Techniques « Living off the Land » : comment les hackers se fondent dans votre environnement

Les cybercriminels n’ont pas nécessairement besoin de créer des malwares sur mesure pour parvenir à leurs fins. Il est souvent moins coûteux, plus facile et plus efficace de s’appuyer sur l’infrastructure propre d’une organisation pour mener une attaque. Lorsqu’ils utilisent cette stratégie, qu’on désigne souvent par l’appellation « Living off the Land », les cybercriminels utilisent les outils disponibles au sein de l’environnement numérique de l’entreprise cible pour progresser dans le cycle de vie de l’attaque.
Parmi les outils couramment utilisés à des fins malveillantes, on retrouve Powershell, Windows Management Interface (WMI) et PsExec. Ces outils sont souvent utilisés par les administrateurs réseau dans leurs tâches quotidiennes ; les outils de sécurité traditionnels, qui s’appuient sur des règles statiques et des signatures, ont souvent du mal à distinguer les activités légitimes des utilisations malveillantes.
Même si le terme « Living off the Land » remonte à 2013, la popularité des outils, techniques et procédures (TTP) liés à cette stratégie a explosé au cours des dernières années. Cela est notamment dû au fait que l’approche traditionnelle de la sécurité (basée sur des listes noires de hachages de fichiers, de domaines et d’autres traces d’attaques passées) est mal équipée pour identifier ce type d’attaque. Ainsi, ces attaques furtives, souvent sans fichiers, se sont démocratisées.
Plus inquiétant encore, les attaques Living off the Land ont particulièrement été utilisées lors de campagnes ciblées et très organisées. Les groupes APT privilégient depuis longtemps les TTP Living off the Land, puisque le principal objectif est d’échapper à toute détection. Les tendances montrent que les groupes spécialisés dans les ransomwares préfèrent utiliser des logiciels qui s’appuient fortement sur des techniques Living off the Land plutôt que d’utiliser des malwares prêts à l’emploi.
Signes caractéristiques d’une attaque Living off the Land
Avant qu’un cybercriminel ne retourne votre infrastructure contre vous dans le cadre d’une attaque Living off the Land, il doit d’abord être en mesure d’exécuter des commandes sur le système cible. Ainsi, une fois l'infection établie, les attaques Living off the Land agissent comme un système de reconnaissance du réseau, de déplacement latéral et de persistance du malware.
Dès lors qu’une machine est infectée, l’attaquant dispose de centaines d’outils système, qu’ils soient installés sur le système ou téléchargés via des fichiers binaires signés Microsoft. Entre de mauvaises mains, les outils tiers d’administration présents sur le réseau peuvent devenir des armes redoutables.
Les techniques Living off the Land évoluant de jour en jour, il est difficile de déterminer précisément en quoi consiste une attaque typique. Néanmoins, on peut regrouper ces TTP en quelques grandes catégories.
TTP Living off the Land signés Microsoft
Microsoft est omniprésent dans tous les secteurs du monde professionnel. Le projet LOLBAS (« Living off the Land Binaries and Scripts ») a pour but de documenter tous les fichiers binaires et scripts signés Microsoft qui incluent des fonctionnalités pouvant être utilisées par les groupes APT lors d’attaques Living off the Land. À ce jour, cette liste répertorie 135 outils système susceptibles d’être utilisés à mauvais escient, chacun contribuant à un objectif distinct. Ils peuvent ainsi être utilisés pour créer de nouveaux comptes utilisateurs, compresser et exfiltrer des données, récolter des informations système, exécuter des processus sur une destination cible, voire désactiver certains services de sécurité. La documentation Microsoft identifiant les outils vulnérables préinstallés et le répertoire du projet LOLBAS ne constituent que des listes partielles.
Ligne de commande
Lorsqu’il s’agit de déployer un malware sur une cible donnée, une étude récente a montré que WMI (WMIC.exe), l’outil de ligne de commande (cmd.exe) et PowerShell (powershell.exe) étaient les outils les plus utilisés par les attaquants. Ces outils de ligne de commande sont souvent utilisés pour configurer les paramètres de sécurité et les propriétés système ; ils fournissent des informations sensibles sur le réseau ou l’état des périphériques et facilitent le transfert et l’exécution de fichiers entre les machines.
Les outils de ligne de commande partagent trois caractéristiques :
- ils sont prêts à l’emploi sur les systèmes Windows;
- ils sont souvent utilisés par les administrateurs ou les processus internes pour des tâches quotidiennes;
- ils peuvent exécuter leurs fonctionnalités principales sans écrire de données sur un disque.
Mimikatz
À la différence d’autres outils, Mimikatz n’est pas préinstallé sur la plupart des systèmes. Cet outil open source est utilisé pour transférer des mots de passe, des hachages, des codes PIN et des tickets Kerberos. Même si certains administrateurs réseau peuvent avoir recours à Mimikatz pour réaliser des évaluations de vulnérabilités internes, cet outil n’est pas prêt à l’emploi sur les systèmes Windows.
Les mécanismes traditionnels de sécurité utilisés pour détecter le téléchargement, l’installation et l’utilisation de Mimikatz s’avèrent souvent insuffisants. De nombreuses techniques vérifiées et bien documentées permettent de dissimuler des outils comme Mimikatz. Ainsi, même un attaquant peu expérimenté est capable d’échapper aux détections de chaînes ou de hachages les plus basiques.
L’IA Auto-Apprenante combat les attaques Living off the Land
Les techniques Living off the Land sont très efficaces pour aider les attaquants à se fondre dans l’environnement numérique des entreprises. Il est normal que des millions d'identifiants, d'outils réseau et de processus soient enregistrés chaque jour dans un seul écosystème numérique. Comment les outils de défense peuvent-ils détecter et différencier une utilisation malveillante des outils légitimes au milieu de tout ce bruit digital ?
Comme pour la plupart des menaces, tout commence par une bonne hygiène du réseau. Il convient ainsi d’implémenter le principe du moindre privilège, de désactiver tous les programmes non nécessaires, d’instaurer une liste blanche de logiciels et d’exécuter des contrôles d’inventaire des ressources et des applications. Toutefois, même si ces mesures vont dans le bon sens, un attaquant expérimenté parviendra toujours à les contourner à force de temps.
La technologie d’IA Auto-Apprenante joue aujourd’hui un rôle fondamental pour mettre en évidence les situations où des attaquants exploitent l’infrastructure des organisations pour les infiltrer. Elle apprend à connaître l’environnement numérique spécifique, en identifiant le « modèle comportemental normal » de chaque machine et de chaque utilisateur. Les attaques Living off the Land peuvent ainsi être identifiées en temps réel à partir d’une série d'écarts subtils. qu’il s’agisse de la création d’un nouvel identifiant ou d’une utilisation inhabituelle des systèmes SMB / DCE-RPC.
L’IA comprend l’entreprise dans ses moindres détails, ce qui permet de détecter des attaques qui échappent aux autres outils. Face à une attaque Living off the Land, l’IA reconnaît que, même si l’utilisation d’un outil donné peut être normale pour l’organisation, la façon dont il est utilisé révèle sans équivoque une intention malveillante.
Par exemple, l’IA Auto-Apprenante peut observer une utilisation fréquente de user-agents Powershell sur différentes machines, mais elle ne signalera un incident que si un user-agent donné est observé sur une machine précise à un moment inhabituel.
De même, Darktrace peut observer l’envoi de commandes WMI entre des milliers de machines différentes chaque jour, mais elle ne produira une alerte que si les commandes sont inhabituelles à la fois pour la source et pour la destination.
Les indicateurs discrets d’une exploitation de Mimikatz, comme l’utilisation de nouveaux identifiants ou un trafic SMB inhabituel, ne se noieront pas dans la masse des opérations habituelles de l’infrastructure.
Nous sommes loin d’en avoir fini avec les techniques Living off the Land. Face à ce constat, les équipes de sécurité commencent à délaisser les mécanismes de défense traditionnels, qui se basent sur des données d’attaques historiques pour intercepter les menaces futures. Elles se tournent désormais vers l’IA, qui s’appuie sur une compréhension sur mesure et en constante évolution de l’environnement pour détecter les écarts subtils susceptibles d’indiquer une menace, même si cette menace utilise des outils légitimes.
Nous remercions les analystes Darktrace Isabel Finn et Paul Jennings pour les informations sur la menace ci-dessus et pour leur soutien au projet MITRE ATT&CK.
Techniques MITRE ATT&CK observées :
Tactiques | Techniques MITRE et détections Darktrace |
Reconnaissance | Active Scanning: Vulnerability Scanning (T1595.002) Anomalous Server Activity::Server Activity on New Non-Standard Port |
Resource Development | Obtain Capabilities: Malware (T1588.001) Anomalous File::EXE from Rare External Location |
Initial Access | Drive-By Compromise (T1189) Anomalous File::EXE from Rare External Location Unusual Activity::Suspicious RPC Sequence External Remote Services (T1133) Anomalous Connection::IPSec VPN to Rare IP Hardware Additions (T1200) Device::New Device with Attack Tools Device::Attack and Recon Tools Trusted Relationship (T1199) Device::Large Outbound VPN Data Anomalous Connection::New Outbound VPN Valid Accounts (T1078) User::New Admin Credentials on Client |
Execution | Command and Scripting Interpreter: PowerShell (T1059.001) Anomalous Connection::Powershell to Rare External IaaS::Compute::Anomalous Command Run on Azure VM Device::New PowerShell User Agent Device::Anomalous Active Directory Web Services Command and Scripting Interpreter: Unix Shell (T1059.004) IaaS::Compute::Anomalous Command Run on Azure VM Command and Scripting Interpreter: Windows Command Shell (T1059.003) IaaS::Compute::Anomalous Command Run on Azure VM Inter-Process Communication: Component Object Model (T1559.001) Unusual Activity::Suspicious RPC Sequence Windows Management Instrumentation (T1047) Device::New or Uncommon WMI Activity Device::Unusual WinRM - Heuristic Anomalous Connection::Rare WinRM Outgoing Device::Incoming WinRM And Script Download |
Persistence | Create Account (T1136) User::New Credential for Client User::Multiple Uncommon New Credentials on Device Create Account: Domain Account (T1136.002) User::Anomalous Domain User Creation Or Addition To Group External Remote Services (T1133) Anomalous Connection::IPSec VPN to Rare IP Valid Accounts (T1078) User::New Admin Credentials on Client Valid Accounts: Domain Accounts (T1078.002) User::New Credential Following DPAPI BackupKey Request |
Privilege Escalation | Domain Policy Modification (T1484) Device::Unusual Group Policy Access Domain Policy Modification: Group Policy Modification (T1484.001) Device::Unusual Group Policy Access Valid Accounts (T1078) User::New Admin Credentials on Client Valid Accounts: Domain Accounts (T1078.002) User::New Credential Following DPAPI BackupKey Request |
Defense Evasion | Domain Policy Modification (T1484) Device::Unusual Group Policy Access Domain Policy Modification: Group Policy Modification (T1484.001) Device::Unusual Group Policy Access Valid Accounts (T1078) User::New Admin Credentials on Client Valid Accounts: Domain Accounts (T1078.002) User::New Credential Following DPAPI BackupKey Request Use Alternate Authentication Material: Pass the Hash (T1550.002) User::New Admin Credentials on Client |
Credential Access | Bruteforce (T1110) Unusual Activity::Large Volume of Kerberos Failures Device::Bruteforce Activity Device::Spike in LDAP Activity Device::SMB Session Bruteforce Device::Anomalous NTLM Bruteforce Unusual Activity::Successful Admin Bruteforce Activity Device::LDAP Bruteforce Activity Anomalous Server Activity::Unusual Server Kerberos Bruteforce: Credential Stuffing (T1110.004) Device::Spike in LDAP Activity Anomalous Connection::RDP Bruteforce Device::LDAP Bruteforce Activity Device::LDAP Password Spray Bruteforce: Password Cracking (T1110.002) Device::Spike in LDAP Activity Anomalous Connection::RDP Bruteforce Anomalous Connection::RDP Bruteforce Device::LDAP Bruteforce Activity Bruteforce: Password Guessing (T1110.001) Device::Spike in LDAP Activity Anomalous Connection::RDP Bruteforce Device::LDAP Bruteforce Activity Unusual Activity::Large Volume of Radius Failures Bruteforce: Password Spraying (T1110.003) Device::Spike in LDAP Activity Device::LDAP Password Spray OS Credential Dumping: DCSync (T1003.006) Unusual Activity::Suspicious RPC Sequence Steal or Forge Kerberos Tickets: Golden Ticket (T1558.001) Device::Active Directory Reconnaissance Unsecured Credentials: Group Policy Preferences (T1552.006) Device::Unusual Group Policy Access Unsecured Credentials: Credentials In Files (T1552.001) Anomalous File::Internal::New Access to Sensitive File |
Discovery | Account Discovery: Domain Account (T1087.002) Device::Possible Active Directory Enumeration Domain Trust Discovery (T1482) Device::Possible Active Directory Enumeration File and Directory Discovery (T1083) Anomalous Connection::SMB Enumeration Compliance::SMB Drive Write User::Suspicious Admin SMB Session Device::Suspicious SMB Query Unusual Activity::SMB Access Failures Network Service Scanning (T1046) Unusual Activity::Possible RPC Recon Activity Device::Possible RPC Endpoint Mapper Dump Network Share Discovery (T1135) Anomalous Connection::SMB Enumeration Unusual Activity::Anomalous SMB Reads to New or Unusual Locations Device::Suspicious SMB Query Query Registry (T1012) Device::Suspicious SMB Query Remote System Discovery (T1018) Anomalous Connection::SMB Enumeration System Information Discovery (T1082) Device::Suspicious SMB Query System Network Configuration Discovery (T1016) Device::Suspicious SMB Query |
Lateral Movement | Exploitation of Remote Services (T1210) Device::New User Agent To Internal Server Device::Suspicious New User Agents Device::New PowerShell User Agent Device::New User Agent Lateral Tool Transfer (T1570) Compliance::SMB Drive Write Anomalous File::Internal::Internal File Transfer on New Port Taint Shared Content (T1080) Compliance::SMB Drive Write Use Alternate Authentication Material: Pass the Hash (T1550.002) User::New Admin Credentials on Client |
Collection | Automated Collection (T1119) Unusual Activity::Internal Data Transfer Data Staged (T1074) Unusual Activity::Internal Data Transfer Anomalous Connection::Unusual Incoming Data Volume Email Collection (T1114) Unusual Activity::Internal Data Transfer |
Command and Control | Application Layer Protocol: Web Protocols (T1071.001) Compromise::Empire Python Activity Pattern Ingress Tool Transfer (T1105) Anomalous File::EXE from Rare External Location Non-Standard Port (T1571) Anomalous Connection::Application Protocol on Uncommon Port |
Impact | Account Access Removal (T1531) User::Admin Domain Password Change Data Encrypted for Impact (T1486) Unusual Activity::Sustained Anomalous SMB Activity Service Stop (T1489) Anomalous Connection::New or Uncommon Service Control Anomalous Connection::High Volume of New or Uncommon Service Control |