Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Vos outils d’administration sont exploités par les cyberpirates

By:
Cognito
January 30, 2018

Dans mon dernier article, j'ai évoqué un test d'intrusion réalisé par un client du secteur financier. À cette occasion, j'ai expliqué comment j'avais aidé l'équipe de sécurité à détecter la présence d'une menace. Je vous reviens aujourd'hui avec un nouvel exercice de terrain.

Il s'agit cette fois d'un client du secteur industriel. Il souhaite lui aussi rester anonyme afin de ne pas dévoiler aux cybercriminels ses nouvelles capacités en matière de sécurité. Pour rester le plus performant possible, ce client organise régulièrement des exercices de simulation d'attaque où s'affrontent une équipe d'attaquants et une équipe de sécurité.

Traquer les menaces déjà présentes sur le réseau est particulièrement compliqué lorsque les comportements des attaquants se fondent dans la masse des activités normales. Les premières armes de prédilection d'un cyberpirate sont les outils d'administration réseau, car leurs actions sont approuvées par défaut.

Pour comprendre la différence entre un comportement d'attaque et un comportement acceptable d'utilisateur, il est nécessaire d'en comprendre les nuances respectives. Pour cela, il faut non seulement les analyser en contexte et étudier les comportements qui y sont associés, mais il faut aussi observer leur évolution tout au long du cycle d'attaque (s'il s'agit d'un comportement malveillant).

Il est encore plus difficile de déceler les comportements suspects lorsque les cyberpirates ont accès à des outils de sécurité déjà utilisés sur le réseau. Prenons l'exemple des outils de distribution de logiciels tels que MicrosoftSCCM, dont la présence est parfaitement légitime en entreprise. Ceux-ci génèrent une activité semblable à l'exécution distante de fichiers par un attaquant.

Les solutions de sécurité doivent créer des filtres pour supprimer ce type de bruit parasite. Cependant, si le système concerné se met à exécuter des actions C&C non approuvées, il s'agit probablement d'une attaque. La plupart des systèmes de sécurité n'identifient pas ces comportements comme malveillants car les actions de l'outil d'administration sont interprétées comme du simple bruit. C'est une aubaine pour les cyberpirates.

Lors du récent test d'intrusion effectué avec notre client du secteur industriel, l'équipe d'attaquants a réussi à accéder à un analyseur Nessus habituellement utilisé par l'équipe de sécurité pour identifier les ressources vulnérables.

L'équipe de sécurité m'avait informé de la présence de l'analyseur Nessus quelque temps auparavant; je savais donc comment il était utilisé et par qui. D'une manière générale, l'équipe de sécurité préfère savoir à quel moment ont lieu les analyses Nessus; elle ne veut pas que je les interprète comme des attaques, car elles sont approuvées.

Cela ne ferait qu'augmenter la charge de travail des analystes en sécurité, alors que ma mission est justement d'éliminer les informations parasites pour qu'ils puissent se consacrer pleinement à l'investigation des incidents, à la résolution des problèmes et à l'évolution de la protection du réseau.

Au fur et à mesure du test, j'ai remarqué plusieurs opérations de reconnaissance et déplacements latéraux en provenance de l'analyseur Nessus, suivant une séquence d'exécution qui ne m'était pas familière.

J'en ai immédiatement conclu qu'une personne non autorisée avait pris le contrôle de l'analyseur Nessus.

J'ai très rapidement détecté les premiers indicateurs de comportements d'attaque, c'est-à-dire des balayages des portsIP et des analyses des ports classiques. Ensuite, j'ai remarqué un grand nombre d'analyses réseau darknet sur des plagesIP que l'équipe de sécurité n'analysait habituellement pas.

Pour gagner du temps, j'ai établi un rapport entre les comportements d'attaque et diverses informations de contexte. Grâce à ces corrélations, l'équipe de sécurité a compris que les attaquants cherchaient à localiser des systèmes au niveau de plages de sous-réseau auparavant inexistantes.

J'ai continué à surveiller les activités de balayage du réseau. Même si ces comportements attribuables à des opérations de reconnaissance étaient suspects, j'ai d'abord attribué à cet incident un score de risquemoyen: le cycle d'attaque ne révélait aucun comportement associé laissant supposer que l'auteur de l'attaque s'était infiltré plus profondément au sein du réseau.

Après plusieurs balayages, je me suis rendu compte que l'équipe d'attaquants avait mis le doigt sur une série de serveurs exécutant des bases de données vulnérables et d'autres serveurs avec des mots de passe d'administrations faibles. J'ai rapidement vu les attaquants passer à la phase de déplacement latéral du cycle d'attaque — injection de code SQL, réplication automatisée et attaque en force contre les mots de passe d'administration.

J'ai alors mis en corrélation tous ces comportements d'attaque avec la machine utilisée par les pirates et avec le serveur du centre de données qu'ils avaient compromis. Tout cela en temps réel. À mesure que les attaques progressaient d'une phase à l'autre du cycle d'attaque, je leur attribuais un score de risquecritiqueavec un degré de certitude élevé.

Mes collègues de l'équipe de sécurité ont rapidement pris les mesures nécessaires pour isoler les attaquants et les empêcher d'atteindre les phases les plus destructrices, comme l'exfiltration de données.

L'auteur

Cognito est l'intelligence artificielle de la plate-forme Vectra de détection des menaces et d'aide à la résolution des incidents. Sa vocation est la traque des cyberpirates, qu'ils se cachent dans les centres de données, le cloud, les objets connectés ou les terminaux des utilisateurs. Consulter le profil de Cognito sur LinkedIn.

About the author

Cognito

The artificial intelligence in the Vectra network-detection and response platform.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

Breaking ground: Understanding and identifying hidden tunnels

July 11, 2018
Read blog post
Breach

Giving incident responders deeper context about what happened

June 4, 2018
Read blog post
Threat detection

Attackers can use your admin tools to spy, spread, and steal

January 26, 2018
Read blog post