Chronique d’une attaque annoncée : IOCs vs TTPs

Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de l’attaquant à travers ses Tactiques, Techniques et Procédures (TTPs).

Pour Wikipedia un Indicateur de Compromission ou IOC (Indicator of Compromise) est un artefact observé sur un réseau ou dans un système d’exploitation qui indique, avec un haut niveau de certitude, une intrusion informatique.

Les Indicateurs répondent à la question ‘Comment détecter’ une attaque. Voici quelques exemples d’Indicateurs :

• Spécification du modèle (pattern) d’un ensemble spécifique de caractéristiques statiques ou dynamiques (hash d’un fichier, connexions de réseau, valeur des cés de registre, etc.) qui sont uniques d’une famille de malware particulière et qui indique sa présence
• Spécification du modèle (pattern) d’un ensemble spécifique de caractéristiques statiques ou dynamiques (i.e. traces spécifiques dans les logs) qui indiquent l’exécution d’un modèle d’attaque particulier
• Spécification du modèle (pattern) d’un ensemble particulier d’adresses IP utilisées comme infrastructure C2 (Commande et Contrôle) du malware

Toutefois, nous allons voir qu’une défense informatique basée sur la détection des IOC est une approche plus fragile car ces IOC risquent d’être changés facilement par les attaquants.

Par le passé, uniquement les attaquants avec des moyens importants ou appartenant à des états étaient en mesure de pénétrer des systèmes de détection basés sur les IOCs, mais l’accès à des outils plus performants et moins coûteux, permettant de muter lessignatures des attaques, empêche que la protection basée sur des IOCs soit encore une défense très solide.

Nous devons donc mettre en place un autre type de défense, ou du moins, mettre en place un complément à la défense basée sur les IOC. C’est ici qu’intervient l’approche TTPs, une défense basée sur les Tactiques, Techniques et Procédures.

Les TTPs analysent le fonctionnement d’un acteur malveillant, elles décrivent comment les cyber attaquants orchestrent, exécutent et gèrent les attaques opérationnelles. Les TTPs contextualisent une menace. Elles révèlent les étapes ou les actions prises par des acteurs malveillants lors de l’attaque.

• Tactique: Ensemble des moyens coordonnés que l’on emploie pour parvenir à un résultat. Une tactique serait par exemple l’ingénierie sociale qui a pour but d’accéder aux données sensibles à travers des accès non autorisés, afin de compromettre un site internet ou de réaliser des mouvements latéraux dans un réseau.
• Technique: outils et compétences utilisés. Par exemple, si l’objectif est de compromettre un site internet, alors la technique peut être SQL injection.
• Procédure: séquence des actions réalisées par les attaquants pour exécuter l’attaque.

Dans notre exemple du site internet cité précédemment, la procédure peut être celle de scanner le site internet à la recherche de vulnérabilités, exécuter une injection SQL avec du code malicieux dans un formulaire non sécurisé, pour obtenir le contrôle du serveur web.

Les TTPs ont une nature descriptive et nous aident à répondre aux questions liées au comportement de l’attaquant « Comment et Quoi » : Qu’est-il en train de faire et comment il le fait.

Quelques exemples de TTPs:

• Caractérisation particulière d’une certaine famille de malware
• Caractérisation d’une forme particulière d’attaque (i.e. utilisation de certaines variables d’environnement pour exploiter une vulnérabilité)
• Caractérisation du choix des victimes (i.e. réseaux sociaux)

L’Attaque

Les IOCs sont détectés pendant la phase d’analyse après une attaque (forensics), ce qui implique qu’il y a eu déjà une compromission des systèmes. Les IOCs trouvés par les équipes de sécurité permettent de comprendre le type d’attaque et l’étendue de la compromission. Ces artefacts sont partagés avec la communauté de la sécurité et les organisations pour mettre à jour les systèmes de détection et antivirus, afin d’essayer de contrer les nouvelles attaques.

Mais quel est donc le problème associé aux IOCs dans la lutte contre les attaques informatiques?

Les systèmes de détection et les antivirus peuvent être configurés, mis à jour avec les informations relatives aux empreintes des outils des attaquants mais ceux-ci ont aussi la possibilité de modifier ces IOCs relativement facilement, par exemple changer les IPs, les valeurs hash et les signatures.

Les attaquants peuvent aussi utiliser les IOCs  pour détourner l’attention de la véritable attaque, celle menée avec des outils plus sophistiqués et complexes. Une équipe sécurité qui n’utilise que des IOCs statiques pour protéger l’organisation croira avoir trouvé et contré l’attaque alors qu’en réalité ce n’est pas du tout le cas.

Et les TTPs dans tout ça?

L’approche TTP nous apporte l’identification des éléments de comportement associés à une attaque, parce que justement, ces éléments sont beaucoup plus difficiles à modifier par les attaquants, à différence des IOCs mentionnés plus haut.

Avant une attaque, les cyber criminels préparent et mettent en place la stratégie, les techniques et les procédures à suivre pendant l’attaque et ceci en fonction des outils à leur disposition. Changer ces éléments sera donc beaucoup plus difficile pendant l’attaque, même lors d’une nouvelle attaque car ce changement demande beaucoup de ressources et de temps (i.e. développer un nouvel outil d’attaque).

Il est vrai que les attaquants ont habituellement plus d’un outil dans leur arsenal mais le nombre d’outils reste limité et en développer de nouveaux leur pose des problèmes. Le process utilisé par les attaquants pour développer de nouveaux outils n’est pas plus différent que celui utilisé par le développeur de logiciel traditionnels. Dans tous les cas de figure, il faut entreprendre une phase de recherche et développement, création d’un POC ou d’un prototype, réaliser des tests et packager le résultat final. Ceci peut prendre très longtemps et beaucoup de ressources (humaines, matériels et financières). Ces efforts sont aussi vrais pour la mise en place des TTPs associées au nouvel outil.

Pour consolider leur défense, les équipes sécurité devront alors tenir compte des ‘comportements’ des cybercriminels pour identifier les attaques. Ceci passe par une compréhension des différentes combinaisons de TTPs : des informations sont disponibles auprès des organismes de recherche en sécurité de l’information (OWASP : Open Web Application Security Project, CTA : Cyber Threat Alliance) qui vous aideront à concevoir une réponse automatisée avec vérification humaine.

Pour illustrer ces concepts, prenons comme exemple APT19, un groupe de cyber criminels basé en Chine qui a ciblé ses attaques dans les secteurs de la défense, finance, énergie et pharmaceutique parmi d’autres.  Si vous êtes une entreprise de l’un de ces secteurs, vous allez vous intéresser aux techniques utilisées par ce groupe (Informations Groupe APT19).

L’une des techniques utilisées par APT19 est Registry Run Key/Startup Folder, qui est une variante de malware http qui établit une présence dans la cible en configurant une clé du registre (Registry Key). L’équipe sécurité prendra connaissance de cette technique et supervisera le Registre pour la présence de cette clé ou de nouvelles clés qui ne sont pas attendues.

Maintenant, trouvons le comportement de l’attaquant. Certaines IPs à partir desquelles sont réalisées les attaques sont connues mais bien évidemment elles peuvent changer. Nous nous focaliserons plutôt sur l’établissement des connections SOCKS5, car établir ce type de connexion est un comportement associé à cet attaquant. Traduisons ensuite ce comportement en tactique, il y a environ 12 tactiques à partir desquelles nous pouvons choisir (Reconnaissance, Ressource et développement, Commande et contrôle, Collecte, etc.). Pour la connexion SOCKS5 nous parlons de Commande et contrôle. Pour SOCKS5, la technique est Standard Non-Application Layer Protocol (T1095). Des attaquants peuvent utiliser Non-Application Layer Protocol pour communiquer entre un serveur hôte et un serveur C2 ou entre des hôtes infectés à l’intérieur d’un réseau.

Les équipes sécurité vont mapper les informations d’intelligence collectées et mettront en place les actions nécessaires à l’identification des menaces et leur élimination.

MITRE ATT&CK est une base de connaissances globale de tactiques et techniques basée sur des observations réelles. Cet outil aide les équipes de sécurité à identifier et gérer les TTPs rencontrés. Il définit la manière dont les équipes de sécurité peuvent superviser l’activité des systèmes IT, détecter des comportements anormaux associés à des TTPs connus et l’arrêter avant qu’il ne devienne une attaque complète.

Ce que nous avons décrit précédemment est aussi applicable aux vecteurs d’attaque (i.e. ingénierie sociale), pas très facile à changer par les attaquants sans adapter les outils employés.

Les équipes sécurité doivent concentrer leurs défenses sur les éléments qui ne sont pas facilement évolutifs, les IOCs le sont (i.e. des cartes de crédit volées, des IPs, etc.), les TTPs ne le sont pas.

Les Tactiques, Techniques et Procédures fournissent aux équipes sécurité des organisations, des informations sur la manière dont les attaquants opèrent et se déplacent dans nos infrastructures et systèmes. Elles nous donnent les moyens de perturber les maillons de la chaîne d’attaque et de l’arrêter avant qu’elle ne se matérialise.

En conclusion, l’introduction de TTPs dans la stratégie de défense des organisations, en collaboration avec des IOCs, permettra de redonner l’initiative aux défenseurs, les TTPs permettent le basculement d’une défense passive à une défense active, d’initiative forçant les attaquants soit à abandonner soit à réaliser des investissements significatifs dans la modification des techniques, tactiques et procédures d’attaque. Cette approche réduit significativement l’exposition à une attaque.