Récemment, nous avons fait une découverte alarmante : des pirates informatiques utilisent des tunnels cachés pour pénétrer dans les entreprises de services financiers et les voler ! De toute évidence, il s'agit d'une affaire sérieuse si les malfaiteurs s'attaquent à des sommes d'argent considérables et à des informations privées. Mais de quoi s'agit-il exactement ? Voyons ce que sont les tunnels cachés et comment je les trouve pour trouver la réponse.
Tunnels cachés
Il existe de nombreux types de tunnels légitimes que les services financiers et d'autres entreprises utilisent pour partager des données au sein des réseaux ou entre les applications. Ils servent souvent de modes de communication qui contournent les contrôles de sécurité pour une plus grande efficacité. Les tunnels cachés se ressemblent, mais ils ont un objectif différent.
Les attaquants sophistiqués utilisent des tunnels cachés pour effectuer des opérations de commande et de contrôle et d'exfiltration. Cela signifie qu'ils volent des données critiques et des informations personnelles identifiables(PII) sur les réseaux d'entreprise en se fondant dans le trafic normal, en contrôlant à distance le vol des informations et en les faisant sortir par ces mêmes tunnels, maintenant chargés de butin mais toujours non détectés.
Parce qu'ils se fondent dans les multiples connexions qui utilisent des protocoles normaux et communément autorisés, les tunnels cachés sont très difficiles à détecter. Pour compliquer encore les choses, les cyberattaquants volent souvent des données en petites quantités au fil du temps afin de ne pas déclencher d'alarmes évidentes. L'éventail des possibilités n'est limité que par la créativité de l'attaquant.
Par exemple, un HTTP-GET apparemment normal peut contenir une demande de logiciel malveillant cachée dans un champ de texte. De même, la réponse HTTP correspondante peut inclure des instructions du serveur de commande et de contrôle qui sont également cachées dans un champ prédéterminé. Mais ces attaques par tunnel caché ne se limitent pas à de simples champs de texte. Des communications secrètes peuvent être intégrées dans divers champs, ainsi que dans les en-têtes et les cookies.
À moins de disposer d'un moyen de distinguer les tunnels cachés des tunnels normaux, il est probable que vous ne les détecterez pas avant que les dégâts ne soient causés. Même un décodage progressif du protocole a peu de chances de révéler sa véritable nature, car les messages nuisibles sont intégrés.
Comment Vectra trouve des tunnels cachés
Vectra effectuent constamment une analyse très sophistiquée des métadonnées du trafic réseau, révélant des anomalies subtiles au sein d'un protocole qui trahit la présence d'un tunnel caché. Je t'ai eu, pirate !
En d'autres termes, même si les messages sont déguisés dans le cadre d'un protocole autorisé, les communications qui en résultent et qui constituent le tunnel caché ne peuvent s'empêcher d'introduire des comportements d'attaque subtils dans le flux global de la conversation. Il peut s'agir de légers retards ou de schémas anormaux dans les demandes et les réponses. C'est comme si quelqu'un commandait un sandwich au thon et qu'il le recevait en 100 petits morceaux au lieu d'un paquet entier ; ça me semble louche !
Sur la base de ces indices comportementaux, nous utilisons des modèles mathématiques pour détecter avec précision les tunnels cachés dans le trafic HTTP, HTTPS et DNS, le tout sans effectuer de décryptage. Notre capacité à traquer les menaces sans effectuer d'inspection approfondie des paquets nous permet également de trouver des tunnels cachés, quelle que soit la manière dont ils sont mis en œuvre. Peu importe le champ utilisé par les attaquants pour intégrer les communications ou s'ils utilisent une technique d'obscurcissement inédite. L'écart de l'attaquant par rapport au comportement normal du protocole révèlera toujours la présence du tunnel caché.
Ce sont des tâches que les analystes de la sécurité ne peuvent pas accomplir seuls ou assez rapidement. C'est pourquoi nous offrons des compétences uniques en matière de détection et de recherche rapides et précises des cybermenaces, y compris des tunnels cachés, afin que vous puissiez mieux y répondre.
Pour en savoir plus sur les cyberattaques sophistiquées et les tunnels cachés qui infiltrent divers secteurs tels que les services financiers, consultez le rapport Spotlight 2018 de Vectra.