1 points par GN⁺ 2023-10-02 | 1 commentaires | Partager sur WhatsApp
  • Des employés d’une entreprise aérospatiale espagnole ont été contactés sur LinkedIn par Lazarus, qui se faisait passer pour des recruteurs de Meta ; l’intrusion initiale a commencé lorsqu’ils ont exécuté sur des appareils de l’entreprise des fichiers présentés comme des tests de recrutement
  • Le faux exercice a été livré sous la forme de Quiz1.exe et Quiz2.exe ; après avoir affiché “Hello, World!” et la suite de Fibonacci, ils déclenchaient l’installation de charges utiles supplémentaires depuis des images ISO
  • Après l’intrusion, NickelLoader, miniBlindingCan et un nouveau RAT, LightlessCan, ont été déployés via chargement latéral de DLL ; ESET attribue avec un haut niveau de confiance cette activité de Lazarus à Operation DreamJob
  • LightlessCan semble être le successeur de BlindingCan et reproduit en interne des commandes Windows comme ipconfig, net, ping, systeminfo et sc, afin de réduire les traces d’exécution dans la console
  • L’objectif de l’attaque était le cyberespionnage, et l’intégration directe des commandes ainsi que des garde-fous d’exécution qui ne permettent le déchiffrement que sur la machine de la victime compliquent davantage la détection en temps réel et l’analyse forensique a posteriori

Intrusion initiale amorcée par un appât de recrutement sur LinkedIn

  • Lazarus a contacté plusieurs employés d’une entreprise aérospatiale espagnole via LinkedIn Messaging
    • Les attaquants se faisaient passer pour des recruteurs de Meta, maison mère de Facebook, Instagram et WhatsApp
    • Ils utilisaient comme prétexte une demande de preuve de compétences en programmation C++, présentée comme une étape du processus de recrutement
  • Les victimes ont téléchargé Quiz1.iso et Quiz2.iso hébergés sur un stockage cloud tiers, puis ont exécuté les fichiers qu’ils contenaient sur des appareils de l’entreprise
    • Quiz1.exe : déguisé en exercice simple affichant “Hello, World!”
    • Quiz2.exe : déguisé en exercice affichant la suite de Fibonacci jusqu’au plus grand élément inférieur à la valeur saisie
    • Les deux exécutables traitaient l’entrée et la sortie comme de véritables applications console, puis lançaient l’installation de charges utiles malveillantes supplémentaires
  • La première charge utile est un téléchargeur HTTP(S) baptisé NickelLoader par ESET
    • NickelLoader peut déployer en mémoire sur l’ordinateur de la victime les programmes souhaités par les attaquants

Éléments d’attribution à Lazarus et Operation DreamJob

  • ESET attribue avec un haut niveau de confiance cette attaque en Espagne à Lazarus, en particulier à des activités liées à Operation DreamJob
  • Les malwares, l’infrastructure et les cibles recoupent de précédentes campagnes de Lazarus
    • La méthode consistant à contacter les cibles sur LinkedIn puis à les pousser à exécuter un fichier malveillant déguisé en test de recrutement est une tactique utilisée par Lazarus depuis Operation DreamJob
    • Une nouvelle variante du chargeur intermédiaire et de la famille de portes dérobées BlindingCan observée dans un cas néerlandais en 2022 a été repérée
    • Les outils utilisent les chiffrements AES-128 et RC6 avec des clés de 256 bits, un procédé déjà vu dans une campagne sur le thème d’Amazon
  • Plutôt que de monter directement des serveurs C&C de premier niveau, les attaquants ont compromis des sites web existants, peu sécurisés ou mal maintenus, pour les utiliser
  • Le vol de savoir-faire d’une entreprise aérospatiale correspond aux objectifs de long terme de Lazarus
    • Des rapports de l’ONU indiquent que des groupes APT liés à la Corée du Nord ciblent des entreprises aérospatiales pour accéder à des technologies sensibles et à des connaissances du secteur

Outillage déployé après l’intrusion

  • Après l’exécution de NickelLoader, les attaquants ont déployé deux types de RAT sur le système de la victime
    • miniBlindingCan : variante allégée de la porte dérobée BlindingCan, connue comme outil de Lazarus
    • LightlessCan : nouveau RAT qui n’avait pas été documenté publiquement
  • La chaîne d’exécution comprend plusieurs étapes de complexité variable, avec des droppers et des loaders placés avant l’exécution finale du RAT
    • Les droppers contiennent des charges utiles intégrées et peuvent les charger et les exécuter directement en mémoire sans nécessairement écrire sur le système de fichiers
    • Les loaders chargent les charges utiles depuis le système de fichiers sans tableau chiffré embarqué
  • Les principaux fichiers reposent pour la plupart sur un schéma de DLL side-loading où un exécutable légitime charge une DLL malveillante
    • PresentationHost.exe + mscoree.dll : basé sur une version troyanisée de NppyPluginDll, livre NickelLoader
    • colorcpl.exe + colorui.dll : basé sur LibreSSL 2.6.5, livre miniBlindingCan
    • fixmapi.exe + mapistub.dll : basé sur Lua plugin 1.4.0.0 pour Notepad++, livre LightlessCan
    • tabcal.exe + HID.dll : basé sur MZC8051 3.2 pour Notepad++, livre LightlessCan

Principales caractéristiques de LightlessCan

  • LightlessCan semble être le successeur de BlindingCan, le RAT HTTP(S) de Lazarus, et son numéro de version interne actuel est 1.0
  • Il est conçu pour prendre en charge jusqu’à 68 commandes, dont 43 sont effectivement implémentées dans la version actuelle
    • Les autres existent sous forme d’emplacements réservés, sans fonctionnalité réelle
    • L’ordre des commandes partagées a été largement conservé, ce qui laisse penser à une base de code issue de BlindingCan
  • Le changement majeur est la reproduction en interne de nombreuses commandes natives de Windows
    • Exemples de commandes implémentées : ipconfig, net, netsh advfirewall, netstat, ping, reg, sc, tasklist, wmic process call create, nslookup, schtasks, systeminfo, arp, mkdir, etc.
    • Dans de précédentes attaques de Lazarus, ces commandes étaient souvent exécutées à plusieurs reprises dans une console une fois l’accès obtenu sur le système
    • Cette approche les traite directement dans le RAT sans lancer visiblement les utilitaires console d’origine, ce qui complique la détection par la surveillance temps réel comme les EDR ainsi que par les outils de forensic numérique a posteriori
  • ESET estime probable que les développeurs de LightlessCan aient fait de la rétro-ingénierie sur des binaires propriétaires pour imiter des utilitaires essentiels de Windows
    • Le projet Wine contient des implémentations de plusieurs programmes, mais certaines fonctions reproduites par LightlessCan diffèrent de Wine ou n’y existent pas

Chaîne d’intrusion de NickelLoader

  • NickelLoader est un téléchargeur HTTP(S) exécuté sur les systèmes infectés et utilisé ensuite pour livrer d’autres charges utiles de Lazarus
  • Lorsque la victime lance manuellement l’exécutable du quiz, PresentationHost.exe s’exécute automatiquement et la DLL malveillante mscoree.dll, située dans le même chemin C:\ProgramShared\, est chargée latéralement
    • mscoree.dll est un fichier troyanisé à partir de NppyPluginDll.dll du projet désactivé en 2011 General Python Plugins DLL for Notepad++
    • Il contient les exports du mscoree.dll légitime ainsi que ceux du NppyPluginDll.dll d’origine, et du code malveillant est placé dans l’export CorExitProcess
  • Le déchiffrement du tableau chiffré embarqué nécessite trois mots-clés de 16 caractères
    • Le nom du processus parent PresentationHost
    • Le paramètre interne codé en dur dans le binaire 9zCnQP6o78753qg8
    • Le paramètre externe transmis en ligne de commande ‑embeddingObject
    • Les trois mots-clés sont combinés par XOR octet par octet pour former la clé de déchiffrement AES-128
  • NickelLoader reconnaît quatre commandes de 5 lettres
    • abcde : demande immédiatement la commande suivante sans longue temporisation de sleep classique
    • avdrq : charge la DLL du tampon reçu et exécute l’export codé en dur info
    • gabnc : charge la DLL du tampon reçu
    • dcrqv : se termine lui-même
  • ESET a nommé cette charge utile NickelLoader en référence à la structure en commandes de 5 lettres, qui lui a rappelé le surnom de la pièce américaine de 5 cents, le nickel

Chaîne d’exécution de miniBlindingCan

  • L’une des charges utiles téléchargées puis exécutées par NickelLoader est miniBlindingCan
    • Il s’agit d’une version simplifiée du RAT BlindingCan, signalée pour la première fois en septembre 2022 par Mandiant sous le nom AIRDRY.V2
  • Le chargement utilise le colorcpl.exe légitime exécuté depuis C:\ProgramData\Adobe\ et la DLL malveillante colorui.dll
    • colorui.dll est une DLL malveillante 64 bits obfusquée avec VMProtect
    • Elle contient des milliers d’exports, et LaunchColorCpl gère l’exécution de l’étape suivante
  • Le dropper utilise dès le début des fonctions d’évasion de l’analyse
    • Il effectue de l’anti-debugging en vérifiant la valeur BeingDebugged de la structure PEB
    • Il utilise des techniques anti-sandbox pour éviter la détection en environnement sandbox
    • Il vérifie explicitement si le processus parent est colorcpl.exe, sinon il se termine immédiatement
  • Le déchiffrement de la charge utile finale utilise comme clé XOR une longue chaîne obtenue en concaténant le nom du processus parent, le nom du fichier dropper et le paramètre externe de la ligne de commande
    • Exemple de chaîne résultante : COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
  • miniBlindingCan possède une logique de traitement des commandes similaire à celle de BlindingCan, mais avec des fonctions fortement réduites
    • Il prend en charge l’envoi d’informations système, la mise à jour de l’intervalle de communication, l’envoi et la mise à jour de configuration, le téléchargement et le déchiffrement de fichiers, ainsi que l’exécution de shellcode transmis
    • La configuration déchiffrée fait 9 392 octets et contient 5 URL d’une taille maximale de 260 caractères wide chacune

Chaîne d’exécution simple de LightlessCan

  • La chaîne simple de LightlessCan utilise le fixmapi.exe légitime exécuté depuis C:\ProgramData\Oracle\Java\ et la DLL malveillante mapistub.dll
  • mapistub.dll est une DLL troyanisée à partir de Lua plugin 1.4 pour Notepad++
    • Les exports du mapi32.dll légitime de Windows y ont été copiés
    • L’export FixMAPI se charge du déchiffrement et du chargement de l’étape suivante
    • Les autres exports sont remplis avec du code légitime provenant d’un projet d’exemple public MineSweeper
  • Ce dropper met en place la persistance via une tâche planifiée
    • ESET précise manquer de détails sur cette tâche, mais indique que le processus parent apparaît comme %WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule
  • Le déchiffrement des données embarquées utilise trois mots-clés
    • Le nom du processus parent fixmapi.exe
    • Le paramètre interne IP7pdINfE9uMz63n
    • Le paramètre externe de la ligne de commande AudioEndpointBuilder
    • Les mots-clés sont combinés par XOR octet par octet, et le résultat devient une clé AES 128 bits

Chaîne d’exécution complexe de LightlessCan et garde-fous d’exécution

  • La chaîne plus complexe de LightlessCan comprend une application légitime, un dropper initial, un dropper complet, un dropper intermédiaire, un fichier de configuration, un fichier d’informations système, un loader intermédiaire et le RAT LightlessCan final
  • Le dropper initial est la DLL malveillante HID.dll, chargée latéralement par le tabcal.exe légitime exécuté depuis C:\ProgramData\Adobe\ARM\
    • HID.dll est un fichier troyanisé à partir de MZC8051.dll du projet plugin compilateur C 8051 pour Notepad++
    • L’export HidD_GetHidGuid se charge de déposer l’étape suivante
  • La première étape de déchiffrement nécessite trois mots-clés
    • Le nom du processus parent tabcal.exe
    • Le paramètre interne 9zCnQP6o78753qg8
    • Le contenu du fichier %WINDOWS%\system32\thumbs.db, à savoir LocalServiceNetworkRestricted
    • Les trois valeurs sont combinées par XOR pour produire une clé AES 128 bits
  • Le dropper complet généré possède une ressource InternalName appelée AppResolver.dll et contient deux tableaux de données chiffrées
    • Un petit tableau de 126 octets et un grand tableau de 1 807 464 octets
    • Le petit tableau est déchiffré avec RC6 à l’aide d’une clé de 256 bits pour produire les chemins C:\windows\system32\oci.dll et C:\windows\system32\grpedit.dat
    • Le résultat du déchiffrement du grand tableau contient LightlessCan, un dropper intermédiaire, et un fichier de configuration chiffré de 14 948 octets déposé sous %WINDOWS%\System32\wlansvc.cpl
  • Le dropper complet enregistre plusieurs caractéristiques identifiant le système infecté dans %WINDOWS%\System32\4F59FB87DF2F
    • Les valeurs proviennent principalement du chemin de registre Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS
    • Elles incluent SystemBIOSDate, SystemBIOSVersion, SystemManufacturer, SystemProductName, ainsi que la valeur Identifier sous le contrôleur de disque
    • La chaîne résultant de la concaténation de ces valeurs est nécessaire pour déchiffrer grpedit.dat, stocké de manière chiffrée sur le système de fichiers
  • Cette structure agit comme des garde-fous d’exécution
    • Elle garantit que la charge utile ne peut être déchiffrée que sur l’ordinateur visé, ce qui complique le déchiffrement sur d’autres machines utilisées par des chercheurs en sécurité

Évasion de la détection et impact sur l’analyse

  • LightlessCan peut fortement réduire les traces d’exécution des programmes en ligne de commande Windows couramment utilisés dans les phases post-compromission
    • Il remplace les fonctions de commande par des implémentations internes afin d’éviter l’exécution des utilitaires console d’origine
    • Cela diminue les traces observables dans la journalisation des commandes et dans la détection en temps réel
  • L’ensemble de la chaîne d’attaque combine plusieurs techniques d’évasion des défenses
    • DLL side-loading
    • Obfuscation VMProtect
    • Résolution dynamique des API Windows
    • Charges utiles embarquées
    • Injection réfléchie de DLL
    • Injection de processus
    • Évasion face aux débogueurs et aux sandbox
    • Outils et configurations chiffrés sur le système de fichiers
  • Les communications C&C sont elles aussi conçues pour compliquer l’analyse et la détection
    • LightlessCan et miniBlindingCan communiquent avec le C&C en HTTP/HTTPS
    • Le trafic C&C est chiffré en AES-128
    • Un encodage en base64 est utilisé pour le trafic
    • LightlessCan dispose également de capacités d’exfiltration et peut envoyer des données vers le serveur C&C

Résumé des IoC et de MITRE ATT&CK

  • Principaux IoC des fichiers initiaux
    • C273B244EA7DFF20B1D6B1C7FD97F343201984B3: %TEMP%\7zOC35416EE\Quiz1.exe, dropper initial déguisé en défi “Hello World”
    • 38736CA46D7FC9B9E5C74D192EEC26F951E45752: %TEMP%\7zOCB3CC96D\Quiz2.exe, dropper initial déguisé en défi sur la suite de Fibonacci
    • C136DD71F45EAEF3206BF5C03412195227D15F38: C:\ProgramShared\mscoree.dll, dropper de NickelLoader
    • E61672B23DBD03FE3B97EE469FA0895ED1F9185D: téléchargeur HTTPS NickelLoader
  • Principaux IoC de fichiers liés à LightlessCan
    • 0F33ECE7C32074520FBEA46314D7D5AB9265EC52: %ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, dropper de LightlessCan
    • C7C6027ABDCED3093288AB75FAB907C598E0237D: LightlessCan déposé par mapistub.dll
    • E18B9743EC203AB49D3B57FED6DF5A99061F80E0: %ALLUSERSPROFILE%\Adobe\ARM\HID.dll, dropper initial de la chaîne complexe
    • 3007DDA05CA8C7DE85CD169F3773D43B1A009318: %WINDIR%\system32\grpedit.dat, LightlessCan déposé dans la chaîne complexe
    • 247C5F59CFFBAF099203F5BA3680F82A95C51E6E: %WINDIR%\system32\oci.dll, dropper intermédiaire
  • Le C&C utilise des sites légitimes compromis
    • bug.restoroad[.]com
    • hurricanepub[.]com
    • turnscor[.]com
    • mantis.quick.net[.]pl
    • www.radiographers[.]org
    • kapata-arkeologi.kemdikbud.go[.]id
    • barsaji.com[.]mx
    • www.keewoom.co[.]kr
    • kerstpakketten.horesca-meppel[.]nl
    • kittimasszazs[.]hu
    • nrfm[.]lk
  • Selon MITRE ATT&CK, cela se mappe à la reconnaissance sur réseaux sociaux, aux liens et services de spear phishing, à l’exécution de fichiers malveillants par l’utilisateur, aux tâches planifiées, au DLL side-loading, aux garde-fous d’exécution, à l’affaiblissement de la journalisation de l’historique des commandes, au C&C via protocoles web, aux canaux chiffrés symétriques et à l’exfiltration via le canal C2

1 commentaires

 
GN⁺ 2023-10-02
Commentaires sur Hacker News
  • S’introduire via un exercice LeetCode à faire chez soi, c’est malin
    Je développe des logiciels Apple, et les projets Xcode peuvent aller assez loin. Apple affiche bien un avertissement quand on ouvre un projet téléchargé, mais si l’on pense qu’il s’agit d’un exercice à faire chez soi, on a tendance à l’ignorer
    Les exercices en ligne peuvent aussi demander des droits d’accès délicats, et ces personnes ont probablement des droits assez élevés sur les actifs clés de l’entreprise. Bien sûr, personne n’utiliserait les ressources de l’entreprise pour chercher un emploi, mais si cela arrive assez souvent, tout le monde ici réagit avec beaucoup de prudence

    • Dans notre entreprise aussi, nous donnons un exercice à faire chez soi aux candidats, puis nous regardons le code ensemble pendant l’entretien et demandons une petite modification pour évaluer la communication et les compétences techniques
      Un candidat n’a même pas réussi à lancer le REPL de son propre projet et, après avoir galéré, a marmonné : « j’aurais dû simplement utiliser l’ordinateur de l’entreprise ». Le fait qu’il ne puisse même pas exécuter le strict minimum sur son ordinateur personnel signifiait qu’il avait fait l’exercice sur l’ordinateur de l’entreprise
    • Lors de mon premier poste dans l’IT, j’ai déjà vu un message de rebond d’un e-mail envoyé à l’adresse de recrutement d’un grand laboratoire pharmaceutique local
      Il faut tenir compte du fait qu’en 1996, les adresses e-mail personnelles n’étaient pas aussi courantes qu’aujourd’hui, mais c’était tout de même une erreur de débutant. Depuis longtemps, je respecte le principe de ne pas faire d’affaires personnelles sur l’ordinateur de l’entreprise, mais ce n’était pas une attitude répandue
    • Même en laissant de côté l’aspect moralement ambigu, il m’est déjà arrivé de recevoir des journées entières de travail pour chercher un nouveau poste dans le cadre d’un accord de licenciement, avec le large soutien de la direction
    • Apple a récemment ajouté des scripts shell sandboxés, ce qui semble faire partie d’un effort pour rendre les builds plus hermétiques
      Ce n’est probablement pas une solution parfaite, mais ce serait bien de pouvoir ouvrir un projet dans un mode où toutes les étapes de build s’exécutent dans une sandbox. Si ça échoue, il suffit de regarder ce qu’il essayait de faire
    • Quand je corrige des exercices à faire chez soi, la première chose que je fais est d’ouvrir le fichier de projet Xcode dans vim pour vérifier s’il contient quelque chose de suspect
      Honnêtement, je ne pense pas que la plupart de mes collègues fassent le même niveau de due diligence
  • Je suis toujours surpris quand je vois des gens faire des exercices à domicile, répondre à des e-mails de chasseurs de têtes ou prendre des appels d’entretien pour d’autres entreprises avec le matériel de leur entreprise actuelle
    Beaucoup de gens disent le faire, mais je ne comprends pas. Les conséquences potentielles sont trop nombreuses. Un manager trop zélé a même déjà convaincu un futur employeur, via ses contacts personnels, de ne pas m’embaucher, simplement parce qu’il l’avait découvert
    Même si c’est contraire à l’éthique ou illégal, ce genre de choses arrive réellement, y compris dans de grandes entreprises tech. L’idée de partager volontairement avec son employeur les détails de sa recherche d’emploi me paraît étrange. Le travail et la vie privée devraient être séparés comme l’Église et l’État, non ?

    • Je trouve assez dérangeant que beaucoup de collègues n’aient pas du tout d’ordinateur personnel et utilisent uniquement leur ordinateur portable de l’entreprise pour tout
      Ce sont des développeurs logiciels, et ils ont largement les moyens d’acheter un portable. Le maximum que je me permette de mélanger, c’est regarder des vidéos YouTube inoffensives en faisant la vaisselle sur le petit portable de l’entreprise, léger et compatible Bluetooth. Avant, il m’arrivait aussi de l’utiliser pour imprimer au bureau
    • Continuer à utiliser l’appareil du quotidien pour une nouvelle tâche crée si peu de friction que cela ne me surprend pas du tout
      Je suis totalement d’accord sur le fait que le risque est important et qu’il ne faut pas le faire, mais si les gens n’y réfléchissent pas vraiment ou ne restent pas constamment vigilants, cela peut tout à fait arriver
    • Au minimum, par autoprotection, on peut passer un entretien sur un téléphone ou une tablette si nécessaire
      Je ne vois pas pourquoi ajouter un risque inutile. Peut-être qu’ils aiment cette montée d’adrénaline
  • La victime a-t-elle reçu un fichier .exe sous prétexte qu’elle devait répliquer une fonctionnalité en C++ ? Dès que quelqu’un vous envoie un fichier .exe, cela devrait être un signal fort qu’il s’agit d’une attaque, ou au moins que l’expéditeur est d’une incompétence technique difficile à croire
    Cela dit, c’est peut-être parce que j’ai connu l’époque de Windows 95. Certaines leçons semblent devoir être réapprises par chaque génération

    • Avec une offre d’emploi séduisante, il suffit de réussir une seule fois dans une entreprise pleine de gens
      On ne sait pas combien de personnes ont reçu un test bizarre et ont répondu : « dans ce cas, je ne le ferai pas ». De nos jours, il est assez facile d’exécuter des applications dans une sandbox, et ne pas le faire est stupide. Sandboxie est gratuit et ne garantit pas toujours que tout fonctionne, mais il aurait pu réussir, ou au moins rendre visibles des comportements étranges. Windows Pro a aussi eu pendant un certain temps une option dans le menu contextuel pour exécuter des exécutables dans une sandbox
      En voyant le titre, j’ai d’abord cru à une infection via l’IDE. Les questions du type « faites-vous confiance à l’auteur de ce projet ? » existent pour une raison, et dans le cas de VS Code, des astuces de configuration Git permettent même d’exécuter du code avant l’invite
      Je serais prudent avant d’exécuter un programme, mais si un recruteur m’envoyait un exercice de code sous la forme d’un projet inachevé dans un dépôt Git, je serais susceptible de cliquer sur le bouton « autoriser l’exécution du code ». Surtout si, lors d’un entretien à distance, on regarde le code en direct en disant vouloir « voir mon approche du problème ». L’attaque actuelle est très basique, mais il ne serait pas difficile de rendre l’infection initiale difficile à détecter à temps
    • Au début, je pensais que c’était une attaque plus ingénieuse qu’elle ne l’était en réalité
      Faire télécharger ou exécuter une pièce jointe exécutable est simple, mais semble rester efficace. Une méthode plus vicieuse et efficace consisterait à pointer vers un dépôt GitHub contenant le projet « exercice », puis à faire en sorte que, lorsque la victime teste sa solution, elle référence un paquet compromis qui fait ce que l’attaquant veut
    • Maintenant que je sais ce qu’ils essayaient de faire, j’en viens presque à souhaiter qu’ils aient essayé de me piéger
      Je sais que ce ne sont pas de simples script kiddies, mais je serais curieux de voir comment ils réagiraient à une tentative de contre-attaque. S’ils me donnent un .exe et me disent de l’exécuter, je ne l’exécuterai pas : je l’ouvrirai dans un éditeur hexadécimal pour l’inspecter. Si un fichier qui prétend être un « hello world » ou un générateur de Fibonacci est beaucoup plus gros que prévu, ou contient des données qui semblent chiffrées ou des tentatives d’obfuscation, je ne l’exécute pas
    • J’ai déjà proposé de distribuer un binaire dans le cadre d’un exercice en boîte noire
      Si l’on peut verrouiller le code source et faire varier les détails pour chaque candidat, les solutions publiées en ligne ne servent à rien
    • Ce n’était probablement pas un .exe, mais plutôt un installeur .msi ou un fichier zip
  • Quand je faisais du consulting pour des programmes gouvernementaux, j’évitais délibérément de mettre mon CV en ligne
    Je n’avais pas d’accès qui aurait pu intéresser un espion, mais avec certains mots-clés, ça pouvait en donner l’impression. Un peu comme ces recruteurs qui spamment tous ceux qui ressortent dans une recherche par mots-clés sur LinkedIn
    Je savais qu’il fallait signaler tout incident de sécurité, et je me disais que mes contrats et mes revenus pourraient s’arrêter le temps qu’une bureaucratie prudente traite l’incident. J’ai donc supprimé mon CV en ligne et pris des mesures pour qu’un voleur au hasard ne puisse pas voler par erreur mon ordinateur portable de travail
    Maintenant que j’ai quitté ce poste, je profite comme tout le monde du spam de recrutement pour des postes du genre Junior Python Leetcode Hazing Engineer sur LinkedIn

    • Je ne comprends pas pourquoi je me fais downvoter
      Dans certains métiers ou secteurs, ne pas rendre public son emploi peut être une mesure de sécurité ordinaire pour éviter les attaques ciblées. Dans le monde réel, les agents de la CIA ne se promènent probablement pas à l’étranger en distribuant des cartes de visite avec le tampon de la CIA
    • Ça ressemble à une réaction excessive
      Moi aussi, j’aimerais que certaines personnes ne sachent pas où je travaille, mais je pense qu’on peut très bien laisser en ligne un ancien CV qui ne mentionne pas son employeur actuel. J’ai aussi demandé à la responsable RH de faire en sorte que mon nom n’apparaisse jamais sur la page publique « notre équipe »
      Effet secondaire : je rigole à chaque formation obligatoire de sécurité en entreprise qui explique comment réagir aux attaques ciblées et montre des exemples d’e-mails de phishing. Jusqu’ici, à part les tests de sociétés de pentest, je n’ai jamais reçu le moindre phishing ciblé
  • Quel idiot fait des trucs personnels sur du matériel de l’entreprise ?
    Je ne parle pas des gens pauvres, mais de ceux qui ont largement les moyens d’acheter leur propre matériel

    • Je fais constamment des trucs personnels sur le portable de l’entreprise
      Mon ordinateur personnel est une sorte de radiateur capable de faire tourner des jeux vidéo, donc je ne l’utilise pas par défaut. Je pourrais me permettre un troisième appareil, mais j’ai mieux à faire de cet argent
      Bien sûr, j’essaie de respecter les règles de sécurité de l’entreprise. Je fais confiance à mon employeur. Je n’ai pas envie de travailler pour une entreprise à qui je ne pourrais pas confier mes cookies de navigateur. Et dans la juridiction où je vis, la loi est aussi de mon côté. Une entreprise ne peut pas me licencier simplement parce que j’ai fait sur son portable quelque chose qui ne lui plaît pas ; il lui faut une très bonne raison
    • Mon colocataire a utilisé son ordinateur portable professionnel comme ordinateur perso pendant deux ans parce qu’il ne voulait pas payer pour un portable personnel
      Quand j’étais stagiaire étudiant et beaucoup plus pauvre, j’ai fait la même chose
    • Je fais des choses personnelles sur le matériel de l’entreprise, mais rien de vraiment personnel
      Je ne me connecte pas à mes comptes, mais regarder des films sur le portable de travail, ça me va très bien
    • C’est sans doute exactement le genre d’idiot qui lance Quiz1.exe envoyé par un inconnu sur Internet
    • Ils peuvent aussi le faire par nécessité
      Dans ce cas, la victime travaillait dans l’aérospatiale. Je connais un peu des gens de ce secteur, et ils travaillent tous des horaires absurdes. En plus, c’était une entreprise espagnole, donc faire plus de 10 heures par jour pouvait être considéré comme normal
  • Sujet un peu différent, mais si les Nord-Coréens n’ont quasiment pas accès à Internet avant de devenir employés du gouvernement, je me demande comment Lazarus/HIDDEN COBRA peut être un acteur étatique aussi sophistiqué
    Sans accès à la recherche moderne en sécurité, aux projets open source, aux ressources de programmation et aux malwares réellement diffusés, il me semble difficile de former une génération de hackers brillants. Peut-être qu’ils arrêtent les gens qui contournent le pare-feu et leur proposent un poste dans une unité

    • Qu’est-ce qui te fait dire qu’ils ne peuvent pas obtenir tout ça ?
      Et je me demande aussi comment tu imagines qu’on forme des hackers. Il ne suffit pas de leur apprendre à créer une appli de tâches avec une nightly build de React. Ils connaissent probablement Ethernet et la pile TCP/IP mieux que les gens qui les ont créés, au point de pouvoir les réciter à l’envers, et ça suffit déjà pour hacker beaucoup de choses
    • Je crois avoir entendu, dans une présentation d’une agence néerlandaise de cybersécurité, qu’ils entraînent les hackers dans le pays puis les envoient en Chine, où ils opèrent bien sûr sous forte surveillance depuis des cybercafés
    • Il existe peut-être un programme pour surdoués qui donne tous les accès à des enfants de 7 ans doués en technique et les élève pour en faire des hackers
    • On dit qu’ils sélectionnent très tôt les meilleurs talents à l’école et les entraînent de façon intensive
      Dans un pays où beaucoup de choses manquent, comme la nourriture et l’électricité, c’est un métier très convoité. Pour en savoir plus, il suffit d’écouter le podcast Lazarus Heist
    • Il est sans doute plus juste de considérer qu’ils opèrent depuis la Chine
  • Dans ma région, sur 300 agences de placement, seules 23 ont réellement l’autorisation légale d’opérer comme service, donc ça ne me surprend pas
    Vérifier lesquelles sont fausses et lesquelles sont réelles, c’est un fil que la plupart des entreprises et des candidats n’ont pas vraiment envie de tirer
    Il existe aussi des arnaques au faux recrutement. Elles consistent à attirer un employé avec une offre de rémunération alléchante, puis un concurrent récupère des données et le pousse dehors avant la fin de la période d’évaluation, généralement en 6 à 10 mois. Plusieurs acteurs malveillants diffusent aussi des PDF infectés avec des promesses exagérées
    Il faut être prudent, et 86Box prend en charge les images de backing en lecture seule et les sessions, comme Bochs/kvm : https://github.com/86Box/86Box/releases
    Ça fonctionne aussi sur les portables Apple M1, mais c’est lent

  • Ce genre de mauvaise chose arrive vraiment
    En 2019, mon portable a été piraté via le Wi-Fi gratuit fourni par le siège, et j’ai dû remplacer toutes mes clés SSH

    • Je me demande ce que signifie concrètement « piraté via le Wi-Fi gratuit du siège »
  • « Deux exécutables malveillants… le premier est un projet Hello World… le second affiche la suite de Fibonacci jusqu’au plus grand élément inférieur à l’entrée » : ça aurait dû être le premier signe que quelque chose clochait
    Chez Meta, ils auraient commencé par du LeetCode medium ou hard

  • La sécurité de ce site est fantastique
    Ils ont empêché l’utilisation des touches fléchées pour faire défiler le contenu de la page. C’est sûrement à cause d’un vecteur d’attaque inconnu via le clavier. Magnifique