Incident de cybersécurité : les bons réflexes à adopter

Les nombreuses missions de réponse à incident qu’Orange Cyberdefense a pu mener ont permis d’identifier les comportements récurrents des victimes dont le but reste la remise en condition opérationnelle rapide du parc informatique. Ces actions influencées par les contraintes métiers peuvent pourtant ralentir voire bloquer l’analyse de l’incident. Cet article a pour but de présenter et expliquer les erreurs communes que nous avons constatées, ainsi que les bonnes pratiques à appliquer afin de mener à bien la prestation de réponse à incident, le tout en impactant au minimum la production de l’entreprise.

Éteindre la machine sans faire une copie logique de la RAM*

Sur un système d’exploitation, certaines données sont persistantes lors du redémarrage de l’ordinateur quand d’autres sont volatiles et disparaissent à l’extinction. Parmi ces données volatiles, nous pouvons noter :

• les connexions réseaux établies ;
• les processus en cours d’exécution et leurs ressources.

Un code malveillant peut être exécuté directement depuis un processus, sans écrire sur le disque. A titre d’exemple, la vulnérabilité MS17-10, plus connue sous le nom d’EthernalBlue, qui exploite une faille dans le protocole SMBv1 permet d’exécuter du code arbitraire (RCE**) directement dans le noyau Windows. L’attaquant est alors en mesure de modifier n’importe quel processus afin de le détourner de son fonctionnement initial, sans écrire de fichier sur le disque.

Bonne pratique à adopter

Dans ce cas de figure, une copie logique de la RAM avant d’éteindre le poste permet de retrouver les structures du noyau qui ont été modifiées et ainsi d’identifier le vecteur initial de compromission.

Lancer un scan anti-virus sur l’ensemble du disque sans prendre quelques précautions

L’utilisation d’un anti-virus est fortement recommandée, à condition de suivre quelques règles de bon fonctionnement :

• le configurer afin qu’il mette à jour sa base de signature régulièrement ;
• permettre la récupération des éléments qui ont été mis en quarantaine.

Une base de signature obsolète va en effet réduire le champ de détection des menaces récentes.

Bonne pratique à adopter

Suite à une infection, la suppression de la menace est une action à entreprendre le plus rapidement possible, après une mise en quarantaine systématique de tout élément indésirable. En effet, l’analyste pourra récupérer les éléments qu’elle contient et procéder à leur identification. Cette identification est dans la majeure partie des cas plus fine qu’une signature antivirale, souvent générique. A son tour, l’identification précise de la famille à laquelle appartient un code malveillant peut apporter un faisceau d’indices sur le vecteur de compromission initiale, car ces deux facteurs sont, dans une certaine mesure, corrélés.

Supprimer volontairement les données d’activité de l’utilisateur

Naturellement, un collaborateur est réticent à partager son historique d’activité sur sa machine professionnelle, que ce soit son historique de navigation, ses documents, son dossier temporaire de téléchargement ou les logiciels installés.

La désinstallation d’une version pirate d’un logiciel ou la suppression d’un historique de navigation par exemples, ne vont pas supprimer la charge finale du code malveillant déployée, mais vont en revanche ralentir l’identification de la source de compromission. À titre d’exemple, l’analyse chronologique des actions de l’attaquant peut même être bloquée quand l’utilisateur a supprimé un e-mail de phishing, et que les seuls éléments de preuves dont nous disposons prennent la forme d’une archive de la boîte email de cet utilisateur.

Bonne pratique à adopter

Conserver ses historiques d’activité, même le mail malveillant ayant servi à mener la cyberattaque.

Journaux stockés uniquement sur la machine compromise

Par défaut, un serveur (Windows ou Linux) enregistre ses événements sur son propre système de fichier. L’utilisation d’outils d’externalisation de journaux permet de garantir l’intégrité des journaux en cas de compromission de la machine (suppression et/ou modification des journaux).

En effet, un attaquant ayant des droits administrateurs sur une machine est en capacité de modifier les journaux. Une personne pressée ou qui n’a pas besoin d’être discrète va simplement les supprimer, et ainsi enlever à l’analyste une précieuse source d’information. Une personne plus discrète va vouloir cacher ses traces en modifiant subtilement les journaux. Cette modification va grandement réduire le degré de confiance des éléments de preuve.

A titre d’exemple, nous avons été confrontés à une mission de réponse à incident sur un parc de machines touchées par un ransomware. Toutes les partitions du disque ont été chiffrées, les rendant inexploitables.

Bonne pratique à adopter

Conserver les journaux sur un disque externe, restant accessible en cas de cyberattaque.

Durée de conservation des journaux trop courte

Une durée de rétention trop courte des journaux peut empêcher de retrouver la source initiale d’une compromission.

Bonne pratique à adopter

Il faut trouver un juste milieu entre la durée de rétention souhaitée, le niveau de verbosité et la taille allouée aux journaux, car ces trois facteurs s’influencent entre eux.

A noter également que le niveau de verbosité ne doit pas être trop faible afin d’être en mesure d’exploiter correctement les données enregistrées. Un journal trop épuré ne contenant pas les événements de sécurité est inexploitable.

Format difficilement exploitable

Le format de rétention est également un élément à ne pas négliger. Par exemple, des centaines de pages PDF contenant les événements d’un utilisateur n’est pas le format le plus adapté pour nous transmettre des données à traiter. Également, les captures d’écran voire les photos de journaux prises par téléphone sont à proscrire.

Bonne pratique à adopter

Un format au plus proche de celui généré par la machine est le plus adapté pour l’analyse, afin de garantir la chaîne de traçabilité.

Utilisation d’outils générant des traces semblables à un attaquant

Afin de faciliter l’exécution des tâches métier du quotidien, des personnes peuvent être tentées d’utiliser des outils tiers. Ces outils ne font pas partie de l’ensemble fourni par l’équipe IT et une analyse post-mortem d’une machine peut conduire à des fausses pistes, ralentissant grandement l’analyse.

Nous pensons à des outils comme PsExec, un couteau-suisse utilisé par les administrateurs système mais également par des attaquants pour effectuer des mouvements latéraux dans le réseau interne de l’entreprise.

Bonne pratique à adopter

N’utiliser que les outils sécurisés prévus par le protocole de sécurité de votre entreprise.

Délai entre l’incident et l’acquisition des éléments de preuve

Les entreprises n’ayant pas un inventaire à jour peuvent avoir des difficultés à identifier physiquement un poste qui doit être collecté (personne en itinérance, grand nombre de sites à travers le monde).

Les principaux risques liés à cette latence de collecte sont la perte des traces les plus anciennes (rotation des journaux d’événements).

Bonne pratique à adopter

Collecter les données de manière régulière et réaliser un inventaire, mis-à-jour régulièrement, pour permettre aux équipes d’investigation numérique de débuter au plus tôt leur enquête.

Comme nous avons pu le voir, la sécurisation rapide des éléments de preuve suite à une compromission est primordiale pour mener à bien une prestation de réponse à incident dans les meilleures conditions. Cette sécurisation passe par une copie logique de la mémoire vive, ainsi qu’une copie physique du disque dur en cas de soupçon. Une fois cette étape de collecte effectuée, une réinstallation du service voire du système d’exploitation peut être effectuée sans risquer de perdre des traces utiles pour l’analyse.

En amont de l’incident, nous vous recommandons de vérifier régulièrement votre capacité à isoler une ou plusieurs machines, ainsi qu’à lire les journaux d’événements sauvegardés de manière simple.

Notes

*Random Access Memory

**Remote Code Execution