Les menaces persistantes avancées (APT) sont conçues pour se propager, se transformer et se dissimuler au sein d’une infrastructure informatique en vue de perpétrer une attaque à long terme, créant ainsi un danger majeur pour la sécurité des données de l’entreprise. Qu’il s’agisse des plus grandes banques mondiales, d’une entreprise gérant des hôpitaux ou d’une aciérie allemande, aucun secteur n’est à l’abri des malwares et des attaques APT comme le prouve l’histoire.
Les malwares et les APT utilisent couramment le système de noms de domaines (DNS) comme mécanisme de communication pour ces attaques. Pourtant, de nombreuses entreprises ne prennent pas les précautions nécessaires pour détecter et neutraliser ces types d’attaques, alors qu’il suffit de faire appel à un outil très simple et à leur disposition : le DNS lui-même.
DNS : la cible parfaite
Clé de voûte d’Internet, le DNS est une cible idéale pour les cybercriminels. Toutes les entreprises en ont besoin pour fonctionner, que ce soit pour maintenir un site Web en ligne ou pour communiquer par e-mail ou par VoIP. Pivot de l’architecture réseau, si le DNS tombe en panne, il expose non seulement l’ensemble de l’entreprise à un piratage et à une fuite de données mais également à un important préjudice financier.
De plus, il attire particulièrement les pirates car son protocole, particulièrement permissif, facilite l’exploitation des failles. En effet, lors de sa création il y a plus de 30 ans, les concepteurs n’auraient jamais imaginé que ce protocole de transfert d’information à haute performance puisse servir de vecteur pour des attaques. C’est pourquoi il est si crucial de protéger le DNS pour la sécurité du réseau.
Enfin, les protections classiques étant généralement inefficaces contre les vecteurs d’attaque DNS, bon nombre d’entreprises ne sont pas du tout préparées à détecter et neutraliser des menaces de ce type. Les équipements traditionnels, tels que les firewalls et les systèmes de prévention d’intrusion (IPS) sont peu efficaces, ce qui laisse la porte grande ouverte aux APT et malwares cherchant à s’introduire dans le réseau.
Les quatre phases d’une attaque APT
Non seulement le DNS est une cible alléchante pour les hackers, il peut également jouer un rôle clé dans une attaque APT. Les auteurs des attaques emploient en général l’une des trois méthodes suivantes :
– le phishing, consistant à envoyer un malware dans des e-mails adressés aux collaborateurs de l’entreprise ;
– le « point d’eau » (watering hole), un site Web connu pour être fréquenté par les membres du personnel ;
– ou encore via une connexion physique directe, par exemple au moyen d’une clé USB infectée ou d’une autre technique.
Les deux premières méthodes exploitent le DNS, ce qui démontre l’importance d’en assurer la sécurité pour rejeter les contenus suspects et malveillants.
Dans la quasi-totalité des cas, la première action du malware initial est de télécharger le véritable code APT sur un serveur distant, un site de commande et de contrôle (C&C) ou un botnet, par l’intermédiaire du DNS. Cette APT sera bien plus à même que l’infection initiale de mener à bien les desseins malveillants des attaquants, dont la fonction principale est l’exploitation de vulnérabilités connues mais encore non-corrigées, de type « zero day ».
Une fois téléchargé et installé, l’APT désactive tout antivirus ou autre logiciel censé protéger l’appareil et celui-ci est également susceptible d’identifier plusieurs téraoctets de données sensibles. Dans certains cas, l’APT se borne à exporter ces données et, bien des fois, la bande passante et les capacités de stockage des serveurs intermédiaires peuvent se révéler insuffisantes pour une transmission rapide. Cela accroît également le risque d’une interception, car plus le transfert des données nécessite d’étapes, plus il a de chances d’être remarqué. Par conséquent, l’APT est bien plus enclin à contacter directement un autre serveur afin d’y envoyer la totalité des données dérobées. Le DNS est là encore un composant crucial de cette dernière phase.
Protéger votre DNS
Comme nous venons de le voir, non seulement le DNS peut être exploité facilement mais il l’est fréquemment pour des attaques APT. La protection de votre DNS est donc indispensable pour la sécurité des données de votre entreprise. Or elle est souvent négligée dans les politiques de sécurité traditionnelles.
En investissant dans un firewall DNS par exemple, les entreprises peuvent bloquer n’importe quelle attaque APT décrite ci-dessus, de manière temporaire ou permanente. Une arme déterminante dans l’arsenal de défense réside dans le fait que les cybercriminels font confiance à un nombre relativement restreint de serveurs et de réseaux intermédiaires. Par conséquent, ces serveurs et réseaux complices tendent à être réutilisés à de multiples reprises.
Le retour à la même source, encore et encore, augmente les risques qu’une partie, voire la totalité de l’infrastructure de serveurs utilisée par les auteurs des attaques soit découverte et donc bloquée. C’est cette analyse spécifique de l’infrastructure qui confère au firewall DNS sa force et la capacité de déjouer les attaques APT et les malwares similaires, contrairement aux firewalls classiques.
Les sociétés de sécurité soulignent depuis longtemps le fait que la détection d’une menace représente la moitié du travail pour protéger une entreprise des cyberattaques. Or, maintes entreprises paraissent ne pas comprendre, dans une large mesure, la menace qui pèse sur le DNS. En conséquence, nous sommes voués à assister à une recrudescence des attaques APT exploitant le DNS à des fins malveillantes. Il est indispensable de sécuriser le DNS pour réduire le risque de perte de données ou d’autres dommages causés par ces attaques et les entreprises qui ne le font pas se privent du rempart le plus efficace disponible pour lutter contre cette nouvelle cybermenace extrêmement préoccupante.
Par Nicolas Jeanselme,
Senior Systems Engineer chez Infoblox