weerapat1003 - stock.adobe.com
Détecter Trickbot avant qu’il ne soit trop tard… et que Ryuk ne détone
Ce cheval de Troie est fréquemment utilisé dans les attaques conduisant au déploiement du ransomware Ryuk, comme Sopra Steria vient d’en faire l’expérience. Mais ce n’est pas une fatalité.
L’un vient avec l’autre : le cheval de Troie Trickbot est régulièrement utilisé dans le cadre de cyberattaques conduisant au déploiement et à la détonation du rançongiciel Ryuk. Sopra Steria a encore récemment pu le constater directement. Mais c’est loin d’être la seule victime, et ce n’est pas un hasard si, après un effort collectif contre Trickbot, la communauté internationale de la cybersécurité, et notamment du renseignement sur les menaces, vient d’ouvrir la chasse à Ryuk.
C’est dans ce contexte que Red Canary a détaillé, dans un billet de blog et un dépôt sur GitHub, les opportunités de détection tout au long de la chaîne d’attaque, ou killchain, conduisant du premier contact avec Trickbot à la détonation de Ryuk. Ces opportunités sont au nombre de dix et s’échelonnent de la mise en place de la tête de pont initiale, jusqu’à la compromission de l’annuaire Active Directory, avec entre temps, le déploiement de Cobalt Strike pour le déplacement latéral.
Mais est-il réaliste d’imaginer pouvoir saisir au moins l’une de ces opportunités et mettre un terme à l’attaque en cours ? Oui, répondent en cœur les experts d’Advens, I-Tracing, et Intrinsec.
Détecter au plus tôt
David Q, responsable du CSIRT Advens, explique qu’il est « possible de détecter toutes les phases [de l’attaque] avec un Sysmon bien paramétré ». Et cela vaut également pour les étapes finales, autour d’Active Directory, même si, concède-t-il, c’est « plus complexe ».
Cyrille BarthelemyCEO, Intrinsec
Chez Intrinsec, Cyrille Barthelemy, tempère toutefois : « Sysmon peut tout détecter, mais cela demande une sacrée expertise de faire une configuration optimale ». Dans le détail, il identifie en particulier les opportunités numérotées 2 (énumération des domaines de confiance avec nltest), 3 (énumération des administrateurs du domaine avec net group), 5 (tentative de déplacement latéral avec WMI, Powershell, et Cobalt Strike), 6 (déplacement latéral avec le module SMB PsExec de Cobalt Strike), et 8 (collecte de données d’authentification sur le processus lsass) par Red Canary comme pouvant être saisies avec Sysmon seul ou avec, selon les cas, les logs Powershell ou événements Windows.
Pour les dernières phases, visant l’Active Directory, il envisage de combiner journalisation des accès aux objets de l’AD, et supervision du trafic LDAP, notamment.
Une attaque pas si furtive avec EDR et NTA
Mais attention toutefois, précise Cyrille Barthelemy : « qui dit Sysmon, dit centre opérationnel de sécurité (SOC) avancé ». Ce qui ne signifie pas que les organisations ne disposant pas de telles capacités doivent désespérer. De fait, l’arsenal défensif disponible aujourd’hui présente des éléments permettant de couper court à ce genre d’attaque sans trop de peine, ou à tout le moins les détecter à coup sûr.
Pour Laurent Besset, « chez un client type actuel », une telle attaque Trickbot/Ryuk « sera vue avec une probabilité élevée parce que l’EDR sonnera notamment à l’opportunité 8 (le dump lsass). C’est une chose bien détectée par les EDR et un signal très fort, avec peu ou pas de faux-positifs ». Et dans un cas pareil, « l’EDR permettra d’isoler la machine sur laquelle l’action est réalisée, et donc d’arrêter l’attaquant, au moins à cet endroit ». Et cette approche est peut-être préférable : car Cyrille Barthelemy relève que l’opportunité 8 peut être saisie avec Sysmon, mais souligne que « cela requiert une journalisation très verbeuse ».
Et ce n’est pas tout. Pour Laurent Besset, « les sondes d’analyse du trafic réseau (NTA) sont très efficaces sur les activités de découverte ». Cyrille Barthelemy est du même avis : « pour les déplacements latéraux inhabituels (WMI, SMB, RDP) ou la reconnaissance Active Directory (adfind, Sharphound/Bloodhound), ces outils peuvent aider ».
Des activités qui, pour Laurent Besset, « vont faire sonner les Vectra et autres Darktrace ». Une aide, donc, mais pas indispensable, car dans la pratique, « on n’a pas besoin de ça pour comprendre qu’il se passe quelque chose d’anormal et que quelqu’un est entré dans le réseau ». De quoi, en tout cas, bien simplifier le travail de bon nombre d’équipes de sécurité.
Être en capacité de réagir
Mais encore faut-il suivre les alertes. Les cas où des systèmes de NTA (ou NDR en anglais, pour Network Detection and Remediation) ont produit des alertes qui ont été ignorées existent bien et ne sont pas nécessairement isolés. Et c’est sans compter avec toutes celles qui peuvent être perdues dans le bruit de fond. Laurent Besset relève ainsi que, « avec l’EDR, on peut potentiellement tout voir dans cette chaîne d’attaque, mais certaines des alertes correspondront à des événements très bruyants et donc à des signaux assez faibles, pris unitairement ».
David QResponsable du CSIRT Advens
Cyrille Barthelemy ne dit pas autre chose, et soulignait que l’un des points clés est le temps, ce qui « emmène sur la pertinence des alertes EDR, le nettoyage des faux positifs, puis l’automatisation de la réponse qui ne peut vraiment se faire qu’une fois que la détection est ultra calibrée ».
Même son de cloche du côté de David Q, selon lequel, « pour avoir un espoir de saisir les opportunités, il n’y a qu’un maître mot : la préparation, avec l’anticipation des actions possibles. Un EDR bien configuré et qui bloque par défaut, devrait permettre d’avoir un réel impact sur le risque. Mais encore faut-il qu’il soit compris, expliqué et accepté ».