Indicateur de compromis

Les indicateurs de compromission sont essentiellement les miettes de pain que les attaquants laissent derrière eux et peuvent comprendre un large éventail de points de données, tels que

1. URL ou noms de domaine: Indique des connexions à des sites d'hameçonnage ou à des serveurs de commande et de contrôle.
2. Adresses IP: Notable pour signaler la communication avec des sources malveillantes connues.
3. Noms de fichiers : Signifiant des modifications non autorisées, potentiellement par un attaquant.
4. Hachures de fichiers: Unique pour des éléments spécifiques de logiciels malveillants ou non autorisés.

Vectra AI aide à identifier et à analyser ces IoC, ce qui permet aux équipes SOC de répondre rapidement aux menaces, d'atténuer les dommages potentiels et de renforcer la posture de sécurité de l'organisation.

Comment trouver les IOC (Indicateurs de compromission)

Il est important de rester à l'écoute et de s'assurer que vous êtes au courant de tout nouveau compromis annoncé. Mais il est tout aussi important d'être en mesure d'agir sur les nouveaux indicateurs de compromission lorsque vous en entendez parler. Dans cette section, nous décrirons les IOC les plus courants, ce qu'ils peuvent indiquer, pourquoi vous devriez vous en préoccuper et comment vous pouvez rechercher ces IOC dans les métadonnées de votre réseau.

Domaine CIO

Tout acteur externe doit être en mesure de gérer les brèches depuis l'extérieur du réseau, et les domaines sont un outil clé pour ce faire. Comme nous l'avons vu récemment dans l'exploit SUNBURST SolarWinds, les opérations Command & Control ont été effectuées par le biais de domaines du type appsync-api. eu-west-1[.]avsvmcloud[.]com. Il est également courant, dans les tentatives d'hameçonnage, d'utiliser des noms de domaine qui imitent des sites populaires afin de ne pas éveiller les soupçons de la cible. Par exemple, si une tentative d'hameçonnage est faite pour voler les informations d'identification du compte outlook d'une personne, un domaine tel que outlook.com.enteryourpassword.tk peut être utilisé pour éviter les soupçons.

Les indicateurs de compromission de domaine (IOC) sont un signal fort de compromission, car ces domaines ont été enregistrés par un acteur malveillant et font l'objet d'un trafic dans ce but précis. Si une communication est observée vers un IOC de domaine, cela justifie fortement une enquête.

Mauvais domaines connus

Vous pouvez facilement convertir une liste de mauvais domaines connus provenant de n'importe quelle source en une requête Recall . Nous avons créé un fichier Excel à cet effet, que vous pouvez demander à un ingénieur en sécurité, à partir d'une liste comme celle-ci :

• Domaine1[.]com
• Domaine2[.]com

Commencez par convertir cette requête en une requête Lucene : Resp_domain :(baddomain1.com OR baddomain2.com)

Exécutez ensuite cette requête sur vos métadonnées iSession Stream

Domaines d'une familiarité suspecte

1. Créez une liste de domaines communs auxquels les utilisateurs de votre réseau accèdent. Par exemple : facebook, gmail, outlook, l'intranet de votre entreprise.  
2. Recherchez ces éléments dans l'activité iSession de Vectra Recall . Par exemple, Resp_domain( corpnet OR facebook OR gmail OR outlook OR office)
3. Enregistrer cette recherche
4. Créez une nouvelle visualisation "Tableau de données" avec cette recherche comme source et divisez les lignes par "Terme" et agrégez par "resp_domain" N.B. Vous pouvez également diviser les lignes par "Termes significatifs", ce qui montrera les termes intéressants et inhabituels, afin de réduire le bruit. Pour en savoir plus, cliquez ici : https://www.elastic.co/guide/en/elasticsearch/reference/current/searchaggregations-bucket-significantterms-aggregation.html  
5. Une liste des sites les plus fréquemment consultés correspondant à votre recherche s'affiche. Les domaines légitimes devraient apparaître en premier. Survolez les éléments légitimes et cliquez pour les exclure.
6. Sauvegarder cette visualisation

Tout élément restant dans ce tableau de données doit faire l'objet d'un examen plus approfondi et, s'il est bénin, doit être exclu. Au début, vous pouvez avoir un grand nombre de variations internes sur le nom de domaine de votre entreprise. Par exemple, à Vectra AI , nous avons un grand nombre de domaines internes Vectra AI tels que dev.vectrai.ai, HR assets in hr.vectra.ai, etc. Vous devrez trier efficacement ces faux positifs pour obtenir de bonnes données exploitables.

Après quelques jours de vérification manuelle de cette visualisation, si vous êtes satisfait des résultats restants, vous devriez transformer cette recherche en un modèle personnalisé en sauvegardant la recherche sous-jacente, puis en naviguant vers la section "Gérer" de l'interface utilisateur de Detect. Dans l'onglet "Modèles personnalisés", trouvez votre nouvelle recherche sauvegardée et activez-la dans sa fenêtre d'édition.

Adresses IP IOC

Vous pouvez facilement convertir une liste de mauvaises adresses IP connues provenant de n'importe quelle source en une requête Recall . Nous avons créé un fichier Excel à cet effet, que vous pouvez obtenir auprès de n'importe quel ingénieur en sécurité, mais à partir d'une liste comme celle-ci :

• 192.0.2.1  
• 192.0.2.2

Convertissez d'abord cette requête en une requête Lucene : Id.orig_h :( 192.02.1 OR 192.02.2) OR Id.resp_h :( 192.02.1 OR 192.02.2)

Exécutez ensuite cette requête sur votre iSession Metatada Stream.

Ports IOC

Nouvelle utilisation des ports

La plupart des logiciels utilisent un ensemble standard de ports externes pour communiquer. L'apparition de nouveaux ports sur le réseau peut indiquer l'installation d'un nouveau logiciel dans l'environnement ou, dans certains cas, une communication provenant d'un hôte compromis. Vectra AI crée des détections au niveau de l'information qui signalent l'apparition de nouvelles connexions externes dans l'environnement.

Vous souhaiterez peut-être regrouper ces événements à l'aide de flux pour surveiller si de nouveaux logiciels sont utilisés sur le réseau ou si des canaux C2 malveillants sont mis en place. Ces événements sont généralement dus à une activité bénigne des utilisateurs, mais si votre entreprise a pour politique de limiter les applications autorisées, le fait de repérer de nouveaux ports provenant de systèmes en dehors de votre équipe d'administration informatique peut être le signe d'une activité malveillante ou, à tout le moins, d'une violation de la politique.

Pics d'utilisation de ports peu communs

Les pics d'activité réseau impliquant des ports peu courants peuvent être significatifs et justifier un examen plus approfondi, car ce port peut être utilisé par des logiciels malveillants pour communiquer. Un pic d'activité nécessite un examen plus approfondi.

La meilleure façon de passer en revue cette activité est d'utiliser une visualisation des séries temporelles. Nous en avons déjà créé une pour vous dans Vectra Recall , intitulée "Hunting off Indicators : Spikes in Uncommon Port Usage - data" ? Axe Y pour compter.

Un exemple d'activité est présenté ci-dessous. Les ports les plus couramment utilisés ont été exclus, et vous pouvez voir deux ports dont l'utilisation est clairement en hausse. Le port 3283 est utilisé pour iChat, ce qui est bénin et peut donc être exclu, mais le port 40063 est nouveau et pourrait justifier un examen plus approfondi. Vous devez également vous concentrer sur les points isolés, qui indiquent des pics de trafic qui n'ont été observés à aucun autre moment au cours de votre période de recherche.

Les étapes susmentionnées étaient les suivantes :

• Créez un histogramme de dates avec 24 heures de données iSession, avec le nombre de connexions comme axe des ordonnées.
• Diviser les données en une série séparée par port répondant (id.resp_p)
• Filtrer les ports très courants, par exemple 80/443, etc.
• Set a minimum threshold of activity to reduce the noise from minor ports by expanding “advanced” and setting {“min_doc_count”:X}, where X would depend on the size of activity on your network, we have set this as 5,000 connections by default.

Vous devriez chercher à dupliquer cette visualisation et à mettre à jour la requête de recherche avec des ports que vous savez être sûrs au sein de votre organisation. (N.B. Si vous essayez d'apporter des modifications à la visualisation par défaut Recall , vos modifications seront écrasées).

De même, un pic de transfert de données à partir d'un port inhabituel est également un élément qu'il convient d'examiner et dont il faut s'assurer qu'il est sûr.

Cela fonctionne de la même manière que pour le comptage du trafic, mais vous devez régler l'axe des ordonnées de manière à ce qu'il indique le total des données envoyées. Nous avons créé une visualisation intitulée "Hunting off Indicators : Spikes in Uncommon Port Usage - data" que vous pouvez utiliser comme point de départ.

Voir aussi Lien vers la section Protocoles sur ports non standard

Noms de fichiers IOC

Les fichiers malveillants peuvent être transportés sur le réseau via SMB ou d'autres protocoles, puis être exécutés sur les hôtes cibles par le biais de processus à distance ou d'ingénierie sociale. La surveillance d'extensions de fichiers spécifiques connues pour être malveillantes et pouvant être utilisées par des acteurs malveillants permet de trouver des cas où des fichiers sont transférés à des fins malveillantes.

Le flux de métadonnées de fichiers SMB dans Vectra Recall montre chaque nom de fichier avec lequel on a interagi, et ces données peuvent être exploitées pour trouver des données qui peuvent être suspectes.

Nous décrirons ici deux exemples spécifiques, mais votre kilométrage peut varier.

• Noms de fichiers suspects
• Chemins suspects

Noms de fichiers suspects

Les noms de fichiers écrits par les utilisateurs ont tendance à contenir de vrais mots anglais, alors que l'expérience montre que les noms de fichiers peuvent être de faibles indicateurs de compromission.

En voici quelques exemples :

• Noms de fichiers très longs, par exemple. TotallyNotMalwareactuallyThisVeryMuchIsMalware.jpg
• Fichiers sans voyelles, par exemple dwtdfh.doc

Mais les recherches de ce type peuvent être très bruyantes en l'absence de contexte organisationnel.

Vous pouvez rechercher des noms de fichiers de ce type à l'aide d'expressions régulières (regex). Ces recherches peuvent être assez lentes. Nous vous recommandons donc d'effectuer une recherche sur 15 minutes dans un premier temps, puis d'étendre la plage de temps une fois que vous aurez réduit le bruit.

To search for file names of 50 characters of longer, you would run the following search. name:/.{50,}/

You could use similar logic for files without vowels, searching with: name:/.\[bcdfghjklmnpqrstvwxyz]{4,}../

Cette recherche est une expression régulière, la logique de l'expression régulière étant contenue dans les barres obliques /.

• .* = correspond à n'importe quel chemin
• \N = barre oblique inverse pour indiquer le début d'un nom de fichier
• [bcdfghjklmnpqrstvwxyz]{{4,} = 4 consonnes ou plus à la suite
• . = point (indiquant le début de l'extension)
• .* = correspond à n'importe quelle extension

Vous pouvez également effectuer des recherches similaires dans metadata_httpsessioninfo pour surveiller le trafic http non crypté.

En utilisant la recherche ci-dessus, vous devez chercher à supprimer les noms de fichiers courants dont vous savez qu'ils ne sont pas malveillants. Par exemple, si un serveur de mise à jour Microsoft ajoute des fichiers à un dossier spécifique avec un nom de fichier long, vous pouvez exclure ces fichiers de la recherche à l'aide d'un filtre d'exclusion. Une fois que vous avez supprimé ces faux positifs du réseau s'ils apparaissent, vous devez étendre la période de recherche à l'ensemble de la période de conservation. S'il y a très peu de fichiers concernés et que vous pensez qu'ils ont une importance en termes de sécurité, vous devriez transformer votre recherche en un modèle personnalisé et commencer à lancer des détections pour ces noms de fichiers.

Chemins d'accès suspects

Certains chemins d'accès peuvent être suspects sur votre réseau et justifier une enquête. Une recherche similaire à celle effectuée pour l'exemple des noms de fichiers suspects ci-dessus doit être effectuée.

Vous devez dresser une liste des chemins d'accès aux fichiers dont vous savez qu'ils sont importants dans votre organisation et créer une recherche pour surveiller les accès à ces chemins d'accès. Pour l'exemple ci-dessous, nous nous concentrerons sur les accès aux fichiers dans /App/Data/Roaming/.

La recherche à effectuer est la suivante : name:/ /App/Data/Roaming/.*/

Cette recherche correspondra à tous les accès aux fichiers dans ce répertoire. Dans notre système, nous avions beaucoup d'accès légitimes à partir de deux serveurs de mise à jour. Pour réduire le bruit de cette recherche, trouvez des serveurs légitimes dont vous vous attendez à ce qu'ils accèdent au dossier qui vous préoccupe, et cliquez sur l'icône de zoom arrière à côté de son IP pour exclure les demandes de ce serveur.

Ja3 & Hassh

Ja3 et Hassh sont des méthodes d'empreinte digitale qui permettent de reconnaître la source d'une activité SSL ou SSH respectivement, sur la base des informations disponibles dans les paquets en clair envoyés avant que la poignée de main de cryptage ne soit terminée.

Ja3

Ja3 est une méthode permettant de créer des empreintes SSL/TLS qui peuvent être utilisées pour reconnaître le client ou le serveur dans une session donnée. Par exemple, un client Tor standard aura une empreinte Ja3 de e7d705a3286e19ea42f587b344ee6865.

Les empreintes Ja3 peuvent indiquer l'activité réalisée par la même application sur plusieurs clients et peuvent également être utilisées pour vérifier les IOC. Il ne s'agit pas d'une solution infaillible, car il est possible pour les attaquants avancés de modifier leurs empreintes sous-jacentes. Par exemple, pour vérifier si une activité TOR a été observée sur votre réseau, accédez au flux metadata_ssl* et recherchez : Ja3:e7d705a3286e19ea42f587b344ee6865

Vous pouvez en savoir plus sur Ja3 sur le profil github, le dépôt communautaire d' empreintes digitales de Ja3, la liste des empreintes digitales de JA3 de Malicius se trouve sur abuse.ch.

Hassh et HasshServer

Hassh utilise une logique similaire à celle de Ja3 dans les connexions SSH, en créant des empreintes digitales des connexions SSH, ce qui peut être utilisé pour repérer un client spécifique qui a communiqué par SSH avec plusieurs serveurs différents, et pour voir si une activité qui apparaît est nouvelle.

Hassh est particulièrement utile dans les environnements étroitement contrôlés. S'il existe des sections importantes dans un réseau, vous pouvez chercher spécifiquement dans l'activité SSH de ce sous-réseau pour voir quels Hassh y sont utilisés. Il convient d'exercer une diligence raisonnable sur ces connexions afin de s'assurer qu'aucune de ces activités n'est malveillante, puis d'exclure chaque Hassh sûr de la recherche en cliquant sur le bouton situé à côté du champ. Finalement, vous ne devriez pas voir de nouveaux Hassh dans ce sous-réseau, et vous pouvez donc sauvegarder cette recherche et l'activer en tant que modèle personnalisé (à partir de gérer -> modèles personnalisés dans l'interface utilisateur de détection).

Le profil de la communauté Github pour Hassh énumère de nombreuses autres utilisations de ces données.

Pour améliorer votre posture de sécurité et vous assurer que votre organisation est bien équipée pour détecter et répondre rapidement aux menaces, la détection des IoC est essentielle. Vectra AI offre des solutions avancées qui s'intègrent de manière transparente à votre infrastructure de sécurité existante, fournissant une détection en temps réel et des informations exploitables. Contactez-nous dès aujourd'hui pour renforcer votre cyberdéfense.