Donner aux intervenants un contexte plus approfondi sur ce qui s'est passé

4 juin 2018
Vectra AI Security Research team
Cybersécurité
Donner aux intervenants un contexte plus approfondi sur ce qui s'est passé

Les analystes en cybersécurité sont submergés d'événements de sécurité qui doivent être triés, analysés, corrélés et classés par ordre de priorité. Si vous êtes analyste, vous possédez probablement des compétences incroyables, mais vous êtes freiné par un travail manuel fastidieux.

Dans mon dernier blog, j'ai parlé d'un client dans le secteur de la fabrication où nous avons aidé l'équipe bleue à détecter son équipe rouge qui utilisait les outils d'administration existants pour dissimuler ses comportements. Cette fois-ci, je voudrais parler de nos nouvelles capacités de chasse aux menaces et d'investigation approfondie.

J'ai récemment aidé l'équipe de sécurité d'un client victime d'une attaque phishing . Mon objectif était de les aider à mener une enquête plus approfondie sur un événement qu'ils avaient initialement détecté sans mon aide. Bien que je sois très doué pour trouver les auteurs d'attaques, mon objectif est d'aider les humains à faire en sorte que les analystes de la sécurité deviennent des chasseurs de menaces et des intervenants en cas d'incident plus rapides et plus efficaces. La sécurité est meilleure lorsque nous travaillons ensemble.

Quoi qu'il en soit, nous sommes partis d'un employé qui a reçu un courriel phishing , dans lequel on lui demandait ses identifiants pour accéder à un lien vers un site web intégré dans un fichier PDF joint. Une fois que le pirate a obtenu les identifiants, il s'est fait passer pour l'employé et a envoyé un second courriel phishing à d'autres personnes de l'entreprise.

Le second courriel contenait un autre PDF malveillant destiné à étendre l'emprise de l'attaquant au sein de l'entreprise. Heureusement, le deuxième courriel phishing a été remarqué par un employé diligent et l'équipe de sécurité a été immédiatement informée de l'incident. L'équipe de sécurité s'est rapidement tournée vers Recall pour enquêter sur ce qui s'est passé.

Analyse PDF et domaine phishing

En stockant des métadonnées réseau enrichies dans un index consultable, j'ai permis à l'équipe de sécurité d'approfondir les détails de ce qui s'est passé après qu'elle ait soupçonné d'avoir été victime d'une attaque phishing . L'équipe de sécurité souhaitait mieux comprendre les détails du PDF suspect afin d'identifier les malware cachés.

Bien que le PDF ne contienne pas de malware, l'enquête a conduit à un fichier hébergé par Office 365 et à un lien vers un site web phishing où l'employé a été invité à entrer ses identifiants Office 365.

L'auteur du PDF et le domaine phishing ont été identifiés dans les métadonnées que je conserve aussi longtemps que nécessaire. Le nom de l'auteur a permis à l'équipe de sécurité de trouver des documents similaires par le biais d'une recherche en source ouverte.

J'ai également permis à l'équipe de sécurité d'utiliser mes capacités d'enquête sur les incidents pour trouver le domaine phishing dans le courriel original et déterminer quels dispositifs hôtes communiquaient avec ce domaine.

Dispositifs hôtes primaires

Pour accélérer l'enquête, j'ai mis en corrélation les métadonnées que j'ai collectées avec des appareils et des comptes hôtes spécifiques. Cela a permis à l'équipe de sécurité d'effectuer des recherches à partir d'un nom spécifique dans une plage de données spécifique.

Dans cette enquête, l'équipe de sécurité a identifié une fenêtre de temps au cours de laquelle le courriel phishing a été envoyé pour la première fois. Cela a marqué le début de la compromission. Nous avons ensuite examiné l'activité du compte et des dispositifs hôtes liés à l'e-mail pour voir exactement ce qui s'est passé avant et après l'envoi de l'e-mail phishing .

Utilisation de LDAP

Notre enquête sur les dispositifs hôtes primaires a révélé deux périodes anormales peu après la compromission initiale. La première période a coïncidé avec un pic du trafic LDAP sur l'ensemble du réseau. Un examen plus approfondi a montré que ce pic était présent dans plusieurs dispositifs hôtes secondaires, mais pas tous.

L'analyse du pic LDAP initial pour les hôtes principaux a révélé un trafic encore plus important lié à la reconnaissance LDAP, signe d'un comportement anormal. Le pic LDAP indique que la menace a progressé dans le cycle de vie de l'attaque vers des comportements de reconnaissance et de mouvement latéral.

Utilisation de DCE/RPC

Les deux dispositifs hôtes ont enregistré des pics de trafic DCE/RPC (Distributed Computing Environment/Remote Procedure Call) au cours de la compromission. Aucun de ces pics ne correspondait à des augmentations à l'échelle du réseau dans l'environnement du client.

Il est important de noter que ces appels nécessitent l'exécution de code sur les appareils hôtes. Ce trafic est généré par des applications, le système d'exploitation ou des scripts fonctionnant sur les systèmes des appareils hôtes.

En examinant de plus près l'un des pics observés sur les dispositifs hôtes principaux, nous avons trouvé un cas de plus de 10 000 appels sur une période de 10 minutes qui contenait le type et le nombre de requêtes typiques de la reconnaissance de l'Active Directory (AD).

Dispositifs hôtes secondaires

Après l'envoi de la communication initiale, des dispositifs hôtes secondaires ont communiqué avec le domaine phishing . Des pics similaires ont été observés peu après la communication initiale avec le domaine phishing .

La quasi-totalité des communications provenait d'un dispositif hôte secondaire. À l'instar de l'activité observée avec les hôtes principaux, l'augmentation soudaine des demandes et les types de demandes indiquent des comportements de reconnaissance.

Conclusion

À partir des artefacts observés et de l'enquête, mes Recall ont fourni à l'équipe de sécurité un contexte concluant sur l'attaque par courrier électronique phishing et des conseils détaillés sur la manière de réagir rapidement.

En travaillant ensemble, nous avons déterminé l'étendue de la menace et identifié les appareils hôtes qui étaient en danger avant que l'attaque ne puisse se propager plus loin et plus profondément dans le réseau.

Foire aux questions