Que ce soit des white, gray ou black hat hackers, avec de bonnes ou de mauvaises intentions, l’objectif des pirates informatiques est le même : accéder à un réseau informatique ou à un appareil connecté, en exploitant les faiblesses du système, en extrayant ou en manipulant des données.
Pour ce faire, les hackers améliorent leurs compétences aussi rapidement que la technologie progresse, inventent des techniques de hacking de plus en plus complexes et malicieuses et continuent de donner du fil à retordre aux équipes de cybersécurité.
Voici quelques techniques qu’utiliserait un pirate afin d’accéder à distance à un système, via une porte dérobée.
L’utilisation de plates-formes légitimes pour avoir la main sur les fonctions C&C
Les portes dérobées permettent aux hackers d’obtenir le commandement et le contrôle (C&C) du réseau ciblé sans être détectés, par exemple en utilisant une URL de blog Web pour déchiffrer un texte codé et localiser les adresses IP de la liste des serveurs C&C, qu’ils peuvent modifier par la suite.
Les pirates peuvent également utiliser des outils d’accès à distance (RAT) pour prendre le contrôle d’un ordinateur à l’insu de l’utilisateur. Les RAT contiennent généralement du code malveillant pour surveiller un ordinateur et voler des informations au moyen de la capture de données.
Une fois qu’une attaque de la sorte est réussie, cela permet à un utilisateur distant d’exécuter des commandes sur un système.
L’approche «Connect-Back» pour contourner les pare-feu
Les connexions entrantes sont souvent protégées par des parefeu. Pour contourner un blocage, les pirates utilisent une approche de porte dérobée «Connect-Back» afin de connecter un système cible à leur serveur C&C via des connexions sortantes, car celles-ci sont rarement protégées par les pare-feu. Pour contourner le pare-feu, un utilisateur doit accéder à un email que les attaquants dirigent vers des cibles spécifiques au sein du réseau, ce qui leur donne ensuite accès.
La technique d’abus de disponibilité de connexion
La technique d’abus de disponibilité de connexion utilise deux programmes malveillants. Le premier infiltre la porte dérobée et échappe à la détection, pendant qu’il télécharge le deuxième programme dans le système cible. Le deuxième programme malveillant aspire des informations. Souvent, les hackers connectent le premier programme malveillant à plusieurs serveurs C&C, ce qui permet d’échapper plus facilement à la détection. Basculer entre plusieurs serveurs permet à l’attaquant de s’assurer que les adresses IP de son serveur C&C n’ont pas été mises sur liste noire.
Pour ce faire, les hackers améliorent leurs compétences aussi rapidement que la technologie progresse, inventent des techniques de hacking de plus en plus complexes et malicieuses et continuent de donner du fil à retordre aux équipes de cybersécurité.
Voici quelques techniques qu’utiliserait un pirate afin d’accéder à distance à un système, via une porte dérobée.
L’utilisation de plates-formes légitimes pour avoir la main sur les fonctions C&C
Les portes dérobées permettent aux hackers d’obtenir le commandement et le contrôle (C&C) du réseau ciblé sans être détectés, par exemple en utilisant une URL de blog Web pour déchiffrer un texte codé et localiser les adresses IP de la liste des serveurs C&C, qu’ils peuvent modifier par la suite.
Les pirates peuvent également utiliser des outils d’accès à distance (RAT) pour prendre le contrôle d’un ordinateur à l’insu de l’utilisateur. Les RAT contiennent généralement du code malveillant pour surveiller un ordinateur et voler des informations au moyen de la capture de données.
Une fois qu’une attaque de la sorte est réussie, cela permet à un utilisateur distant d’exécuter des commandes sur un système.
L’approche «Connect-Back» pour contourner les pare-feu
Les connexions entrantes sont souvent protégées par des parefeu. Pour contourner un blocage, les pirates utilisent une approche de porte dérobée «Connect-Back» afin de connecter un système cible à leur serveur C&C via des connexions sortantes, car celles-ci sont rarement protégées par les pare-feu. Pour contourner le pare-feu, un utilisateur doit accéder à un email que les attaquants dirigent vers des cibles spécifiques au sein du réseau, ce qui leur donne ensuite accès.
La technique d’abus de disponibilité de connexion
La technique d’abus de disponibilité de connexion utilise deux programmes malveillants. Le premier infiltre la porte dérobée et échappe à la détection, pendant qu’il télécharge le deuxième programme dans le système cible. Le deuxième programme malveillant aspire des informations. Souvent, les hackers connectent le premier programme malveillant à plusieurs serveurs C&C, ce qui permet d’échapper plus facilement à la détection. Basculer entre plusieurs serveurs permet à l’attaquant de s’assurer que les adresses IP de son serveur C&C n’ont pas été mises sur liste noire.
Nabil LAAROUSSI
