Depuis plusieurs mois, le cheval de Troie bancaire Anatsa cible les appareils Android, et plus particulièrement les utilisateurs européens ! Pour se propager, il s'appuie sur des applications malveillantes diffusées par le Google Play Store. Faisons le point sur cette menace.
Les chercheurs en sécurité de ThreatFabric ont mis en ligne un rapport pour alerte sur l'activité du Trojan Anatsa. D'après eux, depuis le mois de novembre 2023, il est très actif et il a déjà infecté les appareils de 150 000 utilisateurs européens. Quand il est en place, Anatsa a pour objectif de voler vos identifiants bancaires pour vider vos comptes.
On parle de cinq campagnes différentes lancées à l'encontre des utilisateurs situés au Royaume-Uni, en Allemagne, en Espagne, en Slovaquie, en Slovénie et en République tchèque. Chaque campagne a pour objectif de cibler une zone géographique bien précise. Même si cela s'est intensifié ces derniers mois, ce n'est pas la première fois qu'Anatsa s'en prend aux utilisateurs européens. Le rapport technique de TheatFabric est disponible sur cette page.
À chaque fois, l'application publiée sur le Google Play Store sert d'appât et de "dropper" pour distribuer le malware sur les appareils des victimes. Il s'agit d'un processus d'infection en plusieurs étapes qui permet de contourner les mesures de protection d'Android, jusqu'à Android 13. Par exemple, la technique employée par Anatsa abuse du service d'accessibilité d'Android en prétextant la nécessité d'avoir une autorisation d'accès pour hiberner les applications gourmandes en batterie.
Les chercheurs de ThreatFabric évoquent plusieurs applications utilisées dans le cadre de ces campagnes, notamment "Phone Cleaner – File Explorer" avec environ 10 000 téléchargements, et "PDF Reader: File Manager" avec plus de 100 000 téléchargements. Au total, les différents apps cumulent plus de 150 000 téléchargements, soit autant de victimes potentielles.
Voici la liste des 5 applications utilisées :
Phone Cleaner - File Explorer (com.volabs.androidcleaner)
PDF Viewer - File Explorer (com.xolab.fileexplorer)
PDF Reader - Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Méfiez-vous avant d'installer des applications, même lorsque c'est sur le Play Store : lisez les avis, consultez l'historique, etc... Avant de cliquer sur le bouton "Installer".
Suite à son rachat par Broadcom, VMware a subi de nombreux changements qui sont impactants pour les clients, les utilisateurs et les distributeurs des solutions VMware. Dernière annonce en date : la fin de la version gratuite de VMware ESXi Free, pourtant très répandue. En effet, elle pouvait être utilisée pour évaluer la solution sans limite de temps, bénéficier d'un environnement de test, déployer un serveur dédié dans le Cloud ou encore en production par certaines petites et moyennes entreprises.
Désormais, si vous utilisez VMware ESXi Free, vous avez deux options : passer sur une version payante de VMware ESXi ou se tourner vers une alternative. Dans cet article, nous allons évoquer ces fameuses alternatives (y compris certaines payantes), sans faire la promotion d'une solution plus qu'une autre. Libre à vous de les évaluer, même si nous essaierons de publier du contenu sur ces solutions dans les semaines et mois à venir...
II. Les alternatives à VMware ESXi
A. Hyper-V
Hyper-V, c'est le nom de l'hyperviseur de Microsoft, disponible à la fois sur Windows Server et Windows (notamment sur Windows 10 et Windows 11), mais également en tant qu'Hyper-V Server, une version autonome, mais en fin de vie.
Le rôle Hyper-V est gratuit, cependant il a un impact sur le coût de la licence Windows Server. En effet, vous devez disposer d'une licence valide pour le système d'exploitation, mais en plus, votre licence Windows Server doit tenir compte du nombre de machines virtuelles que vous comptez déployer (une seule licence Windows Server Standard autorise 2 VM).
Hyper-V est une solution mature, avec de nombreuses fonctionnalités, et il est capable de faire tourner des machines sous Windows ou Linux. La gestion des machines virtuelles s'effectue avec la console Hyper-V, qui est une sorte de client lourd, mais aussi via Windows Admin Center et PowerShell. Lorsqu'un cluster Hyper-V est déployé, une seconde console dédiée est accessible à l'administrateur système.
Ces derniers temps, nous entendons beaucoup parler de Proxmox VE car cette solution pourrait profiter de la situation actuelle pour récupérer quelques utilisateurs de VMware. Lancée en 2008, Proxmox VE (Virtual Environment) est une plateforme de virtualisation open source adaptée pour la production et les entreprises. Elle prend en charge la création et la gestion de machines virtuelles, mais aussi de conteneurs.
Proxmox VE est basé sur un noyau Linux et cette solution intègre deux technologies : KVM (Kernel-based Virtual Machine - En soit, c'est aussi une alternative) pour les machines virtuelles et LXC (Linux Containers) pour les conteneurs. La gestion s'effectue en ligne de commande ou à partir d'une interface web. En plus de ses fonctionnalités de virtualisation, Proxmox VE intègre également des fonctionnalités avancées telles que le clustering et la réplication.
Proxmox VE est largement utilisé dans le monde entier et bénéficie d'une communauté importante et active qui contribue à son développement. Aujourd'hui, c'est une solution de virtualisation à considérer au moment de faire son choix !
Né en 2018, le projet XCP-ng est une plateforme de virtualisation open source basée sur XenServer. Au même titre que VMware ESXi, c'est un hyperviseur capable de gérer et de déployer des machines virtuelles. Cette solution a été créée en réponse aux limitations et aux restrictions de Citrix XenServer, notamment en ce qui concerne certaines fonctionnalités "premium". En tant que projet open source, XCP-ng bénéficie des contributions de développeurs du monde entier et d'une communauté grandissante.
L'administration de XCP-ng s'effectue au travers d'une application cliente (un client lourd), tout en étant compatible avec Xen Orchestra, une interface web intuitive pour administrer votre infrastructure de virtualisation. Au-delà d'être une alternative à VMware ESXi, XCP-ng est devenue une sérieuse alternative à une autre solution open source : Proxmox VE.
Dans le catalogue de solutions de chez Nutanix, la véritable alternative à VMware ESXi s'appelle Nutanix AHV, un hyperviseur destiné aux entreprises. Bien que ce soit une réelle alternative à ce que propose VMware, c'est une solution payante, donc ce n'est pas forcément ce que vous allez rechercher dans le cas présent.
Nutanix propose bien une solution gratuite et communautaire nommée Nutanix Community Edition. Toutefois, il s'agit d'une solution d'hyperconvergence (HCI) proposée par Nutanix, le leader sur ce marché. Même si elle est très intéressante, elle ne sera pas adaptée à toutes les situations.
VergeIO se présente comme L'ALTERNATIVE à VMware, et c'est précisé dès que l'on arrive sur la page d'accueil du site officiel : "Quittez VMware dès maintenant : 50 % moins cher - Meilleures performances - Migration transparente".
VergeIO est une plateforme de virtualisation et d'infrastructure hyperconvergée qui vise à simplifier la gestion des centres de données et à réduire les coûts. Elle se présente sous la forme d'une solution tout-en-un qui combine les ressources de calcul, de stockage, de réseau et de virtualisation dans une seule plateforme. Il s'agit d'une solution propriétaire et payante, que vous pouvez essayer pendant 90 jours.
Terminons par oVirt, une solution open source basée sur l'hyperviseur KVM au même titre que Proxmox. En complément, oVirt s'appuie aussi sur plusieurs autres projets communautaires, notamment libvirt, Gluster, PatternFly et Ansible.
L'interface web d'administration d'oVirt permet de gérer les machines virtuelles, mais également le stockage et le réseau virtuel. Cet hyperviseur prend en charge nativement des fonctionnalités avancées intéressantes : la migration en live des machines virtuelles et des disques entre les hôtes et le stockage, ainsi que la haute disponibilité entre plusieurs hyperviseurs.
Voilà, vous connaissez les noms des principales solutions qui peuvent prendre la place de VMware ESXi Free, même si vous pouvez aussi prendre la décision de rester sur VMware ESXi, en passant sur l'offre payante. Soyons honnête : c'est probablement le choix que feront certaines entreprises, mais sachez que des alternatives existent.
Si vous souhaitez donner votre avis sur une ou plusieurs de ces solutions, n'hésitez pas à commenter cet article. Si vous connaissez d'autres solutions viables pour remplacer VMware ESXi Free, c'est pareil, n'hésitez pas à partager l'information avec un commentaire.
Magika, c'est le nom du nouvel outil de Google mis à disposition de la communauté et qui permet d'identifier les types de fichiers, rapidement, grâce à l'intelligence artificielle. Voici ce qu'il faut savoir !
Avec Magika, vous pouvez identifier facilement et rapidement les types de fichiers binaires et textuels. Déjà utilisé en interne par Google, il peut être utilisé par tout le monde dès à présent. Il s'installe sur une machine en locale en tant que paquet Python (via "pip install magika"), mais vous aussi l'utiliser à partir de ce site de démo. "Magika est déjà utilisé pour protéger des produits tels que Gmail, Drive et Safe Browsing, ainsi que par notre équipe VirusTotal", précise Google.
À partir d'un bel échantillon de 1 million de fichiers, Google a comparé les performances de Magika avec d'autres outils tels que Exiftool, Trid, File mime et File magic. L'entreprise américaine affirme que : "Magika surpasse les méthodes conventionnelles d'identification de fichiers en offrant une augmentation globale de 30% de la précision et jusqu'à 95% de précision supplémentaire sur des contenus traditionnellement difficiles à identifier, mais potentiellement problématiques, tels que VBA, JavaScript et PowerShell."
Magika parvient à être plus performant grâce à l'intelligence artificielle et au fait qu'il a été entrainé sur énormément de données. Pour être plus précis, il s'appuie sur ce que l'on appelle un "deep-learning model" et il est capable d'identifier le type d'un fichier en quelques millisecondes.
Voici le tableau récapitulatif publié par Google sur cette page :
Je n'ai pas encore testé cet outil, mais il me semble très intéressant ! Attention, nous parlons bien d'identifier le type d'un fichier, ce qui n'indique pas s'il s'agit d'un fichier malveillant ou non, même si cela peut être un premier signe. L'exemple ci-dessous, publié par Google, montre que l'outil peut afficher le résultat pour l'ensemble des fichiers contenus dans un dossier :
Pour Google, le déploiement de l'intelligence artificielle à grande échelle au sein des outils et services va jouer un rôle au niveau de la cybersécurité et faire pencher la balance en faveur des défenseurs, face aux attaques.
Dans ce tutoriel, nous allons voir comment installer CrowdSec sur un pare-feu PfSense dans le but de bloquer les adresses IP malveillantes, notamment à l'origine d'attaques brute force, de scans de port et de recherche de vulnérabilités web (HTTP).
CrowdSec, que nous avons déjà abordé au sein de plusieurs articles, est une solution gratuite et open source capable de détecter et bloquer les attaques à destination des machines, grâce à la prise en charge de nombreux scénarios de détection. CrowdSec prend en charge Linux, Windows Server, FreeBSD, et il peut être mis en place sur certains firewalls comme PfSense et OPNSense.
Lorsqu'il est en place sur un firewall PfSense, CrowdSec va analyser plusieurs journaux du système pour identifier les comportements malveillants et bloquer les adresses IP associées. En complément, les adresses IP présentes dans les listes communautaires de CrowdSec sont également bloquées.
Il est important de préciser que si vous utilisez HAProxy en tant que reverse proxy sur un pare-feu PfSense, vous pouvez également configurer CrowdSec pour qu'il surveille les logs de HAProxy pour détecter les attaques Web. C'est très intéressant, et ce scénario sera probablement détaillé dans un article complémentaire.
Pour vous aider à mettre en place ce tutoriel, voici quelques ressources supplémentaires :
Pour suivre ce tutoriel, vous avez besoin d'un pare-feu PfSense déjà en place car nous n'allons pas voir l'installation. Pour ceux qui le souhaitent, vous pouvez utiliser le Lab basé sur VMware Workstation comme point de départ, si vous désirez vous entrainer. C'est ce que je fais pour ma part.
En complément, une machine virtuelle sous Kali Linux sera utilisée pour simuler une attaque (en se positionnant côté WAN). Mais, vous pouvez directement utiliser votre hôte physique sans problème (sous Windows, vous pouvez installer l'outil Zenmap, par exemple).
III. Installer CrowdSec sur PfSense
A. Accéder au shell de PfSense
La première étape consiste à installer un ensemble de paquets sur le pare-feu PfSense afin de pouvoir intégrer CrowdSec. Pour exécuter des commandes shell sur PfSense, il y a trois options :
Utiliser le mode console (via l'hyperviseur, par exemple)
Utiliser la console distante via une connexion SSH
Utiliser la fonction "Command Prompt" accessible via l'interface web de PfSense (dans le menu "Diagnostics").
Dans le cas présent, je pensais utiliser la fonction "Command Prompt" mais les commandes ne sont pas passées. Il est préférable de passer directement via la console.
Si vous avez besoin d'activer le SSH, cliquez sur "System" puis "Advanced". À cet endroit, il y a une section "Secure Shell" où vous pouvez activer le SSH et définir un port personnalisé.
Ensuite, vous devez vous connecter en SSH à PfSense. Vous pouvez utiliser le client OpenSSH de Windows ou Linux, ou une autre application telle que PuTTY.
Voici comment se connecter sur un pare-feu avec l'adresse IP "192.168.100.1" avec le compte "admin", où le port SSH est 9922.
ssh admin@192.168.100.1 -p 9922
La première fois, vous devez accepter l'empreinte en indiquant "yes". Ensuite, saisissez le mot de passe et validez. Pour accéder au shell, choisissez l'option "8".
B. Installer CrowdSec, le paquet PfSense et le bouncer Firewall
Désormais, il va falloir installer CrowdSec, son paquet pour PfSense, le bouncer Firewall et des dépendances.
Pour cela, vous devez récupérer les liens vers les dernières versions en vous référant au GitHub de CrowdSec. Autrement dit, les commandes "pkg add" ci-dessous pointent vers les versions actuelles, mais ce ne seront pas forcément les dernières lorsque vous allez suivre ce tutoriel.
Avant d'installer les paquets, nous allons définir la variable "IGNORE_OSVERSION" à "yes" pour éviter les avertissements lors de l'installation des paquets (dû à la différence entre la version du paquet et la version de FreeBSD sur laquelle est basée PfSense).
Dans la console, saisissez cette commande :
setenv IGNORE_OSVERSION yes
Puis exécutez les commandes suivantes pour télécharger et installer les paquets :
L'installation de CrowdSec est effectuée à l'emplacement suivant :
/usr/local/etc/crowdsec/
Par la suite, si vous avez besoin de redémarrer CrowdSec, utilisez cette commande (adaptez également pour l'arrêter / le démarrer) :
service crowdsec.sh restart
Avant de poursuivre, vous devez redémarrer votre pare-feu PfSense, sinon CrowdSec ne sera pas actif, et la ligne de commande "cscli" indisponible également.
Voilà, vous venez d'installer CrowdSec sur PfSense !
IV. Configurer CrowdSec sur PfSense
Sachez que tout le jeu de commandes habituel permettant de configurer et d'utiliser CrowdSec est disponible : cscli. Vous pouvez aussi faire l'essentiel de la configuration à partir de l'interface d'administration de PfSense.
À partir du menu, sous "Services", choisissez "CrowdSec".
Par défaut, et c'est plutôt appréciable, CrowdSec est préconfiguré pour être opérationnel et être capable d'analyser les journaux de PfSense. Pour en savoir plus sur les fichiers de logs parsés par CrowdSec, regardez ces deux fichiers :
Vous devez tout de même réviser la configuration proposée...
Vous pouvez constater que la "Local API" (LAPI) est activée. Elle est utilisée par CrowdSec pour le partage d'informations entre plusieurs instances. Ici, c'est en local. Au cas où il s'agirait d'un déploiement avec plusieurs machines qui s'échangent les informations (adresses IP bloquées, par exemple), il faudrait s'intéresser à la section "Remote API". Ici, ce n'est pas nécessaire.
Descendez dans la page... Nous pouvons constater que CrowdSec est actif sur toutes les interfaces de PfSense, en entrée (flux malveillants entrants). Il est important de préciser que les règles de pare-feu créées par CrowdSec ne sont pas visibles dans la liste des règles de PfSense que l'on peut afficher en mode web, mais uniquement en ligne de commande.
Cliquez sur le bouton "Save" pour valider la configuration et démarrer CrowdSec.
Désormais, dans le menu "Status", cliquez sur "CrowdSec Status".
Ici, vous pouvez visualiser l'état général de CrowdSec, ainsi qu'obtenir la liste des bouncers, des collections, des scénarios, etc... Mais aussi lister les dernières alertes et les décisions. Pour rappel, une décision correspond au fait de bannir une adresse IP (action par défaut).
Voici la liste des collections actuellement installées :
Nous pourrions en ajouter d'autres à partir de la ligne de commande (cscli collections install). Ceci peut s'avérer utile si votre pare-feu PfSense héberge d'autres services, comme un reverse proxy HAProxy, par exemple.
Enfin, il y a la section "CrowdSec Metrics" accessible via le menu "Diagnostics" de PfSense qui donne des statistiques plus détaillées sur l'activité de CrowdSec sur notre pare-feu. Nous pouvons entre autres visualiser quels sont les fichiers de log analysés par CrowdSec et obtenir des statistiques à leur sujet.
V. Simuler un scan de ports sur PfSense
A partir de l'outil NMAP, nous allons pouvoir réaliser un scan de ports sur l'adresse IP de l'interface WAN du PfSense. Dans cet exemple, il s'agit de "192.168.1.60", mais en production, il s'agirait de votre adresse IP publique. Vous pouvez utiliser NMAP sur Linux, via WSL, ou sinon en mode graphique sous Windows avec Zenmap.
Voici la commande à exécuter pour faire un scan de port à la recherche de services fréquents :
nmap -sV 192.168.1.60
Le scan a permis de détecter que le port 80/tcp (http) était ouvert. C'est normal, car une règle de NAT redirige les flux HTTP vers un serveur Web en DMZ. Il n'a pas obtenu d'autres réponses.
Pour cause, la machine à l'origine du scan a été bannie par CrowdSec. Nous pouvons le voir dans le menu "Status" puis "CrowdSec", en accédant à l'onglet "Decisions". Cette adresse IP a été bannie à cause du scan de port, comme indiqué : pf-scan-multi_ports.
L'information est bien entendu visible à partir de la ligne de commande :
cscli decisions list
Nous pouvons constater que CrowdSec est opérationnel et réactif sur notre pare-feu PfSense ! C'est un gros plus pour la protection de notre réseau !
VI. Conclusion
Suite à la mise en place de CrowdSec sur notre pare-feu PfSense, nous sommes en mesure de détecter et bloquer les adresses IP malveillantes. Ainsi, si une machine vient frapper à la porte de votre pare-feu pour voir quels sont les services ouverts, elle sera directement bannie.
Par la suite, nous verrons comment aller plus loin dans la détection et la configuration s'il y a un reverse proxy HAProxy en place sur le pare-feu PfSense. Pour aller plus loin, nous pourrions aussi déployer CrowdSec sur les serveurs de notre infrastructure et faire en sorte pour que toutes les décisions et alertes soient synchronisées entre les hôtes, en nous appuyant sur l'instance CrowdSec déployée sur PfSense comme point central.
L'attaque KeyTrap, c'est le nom donné à une nouvelle vulnérabilité découverte dans DNSSEC. Elle affecte tous les services et toutes les implémentations de DNS populaires, y compris bind9, dnsmasq, PowerDNS Recursor ainsi que le serveur DNS de Windows Server. Faisons le point.
Pour rappel, DNSSEC est une extension du DNS qui améliore la sécurité du service DNS grâce à l'ajout de signatures afin de pouvoir authentifier les réponses. Nous en avions parlé dans ce tutoriel : comment configurer DNSSEC sur Windows Server 2022 ?
En ce qui concerne la faille de sécurité KeyTrape, elle est associée à la référence CVE-2023-50387, et elle a été découverte par des chercheurs et experts allemands, issus de l'institut de recherche ATHENE, de l'université Goethe de Francfort, du Fraunhofer SIT et de l'université technique de Darmstadt.
D'après eux, cette vulnérabilité est présente dans DNSSEC depuis plus de 20 ans ! Elle est liée au fonctionnement de DNSSEC, notamment dans la gestion des clés cryptographiques. En exploitant cette vulnérabilité, il est possible d'effectuer un déni de service sur le système DNS pris pour cible. En effet, à partir d'une seule requête, la réponse retournée par le service DNS peut être retardée de 56 secondes à 16 heures (en fonction du type de service).
Quels sont les services et serveurs DNS affectés ?
D'après les chercheurs : "Avec KeyTrap, un attaquant pourrait complètement désactiver de grandes parties de l'Internet mondial", preuve que cette vulnérabilité est importante. Ceci se justifie par le fait qu'elle impacte les fournisseurs de services DNS les plus importants, tels que Google et Cloudflare.
Voici un tableau publié par les chercheurs en sécurité (visible dans ce rapport) où l'on peut voir quelles sont les applications et les services vulnérables :
Depuis novembre 2023, des travaux sont en cours chez Google, Cloudflare, mais également chez Akamai pour déployer des mesures d'atténuations permettant de se protéger de cette vulnérabilité liée au fonctionnement de DNSSEC. Du côté de chez Microsoft, il semblerait que la mise à jour cumulative pour Windows Server déployée à l'occasion du Patch Tuesday de Février 2024 permette de corriger cette vulnérabilité.
D'après un rapport d'Akamai : "environ 35 % des utilisateurs d'Internet basés aux États-Unis et 30 % des utilisateurs d'Internet dans le monde utilisent des résolveurs DNS qui utilisent la validation DNSSEC et sont donc vulnérables à KeyTrap.".
