Pastebin : les nouvelles fonctionnalités suscitent des critiques

Spread the love
Pastebin : les nouvelles fonctionnalités suscitent des critiques

Pastebin, le site web où les utilisateurs peuvent partager des extraits de texte, a ajouté aujourd’hui deux nouvelles fonctionnalités qui, selon les chercheurs en cybersécurité, vont être largement utilisées par les opérateurs de logiciels malveillants.

Baptisées “Burn After Read” et “Password Protected Pastes“, ces deux nouvelles fonctionnalités permettent aux utilisateurs de Pastebin de créer des “pastes” (extraits de texte) qui expirent après une seule lecture ou des pastes protégés par un mot de passe.

publicité

Aucune de ces deux caractéristiques n’est originale, car elles sont présentes sur de nombreux sites du même type depuis des années

Cependant, ils sont nouveaux pour Pastebin, qui est, de loin, le portail de ce genre le plus populaire aujourd’hui. Celui-ci est classé dans le Top 2 000 des sites les plus populaires sur Internet selon le classement Alexa.

Un passé chargé

Comme pour tout ce qui est populaire, des contenus malveillants ont été hébergés sur la plateforme. Alors que certaines personnes l’utilisent pour héberger des morceaux de code ou de texte qu’elles voulaient partager avec un collègue, Pastebin s’est également transformé en un service d’hébergement pour le code malveillant.

Au cours des dernières années, les auteurs de logiciels malveillants ont utilisé Pastebin pour stocker les commandes malveillantes qu’ils récupèrent et exécutent sur des hôtes infectés, les données piratées, les adresses IP des serveurs de commande et de contrôle des logiciels malveillants, et bien d’autres informations utiles.

Ted Samuels, un consultant spécialisé dans la réponse à incident, a déclaré aujourd’hui à ZDNet qu’il est difficile de mettre un chiffre ou un pourcentage sur la présence de Pastebin dans les opérations de logiciels malveillants, mais l’a décrit comme “fréquent”.

“Pastebin est de loin le “site de pastes” le plus prolifique et un point de chute assez populaire pour les attaques sans fichier utilisant PowerShell. Par exemple, la charge utile initiale d’un acteur malveillant peut utiliser PowerShell pour télécharger du contenu supplémentaire depuis pastebin.com pour une exécution ultérieure via PowerShell. Le prolifique framework CobaltStrike peut être chargé de cette façon”.

Pour contrer la popularité croissante de Pastebin parmi les développeurs de logiciels malveillants, les sociétés de cybersécurité ont créé au fil des ans des outils qui récupèrent les nouvelles entrées de Pastebin à la recherche de contenus malveillants ou de données potentiellement sensibles dès qu’ils sont mis en ligne sur le site. Ces entrées malveillantes sont indexées dans des bases de données privées de renseignements sur les menaces qui sont ensuite utilisées pour répondre aux incidents. Elles sont également signalées à Pastebin pour qu’elles soient supprimées.

Mais aujourd’hui, les chercheurs en sécurité affirment qu’en ajoutant ces deux nouvelles fonctionnalités, Pastebin bloque leurs efforts pour détecter les opérations de logiciels malveillants et semble s’adresser avant tout aux opérateurs de logiciels malveillants.

“À moins qu’ils ne prennent des mesures pour empêcher l’utilisation de ces fonctionnalités pour la mise en place de Command&Control et l’hébergement de logiciels malveillants, ces nouvelles fonctionnalités semblent utiles pour les attaquants qui utilisent PasteBin à ces fins”, a déclaré à ZDNet Brian, un chercheur en sécurité de Pittsburgh.

Mais les nouvelles fonctionnalités posent problème au dela de la simple détection en temps réel de ce qui a été mis en ligne sur le site. Elles ont également un impact sur les enquêtes de réponse à incident post infection.

“Ce nouveau changement rendra désormais plus difficile pour les intervenants d’évaluer rapidement ce qui a pu être téléchargé et exécuté dans certains environnements”, a déclaré Samuels à ZDNet.

Une relation compliquée

La réaction à l’égard des deux nouvelles fonctionnalités de Pastebin est aussi due à la relation compliquée de la communauté de la cybersécurité avec le site.

Au fil des ans, les chercheurs en sécurité ont souvent accusé ses administrateurs de traîner des pieds lorsqu’ils avaient besoin d’enlever des contenus malveillants. Les choses se sont beaucoup emballées au début de l’année, en avril, lorsque Pastebin a voulu mettre fin à l’API de scraping, un outil utilisé par les chercheurs en cybersécurité pour détecter les nouveaux contenus mis en ligne sur Pastebin.

Pastebin a fait marche arrière sur ce changement après une réaction de rejet massive.

“Pastebin stocke des données importantes pour nos utilisateurs que ce soit des calculs et de données d’ingénierie, telles que des algorithmes, des journaux de divers services, des robots, des périphériques réseau et même du code logiciel propriétaire”, a déclaré la société.

“Nous avons reçu de nombreuses demandes de nos utilisateurs pour implémenter ces fonctionnalités en raison de leurs droits à la confidentialité et pour aider nos utilisateurs à protéger leur travail.”

“Pastebin a été créé par des développeurs pour des développeurs et est utilisé dans le monde entier par des millions de personnes. Bien sûr, chaque plateforme à des acteurs malveillants qui essaient de tirer parti des fonctionnalités, y compris Github, Twitter, Facebook, Dropbox, Privnotes et Sendspace pour n’en nommer que quelques-uns”, a déclaré Pastebin .

Comme l’a souligné Pastebin, la réaction des chercheurs en sécurité est peut être excessive car il existe des dizaines d’autres sites similaires à Pastebin, dont certains sont bien plus indulgent que Pastebin en matière de retrait des contenus malveillants.

“Bien sûr, il y a une réaction excessive de la part de la communauté twitter de la sécurité informatique, et ce n’est pas seulement lié à Pastebin. Il existe de nombreux sites de paste avec des fonctionnalités similaires, postb.in par exemple”, a déclaré Samuels.

Il est nécessaire de tenir des sites comme Pastebin responsables des fonctionnalités qu’ils prennent en charge, mais les deux nouvelles fonctionnalités ont également des utilisations légitimes. Si Pastebin est vraiment si mauvais, alors d’autres mesures auraient dû être prises il y a des années.

“Pastebin et les autres sites web de pastes devraient être bloqués à l’intérieur des réseaux d’entreprises”, a déclaré à ZDNet SwitHak, un chercheur français en sécurité.

“Nous savons qu’il est utilisé par les acteurs malveillants. Nous devons agir en conséquence. Nous connaissons le vecteur, bloquons-le et obligeons les attaquants à utiliser leurs propres serveurs. S’ils hébergent la configuration du logiciel malveillant sur leurs propres serveurs, nous pouvons viser l’infrastructure des attaquants. Il s’agit de rendre l’attaque plus compliquée pour les attaquants, de les forcer à jouer dans notre domaine et d’imposer des coûts”, a ajouté SwitHak.

Cependant, Pastebin explique que si les deux nouvelles fonctionnalités peuvent être utilisées de manière abusive, la société dispose également de fonctionnalités pour aider les défenseurs :

  • Plus tôt cette année, nous avons lancé le nouvel abonnement Enterprise API pour fournir un meilleur abonnement aux données pour nos clients professionnels.
  • Un partenariat avec des sociétés mondiales de cybersécurité pour la protection de notre site ainsi que pour l’enrichissement des données de leurs produits et services.
  • Un partenariat avec les CERT mondiaux (Computer Incident Response Center Luxembourg, Canadian Center for Cyber Security, Austrian Energy CERT) et les forces de l’ordre.
  • En interne, en ce qui concerne le contenu malveillant, en partenariat avec les organisations mentionnées ci-dessus, nous prenons les mesures appropriées pour limiter ces données.
  • Pour les chercheurs, les universités et les organisations de l’industrie que nous approuvons, nous accordons un accés sans frais à ces fonctionnalités.
  • Enfin, mise en place d’équipes de gestion des abus et d’analyse des menaces qui travaillent en étroite collaboration avec les forces de l’ordre et les partenaires de l’industrie.

Source : “ZDNet.com”

Leave a Reply