CYBERSECURITE _ Les infos qu'il ne fallait pas manquer (Ep 8) _ Actualité de la semaine _ CIA, MSI

Mot 2 Passe

17/05/2023

Cybersécurité : Principales vulnérabilités.

Catégorie

🗞

News

Transcription

Afficher la transcription complète de la vidéo

00:00 Hello hello, j'espère que tu vas bien dans cette vidéo, je vais te partager dans les

00:03 détails l'actualité cyber décadée des derniers jours.

00:06 Comme d'habitude, je parlerai uniquement des principaux éléments.

00:08 Netlab360 a publié un article intéressant qui parle de XDR33, une variante de Hive,

00:15 le malware créé par la CIA.

00:17 L'objectif principal de XDR33 est de collecter des informations sensibles et fournir un point

00:22 d'entrée pour de futures intrusions.

00:24 XDR33 utilise XTEA ou AES pour le chiffrement du trafic.

00:28 XDR33 utilise également SSL/TLS pour l'authentification du client et du serveur.

00:33 Voici l'infrastructure pour la génération des certificats.

00:36 Une autorité va générer les certificats de XDR33 et le certificat du serveur du pirate.

00:41 Le certificat de XDR33 ressemble à ceci.

00:43 Puis voici le certificat du serveur où tu peux voir qu'il se fait passer pour Kaspersky.

00:48 Et ceci est le certificat de l'autorité qui utilise les paramètres du malware Hive

00:52 de la CIA.

00:53 Les certificats ont été émis à partir du 7 octobre 2022 dont l'attaque a certainement

00:58 commencé en octobre 2022.

01:00 Ensuite, deux principales tâches sont utilisées par XDR33, le beacon et le trigger.

01:05 Le beacon de XDR33 va collecter périodiquement des informations systèmes sur le PC de la

01:10 victime comme la configuration réseau, les services exécutés, les connexions et la

01:14 table de routage.

01:15 Voici un exemple du code qui vérifie la date de démarrage de la machine.

01:19 Ces informations sont envoyées dans une archive BASIP puis seront chiffrées avec XTEA et

01:25 envoyées sur le serveur du pirate.

01:26 En fonction des informations collectées, le serveur du pirate peut par exemple demander

01:30 le téléchargement d'un fichier, la suppression, le lancement d'un shell, etc.

01:35 XDR33 va utiliser un déclencheur afin de rechercher certains mots-clés sur le trafic

01:40 généré par la carte réseau.

01:41 Si un mot-clé spécifique est identifié, une connexion est établie avec le serveur

01:45 du pirate.

01:46 Ce serveur va ensuite envoyer des instructions sur le PC de la victime.

01:49 Parmi ces instructions, on retrouve le téléchargement d'un fichier, l'exécution d'une commande,

01:54 l'exécution d'un shell, etc.

01:55 Le département de la justice américaine et plusieurs pays européens dont la France

02:06 ont participé à l'arrestation d'Anatoly Lekhodimov, aussi appelé Gandalf ou Tolik,

02:11 c'est le cofondateur de la plateforme d'échange de crypto-monnaies Bitslato.

02:15 Cette plateforme aurait permis de blanchir plus de 700 millions de dollars à travers

02:20 le darknet Hydra, un site qui permettait d'acheter ou vendre des produits illicites.

02:24 Hydra a d'ailleurs été fermé en avril 2022.

02:26 Il est reproché à Anatoly Lekhodimov de ne pas avoir suffisamment vérifié l'identité

02:31 des utilisateurs, ce qui a permis à plusieurs cybercriminels d'utiliser sa plateforme

02:35 entre 2018 et 2022.

02:36 Avant de te présenter la prochaine actu, n'oublie pas de t'abonner et liker la vidéo

02:40 si tu aimes ce contenu.

02:42 Je travaille dans la cybersécurité depuis quelques années et je partage quelques astuces

02:45 sur ce domaine et sur les technologies en général et je publie une à deux vidéos

02:48 par semaine.

02:49 Des chercheurs de Bitdefender ont publié un article intéressant sur iSpy qui espionne

02:54 les utilisateurs du service VPN 20speed.

02:57 Petite parenthèse, 20speed n'est plus disponible sur Google Play, le déploiement de ce malware

03:02 a commencé en mai 2022.

03:03 La source de cette attaque est en Iran, les victimes sont en Allemagne ou aux Etats-Unis.

03:08 Voici un résumé des fichiers utilisés par ce spyware pour se déployer rapidement.

03:12 Tout commence avec ce fichier qui contient le vrai client VPN de 20speed.

03:16 Il y a un deuxième outil, syscert.exe qui contient le logiciel malicieux.

03:21 Syscert va lancer plusieurs fichiers BAT qui vont vérifier l'existence de certaines

03:26 applications.

03:27 Puis syshourly va faire appel à sysbus32 dont l'objectif est de collecter des données

03:31 sur le PC de la victime puis envoyer ses informations sur le serveur FTP du pirate.

03:37 Upt32 va permettre de se connecter au serveur FTP du pirate.

03:44 Leepcache32 contient un keylogger qui va enregistrer les touches du clavier dans un fichier boot.tmp.

03:50 Leeptemp32 enregistre le contenu du presse-papier dans sys.tmp.

03:55 Leepchrome.exe va interroger la base de données de Google Chrome pour récupérer les mots

04:00 de passe et les identifiants.

04:01 Sysclean va supprimer quelques fichiers du pirate pour effacer des traces.

04:06 Sysup32 va envoyer des informations collectées sur le serveur FTP du pirate.

04:11 En résumé, l'objectif d'IcePy est d'enregistrer les touches du clavier, récupérer les mots

04:15 de passe et les identifiants, les porte-monnaie numérique de crypto-monnaie, etc.

04:19 Trend Micro a découvert qu'il était possible d'utiliser GitHub Codespace et un code GitHub

04:25 légitime afin de créer un serveur de fichiers malveillants.

04:27 GitHub Codespace permet aux développeurs de créer, de modifier et d'exécuter du

04:31 code directement depuis leur navigateur web.

04:33 En fait, GitHub Codespace va mettre en place une machine virtuelle préconfigurée pour

04:38 réaliser des projets JavaScript, Python et Ruby.

04:40 En d'autres termes, GitHub Codespace est un environnement de développement cloud.

04:44 94 millions de développeurs utilisent cette plateforme et chaque développeur dispose

04:49 de 60 heures gratuites par mois.

04:51 Pour te donner une idée, voici les prix en fonction de la machine virtuelle sélectionnée

04:54 ou en fonction du nombre de développeurs et du nombre d'heures.

04:58 Parmi les fonctionnalités de GitHub Codespace, il est possible de créer des numéros de

05:01 port pour accéder à l'application web créée et réaliser quelques tests.

05:05 Deux accès sont possibles.

05:07 L'accès privé fonctionne pour les membres d'une même organisation.

05:10 Dans ce cas, l'authentification est faite via un cookie sur le navigateur.

05:13 Ce cookie a une durée de 3 heures.

05:15 Pour l'accès public, il n'y a pas d'authentification et c'est dans ce cas que des pirates peuvent

05:19 déposer des scripts ou des malwares sur la machine qui est bêche de leur code.

05:22 Voici un résumé des tests réalisés par Trend Micro pour simuler une attaque.

05:26 Ils ont commencé par créer un conteneur Docker.

05:29 C'est une application qui va isoler certaines ressources sur un système d'exploitation.

05:33 Dès que Docker est prêt, le GitHub Codespace sera créé.

05:36 A partir de ce Codespace, il est possible de télécharger un fichier malicieux.

05:40 Ensuite, le Codespace sera rendu public.

05:43 On a donc un serveur web qui héberge un malware.

05:45 A partir de cet instant, le pirate va utiliser cette infrastructure pour déployer le malware

05:50 ou il peut manipuler le port partagé pour s'infiltrer et déployer du contenu malveillant

05:56 dans l'environnement GitHub d'une victime.

05:58 David Potokhi a publié un article intéressant sur le Secure Boot du constructeur MSI.

06:03 Petite parenthèse, le Secure Boot ou démarrage sécurisé est une fonctionnalité sur le

06:08 BIOS ou UEFI qui permet qu'un ordinateur démarre uniquement les logiciels approuvés

06:13 par le constructeur de l'ordinateur.

06:15 L'objectif ici est d'éviter le démarrage d'un logiciel malveillant.

06:18 Sur le BIOS de son PC MSI, David a constaté que le Secure Boot était à Always Execute

06:24 pour ses 4 paramètres.

06:25 En deux mots, ce sont des paramètres qui permettent de dire si le BIOS fait confiance

06:29 ou pas à des logiciels ou des pilotes non signés.

06:31 Par exemple, l'option ROM est un logiciel qui essue la mémoire morte au ROM.

06:36 Ce logiciel permet d'initialiser un périphérique pour que tu puisses regarder des vidéos ou

06:40 utiliser ta carte réseau.

06:42 Pour Removable Media et Fixed Media, il est recommandé de le fixer à Deny Execute pour

06:47 démarrer uniquement les logiciels de confiance.

06:49 Voici les autres options disponibles.

06:51 David Botocki a fait un script qui liste les cartes mères MSI impactées par cette configuration.

06:56 Je mettrai le lien de cette page dans la description.

06:59 Pour finir, MSI a publié un message sur Reddit.

07:02 Ils utilisent Always Execute dans le Secure Boot pour faciliter l'expérience utilisateur.

07:06 Ils vont publier une nouvelle version du BIOS avec Deny Execute dans le Secure Boot.

07:10 Voilà, c'est tout pour cette vidéo sur l'actu décalée sur la cybersécurité.

07:14 J'espère que tu as aimé ce contenu.

07:15 En attendant la prochaine actu, je te recommande cette autre vidéo.

07:18 A bientôt.

07:19 [Musique]

Recommandations