Connect the dots #6: « Post-exploitation »

Connect the dots #6: « Post-exploitation »

Le C2 et les beacons sont en place, les attaquants ont cartographié notre système d'informations. Cette phase de post-exploitation peut prendre plusieurs jours, voire plusieurs semaines, le temps pour les attaquants de trouver tous les points faibles de notre système. Grâce au beacons ils vont viser essentiellement l'exécution de programmes malicieux de manière à récupérer des éléments vitaux permettant de contourner, depuis l'intérieur, nos défenses.

Il s'agit de lancer des sessions de beaconing, d'exécuter des commandes système, d'enregistrer des frappes clavier ou faire des captures d'écran (surtout pour récupérer des crédentités -login / mot de passe-). La registry (base de registres des machines Windows) et l'Active Directory (annuaire digital des utilisateurs d'informatique) sont les deux cibles principales. En effet, une connexion en interne avec un utilisateur valide, surtout un administrateur du domaine équivaut à avoir accès à tous les fichiers et autorisations correspondantes. Cela permettra aussi de lancer des processus depuis ce compte à privilèges et donc d'amplifier l'impact d'un ransomware ou d'un déni de service.

 (c) Cobalt Strike

Par exemple, le beacon lance une copie d'écran en ancrant cette activité à la sienne (session passing) ou avec un processus temporaire (session prepping), puis l'activité disparait après avoir renvoyé le résultat au C2, par exemple dans une rafale de paquets DNS. Le beacon va s'appuyer sur un processus déjà en mémoire comme jusched.exe (le Java update check) rendant sa découverte très complexe. Ils utilisent aussi le PPID d'un processus parent avec par exemple l'hôte involontaire du navigateur web: iexplore.exe. Il s'agit alors du "session prepping". Il est important de noter que la session du beacon s'arrête dès que sa tache est accomplie, (d'où son nom de balise "clignotante"), ce qui rend sa détection très difficile avec les moyens antiviraux traditionnels. Seul le trafic généré par son activité est susceptible de donner l'alerte, à condition de l'analyser…

Voici donc quelques évènements typiques, système ou réseau, de post-exploitation qui doivent être analysés par le SOC:

  1. Création ou suppression de processus: run , shell, execute, kill…
  2. Changement dans un processus: changement de timestamp, explorer.exe, lsass.exe, notepad.exe, powershell.exe, rundll32.exe, svchhost.exe
  3. Activité http/https, TCP
  4. Transfert d'image: screenshot
  5. Dump de registry: Hashdump, Mimikatz
  6. Création de fichier: upload, PSexec
  7. Activité SMB: Mouvement latéral – création/utilisation de pipeline entre machines
  8. Activité DNS
  9. Activité distante: RDP, VNC   
  10. Activité disque: Ecriture massive (avec chiffrement et changement de nom pour les ransomware), lecture massive (exfiltration de données)
  11. Activité commandes système: Powershell, CMD

En dehors de suivre attentivement ces évènements et de mettre en quarantaine les machines qui tentent de communiquer avec le C2, il y a plusieurs outils et actions de remédiation qui vont minimiser l'impact de ce type d'attaque.

La plus simple est d'ajouter à l'anti-virus existant un dispositif qui va se déclencher au début du chiffrement provoqué par le ransomware:

(c) Cybereason

La plupart des ransomwares vont lancer leur chiffrement sur le répertoire "Mes Documents" et vont viser essentiellement les documents bureautiques de façon à gêner l'utilisateur mais sans détruire son Windows, pour lui laisser la possibilité de payer la rançon. L'idée (géniale) d'outils comme RansomFree est de positionner au début et à la fin de ce répertoire des documents, des fichiers bidon, correspondant aux types de fichiers auxquels s'attaquent typiquement les ransomwares.

(c) Cybereason

Si l'un des fichiers est modifié, ce qui est le cas lorsque le ransomware change le nom et entame le chiffrement, l'outil est alerté car il suit l'état de ces fichiers en temps réel et kill le processus dans la mémoire, empêchant le malware de faire des dégâts aux vrais fichiers !

Ces outils font partie des EDR (Endpoint Detection and Response) dont nous avons parlé précédemment et, qui vont s'ajouter ou remplacer l'antivirus actuel. Sous Windows10, l'antivirus inclus est suffisant pour les attaques habituelles, mais il faut lui adjoindre impérativement ce type d'outils pour résister à ces nouvelles cyber-attaques au niveau du poste de travail ou du serveur.

L'autre contre-mesure à absolument mettre en place est une sauvegarde dans le cloud. Quoi ?! En effet, le ransomware va chiffrer tous nos fichiers, les rendant inutilisables, sauf à payer la rançon. Les anciens ransomwares sont repérés et leur clef de chiffrement craquée pour certains, comme on peut l'examiner dans le site communautaire nomoreransom.org:

(c) nomoreransom.org

Vous pourrez donc déchiffrer vos fichiers et les récupérer sans payer la rançon. Mais pour les attaques récentes, il n'y a pas de clef de déchiffrement et le niveau est trop fort pour tenter d'appeler un ami, voire même une autorité nationale, à la rescousse pour récupérer vos fichiers. 

Du coup vous allez vous précipiter sur vos sauvegardes: Disque dur externe, clef USB ou partage réseau. Mais toutes ces sauvegardes seront aussi inutilisables que les fichiers de votre disque, parce que le ransomware ce sera répandu sur tous ces supports de mémoire lors de leur connexion à votre machine, ou bien par les canaux de partage réseau SMB.

Ce ne sera pas les cas de Google Drive, One Drive et autres Dropbox, parce que les fichiers que vous sauvegardez sont synchronisés et chiffrés. A ma connaissance aucun ransomware n'a pu pirater ces dispositifs cloud.

 

Le fonctionnement est le même que pour sauvegarder sur un disque ou une clef USB:

Par exemple, ici il suffit de recopier les fichiers dans le drive G: Il existe même une possibilité de sauvegarder directement dans le cloud depuis le logiciel de bureautique, qu'il s'agisse d'Office 365 ou de Google:

 (c) Microsoft

Enfin, si vous ne souhaitez pas disséminer vos données dans le cloud, vous pouvez utiliser des logiciels spécialisés de sauvegarde qui chiffrent les données avec une clef qui vous appartient (rendant ainsi "opaques" les sauvegardes au ransomware). Ce qu'il faut éviter absolument ce sont les simples recopies de fichiers vers une clef USB, un disque externe ou un répertoire réseau. Malheureusement dans le contexte actuel de télétravail, beaucoup de personnes font des copies sur leur PC ou leur Mac à la maison et, ces fichiers ne seront absolument pas sécurisés lors d'une attaque. Il faut donc proposer aux télétravailleurs un système de sauvegarde par synchronisation (si possible automatique) dans un cloud maîtrisé.

Dans le prochain article, nous verrons les phases suivantes des cyber-attaques: L'escalade de privilèges, le mouvement latéral et le pivoting