Stratégies d’atténuation des menaces persistantes avancées ( APTS ) P.4

4e partie. Mieux vaut prévenir que guérir : la stratégie de détection à appliquer aux menaces avancées persistantes

Les solutions que Kaspersky Lab proposées actuellement peuvent atténuer considérablement le risque1 de pertes provoquées par des attaques APT pour les entreprises. Les solutions de sécurité spécialisées qui alertent les utilisateurs en cas d’attaques ciblées constituent une couche de protection supplémentaire pour l’organisation. Ces avertissements ne remplacent pas les solutions de sécurité de l’infrastructure informatique qui arrêtent les modules APT malveillants. Le rôle d’un système de lutte contre les APT vise à contrôler l’environnement IT et à fournir des informations utiles au responsable de la sécurité. Il renforce considérablement la protection à plusieurs niveaux de l’entreprise.

La préparation de n’importe quelle attaque ciblée se caractérise par une séquence d’étapes typiques. Dans la grande majorité des cas, des techniques standard interviennent également. Ces éléments constituent le point de départ pour l’avertissement des victimes en temps utile. Dans la majorité des cas, le caractère unique d’une attaque APT ne dépend pas du caractère inhabituel des modules. Il s’agit plutôt d’une consolidation efficace de composants typiques qui atteignent efficacement leur objectif. La connaissance des principes généraux qui gouvernent les actions des individus malintentionnés permet de mettre en place une réaction efficace aux attaques ciblées.

Ce document aborde ce que Kaspersky Lab considère comme une solution de sécurité d’excellente qualité contre les attaques APT. En guise d’échantillon d’attaque ciblée, nous allons prendre une des attaques APT les plus connues d’aujourd’hui, à savoir Dark Hotel2. A l’instar de nombreuses autres attaques avant elle (Careto, NetTraveler, Red October)3, cette attaque sérieuse a été découverte par les experts de Kaspersky Lab.

Etapes typiques d’une attaque APT

mitigation7

Figure 1 Préparatifs d’une APT

Le point commun de toutes les attaques ciblées est qu’elles débutent toutes par une phase de reconnaissance. Au cours de cette étape préliminaire, les auteurs de l’attaque APT obtiennent des informations, par exemple sur les employés clé de la société victime qui ont accès aux données intéressantes, sur le type de message électronique qui pourrait intéresser ces personnes. Dans la mesure du possible, les individus malintentionnés cherchent à avoir un avant goût de l’infrastructure informatique de la victime. Généralement, cette reconnaissance ne s’opère pas à l’aide de moyens technologiques et il est pratiquement impossible de la remarquer uniquement à l’aide d’un logiciel. C’est ici que nous pouvons parler du contre-espionnage et de la qualité générale du département chargé de la sécurité.

Les étapes techniques de l’attaque débutent directement après la reconnaissance. Tout d’abord, les auteurs de l’attaque doivent obtenir les autorisations d’exécution de code au sein du périmètre sécurisé de la société. Les codes d’exploitation sont très souvent utilisés lors de cette étape. Ce terme désigne un petit programme qui exploite des vulnérabilités dans le système d’exploitation ou dans des applications des ordinateurs ciblés. En cas de réussite, les individus malintentionnés parviennent à exécuter leur propre code qui télécharge et exécute les modules principaux de l’attaque.

La dernière étape est l’objectif principal de l’attaque, à savoir la collecte de données et l’envoi de celles-ci aux individus malintentionnés à l’insu de l’entreprise. Tout d’abord, les modules APT doivent se propager dans le périmètre sécurisé de l’entreprise pour y parvenir. Les stratégies mises en œuvre pour la propagation varient énormément. Certains auteurs d’attaques ciblées cherchent à infecter un maximum d’ordinateurs au sein du périmètre. Ceci inclut aussi bien les ordinateurs qui contiennent les données recherchées que les ordinateur auxiliaires en tant qu’étape de la propagation et une étape complémentaire vers les données. D’autres préfèrent limiter l’activité APT aux seuls périphériques nécessaires afin de réduire ainsi le risque de détection.

N’oublions pas que les développeurs de modules malveillants tentent de rendre leurs programmes résistants aux tentatives de suppression. Le module tente de survivre et n’a pas besoin d’une nouvelle exécution des premières étapes de l’attaque pour récupérer. Toutes les étapes décrites ci-dessus et reprises dans l’illustration possèdent des indicateurs qui peuvent être mis en lumière par un logiciel de sécurité spécialisé.

Caractéristiques de Dark Hotel

Parmi les tactiques de propagation les plus répandues, Dark Hotel utilise le harponnage standard. Aux côtés de la technique dite du point d’eau (infection de sites Internet très fréquentés), il s’agit de la méthode la plus fréquemment utilisée pour démarrer une attaque. Ceci s’explique par la relative simplicité de la méthode et l’exposition potentielle pour n’importe quelle société dont les employés utilisent Internet et le courrier électronique. Un système de sécurité intégral doit tenir compte de cette popularité et déjouer ces tactiques aussi bien au niveau du point de terminaison que dans le filtrage du trafic réseau.

Les méthodes efficaces standard n’empêchent pas les individus malintentionnés d’ajouter des éléments intéressants à leurs attaques. Dark Hotel utilise une technique d’infection unique. C’est à elle que cette APT doit son nom.

mitigation8

Figure 2 Dark Hotel, attaque en dehors du périmètre de sécurité de la société

Lors de la phase de reconnaissance, les attaquants obtenaient la liste des clients attendus avec toutes les informations nécessaires. D’un point de vue technique, c’est la vulnérabilité de l’infrastructure informatique des hôtels qui permet ensuite de lancer l’attaque contre les ordinateurs des clients. Pour cette attaque ciblée en particulier, les individus malintentionnés avaient choisi des hôtels utilisés par des hommes et des femmes d’affaires. L’opération débute au niveau de la page d’accueil que chaque client de l’hôte voit dans son navigateur lorsqu’il souhaite naviguer via le Wi-Fi de l’hôtel.

A la différence du harponnage ou de la technique du point d’eau, cette technique requiert une préparation longue et onéreuse lors de la reconnaissance, mais la valeur des informations qui peuvent être récupérées sur les ordinateurs des victimes soigneusement choisies peuvent justifier amplement l’investissement. Il faut bien noter que dans le cadre de ce scénario d’infection, la victime se trouve hors du périmètre de sécurité de l’entreprise. Tout département qui souhaite mettre en œuvre un système de protection intégral à plusieurs niveaux ne peut se permettre d’ignorer un tel scénario et doit veiller à installer des systèmes de sécurité également sur les appareils des employés. Ces systèmes locaux pourraient avertir le responsable de la sécurité (agent anti-APT) et interrompre l’exécution des modules malveillants (protection du point de terminaison).

Architecture de la solution

L’analyse des objets dans le trafic entrant prend du temps. Si le mode de blocage de la solution spécialisée de la lutte contre les APT est activé, le téléchargement des pièces jointes et des fichiers via HTTP peut être considérablement ralenti. Pour cette raison, nous estimons que cette solution doit fonctionner en mode avertissement. Le responsable de la sécurité reçoit toutes les données requises via sa console de gestion. Le rôle d’un logiciel de lutte contre les APT est d’enregistrer tous les événements nécessaires et de simplifier l’analyse de l’incident. Il n’est pas là pour bloquer l’exécution des programmes. C’est à la protection du point de terminaison qu’il incombe de bloquer l’exécution des modules malveillants en temps utiles. Les clients professionnels de Kaspersky Lab peuvent compter sur Kaspersky Endpoint Security (KES)4.

Il est primordial que le volume de données sélectionné pour les responsables de la sécurité soit le bon. Il doit être suffisant pour permettre une analyse de qualité, mais les alertes incessantes sur les menaces potentielles et les données inutiles ne doivent pas perturber le travail des individus chargés de la sécurité.

mitigation9

Figure 3 Architecture de la solution intégrale

L’ensemble du système de lutte contre les APT est composé de capteurs réseau responsables de l’organisation de l’analyse du trafic, de la création des métadonnées qui décrivent le contenu de ce trafic et de la séparation des objets en vue d’une analyse plus poussée. Le détecteur d’anomalie statistique est chargé de la fonction heuristique. Ce module détermine l’existence d’écarts par rapport aux normes du trafic réseau de l’entreprise. Le bac à sable, quant à lui analyse le comportement des objets extraits.

La console de gestion du responsable de la sécurité réunit toutes les informations des modules en un seul endroit et présente les résultats du fonctionnement de ceux-ci. Outre cette solution centralisée dont le déploiement requiert au moins certains serveurs dédiés, il est possible également d’installer en parallèle des agents de lutte contre les menaces APT directement sur les postes de travail des utilisateurs.

Grâce à l’aide de ces agents locaux, la solution spécialisée de lutte contre les APT peut obtenir des informations sur les processus à l’origine de l’apparition du trafic suspect. Les avertissements envoyés aux responsables de la sécurité sont alors plus précis. Par exemple, il peut voir ainsi que svchost.exe et d’autres processus du système sont à l’origine d’un trafic inhabituel. De plus, ces agents renseignent la solution de lutte contre les APT sur l’activité logicielle qui arrive non pas depuis le réseau, mais via une clé USB ou un autre support.

Le degré de précision atteint par la solution spécialisée de lutte contre les APT augmente considérablement lorsque qu’une base de connaissances dans le cloud est utilisée. Ce genre de référentiel centralisé est généralement hébergé sur le site de l’éditeur et fournit des renseignements sur la réputation des fichiers, des noms de domaine et des adresses IP. Le cloud permet également d’établir une distinction entre une attaque ciblée et une infection en masse grâce à l’interrogation d’une base de données centralisée sur le caractère unique de toute activité suspecte détectée.

Une attaque organisée via un hôtel se déroule en dehors du périmètre de sécurité de la société et permet de comprendre pourquoi une protection qui se veut globale doit comporter une solution de lutte contre les APT centralisées ainsi qu’une protection de pointe au niveau des points de terminaison. Ces deux démarches doivent être appliquées simultanément.

Nous sommes convaincus que seule une architecture à plusieurs niveaux peut offrir un niveau de protection digne de ce nom. Plusieurs de ses composants collectent des informations sur les événements qui surviennent sur les points de terminaison, analysent le trafic réseau à l’aide d’algorithmes heuristiques et exploitent les avantages offerts par le cloud de sécurité en vue d’obtenir plus rapidement des informations sur les nouvelles menaces et d’améliorer le niveau de détection des malwares. C’est un travail d’équipe entre les solutions spécialisées de lutte contre les APT qui se focalisent sur les alertes relatives aux attaques et les solutions de sécurité locale chargées d’exécuter les actions contre les codes malveillants.

Une démarche fréquente consiste à installer la solution unique complète avec le bac à sables et les capteurs de réseau. Par contraste, la solution dotée de plusieurs capteurs qui fournissent des données pour une analyse centralisée est bien plus efficace.

Le principal avantage des capteurs séparés est qu’ils permettent de réaliser un modèle de déploiement plus souple de la solution sur l’infrastructure informatique de l’entreprise. Dans les grandes entreprises, il faut prévoir une interception du trafic en plusieurs points. Plusieurs raisons justifient une telle démarche : l’utilisation des NAT (Network Addresses Translation) après laquelle une partie des données dans les paquets réseau est perdue ; l’organisation en succursales dotées d’une très grande autonomie ; partie du trafic accessible uniquement dans certains segments du réseau, etc. L’installation d’une solution combinée (bac à sable et capteur réseau) partout où cela est nécessaire n’est pas rentable d’un point de vue financier. Il est bien plus intéressant d’installer de nombreux capteurs plus légers dans les segments qui le requièrent.

Ces capteurs sont conçus au départ pour capter toutes les données dans une seule console de gestion. Certains appareils combinés sont orientés uniquement sur sa propre interface Internet. En réalité, dans ce cas, un appareil supplémentaire est requis pour la collecte centralisée des données.

L’autre argument en faveur d’un déploiement de plusieurs capteurs au lieu d’un seul appareil est le volume de trafic qui transite via chaque appareil. Dans le cas d’une connexion SPAN (Switch Port Analyser, une méthode de mise en miroir très souvent utilisée dans l’analyse du trafic), il n’y a pas de confirmations d’intégrité des paquets. La répartition du trafic sur plusieurs appareils protège contre l’augmentation du nombre de défaillance alors que le flux prend de l’ampleur. La console de gestion unique quant à elle demeure.

Phase de mise en œuvre

Examinons les différentes étapes d’une attaque ciblée du point de vue d’une solution à plusieurs niveaux contre les APT. Dans le cadre de la propagation par harponnage, les auteurs de Dark Hotel envoient soit un message contenant un lien vers un code d’exploitation pour Internet Explorer, soit joignent un code d’exploitation pour Adobe au message. Il existe également un scénario d’attaque qui repose sur l’utilisation de documents Microsoft Word dotés d’un code d’exploitation pour Flash (il s’agissait d’une vulnérabilité 0jour lors de la divulgation de l’APT).

La deuxième méthode d’injection consiste à ajouter les modules Dark Hotel à des archives placées sur des réseaux de torrent P2P. Le troisième, et dernier vecteur, déjà évoqué est l’infection du client de l’hôtel. Dans ce cas, les utilisateurs sont redirigés depuis la page d’accueil du réseau via une balise « iframe » suite à une modification introduite par les individus malintentionnés. Après cette redirection, la victime voit un message standard qui lui propose de télécharger la barre d’outils Google ou une mise à jour pour Adobe. Si l’utilisateur accepte l’offre, il infecte son ordinateur.

Le travail d’équipe entre le bac à sable et les capteurs réseau permet de réagir. Les fichiers extraits du trafic réseau sont transmis au bac à sable. Le bac à sable indique ensuite s’il s’agit d’un code potentiellement dangereux. En cas d’exécution d’un code dangereux, le bac à sable crée des journaux et transmet les informations pertinentes au tableau de bord du responsable de la sécurité. Celui-ci obtient les informations relatives à l’activité des fichiers sur l’ordinateur et aux actions que le logiciel de sécurité considère comme suspectes. Dans le cas de l’infection des appareils des clients de l’hôtel, ces actions sont stoppées par la solution de protection locale sur le point de terminaison.

Les capteurs réseau détectent les attaques ciblées à l’aide des adresses IP et des domaines utilisés durant l’action. Le contenu du trafic réseau est également pris en compte : dans certains cas, l’attaque APT utilise son propre protocole. Le bac à sable peut utiliser le capteur réseau pour contrôler le trafic des applications suspectes exécutées dans le bac à sable.

De plus, un capteur réseau est capable de détecter des attaques ciblées sur la base d’anomalies de trafic spécifiques. Pour ce faire, la solution de sécurité doit contenir des modèles de comportement de haut niveau qui décrivent le comportement typique d’un malware. Parmi les signes pour ces modèles, citons les connexions internes avec des domaines inconnus créés récemment, la fréquence du trafic sortant, les emplacement des serveurs, etc. Par exemple, si une entreprise n’a jamais travaillé avec un pays X et que du jour au lendemain, un volume important de données est transmis vers ce pays la nuit, il y a lieu de déclencher une alerte.

Phase d’exploitation

Si le code d’exploitation parvient malgré tout à s’exécuter durant l’attaque, il commence à télécharger les autres modules de l’attaque APT sur l’ordinateur infecté. A ce stade, tous les mécanismes de détection cités ci-dessus pourraient se déclencher car la solution de lutte contre les APT peut détecter exactement les modules actifs de l’attaque ciblée.

Par exemple, un des modules intéressants de Dark Hotel est un enregistreur de frappes à signature numérique au niveau du noyau. Installé en tant que pilote Windows, ce logiciel lit les frappes au clavier directement depuis le contrôleur de clavier sur la carte mère. La nouvelle exécution de l’enregistreur de frappes est garantie par une tactique standard : l’ajout d’une clé de registre dans la branche HKCU.

Vu que le bac à sable garde un œil en permanence sur les objets (fichiers, URL) via le capteur réseau et signale toute activité étrange au responsable de la sécurité, l’ajout de clés de registre Windows ne passe pas inaperçu.

Conclusion

Kaspersky Lab gère le développement du bac à sable comme un processus technologique interne depuis plusieurs années. Nous disposons déjà d’une grande base de données dans le cloud avec les réputations des URL et des fichiers. La version autonome du bac à sable en vue de l’installation du côté du client est une conséquence directe d’un développement à long terme, une nouvelle étape dans son évolution. Les ressources matérielles requises au niveau des points de terminaison pour l’analyse de l’activité sont très modestes par rapport à celle du matériel spécialisé dédié pour un bac à sable autonome de lutte contre les menaces APT. Il est primordial d’analyser tous les événements nécessaires en fonction de l’infrastructure du réseau. Cela devient possible après avoir ajouté des capteurs réseau au bac à sable. Et après avoir ajouté une console de gestion unique, il devient possible d’analyser plus en détails le développement des attaques ciblées.

De plus Kaspersky Lab dispose déjà d’une riche expérience en matière d’analyse des APT. L’Equipe internationale de recherche et d’analyse (Global Research and Analysis Team (GReAT) détient une expérience unique en la matière.

Le volume impressionnant d’informations déjà récoltées et d’informations mises à jour dans KSN5 au départ de millions d’appareils permet de répondre à la question importante pour le client : cette incident fait-il partie d’une épidémie de masse ou s’agit-il vraiment d’une attaque ciblée contre l’infrastructure d’une entreprise en particulier ? Ces données sont accessibles via le service de sécurité dans le cloud (KSN) de Kaspersky Lab. Elles peuvent également être fournies uniquement du côté client via le Kaspersky Private Security Network (KPSN). L’association du moteur de bac à sable qui a fait ses preuves, de l’expérience dans les enquêtes sur les attaques et du volume de données sur les réputations accumulé dans notre cloud confère à Kaspersky Lab une position avantageuse dans le développement de solutions de lutte contre les APT. Nous restons convaincus que cette solution doit être considérée comme une seule couche d’une sécurité de l’information intégrale à plusieurs niveaux. Même si elles possèdent une robuste protection contre les APT, les sociétés ne peuvent négliger les autres couches comme la sécurité avancée des points de terminaisons, la protection de la messagerie, etc.

  1. Décrit en détail dans le livre blanc de Kaspersky Lab intitulé Stratégies d’atténuation du risque lié aux menaces avancées persistantes (APT)

  2. Pour les détails consultez

  3. Les informations relatives aux menaces réelles sont publiées sur

  4. Voici une référence sur les technologies utilisées par Kaspersky Lab

  5. Pour en savoir plus sur les technologies de Kaspersky Lab, consultez