Entretien avec le Développeur : Emir Erdogan
Nous continuons à interviewer les membres du Threat Bounty Program (https://my.socprime.com/en/tdm-developers), et aujourd’hui, nous souhaitons vous présenter Emir Erdogan. Emir participe à ce programme depuis septembre 2019, il a plus de 110 règles Sigma publiées à son nom, mais Emir publie également des règles YARA pour détecter des menaces réelles. Ses règles se retrouvent souvent dans nos articles de blog : Récapitulatifs de Règles, Contenu de Threat Hunting, et Règle de la Semaine.
Emir, parlez-nous un peu de vous et de votre expérience en cybersécurité.
Après avoir obtenu mon diplôme universitaire en 2015, j’ai commencé à travailler sur le projet OS (Pardus) soutenu par le gouvernement en tant qu’analyste métier.
Ensuite, j’ai changé de travail, car je voulais m’améliorer en tant que spécialiste de la cybersécurité. J’ai travaillé dans de nombreux domaines différents de la cybersécurité en tant qu’ingénieur SIEM, spécialiste des opérations SOC, membre de projet pour la construction de Systèmes de Gestion et de Sécurité de l’Information dans une compagnie d’aviation civile en Turquie.
Actuellement, je travaille encore en tant qu’analyste SOC et chef d’équipe SOC dans l’une des entreprises les plus importantes en Turquie
Combien de temps vous a-t-il fallu pour maîtriser l’écriture de règles Sigma ? Quel bagage technique est requis pour y parvenir ? Et combien de temps vous faut-il en moyenne pour écrire une nouvelle règle IOC Sigma et une règle de chasse aux menaces Sigma ?
J’écris des règles Sigma depuis 6 mois. En réalité, il est nécessaire d’écrire beaucoup de règles Sigma dans différentes sources de journaux pour devenir expert. À mon avis, cela n’est pas lié au temps. Les types de journaux des différents OS et produits de sécurité doivent être connus de quiconque souhaite exceller dans Sigma.
Le temps requis pour écrire une règle Sigma dépend de la complexité de la règle. En général, si une règle Sigma est plus complexe et inclut différents types de journaux, cela prend environ une demi-heure.
Quels types de menaces sont les plus compliqués à détecter ? Emir, peut-être pouvez-vous donner un exemple tiré de la vie réelle ?
Tout le monde sait que certains types de logiciels malveillants comme les rootkits sont vraiment difficiles à détecter. Cependant, l’utilisation des techniques d’évasion et des méthodes d’obfuscation a récemment augmenté et certaines d’entre elles peuvent être compliquées à détecter. Par conséquent, je tiens à mentionner ces techniques.
Les outils de détection traditionnels peuvent être facilement contournés par des logiciels malveillants et fichiers obfusqués. Je suis sûr que chaque spécialiste en cybersécurité a rencontré un script PowerShell obfusqué ou un logiciel malveillant. Il n’est pas facile d’analyser ces fichiers.
Il existe de nombreuses techniques d’évasion pour contourner les contrôles de sécurité. Par exemple, beaucoup de gens ont été confrontés à des chantages par bitcoin par extorsion. Les e-mails disent qu’ils ont piraté votre ordinateur et vous ont enregistré visitant des sites pour adultes. Ils menacent de distribuer la vidéo à vos amis et votre famille en quelques heures si vous ne payez pas sur leur compte Bitcoin. La solution la plus efficace est d’écrire des règles de filtrage de contenu sur une passerelle de messagerie sécurisée pour se protéger contre ce type d’e-mails. Même si la règle est écrite selon certains mots-clés comme bitcoin et hack, les attaquants peuvent envoyer leur texte de chantage en pièce jointe, pdf protégé par mot de passe ou fichier image dans le corps de l’e-mail. Ainsi, ils contournent les règles de filtrage de contenu de cette manière.
La pandémie est un autre défi pour un praticien en cybersécurité. Dites-nous comment cela a influencé votre travail quotidien. Peut-être pouvez-vous partager des astuces de vie à domicile avec nous ?
On peut dire que je travaille plus dur maintenant parce que les cyberattaques augmentent chaque jour. Par exemple, le nombre d’attaques de phishing sur les livraisons de compagnies de fret et les campagnes sur le thème du COVID-19 a augmenté.
Comme dans le monde entier, je continue mon travail à domicile. Je ne pense pas que ce soit un problème pour les experts en cybersécurité, car nous aimons être à la maison devant notre ordinateur.
J’espère ne pas avoir encore observé d’effet négatif autre que sociologique. Grâce à cette question, je souhaite à tout le monde une vie saine.
Quels outils sont les plus couramment utilisés par les différents acteurs de la menace et quelle serait votre recommandation pour améliorer la défense contre ces outils ? Des exemples seraient formidables !
En réalité, il existe de nombreux outils communs utilisés par différents acteurs de la menace.
Je pense que PowerShell serait un excellent exemple. Il est légitime et vraiment puissant. Non seulement les attaquants, mais aussi la plupart des administrateurs systèmes ont besoin de PowerShell et utilisent généralement des scripts PS pour effectuer leurs tâches quotidiennes. Pour cette raison, il est difficile de comprendre s’il est utilisé à des fins malveillantes ; cependant, il y a quelques indices pour détecter les activités malveillantes. Si PowerShell n’est pas nécessaire pour faire un travail, veuillez le désactiver. Si c’est nécessaire, la journalisation PowerShell doit être activée et surveillée par le SOC. Des règles SIEM PowerShell doivent être écrites et toujours enrichies.
En dehors de PowerShell, le webshell est couramment utilisé par différents acteurs de la menace. Les webshells sont des scripts malveillants téléchargés sur une cible et permettant de contrôler à distance des serveurs compromis. On sait que le webshell est l’une des portes dérobées les plus courantes et efficaces. Les attaquants exploitent d’abord une vulnérabilité sur un serveur Web pour télécharger un webshell ou ils peuvent le télécharger depuis un autre serveur/hôte qui a été compromis auparavant. Par conséquent, la chose la plus importante est de s’assurer que tous les serveurs/hôtes sont à jour avec les correctifs de sécurité. Avec les journaux sysmon de tous les serveurs Web surveillés, vous pouvez développer des règles de corrélation pour détecter le webshell. Il existe de nombreuses règles Sigma sur TDM pour détecter les webshells. Je veux donner un rapide exemple. Si le processus IIS (w3wp.exe) appelle cmd.exe, cela devrait être étiqueté comme suspect et analysé par un analyste SOC.
Beaucoup de contenus de détection de menaces auxquels vous avez contribué au Threat Detection Marketplace sont disponibles gratuitement et aident les spécialistes en cybersécurité du monde entier à détecter les menaces, qu’est-ce qui vous motive à partager votre contenu avec la communauté ?
Les attaquants ont toujours une longueur d’avance. Par conséquent, il est nécessaire d’apprendre leurs méthodes, tactiques et techniques pour prévenir leurs attaques.
À mon avis, le partage d’intelligence et de connaissances entre chercheurs et institutions est très important pour prévenir les cyberattaques et éviter toute perte matérielle et morale.
En fait, quand je vois que certains groupes attaquent les hôpitaux pendant la pandémie et que les attaquants profitent de l’état de panique des gens, je suis encore plus motivé à partager mon contenu avec la communauté.
Emir, selon vous, quel est le principal avantage du SOC Prime Threat Bounty Program ?
Le Threat Bounty Program présente de nombreux avantages pour les entreprises et les développeurs. Développer de nouvelles règles SIEM en suivant de nouvelles menaces est un grand défi pour toutes les entreprises. Grâce au Threat Bounty Program, les entreprises peuvent accéder à de nombreuses détections pour des menaces spécifiques et actuelles. Ce contenu peut être facilement implémenté dans une solution SIEM. De plus, les développeurs suivent les nouvelles menaces et développent de nouveaux contenus. Ce programme offre une grande opportunité aux développeurs de publier leur contenu, de s’améliorer, de recevoir des récompenses et de se voir honorés par SOC Prime.
Lisez plus d’interviews avec les participants au Threat Bounty Program sur notre blog : https://socprime.com/en/tag/interview/
