Analyse de l’attaque Squiblydoo, détection et atténuation
Table des matières :
Dans le domaine dynamique et en constante évolution de la cybersécurité, les attaquants font preuve d’une détermination inébranlable alors qu’ils continuent d’inventer des techniques innovantes pour contourner les mesures de sécurité et infiltrer des systèmes qui ne peuvent être facilement considérés comme vulnérables. Une telle technique qui a gagné en importance est l’attaque Squiblydoo. Cette attaque vise spécifiquement l’exploitation d’applications ou de fichiers légitimes intégrés dans le système d’exploitation. En utilisant ces applications de confiance, les attaquants peuvent efficacement éviter la détection et exécuter des scripts malveillants sur les machines ciblées, posant un risque significatif pour la posture de cybersécurité des organisations.
Au fond, la technique Squiblydoo accorde à des scripts non autorisés la capacité de s’exécuter sur des machines configurées exclusivement pour permettre des scripts autorisés. Même les systèmes dotés de mesures de sécurité strictes peuvent être victimes de cette attaque. Les attaquants bénéficiant de privilèges d’utilisateur régulier peuvent télécharger et exécuter des scripts stockés sur des serveurs distants, contournant ainsi les protocoles de sécurité établis. L’utilisation d’applications connues dans cette attaque offre un voile de légitimité, rendant la détection et la remédiation de telles activités malveillantes encore plus difficiles.
Squiblydoo exploite spécifiquement regsvr32.dll, communément appelé un LOLBin (Living Off the Land binary). Les LOLBins sont des binaires légitimes que les acteurs de menace sophistiqués utilisent souvent à mauvais escient pour effectuer des opérations malveillantes. Un autre exemple populaire de LOLBin est CertReq.exe, qui peut être abusé par des attaquants pour télécharger et télécharger de petits fichiers malveillants.
The regsvr32.dll Le binaire fait partie du système d’exploitation, prévu à des fins légitimes. Cependant, les attaquants exploitent sa fonctionnalité pour charger directement un scriptlet COM depuis Internet et l’exécuter sans déclencher de mécanismes de sécurité. En employant cette approche, Squiblydoo évite efficacement les mesures de sécurité traditionnelles et infiltre les systèmes ciblés, ce qui peut potentiellement conduire à des conséquences graves telles qu’un accès non autorisé, des violations de données, ou l’installation de charges utiles malveillantes supplémentaires.
Cet article fournit une analyse de l’attaque Squiblydoo, sa détection, la description de la technique et le déroulement de l’attaque, et propose des recommandations pour atténuer les risques associés.
Détection de l’attaque Squiblydoo
Pour permettre aux organisations de détecter et de traquer de manière proactive les attaques Squiblydoo liées à l’exploitation du binaire LOLBin regsvr32.exe dans les opérations offensives, la plateforme SOC Prime propose un ensemble de règles Sigma pertinentes alignées avec le cadre MITRE ATT&CK® et convertibles automatiquement vers les principales solutions SIEM, EDR et XDR du secteur.
Cliquez sur le bouton Découvrir les détections ci-dessous pour accéder instantanément à l’ensemble complet des Sigma liés à la technique Squiblydoo. Toutes les détections sont enrichies avec des CTI, des liens ATT&CK et plus de contextes de menace cybernétique actionnables.
bouton Découvrir les détections
Chronologie des menaces Squiblydoo
The L’attaque Squiblydoo exploite le binaire LOLBin regsvr32.exe, un utilitaire de ligne de commande légitime pour enregistrer et désenregistrer des DLL et des contrôles ActiveX dans le registre Windows. Les attaquants profitent des effets secondaires inattendus des LOLBins pour exécuter des scripts et des charges utiles malveillants sur des machines compromises. Dans cette attaque, l’ regsvr32.exe utilitaire est utilisé pour télécharger un fichier XML ou JavaScript (JS) malveillant à partir d’un serveur de commande et de contrôle. La DLL scrobj.dll facilite l’exécution du script ou de la charge utile téléchargé, permettant à l’attaquant de réaliser diverses activités malveillantes, y compris le déploiement de logiciels espions, de trojans ou de mineurs de cryptomonnaie.
Le déclenchement d’alertes lorsque des activités suspectes associées à la technique Squiblydoo sont identifiées inclut les notifications « Commande de processus malveillant », qui sont déclenchées lorsque regsvr32.exe est utilisé en conjonction avec des requêtes HTTP ou scrobj.dll.
Le déroulement de l’attaque Squiblydoo implique l’exécution de commandes et l’interaction avec différents processus. En analysant la technique, les chercheurs en sécurité peuvent obtenir des informations sur les activités malveillantes et les charges utiles impliquées. La démonstration de la capacité de Squiblydoo à exécuter du code arbitraire par le biais de la regsvr32.exe commande met en évidence les risques potentiels associés aux LOLBins et la nécessité de mesures de sécurité robustes. Le déroulement de l’attaque montre également l’utilisation de commandes PowerShell exécutées à partir de CMD.exe pour télécharger plusieurs fichiers .txt depuis des serveurs de commande et de contrôle, démontrant encore l’intention de l’attaquant d’exploiter des vulnérabilités du système.
Qu’est-ce que Squiblydoo ?
Squiblydoo est une technique utilisée pour contourner les produits de sécurité en utilisant des applications ou des fichiers légitimes et connus qui sont intégrés dans le système d’exploitation par défaut. Cette technique offre un moyen pour un script non approuvé de s’exécuter sur une machine configurée pour n’autoriser que des scripts approuvés. Squiblydoo décrit l’utilisation spécifique de regsvr32.dll (LOLBin) pour charger un scriptlet COM directement depuis Internet et l’exécuter de manière à contourner les protections de sécurité.
La détection de la technique d’exécution de proxy de binaire système, en particulier la sous-technique Regsvr32, offre une couverture modérée pour la tactique d’évasion de la défense dans le cadre ATT&CK.
Casey Smith de Red Canary a documenté à l’origine la technique Squiblydoo, bien que le billet de blog contenant l’information soit actuellement indisponible.
La capacité de Squiblydoo à exploiter des applications et fichiers légitimes, combinée à sa capacité à échapper aux mesures de sécurité traditionnelles, en fait une technique redoutable qui peut poser un défi aux défenseurs du cyberespace. En comprenant les complexités de l’attaque, en déployant des mesures de détection et de prévention appropriées, et en favorisant une culture de sécurité, les organisations peuvent renforcer leurs défenses contre cette technique et mieux protéger leurs systèmes et leurs données.
Recommandations et Mesures d’Atténuation
L’attaque Squiblydoo présente une menace significative pour les organisations, car elle contourne les mesures de sécurité en utilisant des applications et fichiers légitimes. Comprendre l’attaque Squiblydoo est crucial pour une détection et une prévention efficaces. Les organisations ont besoin de solutions de sécurité robustes capables de reconnaître les indicateurs et les schémas associés à cette technique d’attaque. Les mécanismes de détection doivent inclure la surveillance des activités suspectes liées à l’utilisation de regsvr32.dll, tels que des arguments de ligne de commande anormaux ou des connexions réseau inattendues. En identifiant et répondant rapidement à ces signes, les équipes de sécurité peuvent minimiser l’impact potentiel de l’attaque et atténuer les risques associés.
Bloquer le trafic vers les domaines ou adresses IP malveillants associés à l’attaque est une autre étape cruciale pour atténuer l’impact de Squiblydoo. Les organisations peuvent limiter la communication avec les serveurs C2 en mettant en œuvre des contrôles au niveau du réseau et en perturbant les opérations de l’attaquant. Déconnecter les hôtes compromis du réseau peut aider à contrecarrer l’attaque et à prévenir des dommages supplémentaires. La mise en œuvre de contrôles d’accès solides, la limitation des privilèges des utilisateurs, et la mise à jour régulière des systèmes sont des étapes essentielles pour réduire la surface d’attaque. En outre, utiliser des systèmes de détection avancés capables d’identifier et de signaler les tentatives d’exécution de scripts suspects est crucial. Former les utilisateurs à la sensibilisation à la sécurité est également vital pour s’assurer qu’ils restent vigilants face aux tentatives d’ingénierie sociale qui pourraient conduire à l’exécution de scripts malveillants.
Une autre étape cruciale consiste à enquêter sur les incidents conformément aux politiques établies. Mener une analyse approfondie des vecteurs d’attaque, des systèmes compromis, et de la potentielle exfiltration de données peut fournir des informations précieuses sur les motivations et les techniques de l’attaquant. Ces informations peuvent être utilisées pour renforcer les défenses, corriger les vulnérabilités et améliorer la posture de sécurité globale.
La technique Squiblydoo rappelle l’innovation et l’adaptabilité constantes des menaces cybernétiques et nécessite une attention particulière des défenseurs du cyberespace. En comprenant les techniques employées par les attaquants, les organisations peuvent mieux se préparer à détecter, prévenir et répondre efficacement à de telles attaques. Mettre en œuvre des mesures de sécurité proactives, utiliser des systèmes avancés de détection des menaces, et suivre les meilleures pratiques sont essentiels pour protéger les systèmes et les données contre les menaces cybernétiques évolutives comme Squiblydoo.
La plateforme SOC Prime équipe les cyber-défenseurs aspirants et expérimentés d’une boîte à outils à la pointe pour l’ingénierie avancée de détection et la chasse aux menaces soutenue par ses solutions puissantes, Threat Detection Marketplace, Uncoder AI, et Attack Detective. Découvrez le flux d’actualités de sécurité le plus rapide du monde et le plus grand dépôt de règles Sigma pour les menaces actuelles et émergentes, rationalisez vos procédures d’ingénierie de détection avec l’autocomplétion Sigma et ATT&CK, et identifiez les angles morts dans votre pile de détection en moins de 300 secondes pour être prêt à les corriger à temps et optimiser les risques de votre posture de cybersécurité.
