connexion au serveur C&C. Une fois qu’ils y ont accès, les chercheurs de FireEye croient que les pirates peuvent se déplacer librement dans l’environnement. Cela leur permet également d’utiliser la commande Network Shell de Windows pour le transfert de port. Tout ce que les pirates doivent faire est de configurer le Jump Box et de la faire écouter pour les ports arbitraires qui envoient le trafic à partir de systèmes compromis. Une fois détecté, le trafic peut être transféré par le Jump Box vers n’importe quel système via le port TCP 3389.
En utilisant ces méthodes, les hackers peuvent tirer profit du Jump Box, mais sans la perturber complètement, ce qui leur permet d’éviter la détection pendant une plus longue période. Cependant, FireEye croit que les mécanismes de prévention basés sur le réseau et sur l’hôte peuvent facilement arrêter ce type d’attaque, tandis que les mécanismes de détection peuvent avertir l’utilisateur d’une tentative de violation.
En outre, des méthodes supplémentaires, telles que la désactivation du service de bureau à distance lorsque cela n’est pas nécessaire, sont également recommandées. La prévention de la connexion RDP peut également être réalisée en définissant certaines règles de pare-feu basées sur l’hôte, et la détection de la violation peut être faite en étudiant les journaux d’événements ou en consultant les clés de registre.
Il existe également plusieurs précautions que les utilisateurs peuvent prendre au niveau du réseau lui-même. L’un d’entre eux serait que les administrateurs n’exécutent que les connexions RDP à partir d’un serveur de gestion centralisé ou d’un Jump Box désignée. Ils devraient également vérifier les règles de pare-feu concernant le transfert de port, vérifier le trafic réseau et son contenu, mais aussi définir des règles qui pourraient identifier le tunnel RDP.
Bien que la RDP ait ses nombreuses utilisations, les utilisateurs sont priés de prendre les précautions nécessaires. Sinon, l’ensemble de leur système pourrait être mis en danger par cette nouvelle menace.
