Sécurité IT : quand les plantages de Windows révèlent des APT

CloudPoste de travailSystèmes d'exploitation
apt-plantage-windows

Les chercheurs de Websense Security Labs ont démontré que l’analyse des rapports de crash Windows peut permettre de déceler des attaques persistantes avancées (APT).

L’analyse des rapports de plantage de Windows pourrait permettre de déceler des attaques persistantes avancées (APT, pour « Advanced Persistent Threat ») et de révéler ainsi des opérations de vol de données.

C’est l’un des principaux points abordés dans le livre blanc publié par les équipes de chercheurs de Websense Security Labs.

Les quelque 16 millions de rapports d’erreurs passés au crible sur une période de 4 mois a permis de détecter une campagne passée jusqu’alors inaperçue, ciblant une agence gouvernementale et un opérateur télécoms. Une deuxième APT a été découverte par ce même biais. Basée sur un dérivé du malware Zeus et sur la capture de données en mémoire, elle ciblait les terminaux points de vente (POS) des distributeurs pour voler des numéros de cartes bancaires.

Pour révéler ces menaces jusqu’alors inconnues, WebSense a cherché dans l’outil de rapport de Microsoft – aussi connu sous le nom de Dr Watson – des signatures de crash similaires à celles laissées, l’an dernier, par une offensive contre des industriels taïwanais et des institutions financières japonaises. Les premières recherches l’ont conduit à explorer la façon dont ces informations pourraient être exploitées pour améliorer la sécurité… et non plus la contourner.

Rappelons que sur ce dernier point, la société avait, début janvier, pointé du doigt une faille béante dans Dr Watson, qui envoie ses rapports en clair, sans chiffrer les données. Un pirate écoutant les transmissions sur le Net peut ainsi récupérer des éléments très utiles pour déterminer comment attaquer la machine visée : fabricant et modèle de l’ordinateur, version du BIOS, mouture de Windows, liste des mises à jour installées, détails des éventuels périphériques ayant provoqué le crahs, etc.

Menace numéro un pour les entreprises, les APT restent généralement implantées très longtemps dans les systèmes informatiques avant d’être détectées (quand elles le sont, comme le note Silicon.fr). En poussant ses investigations pour voir s’il était possible « de créer une nouvelle méthode pour identifier des menaces auparavant inconnues », Websense s’est convaincu que « même les attaques avancées laissent une trace ou des preuves ».

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit illustration : Tesla – Shutterstock.com

Lire aussi :