Rencontrez-nous à la conférence RSA 2024
Réservez une démonstration de 15 minutes
Zero Day

Une méthode durable pour gérer les Zero-Days

12 septembre 2023
Tom d'Aquino
Director, Security Validation
Une méthode durable pour gérer les Zero-Days

Maintenant que la poussière du zero-day MOVEit Transfer est un peu retombée, il est peut-être temps pour nous tous de prendre du recul et d'évaluer notre approche actuelle de la gestion des risques associés à la menace particulièrement ennuyeuse des zero-day. Car, si l'on en croit la tendance actuelle, ils ne sont pas près de s'arrêter.

Tendance Zero-Day : Analyse des données du Patch Tuesday de Microsoft

Pour trouver un point de référence pour une ligne de tendance des zero-day, nous avons creusé dans les données du Patch Tuesday de Microsoft, car c'est l'une des rares sources fiables à les suivre et à en rendre compte. Et heureusement pour nous, les données brutes sont accessibles au public via le Guide des mises à jour de sécurité du CSEM. Nous avons donc téléchargé les données des quatre dernières années et demie afin de les exploiter pour en tirer quelques enseignements.

Remarque : Les mises à jour de sécurité qui sont spécifiquement associées à des vulnérabilités peuvent être trouvées dans l'onglet "Vulnérabilités" ou en allant directement sur le lien "Vulnérabilités". Malheureusement, les capacités de filtrage de cet onglet sont limitées, de sorte que nous avons dû télécharger les données dans Excel pour accéder aux informations utiles. Heureusement, un simple bouton de téléchargement permet d'exporter les données.

Comprendre la classification de Microsoft Zero-Days

Qu'est-ce que Microsoft considère comme un "zero-day" ? Le Guide des mises à jour de sécurité du CSEM ne mentionne pas explicitement les "zero-day". En revanche, ils indiquent si la vulnérabilité a été exploitée dans la nature avant la publication de la mise à jour de sécurité. Il indique également si la vulnérabilité a été divulguée publiquement, ce qui constitue une mesure pratique du degré d'information de l'industrie concernant la vulnérabilité en question. Une vulnérabilité exploitable pour laquelle aucun correctif n'est disponible répond à notre critère de qualification de jour zéro dans le cadre de ce rapport.

Examen des tendances en matière de Zero-Day: Vulnérabilités et divulgations

En dressant un simple tableau du nombre de vulnérabilités signalées comme exploitées et du nombre de ces vulnérabilités divulguées publiquement au cours des quatre dernières années et demie, nous pouvons constater une augmentation quelque peu surprenante du nombre de "zero-days" en 2021. Le nombre de divulgations publiques augmente également, mais pas proportionnellement au nombre de vulnérabilités exploitées, ce qui est quelque peu inquiétant :

Graphique représentant le nombre de vulnérabilités signalées comme exploitées d'une année sur l'autre de 2019 à 2023
Graphique représentant le nombre de vulnérabilités signalées comme exploitées d'une année sur l'autre

À première vue, il semble que nous bénéficions d'un certain répit puisque la tendance semble s'éloigner du pic de 2021, mais au taux actuel de 17 vulnérabilités exploitées à un peu plus de la moitié de l'année 2023, il est raisonnable de s'attendre à ce que nous soyons sur la bonne voie pour revenir au pic de 2021.

Si le nombre de "zero-days" peut sembler faible par rapport au nombre total de vulnérabilités signalées chaque année, c'est le pourcentage d'augmentation à partir de 2021, par rapport aux années précédentes, qui est remarquablement préoccupant. En outre, plus de la moitié des vulnérabilités n'ont pas été divulguées publiquement, ce qui signifie que pour ces vulnérabilités, les défenseurs n'ont pas la possibilité de mettre en œuvre des mesures d'atténuation dans l'attente d'un correctif.

Les dommages qu'un acteur de la menace peut infliger avec un seul jour zéro peuvent être considérables lorsque les bonnes circonstances sont réunies. Chaque jour zéro supplémentaire augmente les chances de tomber sur le tiercé rêvé d'un acteur de la menace - une vulnérabilité accessible, ayant un impact et, surtout, omniprésente au sein de la population ciblée.

Validation croisée avec les données du projet zéro de Google

Comparaison des sources de données

Nous avons donc décidé qu'il serait judicieux d'examiner d'autres points de données afin de nous assurer que les rapports de Microsoft sur les attaques de type "zero-day" sont bien représentatifs de la situation dans son ensemble, et il s'avère qu'ils le sont. Le graphique ci-dessous est tiré des données fournies par le Project Zero de Google et de leurs données de suivi des "0-days In-the-Wild".

Graphique représentant le nombre de Zero-day année par année dans le projet zéro de Google "0-days In-the-Wild" de 2019 à 2023
Graphique représentant le nombre de Zero-day année par année dans le cadre du projet zéro de Google "0-days In-the-Wild".

Tendances parallèles dans les données de Google

Comme pour les données purement Microsoft, les données Google "0-days In-the-Wild" montrent un bond spectaculaire en 2021, un léger recul en 2022, et une hausse en 2023 qui semble être en phase avec le chiffre de 2021. Il serait logique de conclure que cette tendance est due au fait que les données 0day de Google sont fortement influencées par le nombre de vulnérabilités Microsoft, mais ce n'est pas tout à fait le cas. Par exemple, en 2023, les données de Microsoft indiquent 17 "zero-days" alors que les vulnérabilités de Microsoft ne représentent que 10 "0days" dans les données de Google. En 2022, ce chiffre était de 11, contre 20 pour Microsoft. Indépendamment des différences d'enregistrement entre les deux sources, la tendance semble se maintenir.

Attaques de ransomwares et corrélations avec les Zero-Days

En examinant les données, nous avons eu l'intuition qu'une autre tendance pourrait s'aligner sur celle-ci. Nous nous sommes donc tournés vers les rapports State of Ransomware de BlackFogpour obtenir des statistiques sur le nombre d'attaques de ransomware signalées publiquement :

graphique montrant le nombre de jours zéro et de ransomwares signalés au fil du temps, de 2019 à 2023
Graphique montrant le nombre de Zero-Days et de ransomwares signalés au fil du temps, de 2019 à 2023

Remarque : Blackfog ne disposant pas de données pour 2019, nous avons attribué à cette année la même valeur qu'à 2020 afin de ne pas fausser de manière significative l'apparence du graphique. Des liens vers les rapports de Blackfog figurent à la fin de cette note.

Comme l'indique le premier graphique, avec 250 rapports publics de ransomware au cours des sept premiers mois de 2023, il est raisonnable de s'attendre à ce que la tendance atteigne au moins le précédent record de 376 rapports.

Bien que cela n'apparaisse pas dans le graphique ci-dessus, il convient également de noter que les rapports mensuels d'incidents de ransomware signalés en 2020 sont restés relativement stables jusqu'en septembre, où le nombre de rapports a bondi de 66 % par rapport au mois précédent et est resté élevé jusqu'à la fin de l'année. (Consultez le rapport de Blackfog pour 2020 afin de voir une représentation mois par mois des attaques de ransomware).

Nous avons trouvé intéressant que le pic de la fin de l'année 2020 ait précédé une augmentation aussi spectaculaire du nombre de rapports sur les "zero-day" en 2021.

L'IA comme mécanisme de défense contre les exploits de type Zero-Day

Au mieux, les chiffres ci-dessus ne sont qu'une corrélation intéressante, mais ils illustrent un point important : Les tendances montrent une augmentation constante des rapports sur les attaques de type "zero-day" et des divulgations publiques d'attaques par ransomware. Pris ensemble, ils représentent une situation logique mais préoccupante pour les défenseurs de la cybersécurité, à savoir qu'il est raisonnable de supposer qu'un groupe d'attaquants très motivés continue de posséder une multitude d'armes sophistiquées pour mener à bien leurs méfaits.  

Si ces tendances persistent, la défense contre les attaques qu'il est pratiquement impossible de prévenir sera un pilier de la routine normale d'une organisation de cybersécurité. En tant que telle, une méthode fiable de détection des attaquants qui utilisent des exploits de type "zero-day" sera une nécessité pour les équipes qui espèrent réussir dans cette entreprise. Et c'est là que l'IA peut changer la donne. En complétant les stratégies de prévention existantes par une intelligence artificielle fondée sur la science qui utilise un ensemble de techniques d'apprentissage automatique spécialisées pour repérer les comportements des attaquants, quels que soient les outils qu'ils utilisent pour poursuivre leurs objectifs, les équipes de cybersécurité peuvent se prévaloir d'un signal fiable et peu bruyant qui les alerte de la présence d'un attaquant avant que celui-ci n'atteigne les objectifs qu'il s'est fixés. À l'adresse Vectra AI, nous appelons ce signal Attack Signal IntelligenceTM.

Étude de cas : MOVEit Transfer Zero-Day

Exploitation de CVE-2023-34363

Prenant l'exemple du zero-day MOVEit Transfer(CVE-2023-34363), la Cybersecurity & Infrastructure Security Agency (CISA) a officiellement rapporté que le gang du ransomware CL0P, alias TA505, a été observé en train d'exploiter la vulnérabilité pour placer un shell web "LEMURLOOT" sur l'hôte de la victime afin de maintenir la persistance de la vulnérabilité. Le rapport de la CISA décrit LEMURLOOT comme ayant les capacités suivantes :

  • Récupérez les paramètres du système Microsoft Azure, Azure Blob Storage, le compte Azure Blob Storage, la clé Azure Blob et le conteneur Azure Blob à l'aide de la requête suivante :
  • Enumère la base de données SQL sous-jacente.
  • Stocker une chaîne de caractères envoyée par l'opérateur, puis récupérer un fichier dont le nom correspond à la chaîne de caractères dans le système de transfert MOVEit.
  • Créez un nouveau compte privilégié d'administrateur avec un nom d'utilisateur généré de manière aléatoire et des valeurs LoginName et RealName définies sur "Health Check Service".
  • Supprimer un compte dont les valeurs LoginName et RealName sont définies sur 'Health Check Service'.

Utilité limitée de l'accès initial

Si ces capacités sont utiles pour établir et maintenir la persistance sur l'hôte ciblé, elles ne contribuent pas de manière significative à la réalisation d'un objectif plus significatif, tel que l'obtention d'une rançon de la part de l'organisation victime. Par conséquent, des actions supplémentaires sont nécessaires pour que l'attaquant atteigne ses objectifs.

Remarque : on a observé des cas où cl0p a utilisé un autre jour zéro pour l'accès initial sans effectuer d'actions de suivi dans l'environnement cible, mais il est raisonnable de conclure que les dommages infligés lors de ces attaques ont été limités.

Rapports de la CISA sur la boîte à outils du CL0P

La CISA a également signalé l'utilisation par le CL0P d'une multitude d'autres outils spécialement conçus pour étendre l'accès à l'environnement des victimes :

  • DéfautsAmmyy/FlawedGrace Trojan d'accès à distance (RAT) : Recueille des informations et tente de communiquer avec le serveur Command and Control (C2) pour permettre le téléchargement de composants malveillants supplémentaires[T1071],[T1105].
  • SDBot RAT : propage l'infection en exploitant les vulnérabilités et en déposant des copies de lui-même sur des lecteurs amovibles et des partages de réseau[T1105]. Il est également capable de se propager lorsqu'il est partagé par des réseaux peer-to-peer (P2P). SDBot est utilisé comme porte dérobée[T1059.001] pour permettre l'exécution d'autres commandes et fonctions sur l'ordinateur compromis. Ce logiciel malveillant utilise le calage d'application pour persister et éviter la détection[T1546.011].
  • Truebot : Un module de téléchargement de premier niveau qui peut collecter des informations sur le système et prendre des captures d'écran[T1113], développé et attribué au groupe de pirates Silence. Après s'être connecté à l'infrastructure C2, Truebot peut recevoir l'instruction de charger du code shell[T1055] ou des DLL[T1574.002], de télécharger des modules supplémentaires[T1129], de les exécuter ou de se supprimer lui-même[T1070]. Dans le cas de TA505, Truebot a été utilisé pour télécharger les balises FlawedGrace ou Cobalt Strike.
  • Grève du cobalt: Utilisé pour étendre l'accès au réseau après avoir accédé au serveur Active Directory (AD)[T1018].

Détection et surveillance du Zero-Day MOVEit avec Vectra AI

Tous les outils décrits ci-dessus ont pour fonctionnalité commune de fournir une certaine mesure de commande et de contrôle à l'hôte cible. Vectra AI dispose de plusieurs algorithmes spécialement conçus pour détecter les tunnels cachés, tels que l'algorithme Hidden HTTPS Tunnel, qui peut détecter les tunnels cachés dans le trafic crypté sans qu'il soit nécessaire de décrypter la session HTTPS.

Illustration d'un tunnel caché

Vectra AIDéclencheurs de détection de tunnels cachés‍

  • Un hôte interne communique avec une adresse IP extérieure à l'aide de HTTPS, mais un autre protocole est exécuté par-dessus les sessions HTTPS.
  • Il s'agit d'un tunnel caché impliquant une longue session ou plusieurs sessions plus courtes sur une longue période de temps, imitant le trafic Web crypté normal.
  • Lorsqu'il est possible de déterminer si le logiciel de tunnelisation est basé sur une console ou s'il est piloté par une interface utilisateur graphique, cet indicateur sera inclus dans la détection.
  • Le score de menace est déterminé par la quantité de données envoyées via le tunnel
  • Le score de certitude est déterminé par la combinaison de la persistance des connexions et du degré de concordance entre le volume et le calendrier des demandes observés et les échantillons d'entraînement.

Outre la fonctionnalité de commande et de contrôle, le cheval de Troie d'accès à distance SDBot a la capacité de se propager dans l'environnement cible en exploitant les vulnérabilités. Dans un tel scénario, l'algorithme de réplication automatisée de Vectra AI s'enclenche, permettant aux équipes de cybersécurité d'identifier l"hôte zéro" et de suivre la progression de l'infection.

Illustration de la réplication automatisée

Vectra AIDéclencheurs de détection pour une réplication automatisée

  • Un hôte interne envoie des charges utiles très similaires à plusieurs cibles internes.
  • Ce phénomène peut résulter de l'envoi par un hôte infecté d'un ou plusieurs exploits à d'autres hôtes dans le but de les infecter.
  • Le score de certitude dépend du nombre d'hôtes ciblés et de la détection d'un propagateur en amont.
  • Le score de menace est déterminé par le nombre d'hôtes ciblés et le nombre d'exploits différents, en particulier les exploits sur différents ports.

Résumé : Transformer la détection des menaces avec l'IA dans un environnement Zero-Day

Comme nous l'avons vu dans les exemples ci-dessus, les tactiques courantes des attaquants offrent de nombreuses possibilités de détecter la présence de l'adversaire avant qu'il n'atteigne l'objectif qu'il s'est fixé. Mais les opportunités ne se traduisent pas automatiquement par des résultats. Les comportements décrits peuvent être difficiles à détecter avec des solutions traditionnelles basées sur des signatures, en particulier lorsque des exploits de type "zero-day" sont impliqués et que d'autres sources telles que les journaux d'événements Windows manquent généralement de contexte pour distinguer les comportements susceptibles d'être des actions administratives approuvées de ceux qui sont inhabituels et potentiellement malveillants.

Lorsque des capacités de détection basées sur l'IA sont déployées, les comportements peuvent être examinés sous un angle différent. "Cette session HTTPS présente-t-elle un schéma de communication indiquant une commande et un contrôle externes ? C'est une question à laquelle l'IA peut répondre. "Cet appel WMI favoriserait-il l'accès d'un attaquant à l'environnement et est-il inhabituel pour cette combinaison hôte/utilisateur d'effectuer cet appel WMI ? L'IA permet également de répondre à ces questions. "Ce transfert de charge utile est-il un cas unique entre deux systèmes ou ressemble-t-il à un modèle plus large de charges utiles envoyées à de nombreux systèmes, ce qui indique la propagation d'un ver ? Là encore, l'IA peut apporter une réponse fiable à cette question.

À l'inverse, essayer d'utiliser l'IA (ou toute autre technique de détection des menaces) pour détecter l'exploitation d'une vulnérabilité inconnue auparavant est, à l'heure actuelle, impossible à réaliser sans générer un volume prohibitif de données à analyser. En revanche, en nous concentrant sur les comportements des attaquants après la compromission, nous pouvons produire un signal d'attaque très fiable, à la fois peu bruyant et très efficace.

Ainsi, plutôt que de baser votre stratégie "zero-day" sur l'espoir de pouvoir appliquer un correctif avant qu'un attaquant ne le trouve, envisagez d'adapter votre stratégie à l'état d'esprit de compromis supposé : Il existe très probablement une vulnérabilité de type "zero-day" dans notre environnement et si un attaquant l'utilise pour accéder à notre réseau, nous serons prêts et capables de détecter sa présence grâce à des capacités de détection post-compromission basées sur l'IA.

Exploration des capacités de détection avancée de Vectra AI

Il ne s'agit là que d'un petit échantillon des algorithmes de détection basés sur l'IA et intégrés à la plateforme Detect de Vectra AI. Pour un examen plus complet des capacités de détection, consultez l'article de la base de connaissances " Understanding Vectra AI " et pour une vue d'ensemble de la plateforme, commencez par notre site web Attack Signal IntelligenceTM pour avoir une vue d'ensemble de la plateforme. Si vous souhaitez une visite personnalisée, contactez votre partenaire technologique préféré pour qu'il vous présente notre équipe.

--- Références ---

NIST

Microsoft

Google

Brouillard noir

CISA