XDR et MITRE ATT&CK : anticiper les mouvements de l’attaquant pour mieux l’appréhender

Les cybercriminels démontrent année après année leur capacité à développer des scénarios d’attaques toujours plus sophistiqués. Fileless malware, détection des environnements de sandbox, exploitation de vulnérabilité zéro-day, de nombreuses techniques ont prouvé par le passé qu’elles avaient la capacité à contourner tout ou partie des solutions de cybersécurité existantes. Pour pouvoir détecter et stopper une attaque, les professionnels peuvent aujourd’hui s’appuyer sur des référentiels de cybersécurité comme MITRE ATT&CK, référentiel permettant de comprendre et d’anticiper les mouvements de l’attaquant. Explications.

Les postes de travail, téléphones portables et tablettes sont une cible de choix pour les cybercriminels. Pour protéger ces actifs informatiques, les antivirus ont laissé place à la technologie dite d’EPP, acronyme de Endpoint Protection Platform. Un EPP est un agent logiciel dont le but est de prévenir des cybermenaces comme les attaques par ransomware, malware et autres programmes malveillants. Cet agent permet d’avoir un premier niveau de sécurité de détection de ce qu’il connait. L’EPP se base sur l’analyse des signatures « malwares », ainsi que sur une première analyse heuristique qui va décompiler le programme suspect et analyser son code source et le comparer à celui des malwares connus. Cependant, l’évolution rapide de ces menaces génère un nombre très important de faux positifs. En effet, cette technologie permet d’avoir un premier niveau de sécurité, mais elle est limitée par le fait de ne pas collecter des données télémétriques et par analogie de ne pas être utilisée à des fins de détection comportementale, de hunting ou de forensique.

C’est pour répondre à ce besoin que la technologie EDR (Endpoint Detection and Response) a été développée. Solution complémentaire à celle de l’EPP, l’EDR observe et détecte tout comportement suspect permettant d’endiguer la menace. Pour faire simple, l’EPP détecte les menaces en amont lorsque l’EDR traite la compromission en aval. Pour ce faire, l’EDR s'appuie sur des référentiels de cybersécurité comme MITRE ATT&CK. Grâce à la modélisation des tactiques, techniques et procédures (TTP), et en s’appuyant sur les traces laissées par l’attaquant, des scénarios de détection permettent d’identifier l’avancée de l’attaque et ainsi de réagir.

Au moment de la rédaction de cet article, le référentiel MITRE ATT&CK décompose le mode opératoire des cybercriminels en 14 tactiques :

• Reconnaissance
• Développement des ressources
• Accès initial
• Exécution
• Persistance
• Élévation des privilèges
• Contournement des défenses
• Accès aux identifiants
• Découverte
• Déplacement latéral
• Collecte
• Commande et contrôle
• Exfiltration
• Impact

À cela s’ajoutent l’identification de 193 techniques et 401 sous-techniques utilisées comme la compromission d'infrastructures, le DHCP Spoofing, le détournement d’extension de navigateur ou les attaques par brute force. Une mine d’or qui permet aux entreprises de renforcer leur arsenal de détection et de réponse.

Si les technologies EPP et EDR sont un premier rempart contre les cybermenaces, elles ne permettent de surveiller que la machine sur laquelle l’agent logiciel est installé. Pour éviter que les cyber attaquants n’exploitent des équipements qui ne seraient pas sécurisés par ces technologies, la technologie XDR pour eXtended Detection and Response a été développée.

En collectant les logs d’événements de tout type d’équipements, l’XDR permet d’analyser l’activité de l’ensemble des actifs du système d’information. Agnostique aux protocoles et aux marques, la plateforme XDR a la capacité d’intégrer les équipements en bordure de réseau (pare-feu) en passant par les équipements des réseaux internes (routeur, switch) jusqu’aux serveurs et terminaux non pourvus d’agents EPP/EDR.

Si sur le papier, le concept marketing de l’XDR semble clair, dans les faits chaque éditeur de cybersécurité n’en a pas la même définition. Pour certains la technologie XDR est l’addition de la collecte des logs provenant des EDR et des événements provenant des accès utilisateurs (IAM) quand pour d’autres il s’agit de l’association des événements provenant des EDR et de l’analyse du trafic réseau (NTA) par l’intermédiaire d’un firewall de collecte.

En corrélant les données remontées comme des indicateurs de compromissions (IoC) ou indicateurs d’attaques (IoA) et grâce au référentiel MITRE ATT&CK, la technologie XDR a la capacité de reconnaître un mouvement latéral, une tentative d’escalade de privilège ou une exfiltration de données. L’XDR permet d’arbitrer de manière holistique le périmètre à sécuriser tout en définissant des scénarios de détection basés sur des tactiques, techniques et procédures identifiées. Ces scénarios demandent le plus souvent de développer des scripts d’automatisation au travers d’une brique d’orchestration appelée SOAR (Security Orchestration, Automation and Response). Une brique technologique qui n’est pas intégrée par défaut dans l’ensemble des offres XDR sur le marché.

Modifier proactivement les règles de filtrage d’un firewall.

La connaissance du mode opératoire d’une attaque accompagnée de l’identification d’une IP appartenant à une infrastructure cybercriminelle permet de détecter une tentative d’intrusion. En intégrant un firewall à une plateforme XDR, une action de réponse (bannir l’IP) peut être déclenchée automatiquement afin de stopper la tentative d’intrusion.

Détecter des comportements utilisateurs suspects.

En analysant les processus des utilisateurs, la plateforme XDR peut détecter une tentative d’escalade de privilège comme l'exécution d’un processus à l’aide de droits administrateurs par un utilisateur ne disposant pas habituellement de ce niveau de droits. Pour endiguer cette menace, une action de remédiation peut être lancée depuis la plateforme XDR en tuant le PID^[1] du processus, en désactivant l’utilisateur concerné puis en isolant la machine infectée.

Désactiver les URL de phishing avant que l’utilisateur n’accède à la page.

94% des menaces utilisent l’email comme premier vecteur d’attaque. En analysant les liens contenus dans les emails de la boîte de réception de la messagerie d’entreprise, la plateforme XDR a la capacité de visiter les URL et d’analyser si les pages sont légitimes ou non. Dans le cas d’une page de phishing, une action de réponse peut être lancée auprès du web proxy dans le but de stopper la résolution du domaine incriminé. Cette remédiation est transparente pour l’utilisateur et peut se faire en quelques secondes.

Détecter les attaques par sténographie.

Pour contourner les mécanismes de détection, les cybercriminels dissimulent des informations comme des paramètres de configuration dans des fichiers altérés (JPG, PNG). En analysant le cycle de vie des fichiers de la création à la modification puis à la suppression, la technologie XDR a la capacité de corréler ces informations et de fournir une information contextualisée à l’analyste SOC. La fonctionnalité de désobfuscation de données est aujourd’hui majoritairement présente dans les solutions XDR du marché.

Détecter les connexions réseaux échouées.

Lorsqu’une machine est compromise par un malware, ce dernier tente le plus souvent de se déplacer latéralement sur le réseau interne de la victime. Pour ce faire, il lance une phase de reconnaissance en essayant de se connecter sur les machines adjacentes. La détection des connexions réseaux échouées permet à la solution XDR de détecter une tentative de reconnaissance ou de déplacement latéral.

Détecter une tentative d’exfiltration de fichiers.

Qu’elle soit volontaire ou non, monitorer l’accès à un fichier sensible est une donnée importante pour l’analyste SOC. Grâce à l’enregistrement des flux de lecture des données (file-read), la technologie XDR génère une alerte tout en permettant d’évaluer l’exposition de l’incident, et cela par l’analyse de tous les fichiers ayant été lus par ce même processus (PID). Une fonctionnalité essentielle à la détection d’exfiltration de données.

Analyser les RPC^[2] call et System call.

L’XDR apporte aux équipes de Threat Hunting une capacité d’investigation simplifiée. En enregistrant les RPC call et System call, les analystes peuvent accéder à l’ensemble des actions exécutées par un processus en particulier ou par une machine distante. Ceci est particulièrement utile lorsque l’on souhaite comprendre comment les phases de reconnaissance ou de persistance ont été menées.

Au-delà de son utilité dans la détection des menaces, l’aide à la compréhension du mode opératoire utilisée par les cybercriminels, de son comportement et du cheminement de l’attaque, le référentiel MITRE ATT&CK se veut être un atout dans l’évaluation du niveau de maturité de cybersécurité d’une entreprise.

En analysant les modes opératoires utilisés par les cybercriminels, les entreprises peuvent identifier les failles de sécurité présentes dans leur arsenal de détection ainsi que dans les angles morts dans le fonctionnement de leur organisation au quotidien. Associés aux obligations de conformité actuelles et à venir (RGPD, NIS 2, DORA), les décideurs peuvent prendre des actions correctives et renforcer leur niveau de sécurité.

Les technologies de détection et de réponse doivent s’intégrer progressivement au travers de tactiques, techniques et procédures identifiées. Le choix de la technologie XDR se fait par un processus d’arbitrage des scénarios d’attaques à couvrir en priorité pour l’entreprise. Pour ce faire, les décideurs peuvent s’appuyer sur des référentiels comme MITRE ATT&CK. Cette démarche doit cependant se réfléchir et s’inscrire dans l’application de la politique de sécurité du système d’information (PSSI). Si vous souhaitez en savoir plus et recevoir des conseils d’intégration, n’hésitez pas à contacter les experts d'Orange Cyberdéfense.