Logo Knock Knock startup cyber Intelligence Artificielle

Comment compliquer la vie d’un pentester ?

Règle #3 : Empêcher les flux sortants !

Ça y est !

J’y suis

J’ai réussi à rentrer ! 🤩

Je ne sais plus trop comment, mais ce n’était pas si difficile que ça. 🤓

J’ai désormais un point d’accès initial, ce fameux “clic” a eu lieu et m’a permis de prendre le contrôle d’une première machine.

Tout l’édifice va-t-il s’écrouler, surtout qu’on ne cesse de nous bassiner avec « le problème se situe entre la chaise et le clavier » ? 🤔

Visiblement non. Le système d’information me résiste et me retarde dans ma progression (😫).

Il semble que les cyber défenseurs soient de fidèles lecteurs des tribunes de Knock Knock et ont déjà appliqué les règles #1 (ici) et #2 (et là). Ces Knockers commencent vraiment à me compliquer la tâche !

Que faire à partir de maintenant ? Me voilà confiné dans un VLAN bien étanche (je hais cette matrice des « 0 » et des « 1 »).

 

J’essaie maintenant d’énumérer des failles dans cette zone bien délimitée mais certaines machines avoisinantes me renvoient des bannières du style : “Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende. Article 323-1 de la Loi Godfrain ⚖️”.


En plus, ils sont au fait de la loi ! Mais où ai-je mis les pieds ? 😨
D’autres systèmes se montrent tellement vulnérables que c’est très louche et chronophage de tout lister et de tout tester… 

Je sens que je perds du temps, denrée la plus rare et la plus précieuse … Je vais finir par me faire attraper, mes scans devenant de plus en plus agressifs. Que faire ?

Un poste de contrôle bloque la sortie aux flux sortants du système d'information.

 

J’ai besoin d’appeler un ami. Je dois obtenir de l’aide. Où est mon serveur C&C (Contrôle et Commande) chéri ?

Le framework MITRE ATT&CK recense plusieurs techniques de Commande et Contrôle, à l’instar de (liste non exhaustive) :

👉 Tu passeras par le flux DNS pour te camoufler.

👉 Tu repéreras une clé USB ou un disque dur externe et tu t’y installeras, tu voyageras avec dans le SI.

👉 Tu utiliseras une technique de stéganographie pour te faufiler entre les gouttes des mécanismes de détection.

Pour plus d’exemples de tactiques C&C, se rendre ici. 📚

Seul le C&C me comprend, sait me parler, me conseiller : maintenant tu dois dormir ou te camoufler, c’est le moment de te réveiller, tiens ! Un nouvel outil ou exploit pour aller plus loin, j’ai besoin que tu récupères tel type de données, peux-tu (s’il te plaît) compresser ce fichier et l’exfiltrer ? 

Sans lui je me sens perdu, déboussolé, abandonné, … , inutile 😔

 

Je tente de le contacter en me frayant un chemin sortant (outbound) mais rien n’y fait… il semble que seuls certains flux soient autorisés en sortie, et qui de surcroît doivent réussir une authentification par proxy. Pas moyen de sortir via SSH ou autre. Ces défenseurs sont vraiment capés, ils ont sûrement fait du pentest dans une autre vie… 🦸

Pourtant, au cours de mes 9 derniers pentests, rien de tout cela. Autant l’entrée était ardue, j’ai dû une fois manipuler un administrateur système en me faisant passer pour le call center d’Office 365 et j’en ai sué… autant la sortie était en mode “open bar”, TOUS les flux sortants étaient autorisés. 🔓
Je n’avais jamais autant parlé au téléphone à mon C&C fétiche, et qu’est-ce qu’on s’était marré ! 🤭

Revenons à nos moutons… 🐑 Me voilà confiné, avec un maigre ballot sur le dos, le seul que j’aie pu emporter avec moi en entrant. Pas moyen de récupérer ma boîte à outils actualisée, ni les derniers exploits, ni mon cyber GPS… 

Compliquer la vie d’un pentester, c’est implémenter pas à pas une véritable défense en profondeur, à plusieurs niveaux : au niveau du réseau, des systèmes, des applications… autant de vases communicants que l’on vous décrira dans un futur billet.

Et vous, comment avez-vous paramétré vos firewalls ? En inbound, en outbound ou les deux ?

Venez nous le dire en commentaire !

Checklist du framework MITRE ATT&CK : Les cases reconnaissance, initial access, execution, privilege escalation, credential access et discovery sont cochées.