Les attaques externes représentent aujourd'hui 75% des violations de données, les établissant comme l'ennemi public n°1 des organisations informatiques1. Ces types d'attaques ont toujours représenté la part majeure de toutes les violations de données en raison de la valeur perçue des données détenues dans les organisations aujourd'hui. Les données sont si précieuses que les organisations criminelles emploient désormais des équipes de développement qui créent des rootkits, des chevaux de Troie, des logiciels malveillants et des outils pour les utiliser dans le cadre d'une attaque, ils vont même jusqu’à les tester contre les solutions de sécurité actuelles pour assurer un succès.
Utilisant une méthodologie qui inclut l'extension de la surface d'attaque au sein de votre organisation jusqu'à ce qu’ils atteignent des données précieuses, il est essentiel que les organisations comprennent parfaitement comment les attaques se produisent et comment elles peuvent être arrêtées.
Il y a un certain nombre d'activités de menace qui se produisent avant tout mouvement latéral / horizontal dans votre réseau, qui font partie de ce que l'on appelle la chaîne de destruction intrusive. Elles comprennent la reconnaissance (collecte d'informations et exploits possibles), l'arsenalisation (combinaison d'exploits et de données utiles livrables), la livraison (utilisation d'e-mails de phishing et de sites Web compromis), l'installation (insertion de logiciels malveillants sur un point de terminaison), et le commandement et contrôle (où un canal est établi pour manipuler davantage le point de terminaison à distance).
Alors que la chaîne de destruction intrusive est une partie importante de l'attaque globale, cet article se concentre sur l'identification et l'arrêt du mouvement latéral dans la chaîne de destruction horizontale – les actions prises par un acteur de menace pour se déplacer latéralement dans votre réseau à la recherche de systèmes, d'applications et de données de valeur qu'ils peuvent soit exploiter davantage pour poursuivre le mouvement, soit utiliser pour exfiltrer des données précieuses.
Mais avec les violations de données prenant des semaines, des mois et même des années à être détectées, comment pouvez-vous savoir quand une attaque se produit, et encore moins en arrêter une?
Les liens dans la chaîne de destruction horizontale
La bonne nouvelle est que les attaques visant à étendre leur accès à votre réseau dans le but de trouver, d'accéder et de voler des données ont tendance à suivre un schéma très semblable - si similaire que chaque partie de la chaîne de destruction horizontale est assez bien définie :
Obtention des identifiants Authentification Contrôle Persistance Infiltration
Dans cette section de l'article, nous aborderons chacune des parties de la chaîne de destruction horizontale, puis examinerons les moyens de détecter, de prévenir et d'arrêter les acteurs de menace.
Obtention des identifiants
Les attaquants doivent être capables de se déplacer le plus possible à travers le réseau. Plus on accède à d'autres points de terminaison (c'est-à-dire, postes de travail et serveurs), plus la probabilité de trouver et d'exfiltrer des données est élevée. Au départ, l'objectif est d'obtenir l'accès administrateur local - généralement en examinant des groupes locaux et en essayant de se connecter à des comptes locaux ou en utilisant un enregistreur de frappe et en attendant qu’un compte avec des privilèges élevés se connecte.
Une fois l'accès administrateur local obtenu, il existe un certain nombre d'artefacts d'identifiants trouvés dans la mémoire du point de terminaison que les attaquants utilisent. Cela peut inclure des hachages de mot de passe (à utiliser lors d'une attaque « pass-the-hash »), des tickets Kerberos (qui peuvent être piratés), des informations d'identification de session (stockées en texte clair) et des informations d'identification de domaine (qui peuvent être piratées). Des outils tels que mimikatz (qui nécessite des privilèges d'administrateur local) peuvent être utilisés pour rechercher et obtenir ces artefacts dans la mémoire d'un point de terminaison, permettant aux autres outils de piratage d'établir l'authentification à d'autres systèmes.
Authentification
Une fois les informations d'identification obtenues (ou suffisamment d'artefacts d'identification pour faciliter l'authentification), l'étape suivante consiste à se déplacer latéralement dans le réseau. Cela se fait généralement via Server Message Block (pour accéder aux systèmes de fichiers), bureau à distance, communication à distance PowerShell, et même Windows Management Instrumentation (WMI) and Remote Procedure Call (RPC).
Établir le contrôle
Une fois qu'un attaquant a pénétré dans un autre système, le but est, une fois de plus, de prendre le contrôle. Les informations d'identification fournissant l'authentification initiale peuvent ne pas avoir de privilèges élevés sur ce nouveau point de terminaison. Cela force un attaquant à répéter une partie du travail trouvé dans les deux premières étapes de la chaîne, ainsi que de tirer parti des outils de piratage natifs et téléchargeables, afin d'identifier et de s'authentifier en tant qu'administrateur local sur chaque terminal auquel ils accèdent.
Établir la persistance
Les attaquants voient chaque point d'extrémité compromis comme un point d'ancrage - une machine qui leur appartient et qu’ils contrôlent aussi longtemps que nécessaire. Si leur accès est découvert et supprimé, les chances d'une attaque réussie sont considérablement réduites. Il est donc nécessaire de modifier la configuration d'un point de terminaison pour garantir l'accès.
Utilisant des tactiques similaires aux logiciels malveillants, les pirates utilisent des scripts qui s'exécutent lors des redémarrages ou des ouvertures de session pour remettre en place les logiciels malveillants, les fichiers falsifiés, les tâches planifiées, les services malveillants, les entrées de registre et tous les comptes créés – en répétant essentiellement tout le travail effectué jusqu'à ce point pour assurer un accès persistant au point de terminaison.
Établir l’infiltration
Cette étape est plus de la méthodologie que du travail supplémentaire. Pour ne pas être détectés, les acteurs de menace «vivent de la terre» (c'est-à-dire utilisent des outils natifs qui devraient moins attirer l'attention), transmettent directement les données utiles à la mémoire (pour éviter les exécutables suspects), et même redirigent le trafic malveillant sur les ports autorisés.
Arrêter les acteurs dans la chaîne de destruction
Avant de pouvoir arrêter une attaque, vous devez en détecter une. La bonne (et la mauvaise) nouvelle est que la détection se produit n'importe où depuis le point d'intrusion jusqu'au point d'accès aux données. C'est bien, car l'opportunité est là pour arrêter potentiellement une attaque au début de la chaîne de destruction. Le problème est qu'il est également possible que vous ne le découvriez qu'après l'exfiltration des données. Il est donc essentiel de détecter et de réagir le plus tôt possible dans la chaîne de destruction, en mettant en place des mesures de réaction proactives afin d'empêcher toute autre action malveillante à partir de ce moment.
Alors, comment pouvez-vous détecter une attaque le plus facilement possible?
Il y a un fil commun qui existe tout au long d'une attaque - une seule action qui se produit et se trouve à l'épicentre de toutes les actions de la chaîne de destruction - les connexions. Aucun attaquant ne veut simplement accéder à n’importe quel point de terminaison qu'il est capable de compromettre en utilisant le phishing ou les vulnérabilités et s'arrêter là; ils doivent passer à un autre système, et un autre, et un autre ... continuer jusqu'à ce qu'ils atteignent un système avec des données de valeur. Et, pour chaque saut d'un point de terminaison à l'autre, une connexion doit avoir lieu. Sans le processus de connexion, aucune partie de l'attaque ne peut réussir; Comme le montre le tableau ci-dessous, chaque partie de la chaîne de destruction implique que l'attaquant doit se connecter.
Étape dans la chaîne de destruction |
Le rôle des connexions lors d’une attaque |
Obtention des identifiants |
- Se connecter localement en tant qu'administrateur est nécessaire pour localiser les artefacts d'informations d'identification
|
Authentification |
- L'attaquant doit s'authentifier pour obtenir un accès aux points de terminaison secondaires
- Peut impliquer plusieurs connexions de types différentes (par exemple, SMB, puis RDP)
|
Établir le contrôle |
- Se connecter localement en tant qu'administrateur est requis pour établir le contrôle d'un point de terminaison
|
Établir la persistance |
- Se connecter localement en tant qu'administrateur est nécessaire pour établir la persistance sur un point de terminaison
|
Établir l’infiltration |
- "Vivre de la terre" peut nécessiter l'authentification en utilisant un compte avec des privilèges élevés
|
Cela fait de la connexion un point d'opportunité évident pour les organisations informatiques à la fois pour auditer et en tirer parti afin arrêter les mouvements horizontaux. Ce qu'il faut, c'est d'abord vérifier les ouvertures de session à la fois sur le point de terminaison local et sur le domaine, à la recherche d'anomalies de connexion, telles que:
- Heure de connexions – Les utilisateurs qui travaillent normalement du lundi au vendredi ne se connectent généralement pas à 7h le dimanche matin.
- Ouvertures de sessions multiples – Un seul utilisateur se connectant à plusieurs machines en même temps ou dans un cours délai peut indiquer un problème.
- Points de terminaison inhabituels – Si un utilisateur ne s'est jamais connecté auparavant à un point de terminaison donné, il peut s'agir d'un drapeau rouge.
- Adresse IP inhabituelle – Un utilisateur de votre équipe RH ne se connecte normalement pas au bureau de l'équipe de vente.
- Premières fois – Les attaquants établissent parfois la persistance en créant plusieurs comptes d'utilisateurs (ainsi, si un compte est découvert, il y a plus de comptes en attente). Un compte qui se connecte pour la toute première fois devrait être examiné.
Bien que cela soit techniquement possible via la consolidation du journal d’événements, la recherche correcte des anomalies nécessitera également un certain niveau d'analyse pour croiser les connexions les unes avec les autres. L'utilisation d'une solution tierce peut faire partie de la réponse permettant d'identifier rapidement les menaces potentielles.
Une fois que vous avez trouvé un attaquant potentiel via la connexion, comment l'arrêtez-vous?
Passer de la détection à la prévention
Pour arrêter un attaquant, vous devez lui retirer son atout d'attaque le plus précieux: la possibilité de se connecter avec des informations d'identification compromises. En éliminant leur capacité à se connecter à distance, vous tuez efficacement tout mouvement latéral et, par conséquent, l'attaque. Bien sûr, vous devez toujours trouver où se trouve leur point d'ancrage, quel logiciel malveillant est installé (et doit être supprimé), etc. Mais pour arrêter réellement les actions de l'attaquant, la première étape consiste à les empêcher de s'authentifier.
Vous avez ici quelques options pour empêcher les connexions:
- Restreindre ou éliminer les connexions à distance – autoriser uniquement les comptes à se connecter localement à un point de terminaison ou autoriser uniquement un ensemble limité de comptes à se connecter à distance est un moyen efficace de contrecarrer les attaques. Cependant, de nombreux serveurs ont besoin d'un accès SMB ou sont à distance permanente, ce qui n’en fait pas toujours une option viable.
- Désactivation réactive des comptes – Si vous êtes un professionnel de bricolage informatique, le lancement d'un script basé sur des résultats de journaux d'audit spécifiques qui désactive le compte en question pourrait être une solution temporaire pour arrêter un attaquant. Mais désactiver un compte, eh bien ... désactive le compte, ce qui pourrait avoir un impact beaucoup plus important que sur un seul utilisateur si vous parlez d'un compte de service, d'un compte administratif, etc.
- Tirer parti des solutions tierces – Il existe une plus grande capacité à identifier et à répondre au comportement de connexion anormale lorsque l’on utilise une solution conçue pour surveiller et analyser toutes les activités d'ouverture de session. En faisant correspondre des analyses intelligentes avec des stratégies de connexions autour des anomalies mentionnées précédemment, les solutions peuvent désactiver de manière sélective la capacité de connexion d'un compte. Elles peuvent également traiter des problèmes liés à la réponse, comme notifier les membres de l'équipe de réponse et fournir des détails sur la chaîne de points de terminaison sur lesquels les informations d'identification spécifiques ont été utilisées.
Exemple: Restreindre la connexion de l'utilisateur
à une plage d'adresses IP autorisées
Restreindre la connexion à certaines zones géographiques ou départements.
Cela peut être défini pour un seul utilisateur ou pour un groupe d'utilisateurs.
Arrêter les attaques horizontales
La clé pour arrêter une attaque est de comprendre les détails spécifiques sur la façon exacte dont les acteurs de menace vont exécuter leurs attaques. Il est évident que les connexions sont un élément clé d'une attaque, sans laquelle une attaque serait limitée au seul point de terminaison victime d'un e-mail d'hameçonnage ou d'un site Web malveillant.
En vérifiant les ouvertures de session et en mettant en place un plan de réponse (qui devrait inclure un certain niveau d'automatisation, ou une solution tierce pour éliminer la capacité de l'attaquant à se connecter et, par conséquent, à se déplacer dans le réseau) vous diminuez le taux de réussite de toute attaque à zéro.
1 Verizon, Data Breach Investigations Report (2017)