Comment appliquer les modèles de renseignement sur les menaces aux enquêtes sur la cybercriminalité ?

13 avril 2023
Renaud Leroy
Analyste de sécurité MXDR
Comment appliquer les modèles de renseignement sur les menaces aux enquêtes sur la cybercriminalité ?

Lorsqu'un analyste détecte une intrusion, le facteur le plus critique est l'analyse du contexte de l'intrusion. Pour ce faire, nous identifions les tactiques, techniques et procédures (TTP) de l'attaquant. Les modèles de renseignement sur les menaces (kill chain et Diamond model) accélèrent l'analyse des intrusions en déterminant rapidement :

  • Comment les attaquants (multiples) opèrent
  • Quelle est l'étape de l'intrusion dans laquelle se trouve l'attaque ?
  • Que peut-on attendre de l'attaque ?

Grâce aux informations supplémentaires présentées par la plateforme de détection et de réponse aux menaces Vectra AI-driven Threat Detection and Response, alimentée par Attack Signal Intelligence™, ci-dessous, vous verrez des détections contextualisées au cours d'une intrusion.

Analyse des intrusions en temps réel pour une prise de décision éclairée

Voyons de plus près comment la plateforme de détection et de réponse aux menacesVectra AI permet d'analyser les intrusions en temps réel afin que vous puissiez prendre des décisions éclairées grâce à des réponses automatisées contextualisées.

Les détections corrélées donnent à l'intrusion une note de quadrant pour le contexte

Plusieurs détections corrélées ont déclenché une alerte et placé l'hôte victime dans le score du quadrant HAUT de Vectra.

VectraL'évaluation des quadrants de la solution de sécurité de l'Internet classe par ordre de priorité le niveau d'urgence d'une attaque en fonction du nombre de techniques utilisées par un attaquant et de l'avancement de l'attaque elle-même. Les hôtes et les comptes situés dans les quadrants "élevé" et "critique" sont considérés comme urgents et nécessitent une attention immédiate.

Ce score élevé dans le quadrant a été confirmé par les alertes endpoint de l'EDR du client. Forts de ces informations critiques, les analystes de Vectra MDR ont poursuivi leur enquête.

Détections déclenchées et Vectra Renseignements sur les menaces Match

Cette détection a déclenché une analyse plus poussée, qui a révélé que l'hôte générait une activité DNS ou établissait des connexions directes associées à des IP ou des domaines externes malveillants. Dans ce cas, le domaine rotation.craigconnors[.]com (appelé "rotation" ci-dessous) est contacté directement sur le port 8080 et considéré comme malveillant. Des données sont échangées (quelques Ko envoyés et reçus). La phase d'attaque est liée au C&C, indiquant des communications d'infrastructure d'adversaires externes.
Cf :

Des données sont échangées (quelques Ko envoyés et reçus). La phase d'attaque est liée au C&C, indiquant les communications de l'infrastructure de l'adversaire externe.


En comprenant et en détaillant l'activité du groupe de menace, Vectra MDR a pu contextualiser le comportement, au lieu de se demander s'il s'agissait d'une empreinte digitale ? Est-ce que cela a été fait via wscript ? Quel était l'objectif de l'attaquant dans la chaîne d'exécution ?

Vectra Le MDR nous donne de la clarté et du contexte dans le comportement des menaces.

Anomalie de privilège : Service inhabituel - individu

Une autre détection a été déclenchée lorsqu'un compte avec un score de privilège faible a été utilisé à partir d'un hôte qui avait également un score de privilège faible afin d'accéder à un service qui avait un score de privilège nettement plus élevé. De l'autre côté du rideau, cet hôte infecté effectuait une attaque Kerberoasting , et en déclenchant le service HTTP en demandant un ticket TGS, nous avons détecté l'anomalie de privilège.

Anomalie de privilège : Service inhabituel - individu

Qu'est-ce qu'un score de privilège et quel est le risque ?

Le score de menace de cette détection est déterminé par les scores de privilèges(voir ce lien pour plus de détails sur ce que nous appelons "privilèges" dans la section " AI Detection Case Study : Privilege Credential Abuse in the Network and Cloud ") des trois entités Kerberos (compte, hôte et service). Le score de menace est déterminé par le degré d'inadéquation des scores de privilèges, par exemple lorsqu'un service bénéficiant de privilèges élevés est accessible à partir d'hôtes et de comptes à privilèges faibles ou moyens.

Qu'est-ce qu'un score de privilège ?

Cette détection fait partie d'une tentative de mouvement latéral de l'attaquant. Les mouvements latéraux au sein d'un réseau impliquant des comptes, des hôtes ou des services privilégiés exposent une organisation à un risque substantiel d'acquisition et d'exfiltration de données.

Enquête - Métadonnées et points névralgiques

Le stockage des métadonnées est avantageux, car il vous permet de rechercher en temps réel et rétrospectivement les comportements suspects observés dans votre environnement.

Il est toujours désagréable d'être informé par un tiers d'une intrusion potentielle. Cependant, c'est bien pire lorsque l'intrusion est réelle et que vous vous rendez compte qu'il y a une lacune dans vos capacités de surveillance et de collecte de données.

Grâce à notre plateforme de détection et de réponse aux menaces pilotée par l'IA avec des métadonnées enrichies et stockées, nous pouvons passer à l'investigation et à la réponse aux incidents, en catégorisant les activités et les détections déclenchées pour créer une chronologie des événements.

Nous présentons ci-dessous quelques "groupes" dans lesquels nous avons pu effectuer des recherches afin de reconstituer l'activité malveillante et de formuler des commentaires et des hypothèses.

* Rappel : Un COI est un indicateur avec un contexte : Une IP n'est PAS un IOC. Une IP indiquant une infrastructure C2 ou adverse (par exemple, un WordPress compromis, servant de téléchargeur à l'adversaire est un IOC).
** Downgrade cipher attack observed and investigated.
*** Unique à Vectra, ne figure pas dans la sortie standard de Bro.

Analyse des intrusions - Groupes d'activités

Nous évaluons et regroupons ensuite certaines activités en fonction de leur mode de fonctionnement.

Nous décrivons ci-dessous le "modus operandi" de plusieurs activités liées entre elles. Nous utilisons pour cela le modèle de la chaîne d'exécution pour décrire les phases des intrusions et cartographier les indicateurs de l'adversaire pour l'identification (puis la prévention) de l'activité d'intrusion cybernétique.

le "modus operandi" de plusieurs activités de cyberattaque tout au long de la chaîne de mise à mort


Dans la prochaine partie de cet article, nous nous concentrerons davantage sur la chaîne d'exécution verte ci-dessus. Comme le montre l'image ci-dessus, plusieurs groupes d'activité peuvent être identifiés dans les intrusions modernes. Certains d'entre eux ne sont pas liés à l'intrusion proprement dite sur laquelle nous enquêtons (ici le "groupe d'activité 1" lié à d'autres capacités de cybercriminalité). D'autres dépendent d'autres groupes.


Et si l'attaque n'est pas stoppée ?

Que se serait-il passé si nous n'avions pas arrêté le "groupe d'activités 2" en vert ? Le "groupe d'activité 3" en rouge aurait pu poursuivre ses activités. Certains groupes de menaces dépendent d'autres groupes, par exemple lorsque l'"Activity Group 3" utilise l'accès précédent de l'"Activity Group 2" pour charger ses propres malwares et charges utiles (lire Cobalt Strike, malwares, puis déploiement de ransomware).

Il pourrait s'agir d'une dépendance commerciale potentielle, indiquant que le "groupe d'activité 2" fournit un service payant de paiement à l'installation ou de courtier d'accès initial.

Modèle diamant

Issu du monde du renseignement, le modèle du diamant peut être utilisé pour les activités malveillantes "ainsi que les concepts analytiques de base utilisés pour découvrir, développer, suivre, regrouper et finalement contrer à la fois l'activité et l'adversaire". Ce modèle peut être appliqué à chacun des niveaux d'intrusion décrits ci-dessous (c'est-à-dire les phases de la coopération transfrontalière sur la gauche).

Le modèle du diamant peut être appliqué à chacun des niveaux d'intrusion décrits ci-dessous (c'est-à-dire les phases de la coopération transfrontalière sur la gauche).


Il décrit les quatre caractéristiques essentielles présentes dans chaque événement malveillant : pour chaque événement d'intrusion, il existe : "Un adversaire qui fait un pas vers son objectif en utilisant une capacité sur une infrastructure contre une victime qui produit un résultat.


Pourquoi n'avons-nous pas utilisé MITRE ATT&CK seulement ? Nous l'avons fait.

En tant qu'analystes, nous avons utilisé un modèle qui englobe non seulement les capacités/tradecraft et les méthodologies d'attaque à partir desquelles MITRE ATT&CK est compté, mais aussi les quatre sommets du modèle du diamant (Adversaire, Capacités, Infrastructure et Victime) pour décrire une "menace" qui ne peut pas être définie uniquement par des TTP ou Malware(s).

Enfin, nous pouvons cartographier le groupe d'activités lui-même, observé à l'aide de cette représentation modèle.

Nous avons utilisé un modèle qui englobe non seulement les capacités/tradecraft et les méthodologies d'attaque à partir desquelles MITRE ATT&CK est compté.
Les CIO et les méthodes d'attaque présentés ici peuvent être réduits et sont considérés comme des exemples purement fictifs. L'objectif n'est pas de fournir un examen complet d'un groupe d'activité, mais de fournir des détails sur le processus et l'utilisation.

Les éléments en rouge sont ce que nous considérons comme les caractéristiques de confiance les plus élevées de ce groupe d'activités. Cela signifie que si l'un de ces éléments change, le groupe d'activité est différent.

Nous essayons de définir ici les principaux éléments de ce groupe d'activité, qui peuvent être : par exemple, la façon dont ils obscurcissent le JavaScript, les méthodologies d'attaque observées ou les préférences d'utilisation de l'hébergement russe : La façon dont ils obscurcissent le JavaScript, les méthodologies d'attaque observées ou les préférences d'utilisation de l'hébergement russe peuvent tous être des points communs pour le suivre.

Conclusion

La détection et la hiérarchisation pilotées par l'IA, combinées à une analyse humaine utilisant des métadonnées enrichies pour l'investigation, peuvent aider à identifier et à combattre les menaces au sein de votre organisation. Cette combinaison d'outils pilotés par l'IA, de connaissances humaines et de métadonnées fournit l'expertise, le contexte et la clarté nécessaires, dans le cadre d'un processus cohérent et reproductible. Ce processus est primordial lors de l'application du renseignement sur les menaces à l'analyse des intrusions. Il permet aux analystes d'englober et de décrire les menaces avec le même langage au fil du temps, ce qui simplifie et améliore notre veille sur les menaces en apportant de la clarté à ce que nous observons. Les actions de chasse et de défense résultant de ces menaces modélisées pourraient être bénéfiques à tous les clients en leur permettant de prendre des décisions éclairées plus rapidement dans le cycle de vie de la menace.

Foire aux questions