Sommaire
La CTI (Cyber Threat Intelligence) est au cœur des activités de Sekoia.io. Dans cet article de blog, nous présentons l’intégration d’indicateurs de compromission (IoC) dans notre Cyber Threat Intelligence (CTI) à partir des résultats de l’analyse sandbox Triage de Hatching. Pour fournir un contexte à cette intégration, nous décrivons brièvement notre vision de CTI dans Sekoia.io. Nous résumons ensuite les sources qui alimentent nos connaissances sur les menaces utilisées pour la détection dans Sekoia.io eXtended Detection and Response (XDR). Et enfin, nous détaillons l’intégration des IoCs produits par la sandbox Hatching Triage et complétés par notre module Security Orchestration, Automation and Response (SOAR).
Vision de la Cyber Threat Intelligence dans Sekoia.io
Chez Sekoia.io, nous avons conçu le CTI pour être au cœur de Sekoia.io XDR et plus globalement pour améliorer l’anticipation, détection et de réponse. Comme expliqué dans notre précédent article de blog, CTI a trois orientations principales: stratégique, tactique et opérationnelle.
- La CTI stratégique permet d’évaluer les cyber-risques et, par conséquent, de piloter la stratégie de cybersécurité organisationnelle de haut niveau. Pour ce faire, les données doivent être contextualisées et compréhensibles pour les décideurs.
- Le CTI tactique permet aux utilisateurs de mieux connaître le modus operandi des adversaires, leurs campagnes, leurs motivations et éventuellement d’identifier les acteurs de la menace.
- Le CTI opérationnel concerne les artefacts techniques pertinents pour la détection ou l’investigation en temps réel. Fort de ces connaissances, la réponse aux incidents est grandement facilitée et accélérée.
Pour produire une intelligence répondant à ces trois objectifs, il est nécessaire de disposer d’un CTI hautement structuré, contextualisé et actionnable. En effet, le renseignement stratégique et tactique nécessite des données compréhensibles et le renseignement opérationnel nécessite des données exploitables.
Dans Sekoia.io, nous avons décidé d’utiliser STIX, qui est un langage structuré spécialement conçu pour Cyber Threat Intelligence. Avec son approche graphique, STIX permet d’associer un rapport OSINT sur un sujet brûlant, à une campagne liée à un malware lui-même associé à des indicateurs. Les relations sont préservées pour conserver le contexte et assurer la traçabilité du renseignement. Les indicateurs sont la pierre angulaire de notre XDR.
Pour effectuer une détection en temps réel et de haute qualité, nous collectons, enrichissons et contextualisons en permanence de nombreux artefacts techniques sur les cybermenaces, appelés indicateurs de compromission (IoC). Pour s’assurer que nos clients peuvent faire entièrement confiance à nos événements de détection, ces données ont une date de validité et une traçabilité complète. Une validité limitée nous permet de ne conserver que les IoC utiles dans notre base de connaissances, tandis que le suivi de leurs sources permet d’affiner le moteur de détection.
Enfin, chaque IoC indique un ou plusieurs objets pour ajouter du contexte à la menace, tels que des logiciels malveillants, des outils, des ensembles d’intrusions, des acteurs de la menace, des campagnes, etc. La conception de notre CTI permet donc une meilleure détection des menaces dans Sekoia.io XDR, principalement grâce aux Indicateurs de Compromis que nous allons maintenant décrire plus en détail.
Comment collecter et enrichir les Indicateurs de compromission ?
Les indicateurs de notre CTI sont le résultat de plusieurs étapes qui sont réalisées automatiquement ou manuellement par l’équipe Sekoia.io. Le parcours d’un IoC commence par l’agrégation de données provenant de plusieurs sources et leur validation. Potentiel les informations sur les menaces sont alors enrichies, structurées et mises en perspective dans leur contexte.
À terme, la connaissance des menaces est prête à être utilisée par nos clients, quel que soit leur environnement technique. Notre travail leur permet de gagner un temps et des efforts considérables sur la modélisation et la surveillance des menaces OSINT grâce à des indicateurs exclusifs provenant de trackers propriétaires.
Nous puisons dans plusieurs renseignements sur les menaces, soit de la communauté, soit de sources exclusives. Pour n’en citer que quelques-uns, nous intégrons des informations provenant de :
- Rapports de menace Open-Source Intelligence (OSINT) :
les articles de blog, les déclarations d’agences gouvernementales, les rapports DFIR ou tout autre contenu OSINT sont transformés en renseignements contextualisés par les analystes de Sekoia.io. Il comprend également des IoC vérifiés et enrichis partagés via ces rapports.
- Flux de menaces provenant de sources communautaires : les
indicateurs provenant de flux communautaires, tels que MalwareBazaar, MWDB, Feodo Tracker, URLhaus, sont automatiquement vérifiés, contextualisés et intégrés dans notre base de données CTI.
- Traqueurs d’infrastructures adverses :
sur la base des artefacts des campagnes précédentes, nous identifions les caractéristiques des infrastructures adverses pour suivre leurs déploiements actuels. Pour ce faire, nous utilisons les données de scanners tiers (comme Onyphe, Shodan ou autres) pour identifier les infrastructures Command & Control (C2) actives parfois avant même que l’adversaire ne les utilise. Pour en savoir plus sur cette démarche de chasse proactive, lisez notre billet de blogue à ce sujet.
- Surveillance du Dark Web :
Pour un renseignement plus exclusif, nous surveillons également une partie du Dark Web pour collecter des informations sur les activités des cybercriminels.
L’utilisation de toutes ces multiples méthodes nous permet d’avoir une large couverture sur les menaces, allant des logiciels espions répandus aux groupes APT ciblant des secteurs spécifiques.
Dans un effort d’amélioration continue de notre CTI, nous devons constamment débloquer de nouvelles sources d’information. Par exemple, afin d’augmenter notre couverture des tendances des logiciels malveillants, nous nous sommes intéressés aux résultats de l’analyse automatisée des logiciels malveillants, qui est généralement effectuée dans un bac à sable.
Les technologies de sandboxing exécutent des échantillons de logiciels malveillants pour analyser leur comportement et extraire des informations, telles que les IoC. Les bacs à sable peuvent donc être une riche source d’informations sur les logiciels malveillants populaires, car les soumissions publiques en disent long sur les menaces auxquelles les entreprises sont confrontées.
À la recherche d’un bac à sable à la hauteur de nos attentes
Le choix d’une technologie de bac à sable a impliqué la définition de nos besoins et l’analyse des capacités des différentes solutions.
Nos exigences pour sélectionner une solution sandbox incluent de nombreuses fonctionnalités qui peuvent être impliquées dans le cycle de production CTI, allant de la collecte d’IoC à partir de l’analyse d’échantillons, à l’écriture de règles de détection basées sur le comportement d’échantillons, y compris la récupération de données à partir de configurations de logiciels malveillants extraites. , suivi des campagnes de malwares, etc.
Pour trouver la sandbox parfaite pour nos besoins, nous avons construit un benchmark de solutions. Ils ont reçu plusieurs échantillons d’acteurs parrainés par l’État, de cybercriminels compétents ou d’attaquants isolés agissant par opportunisme. Pour chaque échantillon, nous avons noté le bac à sable en fonction de notre liste de critères. Nous avons également pris en compte la rapidité, la justesse et l’efficacité du bac à sable. La présence d’une API était également essentielle pour automatiser notre processus autant que possible.
Si vous avez lu le titre de cet article, il n’est pas surprenant que nous ayons sélectionné le bac à sable Hatching Triage. Au-delà de répondre à nos exigences de base et d’afficher de nombreuses fonctionnalités intéressantes, une fonctionnalité nous a vraiment séduit et nous tenons à en féliciter les équipes de Hatching. Cette fonctionnalité est l’extraction automatisée des configurations de logiciels malveillants. En bref, des extracteurs de configuration sont disponibles pour certaines familles de logiciels malveillants, telles que Cobalt Strike, IcedID, Trickbot, Qakbot et bien d’autres. Ils extraient les serveurs Command & Control (C2) associés à l’échantillon de malware qui peuvent être des adresses IP, des noms de domaine ou des URL.
Configuration IcedID extraite sur Triage : https://tria.ge/210623-fa6mx24cr2
D’ailleurs, le port est souvent informé lorsque le C2 utilise une adresse IP, ce qui compte beaucoup, notamment pour les C2 Remote Access Tool (RAT). En effet, pour les RAT les plus courants, les attaquants partagent souvent un seul serveur comme illustré dans la figure suivante. Dans un contexte SOC, la connaissance du port, notamment lors de la collecte et de l’ajout automatique des IoC, est donc précieuse pour éviter les faux positifs à la détection et accélérer l’analyse des alertes.
Configuration extraite de Quasar RAT incluant un port sur Triage : https://tria.ge/210624-tmff1at666
Comme expliqué précédemment, les données disponibles sur les serveurs C2 sont extrêmement précieuses. Nous pouvons créer des IoC qualifiés à partir d’informations extraites de l’analyse d’échantillons. La soumission d’échantillons est importante dans notre CTI, car nous collectons de nouveaux IoC des menaces à la mode auxquelles sont confrontées les entreprises en temps quasi réel. De plus, les serveurs C2 sont extraits d’échantillons de logiciels malveillants dont la famille a été identifiée par le bac à sable Triage. Les artefacts de réseau sont donc déjà qualifiés et nous pouvons être relativement confiants dans leur exactitude.
Des exemples de hachages ou d’URL sont également des IoC intéressants qui peuvent être collectés, contextualisés et ajoutés à notre base de données CTI.
L’extraction automatisée des configurations de logiciels malveillants est une excellente fonctionnalité pour collecter des IoC contextualisés avec une bonne confiance dans Sekoia.io. C’est aussi la raison pour laquelle le bac à sable Hatching Triage répondait le mieux à nos besoins.
Intégrer les résultats de Triage dans Sekoia.io
Maintenant que nous avons identifié la source, il est temps de l’intégrer avec notre module intégré Security Orchestration, Automation and Response (SOAR).
Notre Le module SOAR est utilisé dans le Sekoia.io XDR pour automatiser des processus récurrents (actions répétitives, enrichissement) ou pour effectuer une action automatisée à grande échelle. Cela fait gagner du temps aux analystes SOC et limite la fatigue, et s’avère donc être la fonctionnalité parfaite pour intégrer les résultats des analyses de Triage. Chaque automatisation a été réalisée en utilisant des playbooks, qui peuvent être considérés comme une programmation visuelle en bloc ou une automatisation sans code.
Nous avons donc implémenté de nouveaux blocs dans le module SOAR pour collecter ce dont nous avions besoin. Un bloc récupère les IoC associés à une famille de logiciels malveillants spécifique marquée par Triage. Un autre bloc normalise les données dans le contenu STIX avant d’être ingérées. Ces blocs visent également à contextualiser les données collectées, à leur attribuer une date de validité, une référence externe, une source, une phase de kill chain (à l’aide de MITRE ATT&CK) et à les relier à la menace associée.
Playbook Sekoia.io collectant les IoC à partir de l’analyse du bac à sable Triage
Le résultat final du playbook est un ensemble d’IoC poussé dans notre base de données CTI. Une grande valeur ajoutée de la source de données Triage est que chaque indicateur est associé aux résultats complets du bac à sable qui sont très utiles pour la chasse aux menaces. En effet, un analyste a besoin d’informations concernant la menace. Son comportement au niveau du système et du réseau aide l’analyste à mieux qualifier une alerte ou enquêter lors d’incidents.
Le malware IcedID IoC et son contexte dans Sekoia.io
Pendant un mois, 9 000 indicateurs ont été collectés.
Exemple de widget sur Sekoia.io listant les statistiques de Triage.
Comme prévu, les indicateurs collectés sont pertinents à des fins de détection et d’investigation. En effet, des compromissions chez nos clients ont été détectées dans Sekoia.io XDR à l’aide de ces indicateurs et notamment une infection Agent Tesla détectée sur plusieurs étapes : la livraison, l’exécution et la communication C2.
Conclusion
En résumé, Sekoia.io CTI s’appuie sur des sources communautaires et exclusives pour fournir une intelligence hautement structurée, contextualisée et exploitable à nos clients. Dans le but d’améliorer notre précision et d’étendre notre couverture des menaces, nous avons intégré les résultats de l’extraction de la configuration des logiciels malveillants produits par l’analyse du bac à sable Triage.
Ces données sont déjà hautement qualifiées par la solution sandbox et notre module SOAR s’occupe de l’intégration et de l’enrichissement. Nous sommes fiers de coopérer avec Hatching, une entreprise technologique européenne offrant un produit de haute qualité en matière de cybersécurité.
Nous saisissons l’occasion de ce blog pour remercier la communauté travaillant sur ces projets ainsi que les individus et les organisations partageant des informations précieuses via les rapports de menace OSINT.
Vous pouvez lire aussi sur le blog :
- Amélioration de la détection des menaces avec Sigma correlation
- Un aperçu détaillé des opérations de Conti – Première partie
- Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité
- Processus d’idéation chez Sekoia.io
- Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité
- Le paysage des menaces ransomware observé par Sekoia.io durant le 1ᵉʳ semestre 2022
- La Threat Intelligence n’est pas (seulement) sur un spectre
- Processus d’idéation chez Sekoia.io
- Comment nous avons rendu les déploiements plus sûrs à Sekoia.io ?
- The DPRK delicate sound of cyber