Introduction
Cet article fait partie d’une série traitant des différentes techniques et tactiques du cadre MITRE ATT&CK.
MITRE ATT&CK
Dans l’univers complexe et en constante évolution de la cybersécurité, il existe un cadre que les professionnels utilisent pour naviguer à travers le labyrinthe des cyberattaques : le cadre MITRE ATT&CK. Imaginez-le comme une carte détaillée, répertoriant avec précision les tactiques, techniques et procédures (TTP) utilisées par les cyberattaquants du monde entier. Ce n’est pas simplement un outil ; c’est une encyclopédie des stratagèmes malveillants, conçue pour éclairer et guider les défenseurs dans leur quête de sécurité.
Au cœur de cette lutte se trouve la phase d’accès initial – le moment critique où les adversaires tentent de franchir pour la première fois le seuil de votre réseau ou de votre système. Ils peuvent envoyer un e-mail contenant une pièce jointe malveillante ou exploiter un service mal configuré et accessible au public. L’accès initial représente leur première démarche vers leurs objectifs, qu’il s’agisse du vol d’informations sensibles ou du sabotage de systèmes critiques.
Dans la suite de cet article, nous allons explorer cette étape cruciale, en détaillant une méthode permettant d’exploiter un manque de durcissement système. Cela permet aux attaquants d’exécuter un fichier malveillant en profitant des clics des utilisateurs par inadvertance.
Anatomie de l’attaque
Que se passe-t-il au moment d’un double-clic sous Windows ?
Vous avez certainement déjà cliqué sur un fichier PDF et remarqué la différence de comportement selon l’environnement : parfois il est affiché dans votre navigateur par défaut, d’autres fois dans un lecteur PDF comme Acrobat Reader.
Lorsqu’un utilisateur double-clique sur un fichier ayant une extension inhabituelle, comment Windows détermine-t-il avec quel programme l’ouvrir ?
La réponse à cette question se trouve dans les clés de registre, l’endroit où Windows stocke divers éléments de configuration. Sans entrer dans le détail de la structure de ces clés de registre, nous allons utiliser les outils assoc et ftype, qui permettent de les manipuler de manière conviviale. [1]
Sur cette illustration, on peut clairement voir que les fichiers .js sont associés au binaire WScript.exe.
Pourquoi est-ce dangereux ?
Le binaire WScript.exe permet d’exécuter des commandes système depuis les fichiers JavaScript, une action qui serait impossible depuis un navigateur.
L’illustration ci-dessous montre un exemple de code capable d’exécuter une commande système. [2]
Un utilisateur qui reçoit ce fichier et double-clique dessus verra sa calculatrice s’ouvrir. Cependant, un véritable attaquant ne se contenterait pas simplement d’ouvrir une calculatrice ; il pourrait aller plus loin en exécutant une charge malveillante.
La défense
Se protéger
Dans la section consacrée aux attaques, nous avons abordé uniquement les fichiers JavaScript. Cependant, il existe une multitude d’autres extensions dangereuses que nous ne pouvons pas toutes recenser dans cet article.
Parmi les exemples d’autres extensions à risque, on trouve : .cpl[3], .hta[4], .vbs[5], etc.
L’idéal serait de supprimer les associations inutilisées par vos utilisateurs pour se prémunir des clics par inadvertance. Pour ce faire, il suffirait d’exécuter la commande ci-dessous. [6]
Après l’exécution de cette commande en tant qu’administrateur, il devient désormais impossible d’exécuter les fichiers JavaScript.
Détecter
Les meilleures méthodes de détection sont celles adaptées à votre environnement ; il est donc primordial d’étudier les tendances des exécutions chez vos utilisateurs afin de construire des détections sur mesure.
Réferences
[1] Best way to get file type association in Windows 10 from command line?
[2] JavaScript/JScript
[3] Executing Code as a Control Panel Item through an Exported Cplapplet Function
[4] MSHTA
[5] Visual Basic
[6] How to change file associations from the command prompt
