Les pirates n’utilisent plus de malwares

[Drapy]

<r><GLOW glow="red"><s>[glow=red]</s></GLOW><ALIGN align="center"><s>

</s><GLOW glow="red"><SIZE size="200"><s></s><B><s></s>les pirates n’utilisent plus de malwares<e></e></B><e></e></SIZE></GLOW><e>

</e></ALIGN><i>[/glow]</i><br/>

<ALIGN align="center"><s>

</s><URL url="http://zupimages.net/viewer.php?id=19/05/bs3n.jpg"><s></s><IMG src="https://zupimages.net/up/19/05/bs3n.jpg"><s>[img]</s>https://zupimages.net/up/19/05/bs3n.jpg<e>[/img]</e></IMG><e></e></URL><e>

</e></ALIGN>

<br/>

<ALIGN align="justify"><s>

</s>Les pirates qui pénètrent le réseau d’une entreprise afin de lui dérober ses secrets n’utilisent plus rien qui soit détectable par les systèmes de protection classiques. Selon Department Of Home Security et le FBI, les cyber-assaillants seraient parvenus à remonter jusqu’aux consoles de contrôle des équipements industriels SCADA en trompant la vigilance de toute une succession de salariés, à commencer par ceux de prestataires qui ne travaillaient même pas dans les centrales. Ils leur ont tantôt envoyé des e-mails de phishing Office 365 avec des URL aléatoires, tantôt avec des pièces attachées inoffensives – un CV pour une candidature fictive, un catalogue de produits dans le cadre d’une démarchage commerciale. Les collaborateurs de l'entreprise téléchargeaient un fichier de mise en forme tout autant inoffensif, mais depuis des serveurs SMB détenus par les pirates. Le protocole SMB de Microsoft capturant au passage l’identifiant Windows des destinataires qui consultent ces pièces, les pirates ont pu reconstituer parfois l’e-mail de collaborateurs de confiance, parfois le login de personnes ayant accès à des serveurs de partage, sur lesquels il n’y avait plus qu’à déposer de nouvelles pièces.</ALIGN>


<FLOAT float="right"><s>[float=right]</s><ALIGN align="justify"><URL url="http://zupimages.net/viewer.php?id=19/05/ox8m.png"><s></s><IMG src="https://zupimages.net/up/19/05/ox8m.png"><s>[img]</s>https://zupimages.net/up/19/05/ox8m.png<e>[/img]</e></IMG><e></e></URL></ALIGN><e>[/float]</e></FLOAT><ALIGN align="justify">
<br/>
<br/>
Au fur et à mesure que ces pièces étaient ouvertes et qu’elles enrichissaient la récolte de logins via SMB, les pirates ont su remonter à tâtons jusqu’à des PC présents sur les réseaux internes des industriels. De là, ils ont pu créer des comptes administrateurs leur donnant des accès distants en n’utilisant que les commandes Windows : PsExec.<e>

</e></ALIGN>

<br/>
<SIZE size="85"><s></s><I><s></s><U><s></s>Sources :<e></e></U><br/>
<URL url="https://www.linformaticien.com/dossiers/securite-du-poste-de-travail.aspx"><LINK_TEXT text="https://www.linformaticien.com/dossiers ... avail.aspx">https://www.linformaticien.com/dossiers/securite-du-poste-de-travail.aspx</LINK_TEXT></URL><br/>
<URL url="https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/#psexec"><LINK_TEXT text="https://blog.ropnop.com/using-credentia ... es/#psexec">https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/#psexec</LINK_TEXT></URL><e></e></I><e></e></SIZE></r>