Que faire en cas de cyberincident : réponse technique
La récente augmentation mondiale de l'utilisation d'outils numériques pour le travail, les loisirs et les loisirs a mis en évidence l'importance de la cybersécurité comme jamais auparavant. Les acteurs de la menace utilisent une combinaison de tactiques, d'outils et de procédures pour prendre pied sur un système ou un réseau cible, puis tirent parti des mouvements latéraux pour atteindre les joyaux de cette organisation cible. En cette ère de »supposer une violation», il ne s'agit pas de si une attaque ou un incident se produira mais quand. Tout comme dans le cas d'une attaque réelle contre une personne ou un groupe de personnes, les premiers secours peuvent grandement contribuer à sauver des vies jusqu'à l'arrivée de l'aide professionnelle.
Dans le même ordre d'idées, cette série examine les actions immédiates et les mesures d'atténuation qui peuvent être activées en cas de cyberincident.
Il se concentrera sur trois domaines principaux :
- Réponse technique
- Réponse non technique
- Leçons apprises
La première partie abordera les mesures techniques importantes nécessaires immédiatement après un incident. J'aborderai ensuite les aspects non techniques d'un cyberévénement, tels que le signalement des incidents et les évaluations d'impact. Enfin, la dernière partie examinera les leçons possibles à tirer de la réponse dans son ensemble.
Partie 1 : Réponse technique
La première partie de cette série en trois parties se concentrera sur la réponse technique à apporter immédiatement après un incident de cybersécurité. Il est important que l'équipe de sécurité de votre organisation maîtrise rapidement l'incident et préserve toutes les preuves utiles pour une analyse des causes profondes, telles que les journaux, les fichiers malveillants et autres artefacts du système d'exploitation pour l'analyse des causes profondes.
Ici, nous nous concentrerons principalement sur un environnement Windows et utiliserons un type d'attaque courant à titre d'exemple : le spear-phishing qui se traduit par un e-mail professionnel compris (BEC) qui exploite le mouvement latéral et entraîne une violation de données. La représentation visuelle de ce flux est présentée ci-dessous.
Pour la plupart des attaques qui entraînent par la suite une infection et une violation, les attaquants vont généralement :
- attaquer une cible vulnérable, telle qu'un utilisateur et sa machine, généralement via phishing attaque
- compromettre leur compte et leur ordinateur
- exploitez le compte et l'ordinateur compromis pour découvrir le reste du réseau
- augmenter les privilèges pour faciliter les mouvements latéraux afin de compromettre d'autres systèmes
- localisez des actifs de grande valeur, ou des systèmes phares, et exfiltrez les données
Selon ses motivations, l'auteur de la menace peut vouloir rester et se déplacer sans être détecté le plus longtemps possible. Ils peuvent également vouloir perturber le réseau, comme indiqué dans attaques de ransomware. Comme vous le savez, bien que MITRE ATT&CK ou Cyber Kill Chain puissent cartographier les tactiques et les techniques des acteurs de la menace, ils ne respectent pas les règles. Vous ne devez donc faire aucune supposition lors de la réponse à un incident. Vous devez uniquement prendre en compte des preuves solides que vous pouvez corroborer. Il est également important de garder un œil sur les leurres, car tout n'est peut-être pas comme il y paraît. Dans cette optique, vous voudrez examiner les différentes étapes de ce flux d'attaque.
Entrée initiale
La phase initiale de l'attaque implique généralement une certaine ingénierie sociale, telle que le phishing ou la publicité malveillante, principalement via des canaux de communication numériques tels que le courrier électronique ou un site Web. Cela peut également amener l'auteur de la menace sur sa première machine infectée, également connue sous le nom de « patient zéro ».
Premiers secours
À ce stade précoce de la détection post-incident, certaines des mesures suivantes peuvent être prises.
- Identifiez le compte utilisateur infecté (e-mail/ordinateur).
- Isolez les comptes de messagerie concernés.
- Empêcher le compte de messagerie concerné d'envoyer des e-mails.
- Vérifiez s'il y a des redirections d'e-mails vers des comptes de messagerie externes.
- Récupérez tous les articles envoyés dans leur boîte de réception au cours des 7 à 14 derniers jours, pour commencer.
- Audit des e-mails envoyés et supprimés.
- Vérifiez s'il y a des formulaires personnalisés (Outlook) chargés sur le profil du compte.
- Vérifiez les appareils connectés pour le compte de messagerie concerné.
- Vérifiez l'utilisation du protocole existant (par exemple, POP3).
- Consultez les journaux Azure AD pour obtenir des informations d'authentification.
- Recherchez des scripts nommés de manière aléatoire et d'autres utilitaires CLI dans des emplacements temporaires (en particulier dans le cas d'attaques sans fichier).
Diagnostic
Au cours de cette phase, les attaquants ont utilisé l'ingénierie sociale pour accéder aux systèmes. Dans l'exemple, un e-mail de phishing provenant d'un pirate informatique (ATO) est utilisé pour envoyer une fausse citation dans un document Microsoft Word. Le document contient une macro malveillante et, une fois ouvert, lancera la phase suivante de l'attaque.
L'authentification multifactorielle (MFA) et de solides défenses de sécurité des e-mails associées à une formation de sensibilisation des utilisateurs devraient constituer une bonne première ligne de défense contre les attaques d'entrée initiale. Les solutions de sécurité des e-mails doivent être dotées au minimum de fonctionnalités d'anti-hameçonnage, d'IA et de résolution et de détection d'URL. Les fonctionnalités d'alerte sur des sujets tels que les transferts d'e-mails, les redirections et la création de modèles sont également très importantes. Les utilisateurs de messagerie dans le cloud tels qu'Office 365 peuvent exécuter des services tels que Microsoft Office 365 Secure Score pour détecter les faiblesses de la posture de la messagerie.
Machine à pivot
À ce stade, les attaquants ont exécuté une attaque réussie et ont accédé à un compte utilisateur et/ou à un système légitimes. La machine pivot devient la machine à points que les acteurs de la menace peuvent utiliser pour tenter de découvrir le reste du réseau et de s'y déplacer.
Premiers secours
- Isolez immédiatement l'ordinateur/ordinateur portable infecté du reste du réseau.
- Déconnectez la machine d'Internet.
- Désactivez le compte de domaine de l'utilisateur concerné dans Active Directory.
- Désactivez tout accès à distance pour ce compte, par exemple les VPN, OWA ou autres connexions à distance.
- Vérifiez les signes de persistance des programmes malveillants : registre, démarrage et tâches planifiées.
- Vérifiez les connexions Web récentes de cet hébergeur.
- Vérifiez la présence de comptes d'utilisateurs suspects.
- Vérifiez l'utilisation récente des applications : Shimcache, Amcache, Jumplists.
- Vérifiez la présence d'outils tels que mimikatz, psexec, wce et des fichiers rémanents (dans la mesure du possible, les machines ne doivent pas être redémarrées en cas d'attaques utilisant uniquement la mémoire).
Diagnostic
Cela implique généralement que certains utilisateurs tombent dans le piège d'une attaque de phishing et ouvrent un lien malveillant ou une pièce jointe à un e-mail, ce qui entraîne l'utilisation d'outils système légitimes, tels que powershell.exe, à des fins malveillantes. Des contrôles tels que les processus suspects, l'accès au partage réseau, les journaux de compte et les fichiers téléchargés doivent être administrés. L'un des processus importants dans le cas de Windows pour l'authentification et une éventuelle élévation de privilèges est lsass.exe (Local Security Authority Subsystem Service). Vérifiez la présence de noms de processus, d'emplacements ou d'accès au compte inhabituels.
Souvent, la machine pivot permet à l'auteur de la menace de prendre pied sur le reste du réseau. Ce n'est peut-être pas la cible principale, mais un moyen d'atteindre une fin. Par conséquent, vous devez tenir compte des points suivants :
- Des leurres conçus pour distraire
- Les malwares sans fichiers ou utilisant uniquement la mémoire peuvent entraîner la perte des preuves d'origine
- Suppression de fichiers pour supprimer des preuves
L'informatique n'est peut-être pas toujours en mesure de localiser la machine zéro du patient d'origine ou même la machine pivotante, mais tout système compromis localisé en premier doit être isolé et étudié en conséquence. Pour une analyse plus approfondie, effectuez les opérations suivantes :
- Analyse de la mémoire
- Analyse du système de fichiers
- Forensics du journal du système
- Criminalistique des registres
Plusieurs outils de criminalistique (natifs, open source et commerciaux) existent et peuvent aider à récupérer autant d'informations que possible lors de l'analyse de systèmes et de réseaux après un cyberincident.
Découverte et mouvement latéral
Dans la plupart des cas, la machine initiale se trouve rarement là où l'acteur de la menace souhaite se trouver. Ils devront donc se déplacer jusqu'à atteindre leurs systèmes cibles ultimes. L'objectif est de tirer parti de la machine à pivot compromise pour découvrir le reste du réseau et le cartographier afin de trouver un moyen efficace de se déplacer latéralement. Le réseau facilite la réalisation de l'objectif final d'accès aux applications. Cela inclut le vol d'informations d'identification NTLM dans le cadre d'attaques Pass-the-hash ou le vol d'informations d'identification Kerberos lors d'attaques Pass-the-ticket et de ports (au niveau du réseau) pour effectuer un mouvement latéral.
Premiers secours — Discovery
- Vérifiez s'il y a des preuves de scans de ports.
- Consultez les applications fréquemment utilisées.
- Vérifiez l'historique des commandes, par exemple l'historique des commandes Powershell et WMI.
- Vérifiez la présence de scripts malveillants.
Premiers secours — Mouvement latéral
- Vérifiez les restes des outils d'accès et de déploiement à distance : RDP, VNC, psexec, mimikatz.
- Vérifiez l'utilisation récente des applications : Shimcache, fichiers récents, listes de raccourcis.
- Vérifiez l'utilisation de comptes Windows sur les serveurs, en particulier les serveurs de fichiers, les serveurs DNS et les serveurs Active Directory.
- Quelques journaux d'événements Windows utiles à vérifier.
- Vérifiez le niveau de mise à jour des méthodes de déplacement couramment utilisées : navigateur, Adobe, Microsoft Office et système d'exploitation (la plupart des exploits exploitent des vulnérabilités).
Diagnostic
La détection des mouvements est-ouest peut être une autre tâche difficile si l'on ne dispose pas des bons outils au départ. De plus, dans ce cas, les acteurs de la menace utilisent généralement des outils natifs et des techniques « en direct » pour empêcher les alertes et éviter d'être détectés. Dans certains cas, ils peuvent utiliser d'autres techniques pour augmenter leurs privilèges au niveau de leur compte afin de leur permettre de se déplacer latéralement sans être détectés. Pendant la phase de découverte, comme lors de la phase de mouvement latéral qui suit, l'auteur de la menace préférerait rester silencieux et éviter une détection précoce. Cela signifie qu'ils sont susceptibles d'utiliser des outils natifs plutôt que d'introduire des outils externes ou personnalisés. La plupart des systèmes d'exploitation disposent de divers outils natifs pour faciliter les actions au cours de cette phase, tels que Powershell et WMI sous Windows. En ce qui concerne les acteurs de la menace, le mouvement latéral peut être particulièrement facile dans les environnements où la segmentation est faible, voire nulle, ou lorsque seules des méthodes de segmentation traditionnelles telles que les sous-réseaux, les VLAN et les zones sont utilisées. Cela est dû à un manque de visibilité, à des politiques de sécurité trop complexes et à l'absence de séparation basée sur l'hôte au sein des sous-réseaux ou des VLAN.
L'image ci-dessus montre un exemple d'outil de visibilité et d'analyse (carte de dépendance des applications d'Illumio, Éclairage) qui permet de visualiser une découverte et une tentative de mouvement latéral. Une vue similaire à celle présentée ci-dessus permet de représenter clairement les différents groupes d'applications et les charges de travail qu'ils contiennent, ainsi que le mappage des communications réseau qui en résulte entre les charges de travail. Une telle vue permet d'identifier rapidement et facilement le comportement réseau anormal entre les charges de travail d'un même groupe d'applications ou de groupes d'applications différents.
Joyaux de la Couronne
Les acteurs de la menace recherchent généralement les systèmes et les données les plus précieux, en particulier dans le cas d'attaques clandestines et autres que des rançongiciels. C'est là que toute activité principale d'exfiltration de données est susceptible de se produire.
Premiers secours
- Vérifiez l'utilisation de comptes d'administrateur sur les serveurs de base de données, les serveurs AD et les serveurs de fichiers.
- Consultez l'historique des accès Web à la recherche de connexions suspectes.
- Vérifiez l'anti-botnet défenses pour les communications liées aux botnets.
- Vérifiez l'exfiltration des données : tunneling DNS, abus de protocole, encodage des données.
- Vérifiez les taux de transfert de données excessifs sur le système et les cartes réseau correspondantes.
- Journaux d'événements Windows utiles :
- Windows Event 4672 pour les connexions aux comptes d'administrateur
- Windows Event 4624 pour des connexions réussies
Diagnostic
Il est essentiel de segmenter efficacement vos systèmes qui contiennent des données importantes ou sensibles provenant du reste du réseau. L'un des meilleurs moyens est d'utiliser microsegmentation basée sur l'hôte qui fournit à la fois une visibilité sur les communications réseau et la possibilité d'appliquer un pare-feu directement sur les hôtes. En visualisant le trafic entrant et sortant de vos systèmes phares par rapport au reste du réseau, vous pouvez bénéficier de fonctionnalités de visualisation et d'alerte en temps opportun pour détecter, prévenir et isoler rapidement toute communication anormale.
Étant donné que les malwares peuvent pénétrer et s'implanter à travers des vulnérabilités, en particulier des vulnérabilités inhérentes au système, il est également important de déployer une solution de gestion des vulnérabilités et des correctifs à jour. Les acteurs malveillants essaient généralement de faire le ménage pour supprimer les événements du système, les fichiers et les données de registre. Il est donc particulièrement important de disposer d'un référentiel central pour les journaux et les événements du système et du réseau, tels que le SIEM (Security Information and Event Management) et les outils d'analyse de sécurité.
En conclusion, vous devez prendre la bonne succession de mesures immédiatement après un cyberincident, car cela déterminera les autres éléments clés de la gestion de l'incident dans son ensemble. Quelles que soient la taille et la stature d'une organisation, la préparation et la réponse techniques devraient constituer un élément clé de la stratégie globale, comme indiqué ici, mais devraient également inclure des réponses non techniques telles que le rapport d'incident et l'analyse d'impact. J'en parlerai plus en détail dans les prochaines versions de cette série.