| Les motivations des attaquants sont diverses. Les plus répandues sont le gain financier, la gloire personnelle, la malveillance ou encore l’espionnage.Quelle que soit la finalité de l’attaque, cette dernière passe le plus souvent par la compromission d’un système. Pour parvenir à leur fin, les attaquants disposent d’un large arsenal comprenant le contournement des mécanismes de sécurité, l’accès physique à la machine ou encore l’exploitation de vulnérabilités.Au sein de cet arsenal, l’exploitation de vulnérabilités constitue sans aucun doute le principal vecteur d’intrusion. Les méthodes d’infection employées peuvent alors prendre différentes formes :• Infection par média amovible (CD, USB, cartes SD, …)
• Infection par e-mail (pièce jointe ou un lien malicieux notamment)
• Infection via le réseau interne (fichiers partagés)
• Infection par visite d’un site Web
Le « Watering Hole » fait partie de la dernière catégorie : «Infection par site Web », autrement appelé «Drive-By Download». Cette dernière repose sur le principe suivant :
- Création ou compromission d’un site Web par l’attaquant (accès à l’interface d’administration, compromission des régies publicitaires pour injecter du code au sein des publicités affichées, découverte d’une vulnérabilité de type XSS…)
- Dépôt du malware sur le site (Ex : code JavaScript offusqué s’exécutant au chargement de la page, iframe contenant un ActiveX ou un applet Java malicieux hébergé sur un autre site, …)
- Compromission de la machine cliente. La victime est incitée à se rendre ou redirigée de manière automatique sur le site Web hébergeant le malware. Son navigateur exécute le code malicieux et un malware est installé à son insu sur son poste de travail ou son Smartphone, très souvent de manière transparente. L’attaquant dispose alors d’un accès partiel ou complet sur l’appareil infecté.
Simple attaque de type « Drive-by Download » ?
La subtilité de cette attaque réside dans le choix des sites Web initialement compromis (cf étape 1). En effet, en fonction de la cible, le choix est principalement réalisé en fonction de la localité de l’entité ciblée ou en lien avec son métier.
Plusieurs cas concrets récents peuvent être cités en exemple :
- Professionnel : (politique/religieux/syndical…) Dans le cas d’Apple, de Microsoft ou de Facebook en février dernier, le site Web compromis était un site Web consacré au développement sur iPhone (iphoneDevSDK), site susceptible d’être visité par les développeurs des trois sociétés. La population cible peut également être plus restreinte comme l’illustre la compromission du site « http://www.rferl.org (Radio Free Europe Radio Liberty) ».
- Géographique : En Septembre 2012 lors de l’attaque VOHO[1], les cybercriminels avaient compromis un site gouvernemental local au Maryland, celui d’une banque régionale dans le Massachusetts afin de compromettre les machines de populations spécifiques résidant ou travaillant dans les localités ciblées.
- Et pourquoi pas Personnel : Il est tout à fait possible de voir le site du club de sport ou de musique où les enfants de la victime sont inscrits, être compromis…
Pourquoi utiliser cette méthode plutôt qu’une autre ?
En comparaison de l’envoi de phishing par exemple, cette méthode présente de nombreux avantages pour les attaquants :watering hole – scalable
Scalable :
Elle permet de couvrir un grand nombre de victimes « facilement ». Le «Drive-By Download» est largement utilisé dans le domaine de la #cybercriminalité permettant de compromettre un très grand nombre de machine rapidement ;
L’exploitation de vulnérabilités Java ou Adobe Flash récentes, peuvent permette de contourner les mécanismes de cloisonnement au sein des navigateurs Web et ainsi de couvrir de nombreux systèmes d’exploitation et navigateurs Web vulnérables différents
Efficace :
Couplée avec l’exploitation d’une vulnérabilité de type « 0-day », le taux d’infection peut être très élevé. Le rapport sur la campagne « VOHO »[2] publié par RSA et portant sur des attaques par « Watering Hole » recensait 32 160 machines infectées appartenant à 731 organisations pour un taux d’infection de 12%.
Discret :
Aucune action de l’utilisateur n’est nécessaire si ce n’est d’aller visiter ses sites Web habituels. L’absence de signaux rend également l’identification de la source de l’infection difficile. Enfin, la possibilité de filtrer les postes infectés (classe IP, langue du navigateur, localité …) permet de restreindre les dommages collatéraux et donc de limiter la visibilité de l’attaque.
Cette méthode présente cependant un certain nombre d’inconvénients :
- Potentiellement, une phase de reconnaissance, consistant à identifier sur quels sites se rendent les futures victimes
- Une phase de compromission de sites légitimes est nécessaire : les attaquants peuvent cependant identifier les sites vulnérables via des scans automatisés.
- Les attaquants doivent réaliser une analyse post-infection afin de déterminer, pour chaque poste compromis, quel type de profil a été infecté et si le profil correspond à la cible (société, fonction, …)
A noter que le filtrage effectué afin de réduire le périmètre des postes compromis émergent également au sein des attaques par phishing.
Quels sont les mécanismes de défense ?
Face à ce type de menace, il n’existe pas de solution « miracle ». Il convient donc d’appliquer des bonnes pratiques afin de limiter les risques d’infection et d’être réactif en cas de compromission :
- [Mise à jour du parc] – On constate que les vulnérabilités exploitées sont le plus souvent liées aux technologies Java ou à Adobe Flash. A minima, il convient de maintenir à jour le parc applicatif. Cependant, cette mesure peut ne pas être suffisante (cas des 0-day). Nous recommandons donc de les désinstaller lorsqu’ils ne sont pas nécessaires.
- [Filtrage Web] – Mettre à jour régulièrement en ajoutant automatiquement et au besoin manuellement les sites connus comme hébergeant des malwares au sien des listes noire des équipements de filtrage Web (nécessite de disposer d’un service de veille). De manière plus radicale, il est envisageable d’imposer la navigation Web pour des populations sensibles depuis des postes séparés du reste du réseau de l’entreprise.
- [Durcissement des postes] – Des mécanismes de contournement peuvent également être mis en place. Pour Java par exemple, il est possible de configurer le niveau de sécurité sur « high » de manière à n’exécuter les applets non signés qu’après validation manuelle de l’utilisateur. Des mesures similaires peuvent être appliquées sur le plug-in Flash. Il est aussi possible de pousser des plugins comme « NoScript » afin d’interdire l’exécution de code JavaScript, Flash, Java …
Conclusion
La compromission par « Watering Hole » partage les mêmes objectifs que par « spear-phishing » et la même méthode d’infection que les attaques par « Drive-by download ».
Cette combinaison est ainsi surtout utilisée pour des attaques cherchant à s’introduire au sein d’une organisation, quel que soient les postes compromis.
Avec le temps et grâce aux campagnes de sensibilisations, les utilisateurs et en particulier les populations VIP sont de plus en plus précautionneuses quant à l’ouverture des pièces jointes aux courriels. Les attaques par « Spear-phishing » sont ainsi complétées par des attaques de type « Watering-Hole » qui ne nécessitent aucune action de la part de la victime si ce n’est de visiter ses sites Web habituels…
|
