Mai / Juin 2015

Misc 79

MENACES INÉDITES OU BUZZWORLD ULTIME ?

APT : ADVANCED PERSISTENT THREATS

  1. APT 101 : qu'est-ce qui rend une menace avancée ?
  2. Boucle OODA : la réponse à incident méthodique
  3. Threat Intel : comprendre et anticiper la menace
  4. PlugX : dissection d'un RAT

 

En savoir plus

8,72 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,59 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,59 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,63 €
Misc 134

Misc 134

Juillet / Août 2024
12,63 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,59 €
Misc 133

Misc 133

Mai / Juin 2024
12,63 €
Misc 132

Misc 132

Mars / Avril 2024
12,63 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,59 €


Au sommaire de ce numéro :


Exploit Corner
p. 04   Ramonage de vulns avec mona.py

Malware Corner
p. 12  Quand les dessins animés se « Rebelle »... Éléments de « Raiponce »...

Forensic Corner
p. 20  Macros - Le Retour de la Revanche

Dossier
p. 30  Préambule
p. 31  APT 101
p. 38  APT au Combat : stratégie numérique en réseau d’entreprise
p. 45  Threat intelligence et APT
p. 56  PlugX : couteau suisse des attaquants APT

Code
p. 62  Quelques épreuves du challenge sécurité « Trust the Future »

Réseau
p. 68  DNS et vie privée : le travail de l'IETF

Science & technologie
p. 74  Contrôle d'accès physique : étude des cartes sans contact

 

EDITO :

L’univers a besoin que tout soit observé, de peur de cesser d’exister [1]

La cité d’Ankh-Morpork gazouillait depuis quelques jours en raison de la rumeur d’une nouvelle loi d’Havelock Vétérini, le tyran bienveillant. Cette loi baptisée « sous surveillance amicale » prévoyait le déploiement de mystérieuses boîtes octarines [2] dans toute la ville, capables d’écouter n’importe quelle conversation de la cité, afin de détecter tous les complots ourdis contre le praticien. Officieusement, elles pourraient aussi servir à distraire le guet lors de longues soirées d’hiver.

Les guildes des marchands et des assassins s’étaient très vite émues de cette nouvelle lubie. Le secret des affaires risquait d’en prendre un coup si tout l’effectif du guet, trolls, golems et zombies compris, pouvait entendre tout ce qui se disait dans la cité sans même avoir à se déplacer pour écouter aux portes. Dans une lettre ouverte dans le quotidien du « disque monde », Ardrothy s’alarma au nom de la guilde des marchands du risque que cette loi pourrait faire porter sur l’attractivité des commerces d’Ankh-Morpork. Lettre à laquelle le patricien répondit « homme de pâté de foie [3], si ton commerce est honnête tu ne seras pas inquiété, tes affaires seront plus florissantes que jamais ». Loin de dissiper les craintes de la guilde, cette réponse fit souffler un vent de panique dans la ville, tant chez les marchands que chez leurs clients.

Esmeralda Ciredutemps, détachée de ces considérations mercantiles à la probité douteuse, mais très à cheval sur le secret de ses correspondances, se déplaça au palais pour faire part de son agacement :
- Havelock, on ne peut pas diriger une cité en fonction de ce qui plaît au guet. À savoir, que tout le monde passe son temps à la maison, les mains sur la table, là où on peut les voir [4].
- Mais voyons, Maîtresse Ciredutemps, vous conviendrez que seuls ceux qui ont quelque chose à se reprocher ont quelque chose à cacher. C’est bien connu, les innocents n’ont rien à craindre.
- Je crois au contraire que les innocents ont tout à craindre, surtout de ceux qui prétendent que « les innocents n’ont rien à craindre ».
- De toute façon, nous espionnons déjà tout le monde, cette loi ne fait que rendre officiel ce qui a déjà cours.
- Oui, il est bien connu que deux types d’individus se moquent des lois :  ceux qui les enfreignent et ceux qui les promulguent...
L’estocade finale vint de Cogite Stibon, directeur de la section « Magie des hautes énergies » de l’université de l’invisible qui entra en hurlant dans le bureau du praticien :
- Qu’est-ce que c’est que ces merdes de boîtes octarines ? Depuis que vous en avez installé une à l’université, vous avez foutu le bordel dans tous les flux de magie. Je vais vous dire une chose, vous ramassez votre merdier et vous dégagez propre et net. Et sinon ça va mal se mettre, ce sera bille en tête [4].

Cedric Foll / @follc / @MISCRedac

[1] Cet avis n’est évidemment pas partagé par le chat de Schrödinger qui aimerait bien que l’on finisse par le laisser dormir dans sa boîte.

[2] La huitième couleur du spectre magique, qui est définie comme une sorte de jaune-pourpre verdâtre fluorescent.

[3] Ardrothy était artisan charcutier.

[4] Cogite était le petit fils de M. Rochard, célèbre mécanicien d’Ankh-Morpork, dont il avait adopté une partie des expressions imagées : http://archives-lepost.huffingtonpost.fr/article/2008/06/25/1213717_un-psy-se-penche-sur-le-garage-rochard.html.

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction au dossier : APT : Advanced Persistent Threats
MISC n°79

Mesa day startin pretty okee-day with a brisky morning munchy, then BOOM !

Ramonage de vulns avec mona.py
MISC n°79 Free

Défini par Peter Van Eeckhoutte, son auteur, comme la boite à outils du développement d'exploits en environnement win32, mona.py [1] est un plugin qui fonctionne avec Immunity Debugger et WinDBG. Simple d'utilisation, il a l'énorme avantage de réunir les fonctionnalités de bon nombre d'autres outils tout en s'intégrant dans votre débogueur. Plutôt que de présenter toutes ses possibilités une par une, nous allons à travers des exemples pratiques montrer comment il permet de gagner du temps lors de l'écriture d'exploits en environnement Windows.

APT 101
MISC n°79

Depuis quelque temps, pas une semaine ne semble passer sans qu’il n’y ait un article, un billet de blog, ou un white paper sur le sujet des APT, que ce soit pour décrire des campagnes d’attaque, des groupes d’attaquants, analyser des malwares dédiés à ces attaques, ou malheureusement faire du marketing à peu de frais. Cependant, force est de constater que même les professionnels de l’IT sont parfois victimes de méconnaissances ou d’idées reçues sur cette problématique. Le but de cet article est donc d’exposer brièvement les premières bases de connaissance d'une attaque APT, son mode opératoire, et de définir un peu plus les différences entre compromissions classiques et APT.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND