Les techniques de persistance qui échappent aux protections de endpoint existent depuis longtemps. La récente publication de Boothole(CVE-2020-10713) en est un autre exemple. Alors pourquoi tant d'experts en sécurité continuent-ils à prescrire des améliorations incrémentales en plus des mêmes vieilles solutions pour résoudre ce problème ?Il est temps de repenser la détection et la réponse et d'utiliser les données provenant de la seule source que les attaquants ne peuvent pas détecter ou contourner - le réseau.
Il n'est pas rare que les groupes de menaces persistantes avancées (APT) s'attaquent aux serveurs Linux d'un environnement en tant que point de rassemblement pour la persistance et l'exfiltration. La possibilité de maintenir la persistance sur ces serveurs, même après une réinstallation du système d'exploitation, est la cerise sur le gâteau. Une de ces vulnérabilités, connue sous le nom de code "Boothole", a été récemment découverte par des chercheurs d'Eclypsium. Cette vulnérabilité est présente dans le chargeur d'amorçage GRUB2 utilisé par la plupart des systèmes Linux et peut être utilisée pour exécuter un code arbitraire pendant le processus d'amorçage, même lorsque la fonction Secure Boot est activée. Les attaquants qui exploitent cette vulnérabilité peuvent installer des bootkits persistants et furtifs ou des chargeurs de démarrage malveillants qui peuvent leur donner un contrôle quasi-total sur l'appareil victime tout en survivant aux réinstallations du système d'exploitation.
Endpoint Les outils de détection fonctionnent au-dessus de cette couche, ce qui les rend aveugles à l'activité de l'attaquant. La seule approche permettant de détecter et d'expulser les attaquants qui exploitent ces techniques consiste à examiner les traces qu'ils laissent sur le réseau lorsqu'ils contrôlent l'appareil à distance. Il n'est donc pas étonnant que les chercheurs de BlackBerry aient baptisé cette décennie "Décennie du cheval de Troie d'accès à distance (RAT)".
Alors, comment débusquer le RAT à l'aide des données du réseau ? Le secret réside dans la modélisation du comportement de la menace. En analysant de nombreux échantillons de RAT, l'équipe de détection des menaces de Vectra a identifié des différences dans les modèles de communication d'un RAT par rapport à une communication normale.
Prenons l'exemple suivant de tracés de séries temporelles pour les données transférées au cours de deux sessions TCP. La première session TCP représente le trafic d'une RAT et la seconde le trafic internet normal. Dans la série temporelle du RAT, vous pouvez voir des pics d'octets reçus suivis d'octets envoyés. Ces pics alternés correspondent à des commandes émises par l'attaquant externe et à la réponse de l'hôte infecté. Si l'on compare ces données au trafic d'une session TCP normale, la différence est évidente. Dans les réseaux en direct, ces différences sont presque impossibles à discerner pour un être humain, étant donné le volume de données, la subtilité de la différence de communication et le fait que la communication s'effectue au sein d'une session TCP unique qui peut être cryptée.
Alors que les humains auront du mal à voir les différences lorsqu'ils regardent le trafic réel, les modèles d'IA qui ont vu des milliers d'échantillons excellent à faire cette distinction. Plus précisément, une architecture d'apprentissage profond connue sous le nom de réseaux neuronaux récurrents à mémoire à long et court terme (LTSM), qui conservent leur "mémoire" au fil du temps, a été spécialement conçue pour travailler avec ce type de données. En appliquant des modèles d'IA basés sur la LSTM pour rechercher le modèle de communication d'un RAT dans les données du réseau, il est possible de les détecter en temps réel avec une grande fidélité sur la base du comportement observé. La beauté de cette approche réside dans son efficacité. Elle fonctionne indépendamment de l'outil ou de l'implant spécifique, et elle est indifférente au cryptage, ne nécessitant aucun décryptage du trafic.
L'approche de Vectra en matière de détection des menaces associe l'expertise humaine à un vaste ensemble de techniques de science des données et d'apprentissage automatique avancé. Ce modèle offre un cycle continu de détection des menaces basé sur des recherches de pointe, des modèles d'apprentissage globaux et locaux, l'apprentissage profond et les réseaux neuronaux. Pour en savoir plus sur notre approche de la science des données, lisez notre livre blanc ou testez Vectra Cognito pour vous en convaincre.