Je suis tombé sur un livre blanc de McAfee et CISCO qui expliquait ce qu’est un attaque furtive est ainsi que la façon de les contrer. Ce post est basé sur ce que j’ai pu saisir du livre blanc et vous invite à discuter du sujet afin que nous en bénéficiions tous.

Qu’est-ce qu’une attaque furtive

En une ligne, je définirais une attaque furtive comme une attaque qui n’est pas détectée par l’ordinateur client. Certaines techniques sont utilisées par certains sites Web et pirates pour interroger l’ordinateur que vous utilisez. Alors que les sites Web utilisent des navigateurs et JavaScript pour obtenir des informations auprès de vous, les attaques furtives proviennent principalement de personnes réelles. L’utilisation des navigateurs pour collecter des informations est appelée empreinte digitale du navigateur, et je le couvrirai dans un article séparé afin que nous puissions nous concentrer uniquement sur les attaques furtives ici.

Une attaque furtive pourrait être une personne active interrogeant des paquets de données depuis et vers votre réseau afin de trouver une méthode pour compromettre la sécurité. Une fois que la sécurité est compromise ou, en d’autres termes, une fois que le pirate a accès à votre réseau, la personne l’utilise pendant une courte période pour ses gains, puis supprime toute trace du réseau compromis. L’accent, semble-t-il dans ce cas, est mis sur la suppression des traces d’attaque de sorte qu’il reste indétectable pendant longtemps.

L’exemple suivant cité dans le livre blanc de McAfee explique plus en détail les attaques furtives :

« Une attaque furtive fonctionne silencieusement, cachant les preuves des actions d’un attaquant. Dans Operation High Roller, les scripts de logiciels malveillants ont ajusté les relevés bancaires qu’une victime pouvait voir, présentant un faux solde et éliminant les indications de la transaction frauduleuse du criminel. En dissimulant la preuve de la transaction, le criminel a eu le temps d’encaisser »

Méthodes utilisées dans les attaques furtives

Dans le même livre blanc, McAfee parle de cinq méthodes qu’un attaquant furtif peut utiliser pour compromettre et accéder à vos données. J’ai énuméré ces cinq méthodes ici avec un résumé:

1. Évasion: Cela semble être la forme la plus courante d’attaque furtive. Le processus implique l’évasion du système de sécurité que vous utilisez sur votre réseau. L’attaquant va au-delà du système d’exploitation à l’insu de l’anti-malware et des autres logiciels de sécurité de votre réseau.
2. Ciblage : Comme son nom l’indique, ce type d’attaque vise le réseau d’une organisation particulière. Un exemple est AntiCNN.exe. Le livre blanc mentionne juste son nom et d’après ce que j’ai pu rechercher sur Internet, cela ressemblait plus à une attaque volontaire DDoS (Denial of Service). AntiCNN était un outil développé par des pirates chinois pour obtenir le soutien du public lors de la suppression du site Web de CNN (Référence : The Dark Visitor).
3. Dormance: L’attaquant installe des logiciels malveillants et attend un moment rentable
4. Détermination: L’attaquant continue d’essayer jusqu’à ce qu’il obtienne l’accès au réseau
5. Complexe: La méthode implique la création de bruit comme couverture pour que les logiciels malveillants pénètrent dans le réseau

Comme les pirates ont toujours une longueur d’avance sur les systèmes de sécurité disponibles sur le marché pour le grand public, ils réussissent les attaques furtives. Le livre blanc indique que les personnes responsables de la sécurité du réseau ne se préoccupent pas beaucoup des attaques furtives, car la tendance générale de la plupart des gens est de résoudre les problèmes plutôt que de les prévenir ou de les contrer.

Lis: Qu’est-ce que Replay Attack et comment l’empêcher ?

Comment contrer ou prévenir les attaques furtives

L’une des meilleures solutions suggérées dans le livre blanc de McAfee sur les attaques furtives consiste à créer des systèmes de sécurité en temps réel ou de nouvelle génération qui ne répondent pas aux messages indésirables. Cela signifie garder un œil sur chaque point d’entrée du réseau et évaluer le transfert de données pour voir si le réseau communique uniquement avec serveurs/nœuds qu’il devrait. Dans les environnements d’aujourd’hui, avec le BYOD et tout, les points d’entrée sont bien plus nombreux que les anciens réseaux fermés qui ne dépendaient que de connexions filaires. Ainsi, les systèmes de sécurité doivent être en mesure de vérifier les points d’entrée du réseau filaire et surtout sans fil.

Une autre méthode à utiliser conjointement avec ce qui précède consiste à s’assurer que votre système de sécurité contient des éléments capables d’analyser les rootkits à la recherche de logiciels malveillants. Comme ils se chargent avant votre système de sécurité, ils constituent une bonne menace. De plus, puisqu’ils sont en sommeil jusqu’à ce que « le temps est venu pour une attaque“, ils sont difficiles à détecter. Vous devez embellir les systèmes de sécurité qui vous aident à détecter ces scripts malveillants.

Enfin, une bonne quantité d’analyse du trafic réseau est nécessaire. La collecte de données au fil du temps, puis la vérification des communications (sortantes) vers des adresses inconnues ou indésirables peuvent aider contrer/empêcher attaques furtives dans une bonne mesure.

C’est ce que j’ai appris du livre blanc de McAfee dont le lien est donné ci-dessous. Si vous avez plus d’informations sur ce que sont les attaques furtives et comment les prévenir, veuillez les partager avec nous.

Références:

• CISCO, Livre blanc sur les attaques furtives
• The Dark Visitor, Plus d’informations sur AntiCNN.exe.