Technologie
Produits
Ressources
Entreprise
Français
Technologie
Produits
Blog
Ressources
Entreprise

Techniques « Living off the Land » : comment les hackers se fondent dans votre environnement

Oakley Cox, Director of Analysis

Les cybercriminels n’ont pas nécessairement besoin de créer des malwares sur mesure pour parvenir à leurs fins. Il est souvent moins coûteux, plus facile et plus efficace de s’appuyer sur l’infrastructure propre d’une organisation pour mener une attaque. Lorsqu’ils utilisent cette stratégie, qu’on désigne souvent par l’appellation « Living off the Land », les cybercriminels utilisent les outils disponibles au sein de l’environnement numérique de l’entreprise cible pour progresser dans le cycle de vie de l’attaque.

Parmi les outils couramment utilisés à des fins malveillantes, on retrouve Powershell, Windows Management Interface (WMI) et PsExec. Ces outils sont souvent utilisés par les administrateurs réseau dans leurs tâches quotidiennes ; les outils de sécurité traditionnels, qui s’appuient sur des règles statiques et des signatures, ont souvent du mal à distinguer les activités légitimes des utilisations malveillantes.

Même si le terme « Living off the Land » remonte à 2013, la popularité des outils, techniques et procédures (TTP) liés à cette stratégie a explosé au cours des dernières années. Cela est notamment dû au fait que l’approche traditionnelle de la sécurité (basée sur des listes noires de hachages de fichiers, de domaines et d’autres traces d’attaques passées) est mal équipée pour identifier ce type d’attaque. Ainsi, ces attaques furtives, souvent sans fichiers, se sont démocratisées.

Plus inquiétant encore, les attaques Living off the Land ont particulièrement été utilisées lors de campagnes ciblées et très organisées. Les groupes APT privilégient depuis longtemps les TTP Living off the Land, puisque le principal objectif est d’échapper à toute détection. Les tendances montrent que les groupes spécialisés dans les ransomwares préfèrent utiliser des logiciels qui s’appuient fortement sur des techniques Living off the Land plutôt que d’utiliser des malwares prêts à l’emploi.

Signes caractéristiques d’une attaque Living off the Land

Avant qu’un cybercriminel ne retourne votre infrastructure contre vous dans le cadre d’une attaque Living off the Land, il doit d’abord être en mesure d’exécuter des commandes sur le système cible. Ainsi, une fois l'infection établie, les attaques Living off the Land agissent comme un système de reconnaissance du réseau, de déplacement latéral et de persistance du malware.

Dès lors qu’une machine est infectée, l’attaquant dispose de centaines d’outils système, qu’ils soient installés sur le système ou téléchargés via des fichiers binaires signés Microsoft. Entre de mauvaises mains, les outils tiers d’administration présents sur le réseau peuvent devenir des armes redoutables.

Les techniques Living off the Land évoluant de jour en jour, il est difficile de déterminer précisément en quoi consiste une attaque typique. Néanmoins, on peut regrouper ces TTP en quelques grandes catégories.

TTP Living off the Land signés Microsoft

Microsoft est omniprésent dans tous les secteurs du monde professionnel. Le projet LOLBAS (« Living off the Land Binaries and Scripts ») a pour but de documenter tous les fichiers binaires et scripts signés Microsoft qui incluent des fonctionnalités pouvant être utilisées par les groupes APT lors d’attaques Living off the Land. À ce jour, cette liste répertorie 135 outils système susceptibles d’être utilisés à mauvais escient, chacun contribuant à un objectif distinct. Ils peuvent ainsi être utilisés pour créer de nouveaux comptes utilisateurs, compresser et exfiltrer des données, récolter des informations système, exécuter des processus sur une destination cible, voire désactiver certains services de sécurité. La documentation Microsoft identifiant les outils vulnérables préinstallés et le répertoire du projet LOLBAS ne constituent que des listes partielles.

Ligne de commande

Lorsqu’il s’agit de déployer un malware sur une cible donnée, une étude récente a montré que WMI (WMIC.exe), l’outil de ligne de commande (cmd.exe) et PowerShell (powershell.exe) étaient les outils les plus utilisés par les attaquants. Ces outils de ligne de commande sont souvent utilisés pour configurer les paramètres de sécurité et les propriétés système ; ils fournissent des informations sensibles sur le réseau ou l’état des périphériques et facilitent le transfert et l’exécution de fichiers entre les machines.

Les outils de ligne de commande partagent trois caractéristiques :

  1. ils sont prêts à l’emploi sur les systèmes Windows;
  2. ils sont souvent utilisés par les administrateurs ou les processus internes pour des tâches quotidiennes;
  3. ils peuvent exécuter leurs fonctionnalités principales sans écrire de données sur un disque.

Mimikatz

À la différence d’autres outils, Mimikatz n’est pas préinstallé sur la plupart des systèmes. Cet outil open source est utilisé pour transférer des mots de passe, des hachages, des codes PIN et des tickets Kerberos. Même si certains administrateurs réseau peuvent avoir recours à Mimikatz pour réaliser des évaluations de vulnérabilités internes, cet outil n’est pas prêt à l’emploi sur les systèmes Windows.

Les mécanismes traditionnels de sécurité utilisés pour détecter le téléchargement, l’installation et l’utilisation de Mimikatz s’avèrent souvent insuffisants. De nombreuses techniques vérifiées et bien documentées permettent de dissimuler des outils comme Mimikatz. Ainsi, même un attaquant peu expérimenté est capable d’échapper aux détections de chaînes ou de hachages les plus basiques.

L’IA Auto-Apprenante combat les attaques Living off the Land

Les techniques Living off the Land sont très efficaces pour aider les attaquants à se fondre dans l’environnement numérique des entreprises. Il est normal que des millions d'identifiants, d'outils réseau et de processus soient enregistrés chaque jour dans un seul écosystème numérique. Comment les outils de défense peuvent-ils détecter et différencier une utilisation malveillante des outils légitimes au milieu de tout ce bruit digital ?

Comme pour la plupart des menaces, tout commence par une bonne hygiène du réseau. Il convient ainsi d’implémenter le principe du moindre privilège, de désactiver tous les programmes non nécessaires, d’instaurer une liste blanche de logiciels et d’exécuter des contrôles d’inventaire des ressources et des applications. Toutefois, même si ces mesures vont dans le bon sens, un attaquant expérimenté parviendra toujours à les contourner à force de temps.

La technologie d’IA Auto-Apprenante joue aujourd’hui un rôle fondamental pour mettre en évidence les situations où des attaquants exploitent l’infrastructure des organisations pour les infiltrer. Elle apprend à connaître l’environnement numérique spécifique, en identifiant le « modèle comportemental normal » de chaque machine et de chaque utilisateur. Les attaques Living off the Land peuvent ainsi être identifiées en temps réel à partir d’une série d'écarts subtils. qu’il s’agisse de la création d’un nouvel identifiant ou d’une utilisation inhabituelle des systèmes SMB / DCE-RPC.

L’IA comprend l’entreprise dans ses moindres détails, ce qui permet de détecter des attaques qui échappent aux autres outils. Face à une attaque Living off the Land, l’IA reconnaît que, même si l’utilisation d’un outil donné peut être normale pour l’organisation, la façon dont il est utilisé révèle sans équivoque une intention malveillante.

Par exemple, l’IA Auto-Apprenante peut observer une utilisation fréquente de user-agents Powershell sur différentes machines, mais elle ne signalera un incident que si un user-agent donné est observé sur une machine précise à un moment inhabituel.

De même, Darktrace peut observer l’envoi de commandes WMI entre des milliers de machines différentes chaque jour, mais elle ne produira une alerte que si les commandes sont inhabituelles à la fois pour la source et pour la destination.

Les indicateurs discrets d’une exploitation de Mimikatz, comme l’utilisation de nouveaux identifiants ou un trafic SMB inhabituel, ne se noieront pas dans la masse des opérations habituelles de l’infrastructure.

Nous sommes loin d’en avoir fini avec les techniques Living off the Land. Face à ce constat, les équipes de sécurité commencent à délaisser les mécanismes de défense traditionnels, qui se basent sur des données d’attaques historiques pour intercepter les menaces futures. Elles se tournent désormais vers l’IA, qui s’appuie sur une compréhension sur mesure et en constante évolution de l’environnement pour détecter les écarts subtils susceptibles d’indiquer une menace, même si cette menace utilise des outils légitimes.

Nous remercions les analystes Darktrace Isabel Finn et Paul Jennings pour les informations sur la menace ci-dessus et pour leur soutien au projet MITRE ATT&CK.

Techniques MITRE ATT&CK observées :

TactiquesTechniques MITRE et détections Darktrace
ReconnaissanceActive Scanning: Vulnerability Scanning (T1595.002)
Anomalous Server Activity::Server Activity on New Non-Standard Port
Resource DevelopmentObtain Capabilities: Malware (T1588.001)
Anomalous File::EXE from Rare External Location
Initial AccessDrive-By Compromise (T1189)
Anomalous File::EXE from Rare External Location
Unusual Activity::Suspicious RPC Sequence

External Remote Services (T1133)
Anomalous Connection::IPSec VPN to Rare IP

Hardware Additions (T1200)
Device::New Device with Attack Tools
Device::Attack and Recon Tools

Trusted Relationship (T1199)
Device::Large Outbound VPN Data
Anomalous Connection::New Outbound VPN

Valid Accounts (T1078)
User::New Admin Credentials on Client
ExecutionCommand and Scripting Interpreter: PowerShell (T1059.001)
Anomalous Connection::Powershell to Rare External
IaaS::Compute::Anomalous Command Run on Azure VM
Device::New PowerShell User Agent
Device::Anomalous Active Directory Web Services

Command and Scripting Interpreter: Unix Shell (T1059.004)
IaaS::Compute::Anomalous Command Run on Azure VM

Command and Scripting Interpreter: Windows Command Shell (T1059.003)
IaaS::Compute::Anomalous Command Run on Azure VM

Inter-Process Communication: Component Object Model (T1559.001)
Unusual Activity::Suspicious RPC Sequence

Windows Management Instrumentation (T1047)
Device::New or Uncommon WMI Activity
Device::Unusual WinRM - Heuristic
Anomalous Connection::Rare WinRM Outgoing
Device::Incoming WinRM And Script Download
PersistenceCreate Account (T1136)
User::New Credential for Client
User::Multiple Uncommon New Credentials on Device

Create Account: Domain Account (T1136.002)
User::Anomalous Domain User Creation Or Addition To Group

External Remote Services (T1133)
Anomalous Connection::IPSec VPN to Rare IP

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request
Privilege EscalationDomain Policy Modification (T1484)
Device::Unusual Group Policy Access

Domain Policy Modification: Group Policy Modification (T1484.001)
Device::Unusual Group Policy Access

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request
Defense EvasionDomain Policy Modification (T1484)
Device::Unusual Group Policy Access

Domain Policy Modification: Group Policy Modification (T1484.001)
Device::Unusual Group Policy Access

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request

Use Alternate Authentication Material: Pass the Hash (T1550.002)
User::New Admin Credentials on Client
Credential AccessBruteforce (T1110)
Unusual Activity::Large Volume of Kerberos Failures
Device::Bruteforce Activity
Device::Spike in LDAP Activity
Device::SMB Session Bruteforce
Device::Anomalous NTLM Bruteforce
Unusual Activity::Successful Admin Bruteforce Activity
Device::LDAP Bruteforce Activity
Anomalous Server Activity::Unusual Server Kerberos

Bruteforce: Credential Stuffing (T1110.004)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity
Device::LDAP Password Spray

Bruteforce: Password Cracking (T1110.002)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity

Bruteforce: Password Guessing (T1110.001)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity
Unusual Activity::Large Volume of Radius Failures

Bruteforce: Password Spraying (T1110.003)
Device::Spike in LDAP Activity
Device::LDAP Password Spray

OS Credential Dumping: DCSync (T1003.006)
Unusual Activity::Suspicious RPC Sequence

Steal or Forge Kerberos Tickets: Golden Ticket (T1558.001)
Device::Active Directory Reconnaissance

Unsecured Credentials: Group Policy Preferences (T1552.006)
Device::Unusual Group Policy Access

Unsecured Credentials: Credentials In Files (T1552.001)
Anomalous File::Internal::New Access to Sensitive File
DiscoveryAccount Discovery: Domain Account (T1087.002)
Device::Possible Active Directory Enumeration

Domain Trust Discovery (T1482)
Device::Possible Active Directory Enumeration

File and Directory Discovery (T1083)
Anomalous Connection::SMB Enumeration
Compliance::SMB Drive Write
User::Suspicious Admin SMB Session
Device::Suspicious SMB Query
Unusual Activity::SMB Access Failures

Network Service Scanning (T1046)
Unusual Activity::Possible RPC Recon Activity
Device::Possible RPC Endpoint Mapper Dump

Network Share Discovery (T1135)
Anomalous Connection::SMB Enumeration
Unusual Activity::Anomalous SMB Reads to New or Unusual Locations
Device::Suspicious SMB Query

Query Registry (T1012)
Device::Suspicious SMB Query

Remote System Discovery (T1018)
Anomalous Connection::SMB Enumeration

System Information Discovery (T1082)
Device::Suspicious SMB Query

System Network Configuration Discovery (T1016)
Device::Suspicious SMB Query
Lateral MovementExploitation of Remote Services (T1210)
Device::New User Agent To Internal Server
Device::Suspicious New User Agents
Device::New PowerShell User Agent
Device::New User Agent

Lateral Tool Transfer (T1570)
Compliance::SMB Drive Write
Anomalous File::Internal::Internal File Transfer on New Port

Taint Shared Content (T1080)
Compliance::SMB Drive Write

Use Alternate Authentication Material: Pass the Hash (T1550.002)
User::New Admin Credentials on Client
CollectionAutomated Collection (T1119)
Unusual Activity::Internal Data Transfer

Data Staged (T1074)
Unusual Activity::Internal Data Transfer
Anomalous Connection::Unusual Incoming Data Volume

Email Collection (T1114)
Unusual Activity::Internal Data Transfer
Command and ControlApplication Layer Protocol: Web Protocols (T1071.001)
Compromise::Empire Python Activity Pattern

Ingress Tool Transfer (T1105)
Anomalous File::EXE from Rare External Location

Non-Standard Port (T1571)
Anomalous Connection::Application Protocol on Uncommon Port
ImpactAccount Access Removal (T1531)
User::Admin Domain Password Change

Data Encrypted for Impact (T1486)
Unusual Activity::Sustained Anomalous SMB Activity

Service Stop (T1489)
Anomalous Connection::New or Uncommon Service Control
Anomalous Connection::High Volume of New or Uncommon Service Control

Oakley Cox

Oakley Cox is Director of Analysis at Darktrace, based at the Cambridge headquarters. He oversees the defense of critical infrastructure and industrial control systems, helping to ensure that Darktrace’s AI stays one step ahead of attackers. Oakley is GIAC certified in Response and Industrial Defense (GRID), and helps customers integrate Darktrace with both existing and new SOC and Incident Response teams. He also has a Doctorate (PhD) from the University of Oxford.