Technologie
Produits
Secteurs
Actualités
Ressources
Entreprise
Français
Technologie
Produits
Secteurs
Actualités
Blog
Ressources
Entreprise

Analyse détaillée du piratage de SolarWinds : détecter l’attaque sans utiliser de signatures

Max Heinemeyer, Director of Threat Hunting | jeudi 7 janvier 2021

Les attaques SUNBURST menées à l’encontre de SolarWinds ont ravivé les inquiétudes des entreprises quant aux risques qui pèsent sur leur environnement numérique. Un malware installé pendant les mises à jour logicielles de mars 2020 a permis à des pirates sophistiqués d’accéder de façon illégale à de nombreux fichiers, incluant des données clients et des actifs de propriété intellectuelle.

Darktrace n’utilise pas SolarWinds, et son fonctionnement n’a pas été altéré par cette faille. Toutefois, SolarWinds est un outil de découverte informatique utilisé par un grand nombre de clients de Darktrace. Dans cet article, nous allons explorer un ensemble de détections effectuées par Darktrace, qui mettent en évidence les types de comportements associés à cette faille et permettent d’alerter les équipes de sécurité.

Il ne s’agit pas d’un exemple de compromission SolarWinds, mais plutôt d’exemples de comportements anormaux auxquels nous pouvons nous attendre dans le contexte de cette faille. Ces exemples soulignent la valeur de la cyber IA auto-apprenante, capable de comprendre le « modèle comportemental normal » en constante évolution de chaque composant de l’entreprise. Cette approche s’oppose à celle basée sur des signatures, qui examine des données historiques pour tenter de prédire les menaces actuelles.

Au lieu de rechercher des signatures malveillantes, Darktrace comprend les modèles d’activité des appareils. C’est pourquoi les techniques d’infiltration des pirates peuvent être détectées en utilisant uniquement les fonctionnalités de Darktrace, sans avoir recours à aucune configuration supplémentaire. La technologie rassemble automatiquement les appareils en « groupes de pairs », ce qui lui permet de détecter les situations où un appareil spécifique se comporte de façon anormale. L’approche auto-apprenante est le meilleur mécanisme possible pour neutraliser un pirate qui cherche à accéder à vos systèmes en employant des méthodes furtives afin d’éviter de déclencher les outils de détection basés sur des signatures.

Plusieurs de ces modèles peuvent se déclencher et se combiner avec d’autres pour fournir une capacité robuste de détection sur une série chronologique donnée. C’est là qu’entre en jeu la capacité de triage autonome des incidents de Darktrace, nommée le Cyber AI Analyst, qui joue un rôle crucial pour analyser les alertes pour le compte des équipes de sécurité. Le Cyber AI Analyst permet aux équipes de sécurité de gagner un temps précieux, et ses résultats doivent être traités avec la plus haute priorité en cette période de vigilance.

Détections effectuées par Darktrace

Nous nous concentrons ici sur les détails les plus sophistiqués de l’intrusion, qui ont suivi l’attaque automatisée initiale dans de nombreux cas. Cette partie post-exploitation de l’attaque est très hétérogène et furtive. Ces actions sont pratiquement impossibles à prédire, car elles sont guidées par les intentions et les objectifs du pirate pour chacune des victimes. L’utilisation de signatures, de renseignements sur les menaces ou de scénarios d’utilisation statiques s’avère généralement inutile.

Même si l’exécution initiale et automatisée du malware est une étape fondamentale qu’il faut bien comprendre, ce comportement a été préconfiguré pour le malware et inclut le téléchargement d’autres contenus malveillants et la connexion à des sous-domaines de avsvmcloud[.]com basés sur un algorithme de génération de noms de domaine (DGA). Ces premières étapes automatisées de l’attaque ont été documentées en profondeur par la communauté. Cet article n’a pas pour objectif d’ajouter quoi que ce soit à ces analyses. Il s’intéresse plutôt aux potentielles activités post-infection.

Malware / domaines C2

Le pirate définit les noms d’hôtes sur son infrastructure de commande et contrôle (C2) développée à un stade ultérieur, en reproduisant un nom d’hôte légitime identifié dans l’environnement de la victime. Cela permet au cybercriminel de se fondre dans l’environnement, d’éviter les soupçons et d’échapper aux outils de détection. Il utilise d’autres serveurs C2 à proximité géographique de ses victimes afin de contourner les listes de confiance statiques basées sur l’emplacement géographique. La solution Darktrace n’est pas affectée par ce type de méthode, car elle ne postule aucune confiance implicite en fonction de l’emplacement géographique.

Cela déclencherait très probablement les modèles de cyber IA Darktrace suivants. Ces modèles n’ont pas été spécifiquement conçus pour détecter les modifications de SolarWinds (ils existent depuis des années) : ils sont là pour détecter les activités suspectes, subtiles mais pertinentes, qui surviennent sur le réseau d’une organisation.

  • Compromise / Agent Beacon to New Endpoint
  • Compromise / SSL Beaconing to New Endpoint
  • Compromise / HTTP Beaconing to New Endpoint*

*L’implant utilise le protocole SSL, mais il peut être identifié en tant que HTTP s’il utilise un proxy.

Déplacement latéral utilisant des identifiants différents

Une fois que le cybercriminel a accédé au réseau à l’aide d’identifiants compromis, il se déplace latéralement en utilisant plusieurs identifiants différents. Dans les situations étudiées, les identifiants utilisés pour le déplacement latéral étaient toujours différents de ceux utilisés pour l’accès distant.

Cela déclencherait très probablement les modèles de cyber IA suivants :

  • User / Multiple Uncommon New Credentials on Device

Figure 1 : Exemple de journal d’événements d’une faille montrant les (nouvelles) connexions anormales effectuées à partir d’un même appareil en utilisant plusieurs identifiants différents

  • User / New Admin Credentials on Client

Figure 2 : Exemple de journal d’événements d’une faille montrant une connexion administrateur anormale

Remplacement temporaire de fichiers et modification temporaire de tâches

Le pirate a utilisé une technique de remplacement temporaire de fichiers afin d’exécuter des outils à distance. Il a ainsi remplacé un outil légitime par le sien, exécuté son contenu malveillant, puis a restauré le fichier légitime d’origine. De la même façon, il a manipulé les tâches planifiées en mettant à jour une tâche légitime existante afin d’exécuter ses outils. Il a ensuite restauré la configuration initiale de la tâche. Il a ainsi supprimé systématiquement ses outils, y compris les backdoors utilisées pour l’infiltration, une fois l’accès à distance légitime établi.

Cela déclencherait très probablement les modèles de cyber IA suivants :

  • Anomalous Connection / New or Uncommon Service Control

Figure 3 : Exemple de faille montrant un contrôle de service inhabituel

  • Anomalous Connection / High Volume of New or Uncommon Service Control

Figure 4 : Exemple de faille montrant 10 contrôles de services inhabituels

  • Device / AT Service Scheduled Task

Figure 5 : Journal d’événements d’une faille montrant une nouvelle activité liée à une tâche planifiée de service AT

  • Device / Multiple RPC Requests for Unknown Services

Figure 6 : Faille montrant plusieurs liens vers des services RPC inconnus

  • Device / Anomalous SMB Followed By Multiple Model Breaches

Figure 7 : Faille montrant une activité SMB inhabituelle, associée à un balisage lent

  • Device / Suspicious File Writes to Multiple Hidden SMB Shares

Figure 8 : Faille montrant l’appareil écrivant un fichier .bat dans un dossier temporaire situé sur un autre appareil

  • Unusual Activity / Anomalous SMB to New or Unusual Locations

Figure 9 : Faille montrant un nouvel accès au protocole SAMR, associé à des lectures SMB et des échecs de connexion Kerberos

  • Unusual Activity / Sustained Anomalous SMB Activity

Figure 10 : Faille montrant un écart considérable de l’activité SMB de l’appareil

Avantage de l’IA

La cyber IA comprend à quel endroit les identifiants sont utilisés et quels sont les appareils qui communiquent les uns avec les autres. Ainsi, elle dispose d’une compréhension inégalée et dynamique des systèmes de l’entreprise. Cela lui permet d’alerter les équipes de sécurité lorsqu’elle observe des modifications susceptibles d’indiquer un risque de cybersécurité en temps réel.

Ces alertes montrent comment l’IA apprend ce qui constitue une situation « normale » pour l’environnement numérique qui l’entoure, puis alerte les opérateurs en cas d’écart par rapport à la norme, y compris lorsque ces écarts sont directement pertinents dans le cadre de l’attaque SUNBURST. En outre, elle fournit des informations sur la façon dont le cybercriminel a exploité les réseaux qui n’offraient pas les capacités de visibilité et de détection adéquates.

En plus de ces alertes, le Cyber AI Analyst corrèle automatiquement ces détections au fil du temps afin d’identifier des modèles récurrents. Il génère ainsi des synthèses d’incidents complètes et intuitives tout en réduisant considérablement le temps de triage. La consultation des alertes du Cyber AI Analyst doit faire l’objet d’une priorité élevée dans les prochaines semaines.

En savoir plus sur la cyber IA

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.