Le cheminement typique d’une attaque en profondeur
Impressionnantes et redoutables, les cyberattaques avec ransomware en profondeur n’en sont pas moins détectables. Les assaillants peuvent être débusqués à plusieurs étapes. De quoi déjouer l’offensive et reprendre la main.
Il suffit aux cybermalfaiteurs d’un point d’entrée dans le système d’information d’une entreprise pour lancer une attaque. Mais le déclenchement du chiffrement, l’amorce de la tentative d’extorsion, n’est en fait que la dernière étape d’une opération qui peut aussi bien s’avérer très brève – quelques heures à peine – que très longue – plusieurs mois.
Entre les deux, les assaillants vont se déplacer dans l’environnement cible, acquérir graduellement des privilèges, des droits, plus élevés, jusqu’à obtenir le contrôle de tout ou partie du système d’information ; éventuellement, désactiver certaines protections, effacer des sauvegardes, exfiltrer des données plus ou moins sensibles, et détruire les journaux d’activité susceptibles d’accélérer l’analyse de l’attaque après sa découverte à l’occasion du déclenchement du chiffrement. L’Agence nationale de la sécurité des systèmes d’information (Anssi) a largement documenté ce processus.
Les opportunités de détection, tout au long de ce que l’on appelle la chaîne d’infection, ou killchain en anglais, ne manquent pas, même s’il n’est pas nécessairement aisé de les saisir. Mais c’est bien là que les efforts doivent se concentrer.
Fabian Wosar, directeur technique d’Emsisoft, le soulignait lui-même fin 2019 : détecter le rançongiciel lui-même ne sert à rien. D’ailleurs, les cybermalfaiteurs « ne cherchent même pas à cacher leurs échantillons ou à en empêcher la détection ». Certains emploient toutefois des techniques de maquillage pour cacher leurs outils, mais cela n’enlève rien à la réalité suivante : « au moment où ils lancent l’attaque, ils sont déjà [infiltrés] si profond dans votre réseau et ont tant de contrôle qu’ils désactivent toute votre sécurité ».
Détecter au plus tôt
En novembre 2020, nous avions interrogé les experts d’Advens, I-Tracing et Intrinsec à ce sujet. Et ils étaient formels : la détection des signaux faibles est bel et bien possible.
David Q, responsable du CSIRT Advens, explique qu’il est « possible de détecter toutes les phases [de l’attaque] avec un Sysmon bien paramétré ». Et cela vaut également pour les étapes finales, autour d’Active Directory, même si, concède-t-il, c’est « plus complexe ».
Chez Intrinsec, Cyrille Barthelemy tempère toutefois : « Sysmon peut tout détecter, mais cela demande une sacrée expertise de faire une configuration optimale ». Dans le détail, il identifie en particulier les opportunités numérotées 2 (énumération des domaines de confiance avec nltest), 3 (énumération des administrateurs du domaine avec net group), 5 (tentative de déplacement latéral avec WMI, Powershell, et Cobalt Strike), 6 (déplacement latéral avec le module SMB PsExec de Cobalt Strike), et 8 (collecte de données d’authentification sur le processus lsass) par Red Canary, comme pouvant être saisies avec Sysmon seul ou avec, selon les cas, les logs Powershell ou événements Windows.
Pour les dernières phases, visant l’Active Directory, il envisage de combiner journalisation des accès aux objets de l’AD, et supervision du trafic LDAP, notamment.
Une attaque pas si furtive avec EDR et NTA
Mais attention toutefois, précise Cyrille Barthelemy : « qui dit Sysmon, dit centre opérationnel de sécurité (SOC) avancé ». Ce qui ne signifie pas que les organisations ne disposant pas de telles capacités doivent désespérer. De fait, l’arsenal défensif disponible aujourd’hui présente des éléments permettant de couper court à ce genre d’attaque sans trop de peine, ou au moins de les détecter à coup sûr.
Pour Laurent Besset, « chez un client type actuel », une telle attaque Trickbot/Ryuk « sera vue avec une probabilité élevée parce que l’EDR sonnera notamment à l’opportunité 8 (le dump lsass). C’est une chose bien détectée par les EDR et un signal très fort, avec peu ou pas de faux-positifs ». Et dans un cas pareil, « l’EDR permettra d’isoler la machine sur laquelle l’action est réalisée, et donc d’arrêter l’attaquant, au moins à cet endroit ». Cette approche est peut-être préférable : car Cyrille Barthelemy relève que l’opportunité 8 peut être saisie avec Sysmon, mais souligne que « cela requiert une journalisation très verbeuse ». Accessoirement, les cybermalfaiteurs eux-mêmes recommandent régulièrement à leurs victimes de mettre en place un EDR…
Et ce n’est pas tout. Pour Laurent Besset, « les sondes d’analyse du trafic réseau (NTA) sont très efficaces sur les activités de découverte ». Cyrille Barthelemy est du même avis : « pour les déplacements latéraux inhabituels (WMI, SMB, RDP) ou la reconnaissance Active Directory (adfind, Sharphound/Bloodhound), ces outils peuvent aider ».
Des activités qui, pour Laurent Besset, « vont faire sonner les Vectra et autres Darktrace ». Une aide, donc, mais pas indispensable, car dans la pratique, « on n’a pas besoin de ça pour comprendre qu’il se passe quelque chose d’anormal et que quelqu’un est entré dans le réseau ». De quoi bien simplifier le travail de bon nombre d’équipes de sécurité.
Surveiller les outils de sécurité
Lorsque l’attaque s’approche de sa phase finale, tout espoir n’est pas nécessairement perdu. Les attaquants utilisent fréquemment des services de stockage en mode cloud pour l’exfiltration de données de leurs victimes.
En mai 2021, Red Canary expliquait l’intérêt des cybertruands pour ce service : « chiffrement de bout-en-bout des fichiers, offre de base gratuite, et une série d’outils utilisés pour le transfert de fichiers à distance ». Surtout, les assaillants n’ont pas besoin « d’héberger leurs propres serveurs de partage de fichiers » et peuvent employer des moyens de paiement discrets comme le bitcoin.
Benjamin DelpyAdjoint au chef de Serice Arcos, Banque de France, et créateur de Mimikatz
Dans ce contexte, l’Américain Recon Infosec recommande de bloquer Mega « en l’absence d’usage métier légitime », ou à tout le moins de configurer un EDR pour le détecter. Au-delà, il suggère de « mettre en place des contrôles réseau pour bloquer les connexions vers les domaines associés » au service. Ou au moins, déclencher des alertes lorsque surviennent de telles connexions.
Enfin, avant de lancer le chiffrement des systèmes compromis, les cybermalfaiteurs peuvent désactiver les outils de protection des hôtes du système d’information. En 2020, Benjamin Delpy, créateur de Mimikatz, soulignait ainsi que les assaillants les plus avancés « prennent la main du domaine complet, avant de se télédistribuer par GPO. Il n’y a rien de mieux que de compter sur le fonctionnement normal d’un domaine pour se télédiffuser, parce que cela passe sous le radar ». Et là, tout tient à la manière dont le domaine a été conçu et maintenu pour empêcher cela.
Et cela vaut aussi pour les consoles d’administration des systèmes de protection des hôtes, ou d’EDR, voire d’administration de systèmes : « on a vu des attaquants prendre la main sur les outils de sécurité pour se déployer sur les hôtes ». En somme, « on a protégé son domaine, mais pas son antivirus. Cela peut avoir l’air bête, dit comme ça, mais ça arrive ».
Dans billet de blog, et un épisode du podcast No Limit Secu, Christophe Renard, aussi connu sous le pseudonyme FuraxFox, évoquait justement, en premier conseil pour les RSSI, la supervision des antivirus – et pas seulement par leur console propriétaire.