Préparez votre environnement Microsoft à une attaque basée sur l'identité.
Demandez une analyse personnalisée.

Duqu : La suite

12 juin 2015
Vectra AI Security Research team
Cybersécurité
Duqu : La suite
Illustration avec les mots violation de la sécurité, menace et piratage informatique

Récemment, Kasperky Labs a révélé avoir été victime d'une cyberattaque sophistiquée, baptisée Duqu 2.0. L'équipe de Kaspersky Labs a publié une analyse détaillée de Duqu 2.0 qui vaut vraiment la peine d'être lue.

La menace originelle de Duqu

L'acteur original de la menace Duqu était une famille de logiciels malveillants dont la plupart des chercheurs pensent qu'elle a été créée par un État-nation et qu'elle est liée au tristement célèbre ver Stuxnet. Alors que Stuxnet était utilisé pour endommager les centrifugeuses servant à enrichir l'uranium, le Duqu original semblait davantage destiné à la surveillance et à la collecte d'informations au sein d'un réseau compromis.

L'analyse de Kaspersky fournit des informations très intéressantes sur l'attaque et, à mon avis, montre clairement le rôle essentiel des systèmes basés sur le comportement dans la détection des attaques avancées.

Comme le cadre Duqu original, Duqu 2.0 fait un usage intensif des vulnérabilités de type "zero-day" afin de compromettre les systèmes de ses victimes initiales. À partir de cette compromission initiale, les attaquants ont pu faire ce qui suit :

  1. Effectuer une reconnaissance interne pour cartographier la topologie du réseau interne.
  2. Utiliser une technique d'attaque Kerberos appelée "pass-the-hash" pour se propager latéralement au sein du réseau.
  3. Élever leurs privilèges à un compte d'administrateur de domaine.
  4. Utiliser ces privilèges d'administrateur de domaine pour distribuer des paquets MSI afin d'infecter d'autres hôtes.

Anomalies détectées par Vectra

Ces étapes calculées sont précisément les types de comportements que Vectra détecte en temps réel et sans avoir recours à des signatures ou à des listes de réputation de tiers.

  • Scans du Darknet interne et scans de ports - Ces détections Vectra révèlent qu'un attaquant cartographie le réseau interne et identifie les services disponibles sur tous les hôtes nouvellement trouvés.
  • Activité du client Kerberos - Cette détection révèle un certain nombre d'attaques, telles que l'utilisation d'informations d'identification volées et d'attaques de type "pass-the-hash" qui ont permis aux attaquants de se déplacer latéralement au sein du réseau Kaspersky. Bien qu'il existe de nombreuses variantes de pass-the-hash, Vectra est en mesure d'identifier le comportement fondamental qu'elles ont toutes en commun.
  • Réplication automatisée - Cette détection révèle qu'un hôte particulier propage des charges utiles similaires sur l'ensemble du réseau, comme les paquets MSI malveillants utilisés pour infecter d'autres hôtes.

Bien que ces détections mettent en lumière plusieurs points, il est également important d'avoir une vue d'ensemble. À bien des égards, Duqu 2.0 ressemble beaucoup à l'original. Des attaquants sophistiqués connaissant les vulnérabilités du jour zéro infectent silencieusement un hôte, se propagent discrètement et espionnent le réseau. Il est très probable que ce schéma continuera à se répéter, mais la prochaine fois avec une nouvelle vulnérabilité de type "zero-day".

Les attaquants les plus sophistiqués créeront toujours de nouvelles vulnérabilités. Mais leurs objectifs fondamentaux et leurs actions une fois qu'ils ont pénétré dans le réseau tendent à rester étonnamment constants.

Les attaquants s'orientent dans un réseau, escaladent leurs privilèges et se répandent dans le réseau. Ces comportements sont directement observables par les produits qui surveillent étroitement les réseaux internes. Si nous ne commençons pas à appliquer des modèles de sécurité axés sur ces comportements, la suite ressemblera beaucoup à l'épisode que nous avons déjà vu.