Exemples d’Hypothèses de Chasse aux Menaces : Préparez-vous pour une Bonne Chasse !
Table des matières :
Une bonne hypothèse de chasse aux menaces est essentielle pour identifier les points faibles de l’infrastructure numérique d’une organisation. Apprenez simplement à poser les bonnes questions, et vous obtiendrez les réponses que vous recherchez. Dans cet article de blog, nous examinons une méthodologie proactive de chasse aux menaces : la chasse aux menaces basée sur des hypothèses. Plongeons-y !
Détecter & Chasser Explorer le contexte des menaces
Qu’est-ce qu’une hypothèse de chasse aux menaces ?
Une hypothèse de chasse aux menaces est une supposition éclairée sur une cyberattaque ou l’un de ses composants. Tout comme dans la recherche scientifique, dans la chasse aux menaces basée sur des hypothèses, les chasseurs de menaces font des hypothèses qui deviennent le socle de leurs investigations.
Une fois qu’une hypothèse est formulée, un chasseur de menaces doit prendre des mesures pour la tester. C’est dans la stratégie de test de l’hypothèse que la plupart du travail de chasse aux menaces est accompli (comme par exemple, la création d’une requête utile prend souvent plus de temps que son exécution). Cela inclut souvent l’identification des sources de données connexes (événements de sécurité, journaux système, etc.), des techniques d’analyse pertinentes (requêtes, comptage de pile, etc.), et ensuite agir sur cette stratégie.
L’hypothèse de chasse aux menaces facilite une routine de défense cyber proactive. Une des nombreuses variantes de cette dernière consiste à :
- Prédire le comportement des adversaires
- Proposer des moyens de détecter une menace
- Détecter des anomalies, des intrusions, des dépassements de seuil / limites de base
- Étudier la corrélation des événements
- Tester des échantillons dans des bacs à sable, pots de miel, et environnements émulés
- Documenter les résultats
- Améliorer la protection des actifs et de l’infrastructure
- Effectuer une mitigation
- Informer les autorités (le cas échéant)
Dans l’ensemble, le succès de la chasse aux menaces dépend largement d’une hypothèse perspicace, alors voyons comment en formuler une.
Comment générer une hypothèse pour la chasse aux menaces ?
Pour faciliter les débuts, vous pouvez considérer les hypothèses de chasse aux menaces comme des sortes de récits utilisateurs mais du point de vue des malwares.
Hypothèse de chasse aux menaces #1
- En tant que [script malveillant], je veux [envoyer une requête via le port TCP 50050] afin de [établir une connexion].
- En tant que [fichier zip infecté], je veux [utiliser WMI] afin de [maintenir la persistance].
- En tant que [code Javascript], je veux [exploiter BITSAdmin] afin de [télécharger des modules].
Alternativement, formulons une hypothèse du point de vue d’un attaquant.
Hypothèse de chasse aux menaces #2
En tant que APT37 (Corée du Nord), je veux attaquer le gouvernement américain pour des raisons politiques, donc j’utiliserai Cobalt Strike dans T1218.011, en implantant rundll32 pour l’exécution proxy de code malveillant.
Cependant, il n’existe pas de modèle unique de « bon » format pour une hypothèse de chasse aux menaces. Par exemple, elles peuvent également être plus complexes qu’une simple phrase. Pour un malware qui exécute une chaîne de destruction multi-étapes, une hypothèse de chasse aux menaces pourrait également inclure plusieurs points.
Hypothèse de chasse aux menaces #3
Malware X :
Exécute une commande via un fichier EXE
Importe et exécute des cmdlets PowerShell à partir d’une source externe
Exécute un binaire .NET local
Utilise la fonction setenv() pour ajouter la variable à l’environnement
Passons maintenant à des exemples plus complexes.
Hypothèses de chasse aux menaces avancées
Les hypothèses de chasse aux menaces peuvent être opérationnelles, comme les exemples ci-dessus, ou tactiques et stratégiques. Les chasseurs de menaces expérimentés peuvent formuler des hypothèses plus larges qui peuvent néanmoins aboutir à des tests finement ciblés. Pour cela, ils doivent inclure :
- Une expertise de domaine – avoir de l’expérience, partager des connaissances
- Conscience situationnelle – connaître l’infrastructure interne, les vulnérabilités, les actifs clés
- Intelligence – extraire des données de renseignement sur les menaces comme les IOCs et les TTPs
Appliquez tout ce qui précède pour formuler une hypothèse profondément analytique sur les systèmes que les attaquants cibleront et ce qu’ils tenteront d’atteindre.
Par exemple, un chasseur de menaces Bob a mené des recherches sur certains IOCs obtenus via une source de renseignement sur les menaces. Ayant effectué une analyse des joyaux de la couronne (CJA), il sait que le joyau de la couronne de leur entreprise est l’endroit où ils stockent des algorithmes propriétaires. Son expérience des chasses précédentes et une discussion avec une chercheuse Alice permet de suggérer le comportement le plus probable de l’adversaire dans une situation donnée. Il formule donc une hypothèse.
Hypothèse de chasse aux menaces #4
Les attaquants qui ont tenté d’obtenir un accès initial via un email de phishing feront un mouvement latéral et une élévation de privilèges pour atteindre le cœur du système et exfiltrer des données.
Les hypothèses peuvent également être ciblées non pas sur la prédiction des futures étapes des attaquants mais sur la compréhension des modèles, des dépendances, etc. En d’autres termes, voir l’ensemble du tableau.
Où ont-ils leurs serveurs C2 ? Comment les dissimulent-ils ? Comment maintiennent-ils la persistance ? Quelle est la relation entre les serveurs spécifiques et diverses campagnes d’attaque ?
Dans ce cas, la cybersécurité ne consiste pas seulement à voir les problèmes et à y remédier rapidement. Il est également nécessaire de poser des questions. Un peu comme le journalisme d’investigation avec sa règle des 5W :
- Who
- Quoi
- Quand
- Où
- Why
Parce que souvent la situation est ainsi. Il y a de multiples événements à de multiples endroits. Des millions de scripts, tâches planifiées, fichiers et actions utilisateur. Ils font tous quelque chose. Ces divers événements pourraient être des étapes d’une chaîne de destruction. Mais vous ne le savez pas car un morceau de malware s’est crypté et caché quelque part dans un fichier légitime. Il a aussi volé des certificats, donc il s’exécute comme partie d’un logiciel réputé que l’entreprise a acheté. Vous vous êtes peut-être occupé des IOCs, mais cela n’a pas suffi. L’entreprise pourrait être espionnée, mais il n’y a aucune preuve tangible de cela. Donc à première vue, rien de catastrophique ne s’est produit. Une hypothèse aidera à identifier une telle attaque sophistiquée ou à prouver son absence.
Hypothèse de chasse aux menaces #5
Un acteur de menace favorisé par l’État A utilise les mêmes serveurs C2 que l’acteur de menace B, donc ils pourraient faire partie du même botnet. Ils utilisent une infection par pipeline logiciel et implantent des malwares avec une période de dormance de 1-2 semaines avant de déclencher une reconnaissance qui dure 2-6 mois. Si notre scanner montre des données obfusquées à l’intérieur de binaires légitimes, nous devrions rechercher des signes d’établissement de connexion avec un serveur C2 afin de pouvoir conclure que ces fichiers sont des logiciels malveillants.
Conclusion
La pratique rend parfait, alors ne vous inquiétez pas si des éléments comme les rapports de menaces et les données brutes vous semblent un peu du charabia au début. Apprenez des matières en science informatique comme les réseaux, les langages de bas niveau, et l’architecture des applications pour vous sentir plus à l’aise avec des termes spécifiques et des valeurs numériques (comme les numéros de port, etc.). De toute façon, il y a toujours beaucoup d’informations à traiter – ne vous découragez pas si vous ne comprenez pas tout ce que vous rencontrez. Il est à peine possible de tout savoir, donc utiliser Google aide souvent beaucoup aussi.
Une bonne hypothèse de chasse aux menaces permet d’arriver à des conclusions de valeur et de prévenir d’éventuelles attaques. De plus, cela aide les chasseurs de menaces à examiner les bonnes données au bon moment au lieu de devoir chercher à travers des millions de journaux pour des millions de raisons possibles. Rejoignez notre plateforme Detection as Code pour accéder à des algorithmes de détection en quasi temps réel compatibles avec 25+ solutions SIEM, EDR et XDR et rechercher instantanément les dernières menaces dans votre environnement.
