Rechercher

CSIRT story : un doux parfum de ransomware

Découvrez le récit d’une intervention des équipes CSIRT d’Orange Cyberdefense venant en aide à un client au Vietnam.

Une attaque par ransomware au Vietnam

Un client a fait appel à Orange Cyberdefense car l’une de ses filiales vietnamiennes subissait une attaque par ransomware. En coopération avec Orange Business Services, qui a dépêché un ingénieur sur site, les experts du CSIRT (Computer Security Incident Response Team) ont pu intervenir quelques heures à peine après l’identification de l’incident. 

Démarrage en fanfare

 L’attaquant a eu accès au serveur RDP (Remote Desktop Protocol). Là, il a largué sa caisse à outils : il scanne le réseau, extrait les mots de passe du navigateur, explore la mémoire des processus et désactive les antivirus sur le serveur. 

Le « roi du Texas »

 Dix minutes après l’intrusion, il a déjà procédé à la reconnaissance du réseau et obtenu les identifiants de l’administrateur de domaine. Il se connecte au contrôleur de domaine et extrait les identifiants du serveur. Il obtient alors les identifiants de l’ensemble des utilisateurs, ou presque, en clair. 

Vu d’en haut

Connecté au serveur de domaine, l’attaquant monte plusieurs partages, découverts sur le contrôleur de domaine. Il témoigne un intérêt particulier pour les sauvegardes. Il est déjà là depuis une heure et demie. 

Brouiller les pistes

 Une fois la majorité du réseau atteinte et la cible principale sous contrôle, tous les logs Windows sur toutes les machines compromises sont effacés pour tenter de rendre plus ardue l’enquête scientifique du vecteur d’attaque. Cependant, comme vous pouvez le constater, les journaux ne sont pas l’unique source d’information forensics. 

Déploiement d’un ransomware

 Quatre heures après sa première connexion au serveur RDP, l’attaquant déploie une variante de Phobos sur l’ensemble des machines. 

Restaurer proprement les sauvegardes

 En étudiant l’historique de l’attaque, le ransomware utilisé et son mode opératoire, il a été possible de restaurer proprement des sauvegardes des systèmes infectés, puis de les remettre en ligne. Pour les besoins de l’enquête criminelle et afin d’éviter des attaques ultérieures, un rapport complet et détaillé a été fourni au client. 

Enseignements : ce qui se tapit dans l’ombre

 L’histoire commença avec un attaquant surgissant sur un serveur RDP, sans qu’on vous dise comment… Comme les logs ont été effacés, nous ne saurons jamais vraiment comment l’attaquant s’est emparé du compte. Néanmoins, le fait que deux heures après la suppression, plus de huit-mille tentatives de connexion étaient enregistrées depuis le monde entier, il est cohérent de penser à une attaque par force brute. 

  •  Comme énoncé, un réseau non segmenté n’est guère plus solide que son terminal le plus faible. La défense et la détection appliquées aux terminaux sont centrales pour identifier les attaques au plus tôt et minimiser les dégâts.
  • La segmentation réseau peut aider à contenir une attaque en la limitant à une partie séparée du réseau. Les équipements importants, comme les serveurs RDP, doivent de surcroit être protégés au sein du segment.
  • Les attaques par force brute sont relativement faciles à détecter et gérer. Plusieurs milliers de tentatives de connexion ont probablement échoué avant qu’une réussisse. En amont, un mécanisme de détection aurait pu déclencher une alerte et des contremesures automatisées, si des mécanismes de protection ou un SOC (Security Operation Center) avaient été mis en place sur site ou en externe.
  • Enfin, dissimuler la procédure d’attaque et l’activité en supprimant les logs est inefficace si les journaux d’évènements sont collectés au sein d’un SIEM. Non seulement, les logs sont sauvegardés efficacement, mais ils permettent aussi des enquêtes détaillées pour identifier les vecteurs d’attaque et, préventivement, supprimer les vulnérabilités exploitées. 

 Merci à Robinson Delaugerre, CSIRT Investigations Manager chez Orange Cyberdefense, pour cet article.  

 Cette story fait partie de l’édition 2021 du Security Navigator. Pour le télécharger, cliquez ici.