Avis de sécurité – la recrudescence de volt typhoon par attaques « living-off-the-land »
Volt Typhoon, un groupe d’acteurs
soutenu par la Chine ?
Les autorités américaines et internationales en matière de cybersécurité ont publié conjointement, ce 24 mai dernier, un avis de cybersécurité pour alerter sur un groupe d’acteurs connu sous le nom de Volt Typhoon qui semble soutenu par l’État de la République populaire de Chine.
Dans un communiqué séparé, Microsoft a expliqué que Volt Typhoon serait actif depuis mi-2021 et qu’il est notamment connu pour avoir ciblé des infrastructures critiques aux États-Unis, ses objectifs étant généralement l’espionnage et la collecte d’informations.
La directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures, Jen Easterly, évoque également la possibilité d’attaques similaires qui pourraient avoir lieu dans le monde entier.
L’une des principales tactiques, techniques et procédures (TTP) de cet acteur de la menace est le « living off the land », qui consiste à utiliser des outils intégrés d’administration réseau pour atteindre ses objectifs. Le groupe s’appuient sur des binaires légitimes et nativement présents sur les machines compromises, en utilisant par exemple les outils intégrés aux systèmes d’exploitation (ex : wmic, ntdsutil, netsh et PowerShell). Cette approche permet à l’acteur de se confondre dans le trafic qualifié de légitime et de contourner les mécanismes de défense en place.
Détection
D’après les rapports publiés, l’activité des attaquants ne transite que très peu via le réseau. De plus, l’utilisation d’outils d’administration communs rend la détection relativement ardue. Toutefois, certains signaux restent détectables.
Tout d’abord, sur la base des différents IOC disponibles publiquement, le hash 3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71 est présent dans la base LIS – Last Info Sec depuis janvier 2019 car ce dernier est également apparu dans des campagnes précédentes.
Parmi les outils utilisés par cet acteur, certains font l’objet d’une détection spécifique.
- Par exemple l’outil Earthworm est détecté par les règles Sigflow suivantes ;
- ET TROJAN [AV] EarthWorm/Termite IoT Agent Reporting Infection (sid: 202706)
- ET TROJAN EarthWorm/Termite IoT Agent CnC Response (sid: 2027065)
- Le webshell Awen est cité dans certains rapports pour lequel il existe la règle suivante :
- ET TROJAN CMDASP Webshell Default Title in HTTP Response (sid: 2045284)
- ET TROJAN CMDASP Webshell Default Title in HTTP Response (sid: 2045284)
- Ou encore l’outil Mimikatz qui peut être détecté par le moteur Malcore lors de son transit sur le réseau.
On retrouve également comme bien souvent dans ce type d’attaque certains signaux faibles tel que le recours à des services de résolution d’IP (ici ip-api.com couvert par le sid 2022082)
Enfin, parmi les vulnérabilités exploitées on retrouvera :
- CVE-2021-40539 (ManageEngine ADSelfService Plus) : couverte par les SID 2034362 à 2034365
- Vulnérabilité FatPipe : couverte par les sid 2034530 et 2034531
Mesures d’atténuation :
Atténuer les risques liés à des adversaires tels que Volt Typhoon, se basant sur des comptes valides et des binaires « living-off-the-land » (LOLBins), est particulièrement difficile puisqu’il n’existe pas de mesure unique garantissant une immunité face à ce type d’attaque. Toutefois, vous trouverez ci-dessous un ensemble de mesures de sécurité qui, lorsqu’elles sont combinées, peuvent aider à prévenir et détecter ce type d’attaque :
- Renforcer et monitorer les événements enregistrés dans les journaux Windows :
-
- Consigner les événements WMI (Events ID 5857, 4656, 4663, 4658 et 4662) et PowerShell (Event ID 4103)
- Consigner les événements relatifs à la création d’un nouveau processus (Event ID 4688) pour pouvoir superviser l’appel à ntdsutil.exe ou la création de tout processus similaire
- Consigner les événements relatifs à la suppression du journal d’audit (Event ID 1102).
- Consigner les événements WMI (Events ID 5857, 4656, 4663, 4658 et 4662) et PowerShell (Event ID 4103)
- Durcir et monitorer les contrôleurs de domaine
- Limiter et surveiller l’usage de transfert de ports
- Vérifier la configuration des pare feux pour mettre en évidence les erreurs de configuration sur les flux sortants
- S’assurer de la centralisation des logs et de leur intégrité
TTPs de Volt Typhoon
Lors des analyses des différents rapports nous avons pu créer la matrice correspondante aux TTPS (Technique, Tactiques et Procédures) de l’attaquant (voir le premier visuel ci-dessous).
Nous avons également réalisé une représentation linéaire de la matrice (voir les deux listes ci-dessous).
Ressources
- CISA, « People’s Republic of China State-Sponsored Cyber Actor Living off the land to Evade Detection », May, 24, 2023. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a
- Microsoft, « Volt Typhoon targets US critical infrastructure with Living-off-the-land techniques » May, 24, 2023. https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/
Auteur : Purple Team Gatewatcher