5 outils pour briser les chaînes de cyberattaques

  • Dernière mise à jour
Image d’en-tête des chaînes d’attaque
  • Dernière mise à jour juillet

Pendant un certain temps, le débat sur la cybersécurité s’est concentré sur l’histoire d’une chaîne d’attaques informatiques en mouvement, conduisant à des victimes de renom, à des acteurs de menace présumés parrainés par des États, à des échanges commerciaux sophistiqués et à des menaces pour la sécurité nationale, sans parler des ramifications potentiellement massives sur la politique et les réglementations américaines en matière de cybercriminalité.

De plus, elle ne cesse de s’amplifier !

Mais tandis que nos fils d’actualité continuent d’être inondés de mises à jour et que les entreprises continuent de réfléchir à la manière dont elles pourraient faire face à une attaque similaire, la cybercriminalité « de base » continue de se dérouler tranquillement. Chaque jour, les campagnes de malspam classiques font des hordes de nouvelles victimes. Les rançongiciels ne sont peut-être plus « la menace » la plus courante, mais ils continuent de remplir les portefeuilles des criminels avec de nouveaux bitcoins.

Comme le soulignent Chris Krebs, ancien directeur de l’agence américaine de cybersécurité et de sécurité des infrastructures, et Katie Nickels, directrice du service de renseignement sur les menaces de Red Canary, on a tendance à “fétichiser” les acteurs parrainés un État et à négliger les “criminels ennuyeux”.

Les « criminels ennuyeux » représentent la majorité des menaces auxquelles les MSP et leurs clients sont confrontés et, malgré des années d’efforts et de sensibilisation, de nombreuses attaques continuent de se frayer un chemin à travers les systèmes de défense. Pire encore, elles ne font que devenir plus dommageables et plus coûteuses.

Selon le fournisseur de services de réponse aux incidents liés aux rançongiciels, Coveware, le paiement moyen d’une rançon est passé à 233 817 dollars au troisième trimestre de l’année dernière, soit une augmentation de 31 % par rapport au deuxième trimestre. La durée moyenne pendant laquelle les victimes ont dû faire face aux temps d’arrêt causés par les incidents liés aux rançongiciels a également augmenté, passant à 19 jours.

statistiques rançongiciels t3 coveware

Source : Coveware Q3 Ransomware Report

 

Dans un développement légèrement plus récent mais également en croissance, Coveware a également signalé que 50 % des incidents de rançongiciels qu’ils ont traités au troisième trimestre 2020 comprenaient des menaces de diffusion publique de données exfiltrées.

Les enjeux continuant de grimper, il est important que les MSP prennent du recul et examinent leurs capacités, non seulement en termes de blocage des exécutables malveillants, mais aussi pour repérer, bloquer et réagir aux indications malveillantes plus tôt dans la chaîne d’attaque.

Qu’est-ce qu’une chaîne de cyberattaques ?

Avant de pouvoir discuter plus avant de la manière de traiter la chaîne des cyberattaques, nous devons d’abord comprendre comment elle fonctionne. 

Développée par Lockheed et Martin, la “cyber kill chain” (chaîne de la mort cybernétique) est un cadre systématique qui décrit les étapes suivies par les cybercriminels lorsqu’ils mènent des cyberattaques contre des entreprises. La compréhension du cadre de la cyber kill chain aide les entreprises à mettre en place des mesures de sécurité solides à chaque étape d’une attaque.

Amélioration des systèmes de défense par la mise en correspondance des outils et des chaînes d’attaque cybernétique

Examinons un diagramme que l’équipe d’intelligence défensive de Microsoft 365 a élaboré fin avril 2020. Ce graphique fournit une bonne vue d’ensemble de ce que les chercheurs considèrent comme des activités de post-compromission caractéristiques – vol d’informations d’identification, mouvement latéral et persistance – encadrées par les parties sur lesquelles de nombreux experts non spécialisés en sécurité se concentrent le plus – accès initial et exécution de la charge utile.

Diagramme chaîne attaque rançongiciels microsoft

Source : Microsoft 365 Defender Intelligence Team

 

Ce diagramme montre bien à quel point ces modèles d’attaque sont similaires. Les attaquants commencent par s’implanter, puis s’attachent à pénétrer plus profondément dans l’organisation, à désactiver les sauvegardes et les systèmes de défense et à préparer le terrain pour que, lorsqu’ils déploient le rançongiciel (ou un autre acteur auquel ils vendent l’accès), celui-ci ait un impact maximal et laisse aux victimes le moins d’options possible.

Le fait de décomposer les chaînes d’attaque de cette manière peut faire penser à certains lecteurs au cadre MITRE ATT&CK, qui est beaucoup plus approfondi et couvre un éventail beaucoup plus large de tactiques et de techniques d’attaque.

Comment utiliser les outils de la chaîne des cyberattaques pour renforcer votre cybersécurité ?

J’aime bien cette approche simplifiée, car la matrice ATT&CK est devenue assez byzantine, et je me suis dit que j’allais tenter ma chance pour créer un diagramme de chaîne d’attaque facile à comprendre. Mais j’ai décidé de prendre une direction légèrement différente et d’illustrer comment, en utilisant cinq outils Microsoft auxquels vous avez déjà accès, vous pouvez réellement bloquer ou du moins surveiller une grande partie des tactiques d’attaque par rançongiciels les plus courantes. Ces 5 outils sont :

  1. Attack Surface Reduction (ASR) Rules
  2. Autoruns
  3. PowerShell
  4. RD Gateway
  5. Windows Firewall

Outre le fait que ces outils permettent d’éviter les coûts liés à la sécurité des tiers, la majorité des mesures d’atténuation décrites ci-dessous peuvent être déployées et/ou configurées de manière centralisée par le biais de votre RMM ou d’Intune.

Clause de non-responsabilité : Cette liste n’a pas vocation à être considérée comme exhaustive, loin s’en faut. Il s’agit en fait de présenter des informations de base d’une manière un peu nouvelle pour faire réfléchir les MSP. Nous espérons qu’elle vous aidera à identifier d’autres solutions relativement faciles à mettre en œuvre pour améliorer votre sécurité et celle de vos clients en rendant la vie des attaquants un peu plus difficile.

 

Diagramme de la chaîne d’attaque cybernétique avec outils défensifs mappés

 

Approfondissons ce diagramme et expliquons comment chaque outil peut vous permettre d’identifier un comportement suspect ou de rompre complètement la chaîne d’attaque.

Outil n° 1 : RD Gateway

Tactique mitigée : 

  • Accès initial : Force brute RDP

Tout le monde lève les yeux au ciel et dit qu’il est évident qu’il ne faut pas exposer le protocole RDP (Remote Desktop Protocol) à Internet. Pourtant, plus de la moitié des victimes de rançongiciels avec lesquelles Coveware a travaillé au troisième trimestre 2020 ont été initialement compromises à cause d’un RDP mal sécurisé.

Vous pouvez appliquer vos connaissances sur les chaînes d’attaques et les compromis en configurant une passerelle RD et en suivant les étapes supplémentaires, y compris l’activation de la MFA, décrites ici.

Si vous êtes absolument sûr de ne pas avoir de serveur exposé au RDP, vous pouvez vérifier à nouveau avec l’un des scripts PowerShell suivants de Kelvin Tegelaar, auteur de Cyberdrain. Celui-ci vous aide à effectuer des scans de port, et celui-là vous aide à effectuer des scan Shodan (bien qu’il vous demande de vous inscrire à un compte Shodan payant).

Outil n°2 : Règles de réduction de la surface d’attaque (ASR)

Tactiques atténuées :

  • Accès initial : Faible paramétrage des applications (Microsoft Office, Adobe, client de messagerie)
  • Vol d’identité : Vol d’informations d’identification à partir de lsass.exe
  • Mouvement latéral : Abus de WMI et PsExec
  • Persistance : Abus d’abonnement aux événements WMI 
  • Récupération / exécution de la charge : Scripts malveillants, ransomware

Je ne mentirai pas. Je suis assez pointilleux sur les Règles de réduction de la surface d’attaque (ASR) de Microsoft. Comme vous pouvez le voir dans cette liste, elles fournissent une bonne quantité de couverture, en abordant les tactiques à travers plusieurs étapes d’attaque. Microsoft reconnaît avoir créé des règles ASR pour atténuer certaines des zones les plus couramment attaquées, et fournir une protection aux entreprises qui s’appuient sur des fonctions et des programmes puissants – mais aussi très utilisés – comme les macros Office, WMI, PsExec, etc.

Les exigences pour les règles ASR comprennent :

  • Windows 10, versions 1709 et ultérieures
  • Microsoft Defender doit être actif (et non en mode passif)
  • Certaines règles exigent que la protection fournie par le cloud soit activée

L’ennui avec les règles ASR, c’est que Microsoft a verrouillé les fonctionnalités ASR complètes derrière les licences d’entreprise (E5 si vous souhaitez bénéficier de l’intégration complète de Defender for Endpoint et d’une visibilité accrue en matière de surveillance, d’alertes et de rapports). Cela dit, la société a documenté que vous POUVEZ utiliser les règles ASR avec une licence Microsoft 365 Business — c’est juste que ce n’est pas officiellement pris en charge. Donc, quand on veut, on peut.

L’autre préoccupation dont j’ai entendu parler concernant les règles ASR est le potentiel de faux positifs et d’alertes bruyantes. L’équipe de sécurité interne de Palantir a rédigé un article extrêmement utile détaillant ses expériences avec chacune des 15 règles ASR disponibles, y compris des recommandations sur les règles qui peuvent être configurées en toute sécurité en mode blocage et celles qu’il est préférable de laisser en mode audit ou de désactiver complètement en fonction de vos environnements.

Règles ASR pour bloquer les abus de Microsoft Office :

  • Bloquer la création de contenu exécutable par les applications Office (mode blocage recommandé*)
    • Remarque : Peut interférer avec la fonction Smart Lookup de Microsoft Office.
  • Bloquer les appels à l’API Win32 depuis les macros Office (le mode Audit est suggéré en premier lieu*)
  • Bloquer les applications Office pour qu’elles n’injectent pas de code dans d’autres processus (Mode Audit suggéré en premier lieu*)
  • Bloquer toutes les applications Office pour qu’elles ne créent pas de processus enfants (Mode Audit suggéré en premier lieu*)

Règles ASR pour bloquer les logiciels malveillants supplémentaires et les abus d’application :

  • Empêcher Adobe Reader de créer des processus enfants (mode blocage recommandé*)
    • Remarque : Interférera avec le processus de mise à jour d’Adobe, à moins qu’il ne soit géré par un service central de correction des logiciels.
  • Bloquer le contenu exécutable du client de messagerie et du webmail (mode bloquage recommandé*)
  • Bloquer les processus non fiables et non signés qui s’exécutent depuis une clé USB (mode blocage recommandé*)

Règles ASR pour bloquer les scripts malveillants :

  • Bloquer JavaScript ou VBScript pour qu’ils ne lancent pas le contenu exécutable téléchargé (mode blocage recommandé*)
  • Bloquer l’exécution de scripts potentiellement obscurcis (mode blocage recommandé à l’exception des machines de développement*)

Règles ASR pour bloquer les activités de post-exploitation :

  • Bloquer le vol d’informations d’identification de lsass.exe (mode blocage recommandé*)
  • Bloquer les créations de processus provenant de PsExec et des commandes WMI (Non compatible si vous utilisez SCCM*)
  • Bloquer la persistance à travers la souscription aux événements WMI (mode blocage recommandé*)

* Recommandations de la société de sécurité Palantir basées sur leur utilisation interne et leurs recherches.

Outil n° 3 : Windows Firewall

Tactiques atténuées :

  • Mouvement latéral : Basé sur les Server Message Block (SMB)
  • Récupération / exécution de la charge : LOLbins fait des connexions sortantes

Le pare-feu Windows est un outil sous-utilisé pour faire face aux chaînes de cyberattaques qui peut constituer un excellent complément aux couches de défense en profondeur de toute entreprise. Comme l’explique Dan Stuckey, CISO de Palantir, non seulement il est présent par défaut, mais c’est aussi “l’un des moyens les plus simples de limiter l’accès à distance à de nombreux services couramment utilisés de manière abusive”.

L’une des plus grandes opportunités qu’il offre aux défenseurs est la capacité d’isoler les compromissions en limitant la capacité des attaquants à tirer parti des mouvements latéraux basés sur SMB. Pour comprendre pourquoi les attaquants aiment utiliser le protocole SMB (Windows Server Message Block) pour les mouvements latéraux, lisez cet article. Il fournit une vue d’ensemble concise et montre comment il peut être utilisé pour contourner la MFA.

L’article explique également en détail les contrôles que l’équipe de sécurité de Palantir a trouvé efficaces pour restreindre les mouvements latéraux basés sur SMB, y compris la mise en œuvre d’un simple modèle d’administration à plusieurs niveaux et l’utilisation d’une simple règle de pare-feu Windows distribuée via GPO qui refuse toute communication entrante sur les ports 139 et 445. Ils recommandent également de refuser les communications entrantes WinRM et RDP aux postes de travail et de ne pas les autoriser à utiliser LLMNR, Netbios ou mDNS en sortie (voir le lien ci-dessus pour plus de détails).

Outil n°4 : PowerShell

Tactiques contrôlées :

  • Accès initial : RDP exposé et systèmes vulnérables orientés vers l’internet
  • Mouvement latéral : Abus de PsExec
  • Persistance : Nouveaux comptes, tâches programmées, abonnement aux événements WMI

Les cas d’utilisation que nous avons examinés pour les trois outils précédents de chaîne de cyberattaque étaient centrés sur la prévention (refus ou restriction de l’accès initial et blocage des activités malveillantes). Avec ces outils et le suivant, nous mettons l’accent sur la détection et la réponse.

De nombreux MSP utilisent déjà activement PowerShell pour automatiser un grand nombre d’activités de télégestion, mais grâce au travail d’experts en écriture de scripts comme CKelvin Tegelaar, auteur de Cyberdrain, de plus en plus de MSP utilisent également PowerShell pour développer leurs capacités de surveillance.

Vous voulez évidemment connaître les signes de problèmes sur les réseaux de vos clients avant quele rançongiciel ne soit déployé. Les scripts suivants de Kelvin peuvent vous aider à identifier les lacunes en matière de sécurité ainsi qu’une série d’activités suspectes à examiner :

Scripts PowerShell pour identifier les systèmes exposés et à risque :

Scripts PowerShell pour identifier les mouvements latéraux potentiels, la persistance et l’activité des ransomwares :

Kelvin met régulièrement à jour le blog Cyberdrain avec de nouveaux scripts, alors n’oubliez pas de le consulter.

Outil n° 5 : Exécutions automatiques

Tactiques contrôlées :

  • Persistance : Entrées de registre

L’un des moyens les plus courants d’assurer la persistance est d’insérer des scripts malveillants dans le registre Windows, conçus pour s’exécuter au redémarrage ou lorsqu’un raccourci ou des fichiers batch sont déclenchés.

Auto-exécutions de Microsoft est l’outil de référence pour vous montrer quels programmes sont configurés pour s’exécuter au démarrage ou à la connexion. Cet article explique comment le configurer et l’utiliser pour inspecter et identifier les clés de registre suspectes. Il propose même plusieurs exemples d’entrées suspectes à rechercher.

Il s’agit d’ajouter des couches à votre sécurité et de vous donner plus d’occasions de réagir.

Ces cinq outils n’élimineront pas le risque de ransomware, mais ils vous aideront certainement à combler les lacunes de vos défenses et à rendre les choses plus difficiles pour les attaquants en supprimant les actions de routines simples  et les fruits à portée de main.

Vous savez ce qu’on dit : la question n’est pas de savoir si vous allez faire face à une attaque, mais quand vous allez y faire face. Et bien, il s’agit aussi de savoir, quand ça arrive, à quel point ça va faire mal. L’utilisation de ces outils et d’autres bonnes pratiques pour renforcer vos systèmes et mettre en place davantage de possibilités d’alerte peut vous aider à repérer et à interrompre les attaques inévitables plus tôt, avant qu’elles n’aient la possibilité de déclencher une véritable crise.

→ Protégez votre entreorise contre les chaînes de cyberattaques en gardant vos logiciels à jour grâce à NinjaOne Patch Management.

Foire aux questions (FAQ)

Quelles sont les 7 étapes de la cyber kill chain (chaîne de la mort cybernétique) ?

1. Reconnaissance

Il s’agit de la première phase de la kill chain cybernétique, parfois appelée phase d’observation. Les attaquants commencent par identifier une cible et par recueillir des informations. Cela peut impliquer des recherches sur les sites web publics de l’entreprise, les profils de médias sociaux et d’autres données accessibles au public afin d’identifier les vulnérabilités potentielles. Ils peuvent également se livrer à des activités telles que l’analyse de réseau et la collecte d’e-mails.

2. Armement

Une fois que les attaquants disposent de toutes les informations sur une cible et ses vulnérabilités, ils entament la deuxième étape de la kill chain cybernétique. Les attaquants développent ou modifient généralement les outils de la kill chain cybernétique. Il peut s’agir d’un logiciel malveillant qui cible les vulnérabilités découvertes, qui exploite une vulnérabilité logicielle connue ou qui crée un e-mail de phishing avec une pièce jointe infectée.

3. Livraison

L’étape suivante de la kill chain cybernétique consiste pour les attaquants à s’assurer que leurs logiciels malveillants atteignent leur cible. L’outil “cyber kill chain” peut être diffusé par le biais d’e-amils, de sites web malveillants, de clés USB et d’autres vecteurs. L’objectif est d’amener la cible à activer le logiciel malveillant, souvent par le biais de techniques d’ingénierie sociale.

4. Exploitation

À cette étape de la kill chain cybernétique, le logiciel malveillant exploite une vulnérabilité dans l’environnement informatique ciblé pour exécuter son plan. Il peut s’agir d’exploiter des systèmes non corrigés ou des mots de passe faibles pour obtenir un accès initial à l’environnement de la cible. 

5. Installation

À ce stade, le logiciel malveillant s’installe sur le système ciblé et permet aux attaquants d’accéder librement au système infiltré.

6. Commandement et contrôle

Également appelée phase C2, cette étape consiste pour le logiciel malveillant à établir un canal de commande et de contrôle. Ce canal permet à l’attaquant d’envoyer à distance des instructions au logiciel malveillant, ce qui lui permet d’atteindre ses objectifs initiaux

7. Actions sur les objectifs

Dans la phase finale de la kill chain cybernétique, les attaquants atteignent leurs objectifs ultimes, qu’il s’agisse du vol de données sensibles, de la destruction ou du chiffrement pour obtenir une rançon à l’aide d’un ransomware. Les objectifs spécifiques varieront en fonction de l’intention de l’attaquant, qu’il s’agisse de voler la propriété intellectuelle, de perturber les services ou de causer des dommages financiers.

Qu’est-ce qu’un chemin de cyberattaque ?

Un schéma d’attaque est essentiel pour aider les experts en informatique et en cybersécurité à déterminer la priorité à accorder à la correction des vulnérabilités dans les environnements informatiques cloud-native. Un chemin d’attaque est défini comme une représentation visuelle du chemin utilisé par les attaquants pour exploiter les vulnérabilités et infiltrer les systèmes.

Quelle est la différence entre une chaîne d’attaque cybernétique et une chaîne de la mort cybernétique ?

La chaîne d’attaque cybernétique est simplement un autre nom pour la chaîne de mort cybernétique. Lockheed et Martin ont développé ce cadre à partir d’un modèle militaire afin d’aider les entreprises à mieux comprendre comment les cyberattaques se produisent et comment les surmonter. 

Le cadre MITRE ATT&CK aide les professionnels de l’informatique à comprendre les étapes d’une cyberattaque à un niveau élevé. Il ne suit pas un ordre spécifique et linéaire comme la chaîne d’une cyberattaque. Il se concentre plutôt sur une approche plus précise. Le projet MITRE ATT&CK étudie les techniques utilisées par les cybercriminels pour mener leurs attaques afin d’aider les professionnels de la cybersécurité à les détecter et à les atténuer.

Pour aller plus loin

Les principes fondamentaux de la sécurité des appareils sont essentiels à votre posture de sécurité globale. NinjaOne facilite l’application de correctifs, le durcissement, la sécurisation et la sauvegarde des données de tous les appareils de façon centralisée, à distance et à grande échelle.
Pour en savoir plus sur NinjaOne Backup, participez à une visite guidée en direct ou commencez votre essai gratuit de la plateforme NinjaOne.
Essai Gratuit

Vous pourriez aussi aimer

Préparation à la directive NIS2

NinjaOne, votre allié dans la préparation à la directive NIS2

Esempi di e-mail di phishing

Exemples d’e-mails d’hameçonnage : Comment identifier un e-mail de phishing

Guide complet : Comment obtenir la certification ISO

Entreprise MSP : 6 clés pour survivre à une attaque de ransomware dans votre base de clients

Outils EDR : Comment les MSP utilisent les solutions de détection et réponse des terminaux (EDR)

What is EDR hero image

Qu’est-ce que l’EDR ? Un élément essentiel de la cybersécurité

Prêt à simplifier les aspects les plus complexes de l'informatique et de la sécurité ?
Démarrer un essai gratuit
Demandez une démo
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton “J’accepte” ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni “tel quel” et “tel que disponible”, sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).
J'accepte