Emotet : comment éviter une cyberattaque conduite avec ce malware ?
… et se prévenir d’une éventuelle détonation ultérieure d’un ransomware. En combinant filtrages multiples, protection du poste de travail, renseignement sur les menaces, et journalisation, suivant une approche de contrôle continu.
Souvenez-vous : le dimanche 6 septembre 2020, le ministère de l’Intérieur déclarait être « victime d’une campagne d’attaque par messagerie ». Et d’expliquer alors que, « pour prévenir le risque de contamination, nous sommes contraints de filtrer provisoirement les fichiers au format “.doc” ». Derrière cette « note aux rédactions » se cachait en fait la menace d’Emotet.
Nous avions alors trouvé, sur VirusTotal, la copie d’un e-mail envoyé le 4 septembre 2020, à 12h30, à une adresse du ministère de l’Intérieur. À l’intérieur de celui-ci, une pièce jointe : un document Word qui demande l’activation du contenu actif afin de pouvoir être consulté. L’analyse de document faisait apparaître des requêtes HTTP vers deux URLs, l’une en Espagne, l’autre en Hongrie. Ces URLs étaient connues de la plateforme URLhaus pour abriter des exécutables du redoutable Emotet « Epoch 3 ». Le collectif de chercheurs Cryptolaemus qui les avait signalées… le 4 septembre 2020, peu avant 10h30, heure française. Il les partageait sur Twitter et Pastebin un quart d’heure plus tard. Un chercheur avait initialement lancé une première alerte autour de 10h05.
Les en-têtes de l’e-mail que nous avons consulté indiquaient que la passerelle de filtrage du courriel entrant du Fimad, le fédérateur interministériel de messagerie et d’annuaires départementaux, avait laissé passer ledit message et sa pièce jointe. Ce qui n’était finalement guère surprenant. Le 10 septembre, selon VirusTotal, seuls 28 moteurs d’analyse statique sur 58 auraient identifié ce message comme une menace. Celui de la passerelle de filtrage de la messagerie du Fimad comptait alors parmi eux.
Il faut reconnaître que les opérateurs d’Emotet ne rendent historiquement pas la tâche facile : pour la seule journée du 9 septembre 2020, il fallait compter avec 15 condensats de documents piégés connus, 43 condensats d’exécutables, distribués par rien moins que 854 URLs…
Tombé fin janvier 2021 à la suite d’une opération de police internationale, Emotet a fait son retour au cours du mois novembre suivant. Le code malicieux du botnet avait alors commencé par être distribué via Trickbot. C’était son epoch 4. Il a ensuite repris sa distribution autonome, son epoch 5. Début décembre 2021, une évolution d'Emotet a été observée, rendant la menace encore plus pressante et réduisant la fenêtre d'opportunité de détection.
Face à une menace pareille, comment se protéger ? Chez I-Tracing, Laurent Besset commence par souligner que « à part pour Excel, il n’y a que très peu d’usages légitimes des macros Office. Tout le monde émet des recommandations dans ce sens depuis 5 ans. Ceux qui les appliquent ont pu dormir tranquilles la semaine dernière ». Une base donc, mais cela ne s’arrête pas là.
Prévoir une protection multicouche
Le filtrage du courrier entrant apparaît incontournable, mais comme dans le cas du phishing, ou hameçonnage en français, il souffre de limites évidentes. L’antivirus, ou plus généralement l’outil de protection du poste de travail (EPP) apparaît aussi indispensable. Mais avec des capacités d’analyse comportementale robustes, souligne Anthony Dechy, expert Threat Intelligence au centre de sécurité opérationnelle (SOC) d’Advens, car sans cela, « les antivirus ne voient rien ou pas grand-chose ».
Dans un bulletin d’alerte daté du 7 septembre, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) formule plusieurs recommandations. Et cela commence, sans trop de surprise, par « sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros ». À cela, l’agence ajoute de « limiter les accès Internet pour l’ensemble des agents à une liste blanche contrôlée ». Mais il y a plus, et c’est là que le renseignement sur les menaces entre en jeu.
Dans son bulletin d’alerte, l’Anssi fait ainsi référence aux indicateurs de compromission régulièrement publiés par le collectif Cryptolaemus et partagés sur URLhaus, y voyait « des sources fiables, qu’il est recommandé d’intégrer dans ses moyens de détection et de blocage ». Nicolas Le Guillou, responsable de la veille Cyber Threat Intelligence d’Intrinsec, souligne que le Cert néo-zélandais appuie la référence au collectif, mais également qu’URLhaus propose des flux facilitant l’intégration de ses indicateurs de compromission.
De fait, bloquer les connexions aux URLs distribuant les exécutables d’Emotet peut aider à éviter la compromission de machines sur lesquelles les pièces jointes piégées auraient été ouvertes. Et si cela ne suffit pas, bloquer les communications vers les adresses IP des centres de commande et de contrôle de l’acteur, que Cryptolaemus surnomme Ivan, peut aider à empêcher qu’Emotet ne soit utilisé pour déployer une autre charge utile, comme Trickbot ou Qakbot (aussi appelé Qbot). Autant de « signes avant-coureurs d’une attaque de plus grande ampleur », rappelait récemment Nicolas Caproni, patron du renseignement sur les menaces de Sekoia. Et cela vaut notamment pour les cyberattaques de ransomware.
Un examen rétrospectif régulier
Mais il y a plus à faire, avec ces indicateurs. Car s’ils sont partagés, c’est qu’ils ont été observés… et sont donc susceptibles d’avoir déjà fait des victimes. Là, le secret tient aux traces d’activité, les fameux logs. Il peut s’agir de ceux produits par la passerelle de protection de la messagerie, par l’EPP, par un outil de détection et de remédiation sur le poste de travail (EDR) – voire Sysmon, relève David Q, responsable du CSIRT d’Advens –, par le pare-feu ou encore par une passerelle de sécurité Web (SWG) ou un proxy Web.
Parcourir à nouveau tous ces logs dès que de nouveaux indicateurs sont disponibles, à la recherche de ces derniers, peut permettre de débusquer la menace. De là, avec un outil de protection de la messagerie moderne, il est envisageable non seulement d’identifier tous les destinataires des courriels piégés, mais également de supprimer globalement les pièces jointes malicieuses de l’ensemble des boîtes mail concernées.
Le travail d’analyse et de corrélation sur les logs peut ensuite permettre d’identifier les postes compromis, avant de les verrouiller à l’aide de l’EDR ou de les isoler du réseau en s’appuyant sur son système de contrôle des accès réseau (NAC). L’Anssi recommande d’ailleurs de « déconnecter les machines compromises du réseau sans en supprimer les données ». Et de souligner que « une suppression/un nettoyage par l’antivirus n’est pas une garantie suffisante. Seule la réinstallation de la machine permet d’assurer l’effacement de l’implant ».
Forte de son expérience acquise à l’occasion de nombreuses interventions, la jeune pousse américaine Huntress Labs propose quelques conseils pour les premiers pas de la remédiation. L’an dernier, ses équipes ont rendu accessible librement un script PowerShell, visant à aider à débusquer et supprimer les points de persistance d’Emotet et de Trickbot. Et Anthony Dechy de souligner également l’outil de vérification du jPCert, EmoCheck.
La chasse aux logs
Kilian Lavieille, responsable du Cert d’Intrinsec, émet toutefois un bémol : « très souvent les connexions via le firewall ou le proxy ne sont pas journalisées, ou les journaux ne sont pas conservés, en particulier lorsque tout cela est géré par un prestataire informatique ». Ou à tout le moins, pas suffisamment. Car en cas d’incident, « les logs, c’est la vie », mais « trop souvent, en réponse à incident, les entreprises ne sont pas en capacité de nous fournir les journaux, car ils n’en ont une rétention que sur 24h ».
Las, « les attaquants sont là depuis plusieurs jours, voire plusieurs semaines ». L’absence de logs pour des périodes suffisamment longues empêche alors « de remonter les traces [des assaillants] ou de détecter des traces de compromission liée à des virus tels qu’Emotet ou Trickbot ». Dès lors, Kilian Lavieille a un message pour les RSSI : « vérifiez l’existence des logs, leur verbosité ainsi que leur stockage sur le long terme ». À savoir, un an au minimum.
Laurent Besset, souligne quant à lui la complémentarité entre analyse des logs et EDR : « certains indicateurs de compromission portent sur des artefacts système que l’on ne trouve pas dans les logs. C’est notamment à cela que nous servent les EDR, à savoir aller vérifier la présence ou pas de ces artefacts sur les postes de travail et serveurs, pour compléter ce que l’on cherche avec les logs ou les systèmes de gestion des informations et des événements de sécurité (SIEM) ». Et d’ajouter que, « de la même manière, il est possible d’identifier des patterns réseau symptomatiques d’une attaque et utiliser une sonde pour les rechercher ».