Le récent incident du ransomware Kaseya combine les pires éventualités auxquelles la communauté de la sécurité de l’information (InfoSec) a été confrontée ces derniers mois :
- Attaque contre la chaîne d’approvisionnement
- Ransomware
- Vulnérabilité d’application non corrigée (type « zero day »)
Il ne s’agit en aucun cas d’un incident isolé. Toutes les vulnérabilités signalées sur les produits logiciels largement utilisés, en particulier celles qui ne nécessitent pas d’authentification pour être exploitées, deviendront probablement les moyens le plus efficaces de propager des ransomwares.
Attaquer la chaîne d’approvisionnement est tout simplement un moyen rentable d’étendre les opérations de ransomware.
Dans cet article de blog, nous utiliserons l’incident Kaseya comme modèle pour recommander une courte procédure à suivre dans l’attente d’un correctif pour toute vulnérabilité logicielle qui vous est totalement inconnue.
Consultez notre récent webinaire pour plus d’informations concernant les meilleures défenses à adopter face à l’attaque Kaseya contre la chaîne d’approvisionnement et d’autres attaques similaires.
Vulnérabilités de type « zero day » et défense active
Les vulnérabilités de type « zero day » ne sont pas une mince affaire. L’entreprise moyenne utilise des centaines de types de logiciels et d’outils différents. Il est pratiquement impossible de dresser un inventaire précis des logiciels, et encore moins de prendre en compte des problèmes tels que les attaques de la chaîne d’approvisionnement et les vulnérabilités de type « zero day ».
Tandis que la communauté des chercheurs s’efforce de détecter et de traquer les bugs de manière proactive pour remédier aux coûts des vulnérabilités de type « zero day » dans les logiciels largement utilisés avant que les adversaires ne les exploitent, Active Defense permet aux équipes de sécurité de prendre du recul et d’évaluer le problème lié au « zero day » dans son ensemble.
Active Defense déplace l’attention des équipes de sécurité des logiciels individuels et des techniques d’exploitation ésotériques et difficiles à analyser vers des stratégies défensives proactives en attendant l’installation d’un correctif.
En émettant des hypothèses sur les objectifs des adversaires qui exploitant les vulnérabilités de type « zero day », nous pouvons planifier nos défenses actives de manière à :
- Réduire l’impact de l’exploitation
- Alerter de manière précoce en cas d’activité malveillante
- Recueillir des renseignements concernant l’adversaire
Vulnérabilités de type « zero day » dans la chaîne de frappe
Le tableau suivant illustre les occurrences où les vulnérabilités de type « zero day » sont susceptibles d’être exploitées dans la chaîne de frappe :
Phase de chaîne de frappe |
Cibles de type « zero day » possibles |
Motivations possibles |
Infection initiale et implantation |
Applications et services logiciels accessibles sur Internet |
Accéder à un environnement de haute valeur |
Élévation des privilèges |
Composants du système d’exploitation et logiciels installés localement |
Obtenir un niveau de privilège plus élevé pour faciliter la suite de la chaîne d’exécution |
Déplacement latéral |
Logiciels de distribution et services exposés en interne |
Élargir l’empreinte des attaques dans les environnements verrouillés |
Action sur les objectifs |
Vulnérabilités de type « zero day » contre les logiciels spécialisés |
Exploiter les faiblesses pour dérober des données |
Exploiter les vulnérabilités de type « zero day » est un moyen d’atteindre l’objectif final. Qu’il s’agisse des premières étapes de l’opération ou de la dernière étape critique.
D’un point de vue défensif, cela nous procure un avantage précieux : si nous ne pouvons pas contrer la vulnérabilité de type « zero day » elle-même, nous avons la possibilité de piéger l’adversaire avant ou après qu’il l’ait exploitée. C’est précisément ce que permet Active Defense.
Défense active contre les incidents de type Kaseya
Le scénario est le suivant : vous avez connaissance d’une cible de type « zero day » qui n’a pas encore été corrigée. Supposons également que la vulnérabilité « zero day » soit exploitée pour l’infection initiale et pour permettre la distribution de ransomwares dans l’environnement.
Le tableau suivant présente les stratégies de défense active contre les techniques observées lors de l’incident du ransomware Kaseya REvil.
Phase |
Technique |
Tactique de défense active |
Conseils et astuces |
INFECTION INITIALE |
Exploiter une application accessible sur Internet |
Créer des leurres destinés au public pour obtenir des renseignements |
Utiliser l’application vulnérable aux menaces de type « zero day » comme modèle pour le leurre |
Exécution |
Utilisation de PowerShell |
Surveiller les commandes et les scripts qui impliquent l’arrêt ou la désactivation des services |
S/O |
Évasion de défense |
Arrêter les processus et les services |
Déployer des processus et des services leurres généralement arrêtés par les ransomwares |
Les processus les plus couramment attaqués sont ceux qui verrouillent les fichiers, ce qui en fait une cible idéale pour le chiffrement ; par conséquent, « outlook.exe », les processus MS Office et les processus de base de données sont généralement ciblés. |
Vérifications préalables au chiffrement |
Supprimer les clichés instantanés de volumes (Volume Shadow Copy) |
Surveiller la suppression des clichés instantanés de volumes (Volume Shadow Copy) |
En règle générale, les clichés instantanés de volumes sont supprimés à l’aide de vssadmin.exe ou WMI. |
Chiffrement |
Chiffrer les fichiers |
Déployer des fichiers leurres sur les terminaux pour surveiller les occurrences de modification des fichiers |
Placer les fichiers dans des emplacements communs de démarrage du chiffrement (tels que C:\ ou %appdata% ou les dossiers Document) est un moyen intelligent de minimiser l’impact du chiffrement. |
Dans le cas de Kaseya, aucun comportement semblable à celui d’un ver n’a été observé lorsque le chiffreur a été transmis aux machines via une mise à jour.
Méfiez-vous des points de distribution
L’une des stratégies classiques de nos jours, comme le montre l’incident de Kaseya, consiste à compromettre les logiciels et à mettre à jour les points de distribution afin de déployer des ransomwares à grande échelle.
Il n’est pas exagéré de dire que tout logiciel qui installe des services pouvant être mis à jour sur les terminaux peut être la cible d’attaques similaires. Le tableau présenté à la section précédente constitue la meilleure forme de défense à cet égard.
Nous souhaitons attirer l’attention sur deux points de distribution omniprésents de ransomwares dans la plupart des entreprises :
- Active Directory
- SCCM
Avec la récente divulgation de graves vulnérabilités (la vulnérabilité Print Nightmare, par exemple), les entreprises risquent de voir Active Directory et SCCM devenir des cibles pour tout ransomware exploitant une telle vulnérabilité pour se propager.
Voici quatre suggestions de défense active contre les techniques de ce type de scénario.
Phase |
Technique |
Tactique de défense active |
Reconnaissance interne (Active Directory) |
Interroger Active Directory pour les utilisateurs privilégiés ayant le droit de créer une stratégie de groupe |
Introduire des utilisateurs leurres dans des groupes et des unités organisationnelles privilégiés |
Reconnaissance interne (Active Directory) |
Interroger Active Directory pour les serveurs SCCM |
Installer des systèmes leurres dont les attributs correspondent à ceux des serveurs SCCM |
Déplacement latéral via des vulnérabilités de type « zero day » comme Print Nightmare |
Utiliser la vulnérabilité Print Nightmare pour obtenir une RCE (exécution de code à distance) sur Active Directory et SCCM |
|
Déplacement latéral |
Créer une nouvelle stratégie de groupe ou d’une stratégie SCCM pour distribuer le chiffreur |
Surveiller et enregistrer la création de nouvelles politiques |
Conclusions
Les entreprises doivent s’attendre à ce que toute vulnérabilité majeure divulguée puisse devenir une cible pour la diffusion de ransomwares.
En raison de l’imprévisibilité des tactiques, techniques et procédures susceptibles d’être utilisés lors d’incidents individuels, nous conseillons aux entreprises d’adopter un plus large éventail de techniques de défense active pour renforcer leur résilience face à diverses stratégies d’opérateurs de ransomwares.
Nous encourageons également les entreprises à adopter des stratégies de défense active et de tromperie dans les parties suivantes de leur environnement informatique :
- DMZ (segments externes et internes)
- Segments du data center qui héberge des applications critiques pour les déplacements latéraux est-ouest
- Active Directory
- Terminaux privilégiés
- Terminaux du personnel interagissant avec des applications sensibles
Nous vous invitons à visionner notre webinaire organisé par ThreatlabZ pour en savoir plus sur l’attaque du ransomware Kaseya contre la chaîne d’approvisionnement.