2023-10-13 17:00:59
Alessio Mercuri, ingénieur en sécurité chez Vectra AI, explique pourquoi le décryptage des charges utiles des paquets n’est pas toujours efficace pour identifier les cyberattaques avancées au sein d’un réseau.
Les attaques « d’État-nation » et RansomOps exécutées manuellement sont devenues parmi les plus importantes et les plus courantes. destructeur méthodes d’attaque utilisées par les cybercriminels. Parmi les plus dangereux, ils sont également difficiles à détecter. Le décryptage des charges utiles des paquets est-il efficace sur le plan opérationnel pour aider les analystes à détecter les signes de ces attaques avancées au sein d’un réseau ? La réponse courte est « non », pour au moins trois raisons.
Peu d’avantages pour le défenseur
Le déchiffrement passif du chiffrement standard, tel que TLS, est coûteux sur le plan opérationnel. Il suffit de dire qu’avec TLS 1.3, cela nécessite l’installation d’un agent sur tous les points de terminaison connectés. De plus, le décryptage n’offre pas au défenseur de nombreux avantages qui ne sont pas déjà offerts par le décryptage actif avec un pare-feu ou un proxy. Enfin, ni l’un ni l’autre n’aide réellement les défenseurs à retracer le canal C2 d’un attaquant avancé ou l’exfiltration de données.
Décryptage avancé et cyberattaques
Nous étudions le trafic aux limites du réseau d’une organisation, là où le chiffrement est répandu, et recherchons les signes de commandement et de contrôle ainsi que l’exfiltration de données. Nous constaterons que le décryptage n’offre que très peu, voire aucun avantage, aux défenseurs lorsqu’il s’agit de détecter des attaques avancées d’États-nations ou des attaques criminelles exécutées manuellement telles que RansomOps. Ici parce que.
Les outils d’attaque des États-nations sont personnalisés
Les acteurs des États-nations rassemblent généralement plusieurs outils de chaîne afin qu’ils puissent être utilisés par leurs équipes d’attaque. Ces chaînes d’outils incluent souvent des outils développés en interne et d’autres normes. Ce dernier sera hautement personnalisé pour éviter d’être détecté avec des méthodes simples qui détectent leur simple présence. En outre, des acteurs étatiques plus compétents ajouteront encore plus de complexité. Ils configureront les outils personnalisés et standards différemment pour chaque cible et ne réutiliseront aucune des infrastructures utilisées pour mener des attaques sur différentes cibles. Par conséquent, le décryptage des charges utiles pour exécuter des signatures n’apporte aucun avantage significatif aux capacités de détection.
Les outils d’attaque (RansomOps) sont modifiés
Les attaques exécutées manuellement, comme c’est le cas pour la plupart des attaques RansomOps, servent un modèle commercial criminel visant à gagner de l’argent. C’est pourquoi cela n’a aucun sens pour les cybercriminels de dépenser beaucoup d’argent ressources créer des outils à partir de zéro, car cela réduit simplement les profits potentiels. Au contraire, presque tous les cybercriminels font un usage intensif des outils disponibles sur le marché, modifiant les paramètres par défaut que la plupart des solutions de sécurité basées sur les signatures détecteraient.
Avis de Vectra AI sur le décryptage et les cyberattaques avancées
Pour éviter cela, les attaquants écrasent la configuration standard, rendant les signatures inutiles. L’infrastructure est le plus souvent réutilisée, mais peut être identifiée via des domaines et/ou des adresses IP sans décryptage. Par conséquent, tout comme pour les attaques d’États-nations, le décryptage des charges utiles pour exécuter des signatures ne présente aucun avantage significatif en termes de détection.
Pour se défendre contre les attaques avancées
Que ce soit face à une attaque d’un État-nation ou à RansomOps, briser le cryptage TLS externe pour accéder à la requête HTTP interne n’aide pas le défenseur. Il n’existe pas de schéma fixe pour créer une signature, et la charge utile réelle (commandes envoyées, résultats des commandes renvoyés, logiciels téléchargés, etc.) est masquée par un cryptage léger utilisant la clé générée aléatoirement par l’attaquant.
Méthodes alternatives
Ainsi, à moins qu’une organisation ne soit prête à adopter une politique d’accès Internet très restrictive (en pratique, une « liste blanche » qui inclut uniquement les sites Internet auxquels elle fait confiance), les canaux C2 ne peuvent pas être identifiés en recherchant des modèles d’octets dans les charges utiles HTTP décryptées. La détection des exfiltrations suit à peu près la même logique. Les charges utiles chiffrées internes sont insensibles aux approches DLP standard. Le seul autre moyen de détecter C2 ou Exfil repose sur l’analyse des informations de séries chronologiques de transferts de données ou sur l’observation de simples anomalies de volume. Et ni l’un ni l’autre ne nécessite le décryptage de l’enveloppe extérieure.
#Décryptage #cyberattaques #Lavis #Vectra
1697241836
