Les attaques par ransomware ont fait les gros titres ces dernières années, les attaquants s'attaquant à des cibles de plus en plus variées, des districts scolaires aux réseaux d'infrastructures critiques. Selon le rapport Verizon Data Breach Investigations Report, les ransomwares représentaient 25 % de toutes les violations en 2022. Début 2022, la CISA a indiqué qu 'elle avait observé des incidents de ransomwares dans 14 des 16 secteurs d'infrastructures critiques.
La capacité des organisations commerciales et fédérales à détecter ce type d'activité néfaste sur les hôtes avant que les mauvais acteurs ne passent à l'action est devenue primordiale. Mais pour pouvoir détecter de manière proactive les preuves d'un ransomware ou de toute autre activité criminelle potentielle, il ne suffit pas de trouver quelque chose qui semble suspect - il faut pouvoir déterminer avec une confiance raisonnable que ce qui a été trouvé est réellement malveillant. C'est là que le profilage des menaces entre en jeu. Pour que le profilage des menaces soit efficace, il faut que les réponses soient à la fois compréhensibles d'un point de vue critique et exploitables. En effet, même si une activité semble inhabituelle, cela ne signifie pas nécessairement qu'un crime sera commis.
C'est pourquoi le profilage des menaces potentielles doit reposer sur des observations concrètes étayées par des données précises.
Notre expédition de profilage des menaces sur les rançongiciels russes
À l'adresse Censys, nous nous sommes récemment lancés dans une expédition de profilage des menaces à l'aide de l'outil de rechercheCensys , alimenté par notre ensemble de données Internet de premier plan. L'accès à ces données, qui fournissent une vue d'ensemble de l'internet et sont continuellement mises à jour, nous a permis non seulement d'identifier des activités suspectes, mais aussi de conclure avec une confiance raisonnable qu'il s'agissait en fait d'activités malveillantes.
Grâce à notre profilage des menaces, nous avons pu déterminer que de nombreux hôtes aux États-Unis présentaient non seulement des preuves de l'existence d'un ransomware russe, mais qu'ils étaient également destinés à des activités criminelles. En un laps de temps relativement court, nous sommes parvenus à des conclusions significatives que nous avons pu étayer par des données observables.
À partir de cette expédition de profilage et d'autres semblables, nous avons identifié des modèles - ou des jeux, si vous voulez - que les profileurs de menaces à la recherche de n'importe quel type d'activité néfaste peuvent exécuter sur un outil comme Censys Search. Nous les avons compilés dans notre nouveau Threat Profiler's Playbook (Manuel du profileur de menaces) : 6 Steps to Uncovering Ransomware (and Other Nefarious Activity), que vous pouvez télécharger gratuitement ici.
Parlons des trois premiers jeux.
1. Choisir le bon filtre de recherche
Où voulez-vous commencer à rechercher de manière proactive des menaces à profiler ? C'est la première question que vous devez vous poser lorsque vous vous lancez dans un ensemble de données Internet. Dans le cadre de notre expédition sur les ransomwares, nous savions que nous voulions commencer par la localisation, et plus précisément par la Russie. Toutefois, il se peut que vous souhaitiez restreindre votre recherche en fonction d'autres attributs tels que le système d'exploitation, le DNS de l'hôte ou le logiciel. L'outil de recherche Censys vous permet de filtrer en fonction de divers attributs, comme indiqué ci-dessous.
INFORMATIONS SUR L'HÔTE
INFORMATIONS SUR LES SERVICES
HOST DNS
EMPLACEMENT DE L'HÔTE
SYSTÈME D'EXPLOITATION HÔTE
SYSTÈME AUTONOME HÔTE
TLS
LOGICIELS
PROTOCOLES
DIVERS
En recherchant [location.country=`russia`] sur search.censys.io, nous avons vu qu'il y avait plus de 4,7 millions d'hôtes situés dans le pays.
2. Suivi des caractéristiques inhabituelles de l'hôte
Chercher parmi 4,7 millions d'hôtes des preuves d'une activité suspecte reviendrait à essayer de trouver une aiguille dans une botte de foin. C'est pourquoi nous avons ensuite utilisé la fonction "Rapports" de Censys Search pour examiner une deuxième couche d'attributs d'hôtes. Dans notre cas, nous avons estimé que l'exécution d'un rapport basé sur des types de logiciels spécifiques dont nous savions qu'ils pouvaient être utilisés à des fins malveillantes lorsqu'ils se trouvaient entre de mauvaises mains - l'outil de pentest Metasploit, en particulier - nous aiderait à nous rapprocher de la présence de menaces potentielles. Nous avons constaté que 10 des 4,7 millions d'hôtes contenaient Metasploit.
Metasploit n'est pas en soi une preuve irréfutable. Il s'agit essentiellement de la version logicielle d'un kit de crochetage de serrure et sa présence ne signifie pas nécessairement qu'une serrure a été crochetée. Mais en identifiant la présence de Metasploit sur ces 10 hôtes, l'équipe de recherche a pu pivoter, et avec un groupe apparemment plus important d'acteurs de la menace utilisant des outils de test de pénétration open source comme Metasploit, enquêter sur les hôtes avec cet outil.
Nous avons continué à examiner les données de ces hôtes, en particulier leurs données TLS et Protocoles, et nous avons découvert que deux des hôtes contenaient également un outil Deimos C2. Deimos C2 est un outil de commande et de contrôle, que les pen testeurs utilisent pour faciliter leur travail en leur permettant d'automatiser les commandes des hôtes qu'ils ont compromis. La présence d'outils C2 peut indiquer qu'un hôte peut contrôler ou contrôle d'autres hôtes, ou que l'hôte lui-même est contrôlé par un hôte "de commande".
Nous avons pris cela comme un signe pour continuer à creuser.
3. Remonter le temps avec des perspectives historiques
Connaître les attributs actuels d'un hôte est une chose, mais être capable de regarder comment cet hôte a évolué au fil du temps peut apporter de nouvelles informations qui changent l'orientation d'une enquête. L'affichage des données historiques peut permettre aux spécialistes du profilage des menaces d'établir des liens qui seraient passés inaperçus auparavant.
Grâce à nos données, nous avons pu relever l'empreinte de l'outil Deimos C2 à l'aide de JARM, puis nous tourner vers un hôte de l'Ohio ("Host D") équipé de Deimos C2. En utilisant la fonction historique de Censys, nous avons remonté le temps pour découvrir pss.exe sur l'hôte, qui est associé au groupe Karma Ransomware.
Après avoir exploité les données historiques de Censyspour localiser les exécutables de ransomware sur l'"hôte D" de l'Ohio, Censys a réexaminé l'"hôte A" russe d'origine à la recherche d'autres indicateurs d'activités malveillantes. Les données accessibles sur Censys Search remontant à environ deux ans, nous avons pu jeter un coup d'œil rétrospectif sur notre principal suspect : l'"hôte A".
Une vue historique peut être utile à garder à l'esprit lorsque vous effectuez votre propre recherche, en particulier si vous avez découvert un hôte suspect et que vous vous heurtez à un mur concernant l'état actuel des données, si vous souhaitez observer l'hôte au moment d'un incident ou si vous voulez voir les changements dans sa posture pour découvrir des anomalies ou des tentatives de dissimuler des indicateurs d'activité néfaste.
Dans notre cas, si nous n'avions pas consulté l'historique de l'hôte A, nous n'aurions jamais découvert le ransomware.
Pour en savoir plus sur les six étapes et sur la manière dont nous avons recueilli encore plus de preuves de l'existence d'un ransomware russe, consultez le Playbook du Threat Profiler.
Obtenir l'Ebook
