Dans son rapport « 2021 Threat Detection Report » sur la détection des menaces pour 2021, dévoilé récemment, Red Canary a fait un inventaire des principales techniques de cyberattaque à l’aide du framework MITRE ATT&CK, la base de connaissance en cybersécurité sur les tactiques et les techniques d’attaque développée par l’organisation à but non lucratif MITRE. Dans leurs conclusions, les chercheurs de Red Canary soulignent la nécessité de bien comprendre son réseau. Ces derniers conseillent de prendre le temps de surveiller ce qui est normal dans l’entreprise. Ils recommandent aussi d’examiner et de documenter les scripts utilisés régulièrement et les identifiants d'événements qui apparaissent dans les journaux d'événements, en particulier ceux qui concernent les techniques d'attaque les plus utilisées. Ils conseillent aussi de déployer Sysmon et d’enregistrer les fichiers logs dans un emplacement externe. Enfin, ils recommandent de faire en sorte de bien enregistrer les événements qui révèleront ce que les attaquants pourraient faire dans son réseau. Le Centre australien de cybersécurité propose de la documentation et des conseils pour configurer la journalisation des événements Windows.
Voici les principales techniques d'attaque observées par Red Canary en 2020, classées selon leur fréquence :
- Interpréteurs de commandes et de scripts, plus connus sous le nom de PowerShell (24 %)
Les clients de Red Canary ont été les plus touchés par les attaques utilisant PowerShell et Windows Command Shell. Comme ces outils sont natifs de Windows, il est beaucoup plus difficile pour les entreprises de savoir qu'elles sont attaquées. Cette technique est dite « Living off the land » : l'attaquant n'a pas besoin d'apporter des outils d'attaque sur le réseau. Il utilise PowerShell qui est déjà installé. Pour surveiller les attaques basées sur PowerShell et les lignes de commande, on peut utiliser des outils comme Sysmon pour s’assurer que l’on capture la journalisation.
Il faut rechercher les cmdlets suspects ou toute autre commande obfusquée et la décoder pour examen. La comparaison des motifs PowerShell normaux à des motifs malveillants peut prendre du temps. Il faut garder un œil sur l’évènement 4688 - Création de processus (Event 4688 – Process Creation) qui peut alerter sur une utilisation nouvelle et malveillante. Il est important de se constituer une base intelligible des scripts et des processus PowerShell utilisés régulièrement afin de pouvoir les filtrer comme étant normaux. Enfin, il faut aussi rechercher les commandes qui semblent être des commandes cmd.exe combinées à une obfuscation.
- Exécution de processus de binaires signés (19 %)
La séquence d'attaque suivante utilise deux techniques : Rundll32 et Mshta. Toutes deux permettent à un attaquant de créer du code malveillant par le biais de binaires signés de confiance. Encore une fois, les attaquants utilisent des séquences d'attaque dites « living off the land », une technique qui consiste à utiliser des programmes légitimes disponibles pour propager des logiciels malveillants de façon à ne pas introduire dans le réseau des outils susceptibles d’être détectés. Il est possible de définir des alertes pour l’usage malveillant de Rundll32, mais il peut être difficile d'affiner ces alertes quand elles sont utilisées normalement dans l’entreprise. D’où l’importance d’établir une base de référence des évènements normaux dans l’entreprise.
- Créer et modifier un processus Système (16 %)
Cette attaque implique Windows Service, exploité par une seule menace : Blue Mockingbird, qui déploie une charge utile de minage de cryptomonnaies. Dans ce cas, les chercheurs de Red Canary recommandent d’examiner les logs des événements 4697, 7045 et 4688 quand de nouveaux services et de nouveaux processus sont créés. Une fois encore, il est important de connaître son entreprise et son mode de fonctionnement normal.
- Tâches/travaux planifiés (16 %)
Les attaquants utilisent des tâches programmées pour s’installer dans la durée. Le rapport Red Canary recommande de surveiller toute tâche planifiée quand elle est définie pour s'exécuter en tant que système, car c’est la configuration d'attaque la plus typique observée par les chercheurs. Les ID d'événements 106 et 140 enregistrent la création ou la mise à jour d'une nouvelle tâche.
- Dumping des informations d'identification (7%)
Le service LSASS (Local Security Authority Subsystem Service) est souvent utilisé pour voler les mots de passe avec l'aide d'outils comme ProcDump et Mimikatz. Une fois de plus, les règles d'accès au processus Sysmon offrent la meilleure boîte à outils possible. Il faut rechercher l'événement ID 10 dans les événements Sysmon. Les paramètres de réduction de la surface d'attaque de Windows 10 permettent aussi de rechercher les accès LSASS suspects quand on a établi une base de référence dans l’entreprise, et identifier les séquences d'attaque inhabituelles.
- Injection de processus (7 %)
Les attaquants utilisent différentes méthodes d'injection pour obtenir un meilleur accès aux systèmes. Du fait de la multitude des méthodes possibles, Sysmon s’avère encore le meilleur outil d'alerte à avoir dans sa boîte à outils.
- Fichiers ou information obfusqués (6 %)
Il est clair que les attaquants feront tout pour cacher leurs actions. Pour cela, ils utilisent des outils d’encodage comme Base64 pour dissimuler leurs processus d'attaque. Il est important de surveiller si PowerShell.exe ou Cmd.exe sont utilisés de manière inhabituelle. Cette séquence d'attaque peut être difficile à examiner car les indicateurs d'une activité malveillante peuvent aussi ressembler à des tâches administratives normales. Il faut définir des politiques d’usage de PowerShell et s’en tenir à l'exécution de scripts avec signature.
- Transfert d'outils d'intrusion (5 %)
Alors que la plupart des séquences d'attaque utilisent des techniques « living off the land », il arrive que les attaquants transfèrent des outils dans la plateforme (la technique est aussi connue sous le nom Ingress tool transfer). Ils utilisent souvent bitsadmin.exe pour transférer les outils malveillants utilisés dans les séquences d'attaque. L'examen des lignes de commande PowerShell à la recherche de mots-clés et de modèles est essentiel pour trouver la séquence.
- Services système (4 %)
Les attaquants utilisent le gestionnaire de services Windows Service Manager pour exécuter des commandes ou installer des services. Il faut surveiller l'événement Sysmon ID 7 pour détecter les séquences d'attaque.
- Usurpation d'identité (4%)
Les attaquants tentent de tromper la détection en renommant les utilitaires du système pour contourner les contrôles et la détection. Pour cela, il est inutile d’effectuer une recherche par noms de fichiers. Il faut rechercher par processus, par chemins connus pour savoir si les attaquants tentent d'utiliser cette technique pour mener son attaque. Dans la mesure du possible, il faut utiliser des systèmes capables de comparer les valeurs de hachage des fichiers, car elles ne varieront pas, même si les noms de fichiers sont modifiés.
Commentaire