Technologie
Produits
Ressources
Entreprise
Français
Technologie
Produits
Blog
Ressources
Entreprise

Des cyberattaques inspirées par Hafnium neutralisées par l’IA

Max Heinemeyer, Director of Threat Hunting | jeudi 18 mars 2021

Les 11 et 12 mars 2021, Darktrace a détecté plusieurs tentatives d’attaques menées sur des serveurs vulnérables dans les environnements de ses clients, s’intégrant à une campagne à grande échelle. Cette campagne ciblait des serveurs Microsoft Exchange connectés à Internet, en exploitant la vulnérabilité ProxyLogon découverte peu de temps auparavant (CVE-2021-26855).

Même si cette faille avait été initialement attribuée au groupe connu sous le nom Hafnium, Microsoft a depuis annoncé que la vulnérabilité avait rapidement été exploitée par d’autres pirates. Ces nouvelles campagnes non attribuées, inédites, ont été stoppées en temps réel par la Cyber IA.

Copycats de Hafnium

Dès qu’une vulnérabilité est rendue publique, on constate souvent une vague d’attaques menées par des pirates cherchant à exploiter l’incertitude et le chaos pour tenter de compromettre certains réseaux vulnérables.

Les correctifs sont rapidement analysés par rétro-ingénierie par les pirates après leur publication par le fournisseur, ce qui conduit à des piratages de masse à fort impact. Simultanément, les outils d’attaques se propagent à partir des premiers adeptes, qu’il s’agisse d’États-nations, de groupes dédiés aux ransomwares ou d’autres cybercriminels opportunistes. Darktrace a observé ce phénomène précis à la suite des attaques de Hafnium sur des serveurs de messagerie Microsoft Exchange vulnérables le mois dernier.

Attaque de serveurs Exchange : Analyse de l’IA

La Cyber IA a observé que des cybercriminels tentaient de télécharger et d’installer un malware en utilisant ProxyLogon comme vecteur d’attaque initial. Pour les clients dotés de la Réponse Autonome, le contenu malveillant a été intercepté à ce moment, stoppant l’attaque avant même qu’elle n’ait le temps de se développer.

Dans l’environnement des autres clients Darktrace, le Darktrace Immune System a identifié et signalé chaque étape de l’attaque. De manière générale, le malware agissait comme une backdoor générique, sans générer d’activité particulière par la suite. Différentes formes de canaux de commande et contrôle (C2) ont été détectées, y compris Telegra[.]ph. Dans quelques intrusions, les pirates ont installé des logiciels de minage de cryptomonnaies.

Une fois leur présence établie dans l’environnement numérique, les acteurs ont probablement lancé une attaque manuelle pour exfiltrer des données, se déplacer latéralement ou déployer des ransomwares.

Figure 1 : Chronologie d’une attaque ProxyLogon typique

Après l’exploitation de la vulnérabilité ProxyLogon, les serveurs Exchange ont contacté le domaine malveillant microsoftsoftwaredownload[.]com, à l’aide d’un agent utilisateur PowerShell. Darktrace a signalé ce comportement anormal, car cet agent utilisateur spécifique n’avait jamais été utilisé par le serveur Exchange, et encore moins pour contacter un domaine malveillant qui n’avait jamais été observé sur le réseau.

Figure 2 : Darktrace révèle une connexion PowerShell anormale

L’exécutable du malware était camouflé dans un fichier ZIP, pour brouiller davantage les pistes. Darktrace a identifié ce téléchargement de fichier hautement anormal, ainsi que le fichier camouflé.

Figure 3 : Darktrace révèle des informations stratégiques sur le téléchargement de fichier anormal

Dans certains cas, l’IA de Darktrace a également observé des activités de minage de cryptomonnaies quelques secondes ou minutes après le téléchargement initial du malware.

Figure 4 : Violation du modèle Darktrace Minage de cryptomonnaies

En termes de trafic C2, Darktrace a observé plusieurs canaux potentiels. Au moment du téléchargement du malware, certains serveurs Exchange ont commencé à établir des connexions vers plusieurs destinations externes en utilisant des connexions SSL ou TLS chiffrées inhabituelles.

  • Telegra[.]ph — application de messagerie populaire
  • dev.opendrive[.]com — service de stockage cloud
  • od[.]lk — service de stockage cloud

Dans ce cas, Darktrace a reconnu qu’aucun de ces trois domaines externes n’avait été contacté par qui que ce soit dans l’organisation, encore moins par des serveurs de façon automatisée. Le fait que ces connexions aient débuté au même moment que les téléchargements de malware suggère une corrélation forte. Le Cyber AI Analyst de Darktrace a automatiquement lancé une investigation de l’incident. Il a recoupé ces événements pour former un récit cohérent.

Investigation par l’IA

Le Cyber AI Analyst a automatiquement créé un rapport d’incident couvrant le téléchargement de malware et les différents canaux C2 observés.

Figure 5 : Le Cyber AI Analyst génère automatiquement un résumé de haut niveau de l’incident

Vue d’ensemble d’un serveur Exchange infecté ([REDACTED].local). Cette analyse montre que Darktrace a créé plusieurs alertes au moment de l’attaque. Chaque point de couleur représente une anomalie majeure détectée par Darktrace.

Figure 6 : Darktrace révèle le nombre anormal de connexions et les violations de modèles qui en découlent

Cette activité a été classée comme l’incident le plus urgent détecté par le Cyber AI Analyst parmi une semaine entière de données. Dans cette organisation spécifique, seuls quatre incidents avaient été détectés au cours de la semaine par le Cyber AI Analyst. Cette capacité d’alerte claire et précise permet aux équipes de sécurité de comprendre immédiatement les principales menaces qui pèsent sur leur environnement numérique, sans être submergées d’alertes inutiles et de faux positifs.

Réponse lancée à la vitesse de la machine

Pour les clients équipés de Darktrace Antigena, Antigena a bloqué de façon autonome tout le trafic sortant vers des endpoints malveillants sur les ports concernés. Ce comportement a été maintenu pendant plusieurs heures afin d’empêcher le cybercriminel de propager l’attaque, tout en laissant le temps à l’équipe de sécurité de réagir et d’intervenir.

Antigena a répondu quelques secondes après le début de l’attaque. Elle a contenu efficacement l’attaque dès ses premières manifestations, sans interrompre l’activité habituelle de l’entreprise (il était toujours possible d’envoyer et de recevoir des e-mails), et ce malgré le fait qu’il s’agissait d’une campagne zero-day.

Figure 7 : Darktrace Antigena réagit de façon autonome

Neutralisation d’une faille zero-day

Ce n’est pas la première fois que Darktrace stoppe une attaque basée sur une vulnérabilité zero-day ou n-day récente. En mars 2020, Darktrace avait détecté que le groupe APT41 exploitait la vulnérabilité Zoho ManageEngine deux semaines avant toute attribution publique.

Il est très probable que d’autres cybercriminels vont tenter d’exploiter ProxyLogon en prenant la suite de Hafnium. Les récentes vulnérabilités des serveurs Exchange sont la menace du moment ; mais la prochaine fois, l’attaque pourrait émaner d’un logiciel ou d’un composant matériel de la chaîne logistique, ou encore d’une autre vulnérabilité zero-day. Chaque semaine qui passe voit apparaître son lot de menaces inédites. Dans ce climat, où les « inconnues connues », difficiles ou impossibles à prévoir, constituent la nouvelle norme, il est plus que jamais essentiel d’adopter une démarche proactive et adaptable.

Dès qu’un cybercriminel commence à adopter un comportement inhabituel, l’IA Darktrace le détecte, même s’il n’existe aucune information associée à l’attaque. C’est dans ces conditions que Darktrace est le plus efficace, en détectant, analysant et réagissant de façon autonome aux menaces sophistiquées et inédites en temps réel.

Pour en savoir plus sur Darktrace Immune System

IoC :

IoCCommentaire
Microsoftsoftwaredownload[.]com:8080/c103w-a.zipMalware
Microsoftsoftwaredownload[.]com:8080/dnl.zipMalware
Mozilla/5.0 (Windows NT; Windows NT 10.0; en-GB) WindowsPowerShell/5.1.14393.2608Agent utilisateur établissant la connexion initiale
198.98.61[.]152Hébergement de malware et réception de hachages de minage de cryptomonnaies
Od[.]lkProbable canal C2 ou destination d’exfiltration de données
dev.opendrive[.]comProbable canal C2 ou destination d’exfiltration de données
cdn.chatcdn[.]net/p?hig210305Hébergement de malware et C2
f31d06f55c00c7111e545304d58c7317a4f1b1848ba1396a5454d7367d70da06Malware hébergé sur chatcdn[.]net

Exemples de détections de modèles Darktrace :

  • Antigena / Network / Compliance / Antigena Crypto Currency Mining Block
  • Compliance / Crypto Currency Mining Activity
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Anomalous Connection / Suspicious Expired SSL
  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
  • Antigena / Network / Significant Anomaly / Antigena Enhanced Monitoring from Client Block
  • Device / Initial Breach Chain Compromise
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Anomalous File / Masqueraded File Transfer
  • Anomalous File / EXE from Rare External Location
  • Antigena / Network / External Threat / Antigena Suspicious File Block
  • Antigena / Network / External Threat / Antigena File then New Outbound Block
  • Antigena / Network / Significant Anomaly / Antigena Controlled and Model Breach
  • Anomalous File / Internet Facing System File Download
  • Device / New PowerShell User Agent
  • Anomalous File / Multiple EXE from Rare External Locations
  • Anomalous Connection / Powershell to Rare External

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.