Une attaque informatique « ordinaire » – Episode 3

Temps de lecture : 4 minutes

Troisième volet de notre série d’articles, qui décrypte une attaque informatique ordinaire et imaginaire, inspirée de faits réels. Cette attaque vise Contoso, une société (fictive), et est menée par un groupe de pirates nommé APT999.
 
 

JPhilippe Klein
Jean-Philippe Klein

Senior Presales Engineer – Threat Management

 

Antoine Journaux
Antoine Journaux

Presales Engineer on Advanced Security Solutions

Episode 3 : L’analyse de l’équipe SOC

APT999 vise les données de Marie Schmid, DAF de Contoso, et procède par étapes.
Dans le premier article, nous avons vu comment ces pirates ont pu accéder à un compte mail insuffisamment sécurisé. Dans le deuxième épisode, nous avons découvert comment APT999 a pu utiliser ce compte pour pénétrer Contoso.

APT999 possède maintenant :

- L’accès au compte d’un stagiaire, Guillaume M, sur les services SaaS de Contoso

- L’identifiant et le mot de passe de Marie Schmid, DAF, qui semble nécessiter un second facteur sur Office 365

- Un accès sur une machine du groupe Contoso

Arnaud, employé de Contoso, a reçu la pièce jointe malicieuse, envoyée depuis la boite aux lettres de Guillaume. Mais la machine connectée au serveur de « Command & Control » d’APT999 n’est pas celle d’Arnaud, mais celle d’une certaine ChristieC.

Dans le même temps, l’équipe du SOC (Security Operations Center) de Contoso a reçu l’alerte suivante concernant la machine d’Arnaud :

Exemple d’alerte email reçu par l’équipe du SOC
Exemple d’alerte email reçue par l’équipe du SOC

Il est important de noter qu’Arnaud a reçu une nouvelle machine depuis peu, qui exécute Windows 10. Depuis l’intégration de Windows 10, Contoso utilise une solution d’EDR (Endpoint Detection & Response), Windows Defender Advanced Threat Protection pour protéger ces nouvelles machines et être en capacité d’investigation en cas de soucis.

Une fois sur le portail Windows Defender ATP, l’équipe du SOC constate plusieurs alertes sur la machine d’Arnaud.

Vue de la machine d’Arnaud dans Windows Defender Advanced Threat Protection
Vue de la machine d’Arnaud dans Windows Defender Advanced Threat Protection

L’analyse de ces alertes permet de comprendre les différentes étapes de l’attaque informatique. Les voici dans l’ordre chronologique :

Alerte 1 : « Suspicious behavior by Microsoft Excel was observed »

Remarquez l’arbre des processus permettant d’avoir une idée de ce qu’il s’est passé avant et après cette alerte
Remarquez l’arbre des processus permettant d’avoir une idée de ce qu’il s’est passé avant et après cette alerte

Il apparait qu’Outlook a ouvert un fichier Excel, qui lui-même est à l’origine d’une série de commandes PowerShell suspectes et d’une connexion à un serveur distant.

Replay

Vers un numérique plus durable et soutenable

Découvrez la proposition de Microsoft pour un numérique soutenable et durable traduite en 21 actions.

Visionner le replay

Notez que Windows 10, build 1709, permet de bloquer ce type de comportement courant dans les attaques actuelles, cependant Contoso n’a pas encore déployé ces fonctionnalités.
Alerte 2 : « Suspicious Powershell commandline »

Vues de l’alerte traitant de la ligne de commande suspecte
L’alerte traitant de la ligne de commande suspecte

L’équipe du SOC de Contoso peut également analyser en quelques secondes les commandes PowerShell exécutées, malgré le fait qu’elles soient encodées. Ils peuvent observer ici que la macro exécute du PowerShell qui lui-même télécharge du code depuis un serveur web, puis voir la liste des commandes exécutées par la suite.

Comme l’indique l’alerte suivante, le domaine depuis lequel le code est téléchargé a été nouvellement enregistré.

Alerte 3 : « Connection to newly registered domain »

Un autre exemple d’alerte
Un autre exemple d’alerte

On peut convenir qu’une connexion à un domaine nouvellement enregistré peut être légitime, mais dans ce contexte, cela parait suspect. C’est pourquoi l’outil remonte cette information pour analyse.

Alerte 4 : « Windows Defender AV detected a “<MalwareName>” backdoor »

Alerte indiquant qu’un malware a été détecté. Le blocage de son exécution diminue le niveau de l’alerte à « Low »
Alerte indiquant qu’un malware a été détecté. Le blocage de son exécution diminue le niveau de l’alerte à « Low ».

Dans cette dernière alerte, l’équipe du SOC de Contoso est en mesure de constater que Windows 10 a bloqué l’installation d’une backdoor via une fonctionnalité de détection d’attaque informatique « in memory » nommée AMSI (Antimalware Scan Interface) qui est utilisée par certains antivirus comme Windows Defender Antivirus. L’attaque sur la machine d’Arnaud est donc contenue.

Mars 
30
10h00
Prévenir la fuite d’informations dans Teams (… Ce webinar sera l’occasion de vous faire découvrir et de vous informer sur la protection de l’information et des données dans Teams.   Au programme :   – Identification de l’information sensibl… Visionner En savoir plus

En complément des alertes remontées par Windows Defender ATP, il est intéressant d’investiguer un peu plus sur l’origine de cette attaque. L’équipe du SOC est en capacité de remonter dans le temps et d’analyser les différentes actions sur cette machine, et notamment le fait qu’une pièce jointe semble être la source des alertes reçues :

Outlook.exe a enregistré une pièce jointe sur le disque
Outlook.exe a enregistré une pièce jointe sur le disque

La pièce jointe à l’origine de l’attaque provient d’un email interne envoyé par GuillaumeM@contoso.com à trois utilisateurs : MarieS@contoso.com, ArnaudS@contoso.com et ChristieC@contoso.com.

La première opération consiste donc à modifier le mot de passe de Guillaume M, puis à analyser les actions réalisées sur sa machine et avec son identité. En parallèle, il est important de contenir l’attaque informatique en cours.

L’analyste a également la possibilité de pivoter dans Office 365 Threat Intelligence (via le lien « more details on this email in O365 ») en restant dans le contexte de l’attaque afin d’avoir plus d’informations concernant cet email :

Détails d’un email malicieux dans Office 365 Threat Intelligence
Détails d’un email malicieux dans Office 365 Threat Intelligence

Cela permet de constater que cet email a été bloqué par Office ATP pour Marie, mais que les deux autres destinataires, qui ne sont pas protégés par Office ATP, l’ont bien reçu.

Arnaud a donc, comme on vient de le voir, ouvert la pièce jointe mais il a été protégé contre le contenu malicieux grâce à Windows 10 et Windows Defender ATP.

Christie Cline, en copie du mail envoyé par Guillaume, possède une machine moins récente s’exécutant sous Windows 7. Elle ne bénéficie donc pas des dernières technologies de protection offertes par un système d’exploitation moderne.

Christie a aussi ouvert le fichier Excel malicieux. La macro a alors téléchargé la charge utile qui s’est exécutée, s’est installée sur le poste et a ouvert le canal de communication avec le serveur de « Command & Control ».

APT999 a désormais accès à une machine au sein de Contoso. Comment les pirates vont-ils s’en servir pour accéder aux données ? Et surtout, comment Contoso pourra se protéger ? C’est-ce que nous découvrirons dans le dernier volet de notre série sur cette attaque informatique ordinaire.

En attendant, nous vous invitons à trouver plus d’informations sur Windows Defender ATP via les ressources suivantes :

- Protection avancée contre les menaces Windows Defender

Documentation technique Windows Defender ATP

Microsoft Security Virtual Training Day – Pro…

À mesure que vos collaborateurs optent de plus en plus pour le télétravail, la protection des informations de votre organisation et la gestion des risques doivent être une priorité absolue. L’événement Microsoft Secur…

Visionner

 

 

 

A la une

Business decision maker (BDM) using mobile phone to complete multi-factor authentication to prepare to work from home.

Enjeux de cybersécurité : AXA & Microsoft par Réseau Entreprendre

L’essor de la digitalisation des entreprises expose de plus en plus les entreprises aux risques cyber trop souvent sous-estimés par les entrepreneurs. Dans le cadre de son partenariat avec Microsoft et AXA France, Réseau Entreprendre a demandé à Philippe Limantour, Directeur Technologique et Cybersécurité chez Microsoft et Thierry Piton, Souscripteur Expert Cyber Risques chez AXA France, de […]

Lire l'article
Nous pouvons voir deux immeubles différents.

Avanade et Accenture: Innover pour transformer l’industrie

L’innovation est au cœur de l’industrie, et l’industrie est le fer de lance de l’innovation. C’est en tout cas dans cet état d’esprit qu’Accenture/Avanade, accompagne la transformation de ses clients. Laurent Curny, Directeur Général d’Avanade France, Belgique et Pays-Bas, Franck Joudiou, Managing Director AMBG (Accenture Microsoft Business Group) France au sein d’Accenture, Jean-Pierre Riehl, Directeur […]

Lire l'article