The Secret IR Insider’s Diary – de Sunburst à DarkSide

Ça fait quelques semaines inhabituelles. Depuis les attaques massives de compromis sur la chaîne d’approvisionnement de Sunburst qui ont exploité une porte dérobée dans le logiciel de gestion du réseau SolarWinds Orion des organisations, les activités quotidiennes de mon équipe ont changé : nous avons passé beaucoup de temps à faire des évaluations de vulnérabilité et de compromis pour les entreprises, parallèlement à notre travail habituel de réparation des violations réelles et des cyber-incidents.

Naturellement, les organisations qui utilisent SolarWinds craignent que leurs réseaux aient été exposés à la vulnérabilité ou aient été violés.

Nous avons donc passé beaucoup de temps sur les appels avec les entreprises, les guider à travers les étapes pertinentes pour savoir si elles utilisaient les versions vulnérables de la suite SolarWinds Orion et, si elles étaient, les aider à évaluer si leurs systèmes avaient été compromises et les guider dans le processus de suppression de la porte dérobée et la mise à jour de leurs systèmes. La bonne nouvelle, c’est que la plupart de nos évaluations n’ont révélé aucune violation.

Puis, au moment où ce travail lié à Sunburst commençait à s’éteindre, les nouvelles des exploits Hafnium des vulnérabilités microsoft exchange ont éclaté, lançant mon équipe dans une autre série d’évaluations de compromis et aidant les entreprises à patcher et mettre à jour leurs systèmes. Cela m’a rappelé la situation de la cybersécurité il y a cinq ou dix ans, lorsque les coquilles web étaient courantes.

À l’époque, les bonnes pratiques en matière de sécurité consistaient à découvrir quels serveurs Web étaient exposés à Internet et à atténuer les risques en patchant et en faisant des mises à jour régulières contre les vulnérabilités, en déployant une zone démilitarisée (DMZ) entre les serveurs web et les réseaux internes, en fermant les ports qui n’étaient pas utilisés et en déployant l’authentification à deux facteurs (2FA) pour l’accès des administrateurs aux serveurs.

Les vulnérabilités SolarWinds et Exchange mettent en évidence à quel point ces principes fondamentaux de sécurité sont encore pertinents aujourd’hui.

Voyage au DarkSide

Après beaucoup d’appels d’évaluation de compromis avec les entreprises, vous pouvez vous retrouver à penser qu’il serait agréable d’avoir un cyber-incident que vous pouvez vraiment mettre vos dents dans. Eh bien, faites attention à ce que vous souhaitez …

Un appel vient d’une grande organisation qui a été frappé par ransomware. Nous trouvons que c’est le ransomware DarkSide relativement nouveau et agressif, que nous voyons de plus en plus de.

Initialement, l’attaque semblait ne pas être trop différente des autres variantes ransomware – les attaquants trouvent un moyen sur le réseau cible, exfiltrer les données, déployer le ransomware à partir d’un contrôleur de domaine, et laisser des instructions pour la victime de les contacter pour négocier la rançon. Mais il s’est avéré être loin d’un incident ransomware de routine.

Nous avons passé des jours à travailler avec le client, essayant encore et encore de trouver une trace de la cause profonde de l’attaque pendant que l’équipe informatique du client récupérait ses systèmes et ses données. Mais le groupe derrière l’attaque a anticipé nos actions et créé un objet de stratégie de groupe qui crée une tâche planifiée sur toutes les machines pour supprimer les journaux d’événements toutes les 12 heures.

Cela signifie que toutes les preuves que nous pourrions utiliser pour retracer l’attaque disparaissent. Les journaux de pare-feu de l’entreprise ne durent pas longtemps non plus et ne sont pas exportés vers un système SIEM, donc au moment où nous sommes arrivés aux journaux, il n’y a rien qui couvre l’heure du déploiement ransomware, et encore moins le temps avant le déploiement lorsque les attaquants exploraient le réseau.

Nous déployons donc la technologie de numérisation pour voir ce que nous pouvons trouver. Nous voyons beaucoup de machines infectées, restes powershell, plusieurs restes d’outils admin à distance – mais, malheureusement, ce ne sont pas vraiment des indices sur ce qui s’est passé, c’est plus comme examiner les débris après l’explosion d’une bombe.

Nous n’avons toujours aucune idée ferme de la façon dont les attaquants sont arrivés, où ils ont été sur le réseau ni ce qu’ils ont utilisé, et encore moins tout ce que nous pouvons essayer de bloquer, d’atténuer ou de contenir.

Trouver l’ennemi à l’intérieur

Quelques jours plus tard dans la journée, nous recevons un appel téléphonique urgent du client : il vient de recevoir un message de l’attaquant qui a été envoyé via son réseau interne. S **t!

L’attaquant a été en mesure de couvrir leurs pistes et est soit encore à l’intérieur du réseau, ou a toujours un accès à distance. Nous sommes au téléphone avec le client jusqu’à 2h30 du matin, le chalutage à travers les journaux et les alertes pare-feu pour décider quoi, qui et où bloquer.

Puis, j’ai découvert quelque chose de nouveau qui nous a donné une percée. Dans les journaux Microsoft Office365, il y a un DeviceID avec l’adresse IP qui peut être recherché dans Azure Active Directory pour donner le nom d’une machine spécifique.

Bien que l’adresse IP ne soit d’aucune utilité car elle était du centre de données du client à partir duquel l’attaquant est entré, identifier la machine réelle à partir de laquelle l’attaquant a envoyé le message était l’indice vital dont nous avions besoin pour nous permettre de commencer à résoudre l’incident.

Quelques jours plus tard, nous parlons toujours avec le client sur une base quotidienne car ils trouvent autre chose dans leur environnement qui les concerne. C’est assez courant après qu’une organisation a été violée – leurs équipes informatique et de sécurité sont naturellement inquiètes d’avoir trouvé des signes d’une nouvelle attaque, de sorte que les choses peuvent sembler suspectes même lorsqu’elles ne le sont pas.

Nous suggérons à l’entreprise de mettre en place des règles de pare-feu plus agressives pour bloquer la majorité du trafic sortant et ne permettre que ce qui est absolument nécessaire pour l’entreprise. Nous leur avons également suggéré de travailler avec une organisation partenaire qui fournit un service géré d’information de sécurité et de gestion d’événements (SIEM) pour aider à identifier d’autres indicateurs de compromis. Affaire close, j’espère – et tout cela parce que j’ai appris un nouveau truc.

---

The Secret IR Insider travaille chez le fournisseur de services et de solutions de cybersécurité Point de contrôle. Spécialiste de la réponse aux incidents (IR), ils sont en première ligne de la lutte en cours contre les cybercriminels malveillants, ransomware, et d’autres menaces. Leur véritable identité est un mystère.