17 juin 2019
Un client a fait appel à Orange Cyberdefense car l’une de ses filiales vietnamiennes subissait une attaque par ransomware. En coopération avec Orange Business Services, qui a dépêché un ingénieur sur site, les experts du CSIRT (Computer Security Incident Response Team) ont pu intervenir quelques heures à peine après l’identification de l’incident.
L’attaquant a eu accès au serveur RDP (Remote Desktop Protocol). Là, il a largué sa caisse à outils : il scanne le réseau, extrait les mots de passe du navigateur, explore la mémoire des processus et désactive les antivirus sur le serveur.
Dix minutes après l’intrusion, il a déjà procédé à la reconnaissance du réseau et obtenu les identifiants de l’administrateur de domaine. Il se connecte au contrôleur de domaine et extrait les identifiants du serveur. Il obtient alors les identifiants de l’ensemble des utilisateurs, ou presque, en clair.
Connecté au serveur de domaine, l’attaquant monte plusieurs partages, découverts sur le contrôleur de domaine. Il témoigne un intérêt particulier pour les sauvegardes. Il est déjà là depuis une heure et demie.
Une fois la majorité du réseau atteinte et la cible principale sous contrôle, tous les logs Windows sur toutes les machines compromises sont effacés pour tenter de rendre plus ardue l’enquête scientifique du vecteur d’attaque. Cependant, comme vous pouvez le constater, les journaux ne sont pas l’unique source d’information forensics.
Quatre heures après sa première connexion au serveur RDP, l’attaquant déploie une variante de Phobos sur l’ensemble des machines.
En étudiant l’historique de l’attaque, le ransomware utilisé et son mode opératoire, il a été possible de restaurer proprement des sauvegardes des systèmes infectés, puis de les remettre en ligne. Pour les besoins de l’enquête criminelle et afin d’éviter des attaques ultérieures, un rapport complet et détaillé a été fourni au client.
L’histoire commença avec un attaquant surgissant sur un serveur RDP, sans qu’on vous dise comment… Comme les logs ont été effacés, nous ne saurons jamais vraiment comment l’attaquant s’est emparé du compte. Néanmoins, le fait que deux heures après la suppression, plus de huit-mille tentatives de connexion étaient enregistrées depuis le monde entier, il est cohérent de penser à une attaque par force brute.
Merci à Robinson Delaugerre, CSIRT Investigations Manager chez Orange Cyberdefense, pour cet article.
Cette story fait partie de l’édition 2021 du Security Navigator. Pour le télécharger, cliquez ici.