Les analystes en cybersécurité sont submergés d'événements de sécurité qui doivent être triés, analysés, corrélés et classés par ordre de priorité. Si vous êtes analyste, vous possédez probablement des compétences incroyables, mais vous êtes freiné par un travail manuel fastidieux.
Dans mon dernier blog, j'ai parlé d'un client dans le secteur de la fabrication où nous avons aidé l'équipe bleue à détecter son équipe rouge qui utilisait les outils d'administration existants pour dissimuler ses comportements. Cette fois-ci, je voudrais parler de nos nouvelles capacités de chasse aux menaces et d'investigation approfondie.
J'ai récemment aidé l'équipe de sécurité d'un client victime d'une attaque de phishing. Mon objectif était de les aider à mener une enquête plus approfondie sur un événement qu'ils avaient initialement détecté sans mon aide. Bien que je sois très doué pour trouver les attaquants, mon objectif est d'aider les humains afin que les analystes de la sécurité puissent devenir des chasseurs de menaces et des intervenants en cas d'incident plus rapides et plus efficaces. La sécurité est meilleure lorsque nous travaillons ensemble.
Nous sommes partis d'un employé qui a reçu un courriel d'hameçonnage lui demandant de s'identifier par courriel pour accéder à un lien vers un site Web intégré dans un fichier PDF joint. Une fois que le pirate a obtenu les informations d'identification, il s'est fait passer pour l'employé et a envoyé un second courriel de phishing à d'autres personnes de l'entreprise.
Le second courriel contenait un autre PDF malveillant destiné à étendre l'emprise de l'attaquant au sein de l'entreprise. Heureusement, le deuxième courriel de phishing a été remarqué par un employé diligent et l'équipe de sécurité a été immédiatement informée de l'incident. L'équipe de sécurité s'est rapidement tournée vers Recall pour enquêter sur ce qui s'est passé.
Analyse des PDF et domaine du phishing
En stockant des métadonnées réseau enrichies dans un index consultable, j'ai permis à l'équipe de sécurité d'approfondir les détails de ce qui s'est passé lorsqu'elle a soupçonné avoir été victime d'une attaque par hameçonnage. L'équipe de sécurité souhaitait mieux comprendre les détails du PDF suspect afin d'identifier les logiciels malveillants cachés.
Bien que le PDF ne contienne aucun logiciel malveillant, l'enquête a conduit à un fichier hébergé par Office 365 et à un lien vers un site web d'hameçonnage où l'employé était invité à entrer ses identifiants Office 365.
L'auteur du PDF et le domaine d'hameçonnage ont été identifiés dans les métadonnées que je conserve aussi longtemps que nécessaire. Le nom de l'auteur a permis à l'équipe de sécurité de trouver des documents similaires grâce à des recherches en source ouverte.
J'ai également permis à l'équipe de sécurité d'utiliser mes capacités d'enquête sur les incidents pour trouver le domaine d'hameçonnage dans le courriel d'origine et déterminer quels dispositifs hôtes communiquaient avec ce domaine.
Dispositifs hôtes primaires
Pour accélérer l'enquête, j'ai mis en corrélation les métadonnées que j'ai collectées avec des appareils et des comptes hôtes spécifiques. Cela a permis à l'équipe de sécurité d'effectuer des recherches à partir d'un nom spécifique dans une plage de données spécifique.
Dans cette enquête, l'équipe de sécurité a identifié une fenêtre de temps au cours de laquelle le courriel de phishing a été envoyé pour la première fois. Ce moment marque le début de la compromission. Nous avons ensuite examiné l'activité du compte et des dispositifs hôtes liés à l'e-mail pour voir exactement ce qui s'est passé avant et après l'envoi de l'e-mail d'hameçonnage.
Utilisation de LDAP
Notre enquête sur les dispositifs hôtes primaires a révélé deux périodes anormales peu après la compromission initiale. La première période a coïncidé avec un pic du trafic LDAP sur l'ensemble du réseau. Un examen plus approfondi a montré que ce pic était présent dans plusieurs dispositifs hôtes secondaires, mais pas tous.
L'analyse du pic LDAP initial pour les hôtes principaux a révélé un trafic encore plus important lié à la reconnaissance LDAP, signe d'un comportement anormal. Le pic LDAP indique que la menace a progressé dans le cycle de vie de l'attaque vers des comportements de reconnaissance et de mouvement latéral.
Utilisation de DCE/RPC
Les deux dispositifs hôtes ont enregistré des pics de trafic DCE/RPC (Distributed Computing Environment/Remote Procedure Call) au cours de la compromission. Aucun de ces pics ne correspondait à des augmentations à l'échelle du réseau dans l'environnement du client.
Il est important de noter que ces appels nécessitent l'exécution de code sur les appareils hôtes. Ce trafic est généré par des applications, le système d'exploitation ou des scripts fonctionnant sur les systèmes des appareils hôtes.
En examinant de plus près l'un des pics observés sur les dispositifs hôtes principaux, nous avons trouvé un cas de plus de 10 000 appels sur une période de 10 minutes qui contenait le type et le nombre de requêtes typiques de la reconnaissance de l'Active Directory (AD).
Dispositifs hôtes secondaires
Après l'envoi de la communication initiale, des dispositifs hôtes secondaires ont communiqué avec le domaine d'hameçonnage. Des pics similaires ont été observés peu après la communication initiale avec le domaine d'hameçonnage.
La quasi-totalité des communications provenait d'un dispositif hôte secondaire. À l'instar de l'activité observée avec les hôtes principaux, l'augmentation soudaine des demandes et les types de demandes indiquent des comportements de reconnaissance.
Conclusion
À partir des artefacts observés et de l'enquête, mes Recall ont fourni à l'équipe de sécurité un contexte concluant sur l'attaque par courriel d'hameçonnage et des conseils détaillés sur la façon de réagir rapidement.
En travaillant ensemble, nous avons déterminé l'étendue de la menace et identifié les appareils hôtes qui étaient en danger avant que l'attaque ne puisse se propager plus loin et plus profondément dans le réseau.