Technologie
Produits
Ressources
Entreprise
Français
Technologie
Produits
Blog
Ressources
Entreprise

Détection précoce des ransomwares : une partie d’échecs rapide

Brianna Leddy, Director of Analysis | mardi 7 septembre 2021

Le déploiement d’un ransomware est le but ultime d’une cyberattaque. Le cybercriminel doit avoir franchi plusieurs étapes préalables (y compris le déplacement latéral et l’élévation des privilèges) pour atteindre cette position finale. La capacité de détecter et de neutraliser les premières actions de l’adversaire est donc tout aussi importante que la détection du chiffrement à proprement parler.

Les attaquants s’appuient sur différentes stratégies (comme la technique « Living off the Land » ou la mise en place subtile de canaux de commande et de contrôle (C2)) pour se fondre dans le trafic réseau normal et échapper aux mécanismes de sécurité traditionnels. L’analyse qui suit examine les tactiques, techniques et procédures utilisées par de nombreux utilisateurs de ransomware en décortiquant une faille observée chez un sous-traitant du secteur de la défense au Canada.

Phases d’une attaque par ransomware

Figure 1 : Chronologie de l’attaque.

L’ouverture : Accès initial à un compte privilégié

Premier signe de compromission : une connexion à un serveur utilisant un identifiant inhabituel, suivie d’une activité administrateur inhabituelle. L’attaquant peut avoir accédé aux nom d’utilisateur/mot de passe de différentes façons, en réutilisant les identifiants provenant d’autres comptes (« stuffing ») ou en les achetant sur le Dark Web, par exemple. Comme le cybercriminel disposait d’un accès privilégié dès le début, il n’avait pas besoin de passer par l’étape d’élévation des privilèges.

Déplacement latéral

Deux jours plus tard, l’attaquant a commencé à se déplacer depuis le serveur initial. Le serveur compromis a commencé à envoyer des commandes WMI (Windows Management Instrumentation) inhabituelles.

Il a alors pris le contrôle à distance de quatre autres machines, en utilisant toujours les mêmes identifiants administrateur pour s’authentifier. On comptait parmi ces machines cibles un contrôleur de domaine (DC) et un serveur de sauvegarde.

En utilisant l’outil d’administration courant WMI pour se déplacer latéralement, l’attaquant a choisi d’utiliser les ressources locales (« live off the land ») plutôt que d’introduire un nouvel outil pour son déplacement latéral, dans le but de ne pas être détecté par la pile de sécurité de l’entreprise. L’utilisation inhabituelle de WMI a toutefois été remarquée par Darktrace, et la chronologie des connexions WMI inhabituelles a été analysée par le Cyber AI Analyst.

Modèles :

  • New or Uncommon WMI Activity
  • AI Analyst / Extensive Chain of Administrative Connections

Établissement de C2

Les quatre machines se sont ensuite connectées à l’adresse IP 185.250.151[.]172. Trois de ces machines, dont le DC et le serveur de sauvegarde, ont établi un balisage SSL vers l’adresse IP en utilisant le domaine à DNS dynamique goog1e.ezua[.]com.

Les endpoints C2 n’avaient que peu de renseignements d’origine source ouverte (OSINT) à disposition, mais il semble qu’un script de type Cobalt Strike les avait utilisés par le passé. Ce constat suggère l’emploi d’outils complexes, car l’attaquant s’est servi d’une technologie SSL dynamique et a falsifié le domaine Google pour dissimuler le balisage.

Fait intéressant, pendant tout le cycle de vie de l’attaque, seules ces trois machines ont utilisé des connexions SSL pour le balisage. Par la suite, l’activité C2 s’est produite à l’aide de protocoles non chiffrés. Ces trois machines critiques ont manifestement été traitées différemment des autres machines infectées du réseau.

Modèles :

  • Faille immédiate de Anomalous External Activity from Critical Network Device, puis violation de plusieurs modèles concernant le balisage et l’utilisation du protocole SSL vers un DNS dynamique. (Le modèle Domain Controller DynDNS SSL or HTTP est spécifique à cette activité.)

Le milieu de partie : Reconnaissance interne et nouveau déplacement latéral

La chaîne d’attaque a pris la forme de deux cycles de déplacement latéral, suivi de l’établissement d’un canal C2 au niveau des nouvelles destinations contrôlées.

Figure 2 : Observation d’une chaîne de déplacement latéral et établissement d’un canal C2.

Après avoir établi une connexion C2, le DC a émis des requêtes WMI vers 20 nouvelles adresses IP au cours d’une longue période. Il a également scanné 234 adresses IP au moyen de pings ICMP, probablement dans l’optique de trouver de nouveaux hôtes.

On a ultérieurement retrouvé des demandes de rançon sur un grand nombre de ces machines, en particulier lorsque les machines ciblées étaient des hyperviseurs. Le ransomware a probablement été déployé au moyen de commandes à distance via WMI.

Modèles :

  • AI Analyst / Suspicious Chain of Administrative Connections (du serveur initial vers le DC, puis vers l’hyperviseur)
  • AI Analyst / Extensive Suspicious WMI Activity (à partir du DC)
  • Device / ICMP Address Scan, Scanning of Multiple Devices Incident AI Analyst (à partir du DC)

Activité C2 supplémentaire

À la fin de cette deuxième phase de déplacement latéral, une nouvelle activité C2 non chiffrée a été observée à partir de cinq nouvelles machines. Chaque machine a commencé par émettre des requêtes GET vers l’adresse IP observée dans l’activité C2 SSL (185.250.151[.]172), qui utilisait le nom d’hôte falsifié google[.]com.

Sur chaque machine, l’activité a commencé par des requêtes HTTP recherchant un URI se finissant par .png, avant d’établir un balisage plus régulier vers l’URI /books/. Enfin, les machines ont effectué des requêtes POST vers l’URI/ebooks/?k= (identificateur unique pour chaque machine). Toute cette activité semble avoir eu pour rôle de dissimuler un balisage C2 au sein d’un trafic plausible vers Google.

De cette façon, en chiffrant par SSL certaines connexions C2 vers un domaine à DNS dynamique tout en produisant un trafic HTTP non chiffré similaire à un trafic vers google[.]com, l’attaquant a réussi à éviter toute détection par les outils antivirus de l’entreprise.

Darktrace a identifié cette activité anormale et a signalé un grand nombre de violations de modèles de connectivité externe.

Modèles :

  • Huit violations de Compromise / HTTP Beaconing to New Endpoint à partir des machines affectées

Mission accomplie : Échec et mat

Enfin, l’attaquant a déployé son ransomware. Dans la demande de rançon, il précisait que des informations sensibles avaient été exfiltrées et seraient rendues publiques si l’entreprise refusait de payer.

Pourtant, c’était un mensonge. Darktrace a confirmé qu’aucune donnée n’avait été exfiltrée, car le trafic envoyé par les communications C2 était bien trop réduit. Il est courant que les attaquants mentent au sujet de l’exfiltration de données pour extorquer le paiement de la rançon ; la visibilité est cruciale pour savoir si un attaquant bluffe ou non.

En outre, Antigena, la technologie de Réponse Autonome de Darktrace, a bloqué un téléchargement interne à partir d’un des serveurs compromis lors de la première phase de déplacement latéral, car le volume de données entrantes était inhabituel pour la machine cliente. L’attaquant cherchait probablement à transférer des données en préparation du déploiement du malware. Ainsi, le blocage de l’opération a peut-être évité l’exfiltration de ces données.

Figure 3 : Violation de modèle Antigena.

Figure 4 : Les communications SMB de la machine avec le serveur compromis sont bloquées trois secondes plus tard.

Modèles :

  • Unusual Incoming Data Volume
  • High Volume Server Data Transfer

Malheureusement, Antigena n’était pas active sur la plupart des machines impliquées dans l’incident. Si la solution avait été déployée en mode actif, elle aurait stoppé l’activité dès ses premières manifestations, notamment en ce qui concerne les connexions administrateur inhabituelles et les activités de balisage. Aujourd’hui, le client peut configurer totalement Antigena de sorte à bénéficier de la technologie de Réponse Autonome 24 h/24, 7 /7.

Le Cyber AI Analyst mène l’enquête

L’IA de Darktrace a détecté et signalé une activité de balisage au niveau de plusieurs machines, dont le DC, qui présentait le score de comportement inhabituel le plus élevé au moment de l’activité. Elle a réuni ces informations sous la forme de trois incidents : « Possible activité de commande et contrôle SSL », « Importante activité WMI à distance suspecte » et « Balayage de machines distantes ».

Plus important encore, le Cyber AI Analyst a non seulement résumé l’activité administrateur du DC, mais l’a reliée à la première machine en identifiant une chaîne inhabituelle de connexions administrateur.

Figure 5 : Incident du Cyber AI Analyst présentant une chaîne de connexions administrateur suspectes, qui établit un lien entre la première machine de la chaîne de connexions et un hyperviseur où l’on a retrouvé une demande de rançon, en passant par le DC compromis. Cet incident a permis de gagner un temps précieux. Il met également en évidence les identifiants utilisés pour toutes les connexions liées aux déplacements latéraux.

Identifier les chaînes de déplacement latéral manuellement est un travail fastidieux qui se prête bien à l’utilisation de l’IA. Dans ce cas, l’IA a permis à l’équipe de sécurité d’établir rapidement un lien avec la probable source de l’attaque et de déterminer les identifiants utilisés pour toutes les connexions.

Penser le jeu comme une machine

Pour dresser un tableau complet d’une attaque par ransomware, il est important d’aller plus loin que le simple chiffrement final pour examiner les étapes préalables du cycle de l’attaque. Dans la situation présentée ci-dessus, le chiffrement en lui-même n’a généré aucun trafic réseau. Il était donc vital de pouvoir détecter l’intrusion dès les premières étapes.

Même si l’attaquant a utilisé des ressources locales et a exploité la technologie WMI à l’aide d’identifiants administrateur compromis, tout en falsifiant le nom d’hôte courant google[.]com pour ses activités C2 et en utilisant un DNS dynamique pour ses connexions SSL, Darktrace a réussi à identifier toutes les phases de l’attaque et à les relier pour former un récit de cybersécurité instructif. Ce travail aurait été pratiquement impossible à réaliser par un analyste humain sans passer un temps considérable à vérifier la chronologie de chacune des connexions.

Le contexte actuel est inquiétant : les infections par ransomware s’accélèrent et se démocratisent et la menace d’une IA offensive se fait de plus en plus présente ; les ventes sur le Dark Web prospèrent, les équipes de sécurité croulent sous les faux positifs et n’ont plus le temps de faire leur travail. L’IA est aujourd’hui un composant indispensable de toutes les solutions de sécurité. Les pièces sont en place sur l’échiquier, l’horloge tourne et les enjeux n’ont jamais été aussi élevés. À vous de jouer.

Nous remercions l’analyste Darktrace Daniel Gentle pour ses informations sur la menace ci-dessus.

Découvrez comment Darktrace détecte chaque étape d’une intrusion par ransomware

IoC :

IoCCommentaire
185.250.151[.]172Adresse IP utilisée pour le trafic HTTP et C2 SSL
goog1e.ezua[.]comNom d’hôte DNS dynamique utilisé pour l’activité C2 SSL

Détections de modèles Darktrace :

  • Modèles de l’AI Analyst :
    • Extensive Suspicious WMI Activity
    • Suspicious Chain of Administrative Connections
    • Scanning of Multiple Devices
    • Possible SSL Command and Control
  • Métamodèle :
    • Device / Large Number of model breaches
  • Modèles de connectivité externe :
    • Anonymous Server Activity / Domain Controller DynDNS SSL or HTTP
    • Compromise / Suspicious TLS Beaconing to Rare External
    • Compromise / Beaconing Activity To External Rare
    • Compromise / SSL to DynDNS
    • Anomalous Server Activity / External Activity from Critical Network Device
    • Compromise / Sustained SSL or HTTP Increase
    • Compromise / Suspicious Beaconing Behaviour
    • Compromise / HTTP Beaconing to New Endpoint
  • Modèles de connectivité interne :
    • Device / New or Uncommon WMI Activity
    • User / New Admin Credentials on Client
    • Device / ICMP Address Scan
    • Anomalous Connection / Unusual Incoming Data Volume
    • Unusual Activity / High Volume Server Data Transfer

Techniques MITRE ATT&CK observées :

Initial AccessT1178 — Valid Accounts
ExecutionT047 — Windows Management Instrumentation
DiscoveryT1046 — Network Service Scanning
Command and ControlT1071.001 — Web Protocols

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a bachelor’s degree in Chemical Engineering from Carnegie Mellon University.