e-Xpert Solutions Lausanne
Auteur : TEAM at-Defense
Date de publication : 4 février 2019 - Dernière mise à jour : 16 janvier 2020
Dans le cadre de notre activité, nos analystes évaluent en continu les dernières attaques avancées (Advanced Persistent Threat) afin de s’assurer que nos capacités de détection et de réponse sont adaptées. Ce bulletin reprend une attaque proche de chez nous et décrit cette évaluation.
« at-Defense » est la solution de détection des menaces et de réponse à incidents d’e-Xpert Solutions.
Elle propose une surveillance avancée, automatique et continue de l’ensemble de l’infrastructure IT. Toute tentative d’intrusion ou action frauduleuse sur le SI de nos clients déclenche immédiatement une alerte traitée par nos analystes spécialisés. Si l’incident de sécurité est confirmé, nos équipes informent le client et l’accompagnent dans les étapes de "containment" et d’éradication de la menace.
Proposée en mode services managés SaaS ou on-premise, cette solution pré-packagée s’intègre rapidement et simplement au cœur de tous types d’infrastructure.
at-Defense n’a pas pour vocation à remplacer, ni à se substituer aux outils de sécurité existants. Au contraire, cette solution travaille en complémentarité avec les briques existantes afin d’apporter un complément efficace de sécurité. La solution analyse et corrèle en temps réel l’ensemble des résultats remontés par chaque composant de sécurité.
Là où un firewall, un antivirus, un WAF ou un IPS tentent de bloquer les attaques, at-Defense offre une analyse approfondie de l’activité du SI et assure une détection rapide des tentatives d’intrusion en temps réel. L’objectif est de diminuer le temps de détection et de prise en charge d’une attaque.
En effet, selon notre article "La nouvelle ligne de mire : Les menaces !" : "De nombreuses études certifient qu’en moyenne les entreprises mettent plus de 200 jours* pour réaliser qu’elles ont subi une attaque. Cela peut se révéler extrêmement grave pour leur pérennité (d’autant qu’il est avéré que quelques heures à quelques jours suffisent pour exfiltrer l’ensemble des données d’une entreprise)..."
La rapidité de détection d’une attaque et de sa prise en charge, diminuent considérablement les impacts potentiels d’une intrusion, même réussie. Mieux encore, la bonne réactivité face à une attaque et son blocage efficace peut augmenter l’indice de confiance des clients auprès de l’entreprise.
At-Defense est composé de deux parties :
1. Une partie de collecte d’informations à tous les niveaux du SI :
- Collecte et consolidation des logs des serveurs
- Collecte et consolidation des logs des workstations
- Collecte et consolidation des évènements de sécurité : Firewalls, Antivirus, IPS, Scanner de vulnérabilité, Honeypots, …
- Collecte et consolidation des informations du trafic réseau
2. Et un moteur d’analyse et de corrélation pour la détection des menaces
Un des avantages de la solution est son déploiement. Avec une offre pré packagée, elle peut être déployée simplement et rapidement. Techniquement, des sensors sont installés dans l’environnement du client afin de collecter toutes les informations énumérées ci-dessus. L’objectif est de mettre en place une collecte d’informations complète et pertinente aux différents points stratégiques du SI.
Toutes ces informations sont ensuite consolidées et exploitées en temps réel dans notre moteur d’analyse à la recherche de comportements malicieux ou anormaux.
Cette analyse est basée sur une combinaison d’approches comportementales, statistiques, ainsi que sur un set de règles reposant sur des Framework standards. Cette solution est complétée par l’expérience de nos ingénieurs tant sur l’aspect offensif que défensif.
À noter : Les règles de corrélation sont améliorées et enrichies en continu de façon automatisée ainsi que par nos experts en fonction des résultats d’analyses des malwares les plus récents.
Prenons un cas concret ; tentative d’interruption de services en Février 2018 d'une organisation internationale durant un évènement public à forte exposition.
L’objectif était de paralyser les activités de cette organisation par le biais d’un malware sophistiqué et particulièrement virulent. Le point d’entrée du malware était comme souvent, un email de spear-phishing reçu par les victimes. Ce phishing reprenait des mails semblables à des communications effectués par des partenaires officiels de cette organisation.
La création de ce malware a été attribuée dans un premier temps au groupe « Lazarius » (Corée du Nord), toutefois de nouvelles études ont prouvé que de « faux indicateurs » avaient été ajoutés dans le malware pour faire accuser ce groupe (traces de codes communs avec BadRabbit,Not Petya etc).
Phases de l’attaque
Sur le plan technique, on retrouve les étapes classiques d’un malware :
- Exécution de code initiale : S’appuyant entre autres sur le framework Powershell Empire
- Découverte : Phase d’analyse de l’environnement s’appuyant entre autres sur des requêtes WMI pour lister les « Computers » accessibles
- Vol de crédentiaux : L’objectif est de récupérer des logins et mots de passes enregistrés sur le système (authentification Windows et navigateurs) pour les réutiliser dans la suite de l’attaque (de façon automatisée)
- Mouvement latéral : Les attaquants se sont appuyés sur l’utilitaire PsExec pour effectuer des connections depuis les machines infectées vers les autres ordinateurs accessibles en tentant de s’authentifier avec les logins et mots de passe volés. (le but final étant d’exécuter les commandes de la phase suivante sur les différentes machines accessibles)
- Destruction : Cette étape correspond à l’objectif des attaquants et s’est traduit par les opérations suivantes :
+ Suppression des « shadow copy » de Windows (backups) via la commande vssadmin.exe (cette opération est couramment utilisée par les Ransomwares)
+ Suppression des backups d’état du système (via la commande wbadmin.exe)
+ Désactivation de la « console de récupération » (via l’outil bcdedit.exe)
+ Suppression des journaux de système et de sécurité
+ Arrêt complet du système (shutdown)
Dans la suite de ce bulletin, nous expliquons les apports de at-Defense dans ce type d’attaque. Voyons comment la solution aurait détecté de façon active les différentes phases exposées ci-dessus.
Exécution
“A malware can hide, but it must run”, cette phrase célèbre dans le monde du Forensic prend ici tout son sens. En effet, plusieurs éléments auraient déclenché des alertes.
Au niveau comportemental, la commande lancée par le logiciel Microsoft Word lors de l’exécution du malware sort des modèles comportementaux d’un utilisateur classique utilisant ce logiciel. De même, la charge d’exécution contient de toute évidence des traces d’obfuscations avancées avant de by-passer les antivirus.
En voulant « cacher » la commande malicieuse par de l’obfuscation, cette dernière aurait généré davantage d’alertes vers nos analystes.
En résumé à ce stade, le malware aurait « déjà » été détecté par at-Defense.
Découverte
On constate différentes commandes exécutées par le malware servant à découvrir son environnement (autres ordinateurs connectés, etc…). Ces opérations classiques chez un administrateur deviennent anormales sur un utilisateur lambda.
Dans ces conditions, ce comportement aurait déclenché une alarme grâce à nos sets de règles de corrélation spécifiques.
Vols de crédentiaux
Le vol de crédentiaux est un des éléments sur lequel nous portons une attention particulière.
Au niveau du browser, il est difficile de détecter le vol de crédentiaux « enregistrés » dû au nombre élevé de faux positifs générés par ce type de détection.
Concernant les crédentiaux systèmes (Windows), différents composants de notre Security Monitoring permettent une remonté d’événements « sensibles » permettant notamment de détecter de façon pertinente le vol de crédentiaux, et ce, notamment à travers les traces laissées par l’accès mémoire au process Windows lié aux authentifications (lsass.exe).
Ce comportement (vol de crédentiaux système) aurait généré une alarme par at-Defense.
Mouvement latéral
L’utilisation de l’utilitaire PsExec pour effectuer un mouvement latéral (ou à défaut une tentative) fait partie de nos use cases les plus classiques. En effet, nos moteurs de corrélation s’appuyant sur une analyse statistique des connections entre ordinateurs, aurait permis la détection d’une anomalie : « Est-ce normal que la station de travail XYZ se connecte vers N autres workstations dans une fenêtre de quelques secondes ? ».
Ce comportement aurait déclenché une alarme via l’analyse statistique en temps réel sur laquelle nous nous appuyons.
Destruction
Les différentes commandes exécutées sont des « Red Flags ». En effet, ces commandes sont régulièrement utilisées par les Ransomware et déclenchent des alarmes de façon instantanée vers nos analystes.
De même, l’effacement des fichiers journaux constitue en soit un indicateur de compromission à part entière et aurait engendré une alerte par at-Defense.
Dans cet exemple concret et récent, at-Defense aurait déclenché au minimum 5 alertes de sécurité.
Cela grâce à l’analyse croisée entre toutes les sources de données collectées sur lesquelles sont appliquées des règles de corrélations avancées basées à la fois sur de l’analyse comportementale, statistique, mais aussi sur une large base de données d’indicateurs de compromission de type URL malveillante, IP, domaine, hash de fichiers etc …
Le malware utilisé pour attaquer cette organisation utilise un schéma très classique en plusieurs étapes : exécution, découverte, credentials dumping, mouvement latéral etc … A chaque étape, le malware devient potentiellement de plus en plus visible tout comme at-Defense, de son côté, augmente considérablement ses chances de le détecter.
Pour conclure, cette méthodologie prouve une efficacité redoutable dans la détection de malwares simples jusqu’aux APT (advanced persistent threats) les plus avancées capables de by-passer la grande majorité des antivirus et IPS du marché. Bien s’équiper, tout comme bien surveiller ne suffit plus ! at-Defense est la meilleure défense pour votre système d’information.
Events
Archives