Devis
Contact

Mouvement latéral : la discrétion au cœur de cyberattaques d’ampleur

Les cybercriminels emploient différentes techniques d’attaques, selon l’organisation ciblée et l’objectif visé. L’effet spectaculaire et paralysant immédiat sera parfois recherché, dans le cadre d’attaques par déni de service distribué, DDoS, contre des sites web par exemple. Dans le cas de bien des cyberattaques cependant, la technique consiste à rester le plus discret possible dans un premier temps, pour mieux tromper la vigilance de l’organisation en question.

Le cyber attaquant se faufile dans le système, s’y cache et progresse discrètement. Décryptage d’un mode opératoire encore trop souvent méconnu : le mouvement latéral.

Mouvement latéral : définition

Expression clé en matière de cybersécurité, le déplacement latéral, mouvement latéral ou latéralisation, ou encore lateral movement, désigne un processus par lequel un cyber attaquant se déplace de manière furtive au sein du réseau d’une organisation, pour accéder à ses ressources sensibles.

L’attaque par mouvement latéral consiste à progresser non pas directement vers l’objectif, mais au gré des vulnérabilités du système. Le but pour l’attaquant : ne pas se faire remarquer pour progresser tranquillement vers les profondeurs du système informatique.

Comment se passe un mouvement latéral ?

Tout commence par une faille dans le système informatique, qui constitue une porte d’entrée pour le cybercriminel : une machine infectée par un logiciel malveillant connectée au réseau, des identifiants trop facilement volés, le port ouvert d’un serveur…  De ce point de départ, l’attaquant pénètre dans le réseau. Le mouvement latéral cyber va commencer.

Entrée dans le réseau et reconnaissance

Le cyber attaquant obtient un premier accès au système, par phishing ou vulnérabilité logicielle par exemple, et étudie le terrain. Pendant cette phase d’observation, le hacker tente de cartographier le réseau.

Il cherche à  comprendre les conventions de dénomination de l’hôte, la structure hiérarchique du réseau, les systèmes d’exploitation. L’attaquant identifie aussi les faiblesses potentielles, souvent au niveau des endpoints, “points de terminaison”, particulièrement aptes à comporter des vulnérabilités et à devenir points de propagation.

Après avoir trouvé l’accès à un premier endpoint, le cybercriminel peut se faire passer pour un utilisateur et progresser jusqu’à sa cible. Commence alors l’escalade  des privilèges.

Escalade des privilèges

Le cybercriminel doit à ce stade débloquer les accès à un maximum de points d’entrée du système pour pouvoir être “partout”, et toujours plus dur à détecter .

Le pirate informatique se déplace souvent par sauts d’une faiblesse à l’autre, de manière opportune, ce qui rend sa progression difficile à prédire et schématiser.

Il exploite de plus des privilèges existants : le cyber attaquant se fait passer pour un utilisateur légitime et se déplace sur le réseau en collectant identifiants de connexion et données nécessaires, jusqu’à ce qu’il atteigne son objectif et procède au dépôt de la charge finale : la manœuvre qui permettra la perturbation du système ou le vol de données sensibles.  

Dépôt de la charge finale

Une fois les données sensibles atteintes, l’attaquant procède à l’implantation d’une “charge utile” dans le réseau cible, comme un logiciel malveillant ou une backdoor pour contrôler ou perturber le système à distance, maintenir un accès, voler des données.

Outils et exemple de mouvement latéral

Les cybercriminels s’appuient en général sur des outils externes, généralement open source, et détournés de leur vocation première pour analyser ports, connexion, techniques en phases de reconnaissance :  PowerShell, Netstat, IPConfig/IF.

Les outils du déplacement latéral

Plusieurs outils ont été identifiés à différents stades des attaques avec déplacement latéral. Leur détection nécessite une surveillance professionnelle quotidienne du réseau informatique dans sa globalité.

Enregistreurs de frappe

Aussi appelés keylogger, ces logiciels enregistreurs de frappe permettent aux cybercriminels d’enregistrer secrètement toutes les frappes au clavier sans le consentement de l’utilisateur. Certains sont installés physiquement sur le clavier de la machine cible. Ils permettent aux pirates informatiques de récupérer les mots de passe “en direct” lorsque l’utilisateur les saisit.

Pass the Ticket

Basée sur le protocole Kerberos, Pass the ticket désigne un protocole d’authentification réseau reposant sur des clés secrètes et l’utilisation de tickets. L’idée : éviter toute interception.

Les outils de type Mimikatz

Mimikatz peut être utilisé pour voler des mots de passe mis en cache et des certificats d’authentification.

Pass the hash

La technique Pass the hash consiste à contourner les processus d’identification standard en récupérant des hachages de mots de passe valides stockés sur un système compromis. Le hachage transforme un mot de passe en une valeur alphanumérique.

ARP spoofing ou ARP poisoning

L’exploitation du cache ARP, par ARP spoofing ou ARP poisoning, est également citée pour perturber le protocole ARP et détourner les adresses IP.

Cobalt Strike cracké

Enfin, Cobalt Strike (version pirate) et ses beacon loaders, détourné de sa vocation première, la sécurité informatique, a également fait parler de lui suite à l’attaque SolarWinds. Cobalt Strike est au départ un outil de test de pénétration utilisé par les professionnels de l’informatique et chercheurs en sécurité pour évaluer la résilience d’un réseau ou d’un système informatique aux attaques.

La détection d’une instance de ce type nécessite une surveillance constante du trafic réseau.

L’attaque SolarWinds : un mouvement latéral sur plusieurs années

Le déplacement latéral a été utilisé dans l’une des plus grandes cyberattaques au monde, l’attaque de SolarWinds par le groupe de pirates informatiques russes Cozy Bear. Huit agences gouvernementales américaines et une centaine d’organisations privées ont été touchées par les cybercriminels.

Comment les attaquants ont-ils pu échapper à la vigilance des équipes de sécurité  Microsoft, Cisco et d’agences gouvernementales ? Comment l’attaque  a-t-elle pu passer inaperçue pendant des mois ? Le malware Sunburst aurait été transmis par une mise à jour infectée du logiciel Orion. Les chercheurs ont aussi découvert qu’un autre malware, Sunspot, non détecté auparavant, était déjà diffusé via une mise à jour test de 2019.

Cobalt Strike est l’un des outils ayant rendu possible cet espionnage de longue durée. Deux chargeurs, Raindrop et Teardrop, auraient été utilisés pour le diffuser dans la chaîne d’approvisionnement SolarWinds.

Le chargeur, ou beacon, est un composant utilisé pour implanter un agent de commande et de contrôle sur un système cible et établir une connexion avec le serveur de commandes et de contrôle Cobalt Strike, en utilisant une adresse IP ou un nom de domaine spécifique et un port préconfiguré. Une fois connecté, le chargeur reçoit des instructions du serveur Cobalt Strike : commandes pour collecter les données ou exécuter des scripts et augmenter les niveaux de privilèges. Le chargeur peut aussi devenir point d’entrée et permettre au pirate informatique d’étendre son emprise sur le système.

Caractéristiques du déplacement latéral

Un processus souvent manuel

Bien que certaines procédures de piratage soient automatisées, la plupart des déplacements latéraux se font manuellement. Les attaquants conservent ainsi une certaine agilité en cas de contre-mesures de sécurité appliquées par les administrateurs du système. Et c’est ce qui les rend si difficiles à détecter.

Une latence virale

S’il n’est pas correctement neutralisé dès le départ, le mouvement latéral permet au cybercriminel de maintenir l’accès au réseau, même une fois détecté. Il reste discret pour tromper la vigilance de son hôte : le vol de données n’intervient parfois que plusieurs mois ou plusieurs années après l’infection première. C’est ce qui s’est passé pour SolarWinds.  

Comment détecter un déplacement latéral ?

La détection d’une latéralisation est difficile. Il s’agit d’établir une corrélation entre événements d’authentification anormaux, comportements suspects, demandes d’accès anormales, et bien sûr la détection d’outils malveillants.

La prévention des attaques par déplacement latéral

Le déplacement latéral intervient avant le dépôt de la charge finale, qu’il s’agisse d’un malware, d’un ramsomware, ou d’autres outils malveillants. La prévention du mouvement latéral lui-même est donc essentielle pour limiter les dommages.

Si chaque système informatique a ses spécificités et nécessite un audit et une solution sur-mesure pour réduire au maximum les risques, tous les systèmes doivent obéir à quelques exigences “de base” pour avoir une chance de limiter les dégâts.

Maintenir parc informatique et logiciels à jour

Évitez les faiblesses liées aux machines et logiciels obsolètes. Ne pas appliquer mises à jour et correctifs revient aussi à s’exposer à des risques importants. Pour lutter contre ce type d’attaque, il peut également être nécessaire de mettre en place une solution intégrant des fonctionnalités d’analyse comportementale, gérée par un prestataire informatique expert.

Mettre en place un plan de sécurité adapté

Un plan de sécurité informatique permet une détection précoce de l’activité suspecte grâce aux journaux d’audit et alertes de sécurité, comme d’isoler les systèmes ou comptes compromis pour bloquer la progression du cyber attaquant. Enfin, il implique une analyse des faiblesses du système grâce aux tests régulièrement effectués.

Maîtriser le timing et avoir conscience de l’urgence

Le temps est un facteur déterminant de l’ampleur d’une cyberattaque.

Temps de propagation

On appelle temps de propagation le temps nécessaire à un cyber attaquant pour amorcer un déplacement latéral au sein du réseau depuis une machine. Celui-ci serait d’environ deux heures.

Temps de déclenchement

Le temps de déclenchement des contre-mesures est un indicateur clé pour la cybersécurité. Il comprend :

  • le délai nécessaire pour détecter l’intrusion ;
  • le délai nécessaire pour enquêter et trouver la solution
  • le délai nécessaire pour répliquer et supprimer le risque.

La règle des 1-10-60

La règle des 1-10-60 en cybersécurité signifie :

  • 1 : détecter une intrusion en moins d’une minute
  • 10 : enquêter en moins de dix minutes
  • 60 : neutraliser et sortir l’attaquant du système en moins de 60 minutes.

La règle des 1-10-60 VISE vise à repousser l’attaque avant que le cybercriminel n’ait eu le temps de quitter son point d’entrée dans le système informatique : avant toute tentative de déplacement latéral au sein du système.

Toute la complexité du déplacement latéral tient à la composante humaine et à son caractère aussi difficilement détectable que prévisible. Une fois les privilèges d’administration obtenus, il peut être difficile de discerner une anomalie dans le trafic réseau quotidien. Chaque organisation nécessite une cybersécurité sur-mesure, prenant en compte tous les facteurs techniques et humains. Celle-ci passe par une infogérance informatique professionnelle au quotidien, pour réduire au minimum les risques associés aux différents droits d’accès et plateformes, mais aussi à l’obsolescence des équipements informatiques et à la méconnaissance des bonnes pratiques de cybersécurité de la part des usagers.

Découvrir notre offre !

Toute notre expertise dans un contrat cadre, une configuration de service sur mesure
Cliquez ici
Nous contacter

Nous suivre

Nous rejoindre

Nous sommes une entreprise d’infogérance spécialisée pour les PME de 1 à 200 collaborateurs. Pour renforcer l’équipe :

Postuler

Notre blog