Embed Size (px)
Citation preview
SECURITY REIMAGINED
REPORT
PRINCIPAUX TERMES UTILISÉS DANS SPEAR ATTAQUES DE PHISHING:Succès compromis les réseaux d’entreprise et voler des données
2 www.fireeye.com
Principaux termes utilisés dans Spear attaques de phishing: Succès compromis les réseaux d’entreprise et voler des données
SOMMAIRE
Résumé .................................................................................................................................................................................................................................................................................................................................................................... 3
Introduction ............................................................................................................................................................................................................................................................................................................................................... 3
Noms de fichiers.............................................................................................................................................................................................................................................................................................................................. 4
Les cinq principales extensions de fichiers ..............................................................................................................................................................................................................6
Conclusion ...................................................................................................................................................................................................................................................................................................................................................... 7
À propos de FireEye .............................................................................................................................................................................................................................................................................................................. 7
3 www.fireeye.com
Principaux termes utilisés dans Spear attaques de phishing: Succès compromis les réseaux d’entreprise et voler des données
RésuméDe nos jours, les cybercriminels produisent des logiciels malveillants (malware) avancés qui exploitent les systèmes et rendent possibles toute une série d’activités malveillantes, par ailleurs facilitées par la fragilité des défenses en place et l’intervention involontaire des utilisateurs finaux. La plupart de ces menaces avancées se propagent par le biais de messages électroniques comportant des pièces jointes malveillantes. Ce rapport se penche sur la nature des fichiers diffusés par les cybercriminels, en particulier ceux qui réussissent à contourner les moyens de protection classiques tels que les pare-feux traditionnels et de nouvelle génération, les systèmes de prévention des intrusions, les logiciels antivirus et les passerelles sécurisées. Il détaille les types de fichiers et les termes courants présents dans les noms de fichiers qui caractérisent ces logiciels malveillants. Nous espérons que ces observations permettront aux équipes de sécurité et aux utilisateurs de déjouer les pièges tendus par ces menaces avancées.
IntroductionMalgré les nombreux systèmes de protection conçus pour sécuriser la messagerie électronique, celle-ci reste un terrain fertile pour les cybercrimi-nels, et un point particulièrement vulnérable dans la plupart des entreprises. Les communications par courrier électronique constituent l’un des vecteurs d’attaques les plus fréquemment utilisés. Par ailleurs, les risques sont très importants. En effet, la messagerie électronique est non seulement le canal de distribution privilégié du spam et des logiciels malveillants de masse, elle est également le point de départ de nombreuses attaques liées à des menaces persistantes avancées. L’opération Aurora, le réseau GhostNet, l’attaque Night Dragon, l’intrusion dans les systèmes de RSA et la majorité des menaces persistantes avancées rendues publiques ont été initiées, au moins partiellement, par le biais de messages de harpon-nage personnalisés (spear phishing).
Si les cybercriminels continuent à utiliser ce type d’attaques, c’est avant tout parce qu’elles sont efficaces. Le dernier rapport FireEye sur les menaces avancées (1er semestre 2012) indique une augmentation de 56 % du nombre de messages malveillants entre le premier et le deuxième trimestre 2012. Il est important de souligner que cette progression ne concerne pas la totalité des e-mails malveillants diffusés, mais uniquement ceux qui parviennent à contourner les protections traditionnelles en place dans les entreprises.
FireEye est bien placé pour apporter un éclairage sur les activités de ces attaques ciblées avancées. Des centaines de clients partout dans le monde ont installé FireEye Malware Protection System™ (MPS). Nos solutions sont déployées derrière des pare-feux (traditionnels ou de nouvelle généra-tion), des systèmes IPS, des produits antivirus et des passerelles de sécurisation ; elles constituent ainsi la dernière ligne de défense pour les entre-prises. Elles mettent en oeuvre des appliances qui collectent automatiquement des informations sur les menaces qui sont ensuite regroupées, analysées et partagées. Toutes ces connaissances accumulées permettent à FireEye de présenter ses conclusions sur la nature des menaces avancées.
Le rapport se concentre sur les caractéristiques des logiciels malveillants avancés distribués via les pièces jointes des messages électroniques qui réussissent à contourner les défenses tradition-nelles. Les données présentées sont autant d’indications sur les attributs de ces menaces et sur les stratagèmes des cybercriminels — des renseignements précieux dont les équipes de sécurité et les utilisateurs peuvent tirer parti pour mieux cerner la nature des menaces actuelles. Nous insistons sur le fait que ces observations se rapportent exclusivement aux menaces avancées qui ont franchi avec succès les lignes de défense existantes. Il est donc fort possible que ces types de logiciels malveillants atteignent bientôt votre boîte de réception (si ce n’est déjà fait).
4 www.fireeye.com
Principaux termes utilisés dans Spear attaques de phishing: Succès compromis les réseaux d’entreprise et voler des données
Noms de fichiersLes cybercriminels qui distribuent des fichiers malveillants espèrent amener un destinataire innocent à télécharger ou à installer ces fichiers sur son ordinateur. Pour parvenir à leurs fins, ils recourent à une série de stratagèmes. L’étude des termes utilisés dans les noms de fichiers permet de mieux cerner ces ruses à l’efficacité avérée.
Les tableaux ci-dessous présentent les termes les plus courants qui apparaissent dans les noms des fichiers malveillants détectés par les solutions FireEye. Précisons à nouveau qu’il s’agit de termes utilisés dans le cadre d’attaques ayant échappé à la détection des mécanismes de sécurité informa-tique traditionnels.
Classement Terme
Pourcentage
de pièces
jointes
1 label (étiquette) 15.17
2 invoice (facture) 13.81
3 post (poste) 11.27
4 document 10.92
5 postal 9.80
6 calculations (calculs) 8.98
7 copy (copie) 8.93
8 fedex 6.94
9 statement (relevé) 6.12
10 financial (financier) 6.12
11 dhl 5.20
12 usps 4.63
13 8 4.32
14 notification 4.27
15 n 4.22
16 irs (fisc) 3.60
17 ups 3.46
18 no (non) 2.84
19 delivery (livraison, remise) 2.61
20 ticket 2.60
2e semestre 2011
Classement Terme
Pourcentage
de pièces
jointes
1 dhl 23.42
2 notification 23.37
3 delivery (livraison, remise) 12.35
4 express 11.71
5 2012 11.30
6 label (étiquette) 11.16
7 shipment (envoi) 9.88
8 ups 9.47
9 international 8.94
10 parcel (colis) 8.16
11 post (poste) 6.95
12 confirmation 5.81
13 alert (alerte) 5.80
14 usps 5.80
15 report (rapport) 5.79
16 jan2010 5.52
17 april (avril) 4.71
18 idnotification (notification ID) 3.60
19 ticket 3.58
20 shipping (expédition) 2.92
1er semestre 2012
*Note: Les tableaux ci-dessus indiquent les pourcentages de termes inclus dans les noms des pièces jointes malveillantes détectées par les appliances FireEye MPS. Remarque : la somme des pourcentages n’est pas égale à 100 % dans la mesure où le nom d’un fichier malveillant peut comporter plusieurs termes.
5 www.fireeye.com
Principaux termes utilisés dans Spear attaques de phishing: Succès compromis les réseaux d’entreprise et voler des données
Les prétendues notifications de livraison expresse sont l’un des moyens qu’utilisent les cybercriminels pour duper les utilisateurs. L’omniprésence de ces services, mais aussi l’urgence et l’importance qui y sont associées, incitent les utilisateurs à ouvrir les fichiers malveillants dont l’intitulé comprend des termes liés à l’expédition. Ce stratagème est parmi les plus courants. Les termes en rapport avec l’expédition et l’envoi postal totalisent plus de 26 % de présence dans les noms de fichiers malveillants. Sept termes parmi les dix plus fréquents identifiés au cours du premier semestre 2012 appartiennent à ces catégories. Voici quelques exemples de noms de fichiers utilisés par les cybercriminels : DHL document.zip, Fedex_Invoice.zip, ou encore Label_Parcel_IS741-1345US.zip.
Plusieurs tendances se sont dégagées entre le 2e semestre 2011 et le 1er semestre 2012. Ainsi, le pourcentage de noms de fichiers utilisant des termes en rapport avec l’expédition est passé de 19,20 % à 26,33 %. Parallèlement, le nombre de fichiers dont le nom comprend des termes associés à une notion d’urgence est passé de 1,72 % à 10,68 %.
Voici quelques catégories courantes :
• Urgence. Les termes traduisant une certaine urgence, tels que « confirmation », « alert » ou « notification » constituent la deuxième catégorie la plus fréquente. Ils peuvent appa-raître seuls ou, le plus souvent, combinés à des termes d’autres catégories telles que l’expédi-tion (p. ex. UPS-Delivery-Confirmation-Alert_April-2012_215759.zip) ou la taxation (p. ex. IRS-Penalty-Income- Tax-Warning-Notifica-tion-28306SUD4811L9JS.zip).
• Finance. Les références à des organismes financiers et à des transactions ou messages associés sont également fort courantes. Par exemple : VisaCard-N486102989.zip, PayPal.com_2012_Account_Update_Form.html et Lloyds TSB - Login Form.html.
• Taxation. Les références à des taxes et au fisc américain (IRS) sont également nom-breuses, p ex. Tax_Refund.zip, irspdf.zip et tax_return_form.pif.
SujetPourcentage
du total
Expédition 19.20
Banque/taxes 5.98
Urgence 1.72
Transport aérien 1.81
Facturation 4.98
2e semestre 2011
SujetPourcentage
du total
Expédition 26.33
Banque/taxes 3.83
Urgence 10.68
Transport aérien 2.45
Facturation 0.68
1er semestre 2012
*Note: Les tableaux ci-dessus montrent les cinq catégories de termes les plus couramment rencontrées dans les pièces jointes malveillantes.
6 www.fireeye.com
Principaux termes utilisés dans Spear attaques de phishing: Succès compromis les réseaux d’entreprise et voler des données
• Voyages. Les noms de fichiers censés se rapporter à des réservations de voyage (plus particulièrement à des réservations de vol), forment une autre catégorie importante. Des noms de fichiers tels que Ticket_American_Airlines_ID3457-144.zip, Delta_Air_Lines_Tick-et_ID271-3714.zip et A_Airline_Ticket_ID279-44-357US.zip ont souvent été identifiés.
• Facturation. Les termes évoquant des factures, des bons de commande et des documents sim-ilaires constituent une catégorie non néglige-able. Par exemple : Purchase Order 74457.zip, Invoice_ID757731.zip et Invoice_Copy.zip (« invoice » signifiant « facture » et « purchase order » correspondant à « bon de commande »).
Les cinq principales extensions de fichiersLes cybercriminels choisissent les extensions de leurs fichiers malveillants en fonction de l’évolution des systèmes de sécurité et des mécanismes de protection. Ainsi, les fichiers .EXE sont de moins en moins utilisés, alors qu’ils constituaient aupara-vant la majorité des pièces jointes malveillantes. Cette tendance s’explique par le fait que seul un pourcentage infime des fichiers .EXE parvient à
contourner les mécanismes de protection. De plus, ces types de fichiers déclenchent générale-ment des notifications de la part du système d’exploitation de l’ordinateur, invitant l’utilisateur à reconnaître le fichier et à en accepter l’installa-tion, ce qui réduit encore les chances de compro-mission du système ciblé.
De nos jours, les fichiers .ZIP constituent la grande majorité des fichiers malveillants avancés (76,91 %). La complexité de ces pièces jointes, qui peuvent contenir de nombreux fichiers de tous types, ainsi que la méconnaissance par les utilisateurs des risques qu’elles posent réellement, en font un instrument extrêmement efficace pour la distribution de logiciels malveillants et l’exploitation des systèmes.
Les fichiers PDF représentent également une menace considérable. Ils sont omniprésents et bien connus de tous. En outre, de nombreux utilisateurs ignorent que des logiciels malveillants peuvent se propager par leur entremise, et les mécanismes de défense conventionnels parviennent difficilement à détecter le code malveillant qui y est incorporé. Pour toutes ces raisons, les fichiers PDF sont une voie d’attaque très efficace.
Extensions Pourcentage
zip 85.79
exe 5.91
pif 2.67
scr 2.06
bat 1.79
2e semestre 2011
Topic Pourcentage
zip 76.91
pdf 11.79
exe 3.98
doc 2.67
pif 1.09
1er semestre 2012
*Note: Les tableaux ci-dessus détaillent les extensions, en pourcentage relatif, des fichiers malveillants détectés par les appliances FireEye MPS.
Principaux termes utilisés dans Spear attaques de phishing: Succès compromis les réseaux d’entreprise et voler des données
FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | 408.321.6300 | 877.FIREEYE (347.3393) | [email protected] | www.fireeye.com
© 2014 FireEye, Inc. Tous droits réservés. FireEye est une marque commerciale de FireEye, Inc. Tous les autres noms de marques, de produits ou de services sont ou peuvent être des marques commerciales ou des marques de service de leurs propriétaires respectifs. RPT.TWSP.FR.082014
ConclusionLes cybercriminels font appel à des termes évoquant des informations importantes et souvent urgentes (avis d’expédition, déclarations fiscales, situations de compte, confirmations de réservation de vol, etc.) pour susciter un sentiment d’urgence chez leurs victimes, dans l’espoir que cellesci s’empressent de télécharger le logiciel malveillant visant à exploiter leurs systèmes. Face à l’efficacité restreinte des fichiers .EXE, les cybercriminels utilisent doréna-vant des fichiers portant l’extension .ZIP, .PDF et autres pour contourner les mécanismes de sécurité traditionnels. Pour se prémunir contre ces attaques, il est indispensable de sensibiliser les utilisateurs aux dangers des logiciels malveillants avancés ainsi qu’aux formes qu’ils peuvent revêtir. Quant aux équipes de sécurité, elles ont besoin de technolo-gies sophistiquées capables de détecter et de bloquer les menaces avancées qui contournent les défenses conventionnelles. Particulièrement, le harponnage par message électronique devrait être expliqué aux utilisateurs, en insistant sur l’apparente authenticité de ces messages recou-rant à l’ingénierie sociale et en exposant tous les risques qu’ils posent. C’est pour cette raison que les entreprises se tournent désormais vers des technologies de protection contre les menaces de nouvelle génération.
À propos de FireEye FireEye propose les meilleures solutions du marché pour neutraliser les cyberattaques avancées qui combinent des logiciels malveillants sophistiqués, des exploits « zero-day » et les tactiques des menaces persistantes avancées. Les solutions FireEye complètent les pare-feux traditionnels et de nouvelle génération, les systèmes IPS, les antivirus et les passerelles, des outils qui à eux seuls sont incapables de repousser les menaces évoluées, laissant ainsi des brèches de sécurité dans les réseaux. FireEye propose en outre la seule solution en mesure de détecter et de bloquer les attaques exploitant le Web et la messagerie électronique comme vecteurs ainsi que les logiciels malveillants latents résidant sur les partages de fichiers. Cette solution couvre toutes les phases du cycle de vie des attaques au moyen d’un moteur sans signatures qui utilise l’analyse dynamique pour détecter les menaces « zero-day ». Établi à Milpitas, en Californie, FireEye est soutenu par des partenaires financiers de premier plan, dont Sequoia Capital, Norwest Venture Partners et Juniper Networks.
