Du 19 au 20 octobre 2022, XMCO était au CTIS 2022 (Cyber Threat Intelligence Summit), la première conférence dédiée à la CTI au Luxembourg. Cet évènement, organisé par Circl.lu (le CERT luxembourgeois), threat-intelligence.eu et l’organisation MISP Threat Sharing a réuni pas moins de 24 conférenciers qui se sont succédés pour aborder le sujet de la CTI sous tous ses aspects.
Une bonne partie des conférences portait sur l’outil open-source MISP qui s’impose aujourd’hui comme une référence en matière de gestion communautaire d’IoC (ou indice de compromission en français, qui correspondent aux éléments récurrents dans le pattern d’action d’un groupe d’attaquant). Les IoC, leur partage et leur qualification sont très importants d’un point de vue CTI notamment parce qu’ils permettent de prévenir les attaques et de les qualifier rapidement lorsqu’elles ont lieu.
Six conférences ont particulièrement retenu notre attention en ce qu’elles abordaient chacune un aspect particulier de la CTI et permettent de saisir au mieux ce qui est entendu aujourd’hui par « Cyber Threat Intelligence ».
La conférence de Louise Taggart, PwC : « Les apports de la vision stratégique au sein de la CTI »
Cette première conférence a retenu notre attention car elle traitait de l’importance de la CTI “stratégique”. La conférence apportait une vision claire du sujet en précisant notamment que la Cyber Threat Intelligence correspond au renseignement permettant d’analyser et de comprendre le niveau de menace dans le domaine cyber. Également, des précisions sur les trois niveaux de déclinaison de la CTI :
• Opérationnel, ici on enquête sur le “quoi ?” et on étudie les indices de compromission (IoC) liés aux attaques ;
• Tactique, ici il s’agit du “comment ?” qui importe et on étudie les Tactiques, Techniques et Procédures (TTPs) des groupes d’attaquants ;
Stratégique, ici c’est au “pourquoi ?” que l’on tente de répondre. Ce sont des connaissances en géopolitique et en économie qui permettent de donner du contexte sur les raisons d’une campagne d’attaque.Louise Taggart a notamment insisté sur l’importance de la CTI stratégique, parfois mise au second plan par rapport aux aspects techniques, afin de comprendre les enjeux cyber. De fait, “ce sont les évènements du monde physique qui influent sur l’état de la menace cyber”.
La présentation d’Alex Wauer (DCSO) sur l’étude d’une campagne d’attaque d’une APT chinoise
Un des sujets de prédilection de la CTI est l’étude des menaces persistantes avancées ou « APT » (Advanced Persistant Threat). Ces groupes adossés à des États mènent des campagnes d’attaques avec un objectif politique. Par exemple, de nombreuses campagnes d’attaques visent avant tout à espionner une cible. Cette conférence, en parlant de cet état de fait a retenu notre attention. Le travail de recherche et d’analyse sur l’APT chinoise SideWinder y était présenté, on y a d’ailleurs appris que ce travail avait débouché sur la découverte d’une porte dérobée (ou backdoor) inconnue.
Même si les équipes de DCSO n’ont pas été en mesure d’associer, le malware à un groupe d’attaquants, de nombreux faisceaux d’indices, dont les documents RTF malveillants utilisés ainsi que la victimologie (essentiellement des pays asiatiques), tendent à lier cette campagne aux activités de SideWinder.
Alexandre De Oliveira (POST Luxembourg) revient sur « La Cyber Threat Intelligence comme prisme d’étude de la surveillance des réseaux télécom »
Avec l’émergence du logiciel Pegasus édité par la société israélienne NSO group, la surveillance des communications téléphoniques n’a jamais autant été d’actualité. Alexandre De Oliveira, Expert en sécurité télécom au sein de POST Luxembourg, nous a présenté les résultats de son enquête sur la surveillance du réseau télécom.
On y apprend notamment que la surveillance des réseaux télécoms fait intervenir plusieurs protagonistes :
- Des fournisseurs d’accès, publics ou privés, ayant accès aux nœuds de communication et donc aux données qui transitent via ceux-ci.
- Des acheteurs de tout type : États souhaitant avoir des informations sur des individus à surveiller, des revendeurs de données vers des États ou des groupes malveillants, des compagnies de surveillance.
Ces fournisseurs d’accès fournissent principalement, contre rétribution, le contenu de messages ou de conversations téléphoniques, des accès, mais également dans certains cas, procèdent à l’installation de malwares. Bien que NSO Group soit le plus connu, d’autres géants du secteur existent tels que l’israélien Rayzone, le suisse Horisen ou encore l’italien Tykelab.
Si les clients de ces services sont internationaux, le gros de la surveillance s’effectue sur le continent asiatique.
Deux autres conférences ont également attiré notre attention en ce qu’elles mettaient l’accent sur l’étude de deux méthodes opérationnelles utilisées par les groupes d’attaquants : les webshell (codes malveillants permettant de prendre le contrôle d’un serveur web à distance) et les ransomwares.
« Etat de l’art des types d’attaque par webshell » par Paul Rascagnares (Volexity)
Paul Rascagneres, Principal threat intelligence analyst chez Volexity dresse un constat simple : les webshell sont des vecteurs d’attaques sous-estimées par les équipes de sécurité. Cette situation s’explique par le côté « peu attirant » des webshell face à d’autres malwares bien plus complexes et passionnants à tracker pour les équipes de défense. Malgré cela, le webshell reste un vecteur d’attaque particulièrement prisé par les groupes d’attaquant qui déclinent cet outil autour de 4 usages :
- Le déploiement d’une nouvelle page sur le serveur web afin d’y exécuter du code malveillant. Cette méthode bien que simple d’utilisation reste facilement détectable étant donné qu’elle engendre la création d’une nouvelle page.
- La modification d’une page existante pour y injecter du code malveillant. Cette utilisation du webshell reste facile à détecter également dès lors que les changements effectués sur une page web sont surveillés.
- L’utilisation de la mémoire du serveur pour injecter du code malveillant. L’attaquant va alors utiliser le webshell pour effectuer une requête qui contiendra les commandes d’injection de code malveillant. L’attaquant ne touchant pas au contenu du serveur web, l’attaque est difficile à détecter. Cependant cette méthode est complexe et voit sa persistance dans le temps limitée. En effet, la requête disparaît avec un simple redémarrage du serveur ou un patch du système d’information.
- La création d’un plugin malveillant. Il s’agit de l’exploitation la plus complexe présentée dans le cadre de cette conférence. Elle consiste à proposer un plugin d’apparence légitime (module d’authentification à 2 facteurs par exemple), mais qui va exécuter un code malveillant en parallèle. Cependant, la mise en place de ce code est très complexe car nécessite un accès administrateur ainsi qu’une maintenance du code du plugin.
Le ransomware est également un outil particulièrement utilisé par les groupes d’attaquants aujourd’hui. Dans le cadre de ce type d’attaque, la temporalité joue un rôle primordial pour la détection et la suppression du malware.
« Etude de la temporalité dans l’action d’un ransomware » David Rufenacht et Jorina Baron (Infoguard)
David Rufenacht et Jorina Baron, tous deux analystes en threat intelligence chez Infoguard ont réalisé une étude sur l’importance de la temporalité dans la lutte contre les ransomware. Bien que basé sur un échantillon limité de cas (81 attaques par ransomware), certains patterns dans l’évolution des ransomware au sein du système d’information semblent ressortir. Les deux analystes les ont découpés en cinq phases :
- L’enregistrement du domaine malveillant
- L’accès initial au système d’information (via l’achat d’accès ou l’exploitation d’une vulnérabilité)
- Le mouvement latéral (défini comme la suite d’actions faites par le ransomware pour se déployer sur le système d’information)
- Le début du chiffrement
- La demande de rançon
Les délais entre chaque étape sont relativement longs, en particulier entre le mouvement latéral et la demande de rançon. David Rufenacht et Jorina Baron y voient deux raisons possibles :
- Le groupe d’attaquants profite de la prise de contrôle du réseau pour exploiter ses ressources avant le chiffrement (revente d’accès utilisateurs, minage de cryptomonnaie, etc.).
- Le groupe d’attaquants n’a pas les ressources humaines pour exploiter le ransomware directement après le mouvement latéral. Il conserve ainsi une liste de systèmes compromis en stock, en attente de chiffrement.
Il ressort de cette étude qu’une société dispose en moyenne de 14 jours pour isoler et exclure le ransomware de son système d’information avant la demande rançon.
« Vers un code éthique des scans d’Internet ? » par Patrice Auffrey de la société Onyphe
Au-delà de la réaction, la CTI doit également permettre de faire de la prévention. Pour cela, il est essentiel que les analystes puissent anticiper les attaques via l’utilisation généralisée de scans permettant de trouver des technologies vulnérables ou bien des défauts de configurations sur des serveurs. Sur ce sujet, c’est la conférence présentée par Patrice Auffrey de la société Onyphe sur l’éthique associée aux scans Internet en 2022 qui a retenu notre attention. Après une présentation du contexte historique, avec la création de Shodan en 2009 ou encore la création du botnet Carna en 2012[1], l’intervenant dresse le constat qu’aujourd’hui les scans génèrent du bruit et une tension sur les systèmes d’information testés qui desservent l’objectif initial de prévention. Cependant un juste milieu est possible selon lui. Il a pour cela défini 10 règles qui définissent ce « scan éthique »
Parmi ces “10 commandements”, nous avons notamment retenu le fait de rester disponible pour répondre aux questions de personnes dont un asset aurait pu être scanné. Par ailleurs, il est également recommandé de mettre en place une page web expliquant la raison des scans mais également de générer une adresse email de contact en cas de demande d’arrêt des scans. Enfin, Patrice Auffrey a souligné l’importance de réaliser des scans via des protocoles “classiques” et de scanner lentement Internet.
La philosophie derrière cette conférence était de proposer un standard commun en matière de scans que l’ensemble des membres de la blue team pourrait adopter à terme.
Conclusion de ces deux jours de conférences
La CTI est encore une discipline « récente ». Certes, ses concepts, basés sur le cycle du renseignement militaire[2], sont connus des États depuis longtemps. Néanmoins, c’est au début des années 2010 que le terme de CTI a émergé.
La pratique de la CTI en Europe est encore en construction et moins avancée que dans les pays anglo-saxons. En France, l’association interCERT, composée d’acteurs privés français spécialisés dans la réponse à incident (CERT/CSIRT) et le Campus Cyber (inauguré à la Défense le 15 février 2022[3]) répondent à la logique de création de communautés dédiées au partage de renseignements sur la menace.
En parallèle de ces initiatives publiques, l’organisations d’évènements internationaux comme le CTIS contribuent à améliorer la communication des bonnes pratiques, l’échanges d’outils et la réflexion générale sur ce sujet.
Les deux jours passés au CTIS nous ont permis de rencontrer une grande diversité de profils, que ce soit au sein des intervenants et du public, faisant du CTIS 2022 un vrai succès. Les organisateurs ont d’ailleurs déjà annoncé une nouvelle édition en 2023 qui aurait lieu en même temps que le Hack.lu.
Sources :
[1] https://darknetdiaries.com/episode/13/
[2] https://blog.xmco.fr/definition-cyber-threat-intelligence/
[3] https://blog.xmco.fr/le-campus-cyber-inaugure-a-la-defense-ce-mardi-15-fevrier-2022/
