Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Eclairage ce mois-ci sur Brute Ratel, un centre de “Command and Control” (cf définition du mois d’août) qui permet la simulation d’attaques légitimes par les Red Teams.
Concrètement, l’outil est utilisé pour déployer une balise dans un environnement cible pour ensuite pouvoir y exécuter des commandes (réaliser des mouvements latéraux, de l’élévation de privilèges, renforcer sa présence dans le système infecté, etc..). Brute Ratel a par ailleurs été développé à partir de méthodes de rétro-ingénierie sur des EDR et des DLL d’antivirus.
Alors que l’acquisition d’une licence nécessitait la vérification d’une adresse courriel d’entreprise, le partage d’une version piratée sur des forums illégaux en septembre 2022 a démocratisé Brute Ratel. Ce dernier est depuis notoirement connu pour l’utilisation illégale qui en est faite par des cybercriminels qui détournent ses fonctions de recherche à des fins malveillantes, à l’image de Cobalt Strike, leader de ce “marché”.
Là où Cobalt Strike, plus répandu, est le mieux détecté, l’apparition relativement récente de Brute Ratel permet aux attaquants d’être découvert moins facilement, et ce d’autant plus qu’il est spécialisé dans le contournement de détection par les solutions de sécurité comme les EDR ou les anti-virus.
Récemment, c’est le groupe Black Basta Ransomware Family qui s’est illustré avec l’utilisation combinée de Brute Ratel et Cobalt Strike, alors qu’il n’utilisait auparavant que le dernier. L’attaque a d’abord utilisé Qakbot comme vecteur d’infection pour déployer Brute Ratel afin de collecter des données pour l’outil de reconnaissance Active Directory BloodHound et de compresser les données récupérées pour les exfiltrer auprès du serveur.
TOP
TOP
DÉFINITION DU MOIS
Le mouvement latéral est une étape d’attaque post infection dans la Kill Chain.
Après avoir compromis une première machine sur un réseau, l’attaquant va chercher à se déplacer, et prendre le contrôle d’autres postes de travails ou serveurs. Ce processus se fait en 3 étapes : une élévation de privilèges, une recherche de cibles, puis une attaque ou exploitation.
L’objectif de l’élévation de privilège est double. En premier lieux, il faut si possible obtenir des privilèges d’administrateur local de la machine infectée, ce qui permet d’en prendre un contrôle total. L’attaquant va ensuite chercher des identifiants sur la machine (TTP T1081 : hash stockés dans la base SAM ou lsass.exe, mots de passes stockés dans le navigateur, dans des scripts, etc …), ce qui peut lui permettre d’obtenir des comptes sur le réseau. Ensuite, le processus de recherche de cible est classique : l’attaquant va scanner le réseau à la recherche d’une machine vulnérable, ou pour lequel il a obtenu des informations d’authentification valides.
Enfin l’attaquant va finalement compromettre les machines qu’il a ciblé. Souvent il s’agit des techniques T0886/T0859 : l’attaquant a obtenu un compte valide (découverte d’un mot de passe dans un script, phishing ou brute force), et utilise un service légitime pour se connecter, comme SMB ou RDP.
L’autre technique majoritairement utilisée est la T0866 : un service est exploité. En environnement Windows, les attaques type Pass the Hash (T1550.002) et Pass The Ticket (T1550.003) permettent souvent d’utiliser des services comme PsExec pour se connecter aux partages d’administration (T1021.002) et exécuter une charge malveillante. D’autres techniques existent, le plus souvent liées à des systèmes industriels : T0812 (mots de passe par défaut) et T0843 (mise à jour de firmware).
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.