Bannière blog avec le logo Torii Security ?>

Retour sur : Prestation de réponse suite à une intrusion Web

Nous avons récemment été sollicités par un organisme pour réaliser une réponse à incident en urgence suite à une attaque Web par des pirates.
Leurs sites Web avaient été piratés, et modifiés et surtout des informations ont été volées dans leurs bases de données.

Les conséquences pour cette organisation ?

  • Une perte de confiance des clients et partenaires
  • Des messages diffusés aux noms et couleurs de l’entreprise, mais contraire à ses valeurs
  • Une perte de patrimoine numérique (vols et destruction de données)
  • Un outil commercial hors-service temporairement

Notre mission était d’assister  :

  • Analyser les mécanismes de l’attaque
  • Déterminer l’étendue de la compromission
  • Préconiser des contre-mesures adaptées

Voici donc notre retour d’expérience sur cette prestation.

Contexte

Le client a subi récemment une vague d’attaques sur l’ensemble de ses sites Web situés sur un hébergement mutualisé grand public. 

Les signes étaient assez classiques :

  • Modification des pages d’accueil des sites (Defacement)
  • Vols d’informations (notamment des adresses mail)
  • Diffusion d’un message de revendication par mail et sur les pages d’accueil récemment mise en place.

Le client a également noté l’apparition de nombreux fichiers dans arborescence du site. L’attaque a d’ailleurs été revendiquée directement sur le site (modifié pour l’occasion), avec de plus, une menace claire de réitérer l’intrusion web à une date ultérieure.

Les mécanismes de l’attaque

Bien que le type d’hébergement (grand public) limite nos possibilités d’analyse, nous avons exploité les logs disponibles à l’aide notamment d’un cluster ElasticStack.
Nous avons ainsi pu analyser facilement des volumes de logs qui seraient sans ce type d’outils difficile à gérer.

De notre analyse nous pouvons dire:

  • Que l’attaque était en cours de préparation depuis au minimum un mois, en effet, on voit dans les journaux des traces plus discrètes sur plusieurs semaines précédents la modification des pages d’accueil.
  • Une fois en place, les attaquants ont utilisé les méthodologies classiques d’attaques, et ont mis en place plusieurs Web shell, qui leurs permettaient de s’assurer le contrôle sur l’hôte.
  • Des attaques ont été menées sur les bases de données qui ont abouti à l’exfiltration d’une partie de la base de données. Enfin pour mener à bien l’attaque le jour J, un certain nombre de scripts existants ont été modifiés

Pour aboutir à ces conclusions, nous avons collecté et analysé les indices de compromissions disponibles sur le serveur et dans les logs. Nous avons notamment identifié :

  • Le Web shell et son contenu
  • Les adresses IP utilisées par les attaquant-e-s

Pour la recherche d’informations, les pirates ont utilisé de nombreuses erreurs de configuration présentes sur le site :

  • Fichier phpinfo présent à la racine
  • Messages d’erreurs PHP et SQL
  • Full path disclosure Injections SQL

Étendu de la compromission

L’étude des journaux des mois précédent n’a pas fait apparaître de corruption autre que les éléments déjà cité. Malheureusement, le peu de mesures de préventives et de mesures de contrôle en place ne permet pas de recherche exhaustive.

Conclusion

Notre client a été touché par une attaque somme toute assez commune:

  • Détection de vulnérabilité
  • Compromission du site Web
  • Pivot sur les autres sites
  • Un Defacement des sites par des attaquant-e-s
  • Un vol d’information via SQL Injection

Suite à notre intervention, nous avons émis un certain nombre de préconisations d’urgence et d’autre à moyen terme, qui ont permis à notre client d’éviter une aggravation/récidive de l’incident.
Mais cette entreprise aurait pu s’éviter les désagréments d’une compromission, doublée d’une fuite de données si elle avait fait procéder de façon régulière à des tests d’intrusion.

En effet, les causes de la compromission auraient pu être aisément détectées en amont par des professionnel en cybersécurité. De même, la mise en place à priori d’outils de surveillance et de contrôle (centralisation des logs par exemple) aurait permis une analyse plus approfondie du déroulement de cet incident.

Pour finir, nous dirons simplement que la préparation à ce genre de situation est essentielle, préparation technique d’une part, par la mise en place d’évaluation régulière du niveau de sécurité de la plateforme Web et de système de centralisation d’événement et de détection d’incident, et organisationnel d’autre part, car la réponse à adopter en cas d’incident n’est pas innée et doit être travaillée en amont.