Détection et protection
Pour cette deuxième participation aux tests MITRE, nous avons testé à la fois les capacités de détection et de protection de notre EDR.
Outre le fait de passer de 3 à 4 jours de tests, en horaires décalées, histoire de travailler notre endurance, l’extension de ce périmètre implique que MITRE évalue la façon dont notre EDR détecte les événements de sécurité, mais aussi sa capacité à bloquer les menaces.
Notre équipe CTI, composée d’une dizaine d’experts qui, forte des pizzas consommées l’an passé, a ainsi consacré la première journée à la détection d’attaques en jouant deux scénarios différents ; un troisième scénario a été joué le 2ème jour ; les trois scénarios ont été rejoués le 3ème jour (ça va, vous nous suivez toujours ?).
Pour rappel, à toutes fins utiles, MITRE évalue les EDR en fonction du niveau de détection appliqué aux événement identifiés :
- None : rien n’a été détecté ;
- N/A : les preuves fournies ne répondent pas aux critères de détection documentés ou aucune preuve n'a été fournie ;
- General : l’outil a détecté quelque chose mais sans précisions sur ce qui a été détecté - eg. “Malicious file” sans plus de détails ;
- Tactic : une alerte a sonné et contient la tactique associée à la technique qui a été détectée ;
- Technique : données disponibles sur la tactique et la technique, soit le niveau maximum de détection.
Que se passe-t-il ensuite ? Une fois les scénarios joués, MITRE collecte les traces de détection et les décortique, et pour ce faire, les éditeurs de solution fournissent les preuves de détection au moyen de captures écran de sa propre interface, pour toutes les étapes et les sous-étapes. Ce qui veut dire, en pratique... près de 500 captures écran au total.
Enfin, le 4ème jour était dédié aux tests des capacités de protection qui visent à répondre à une question très simple : l’EDR est-il capable ou non de bloquer les menaces ?
Cette évaluation des capacités de protection était une première pour nous. Pour l’ensemble des participants cette année a aussi été marquée par d’autres nouveautés : l’évaluation des faux positifs et le fait de jouer des tests sur macOS.
Mais concrètement, à quelle sauce avons-nous été cuisinés ?
Après Turla, place à une APT coréenne et un ransomware
En 2023, c’est le groupe Turla qui a été émulé pour les tests MITRE Engenuity. Ce groupe est connu pour ses techniques d’intrusion et sa furtivité.
En 2024, nous avons eu affaire à :
- DPRK – focus macOS
Emulation d'actions pouvant être perpétrées par un acteur Nord-Coréen redouté dont le champ d’action s’est étendu en quelques années, visant entre autres les systèmes macOS.
Le scénario : une porte dérobée exécutée par un script malveillant initial provenant d'une attaque de la chaîne d'approvisionnement, suivi d'une persistance et d'une porte dérobée de deuxième niveau qui effectue des opérations de découverte, d'accès aux informations d'identification, et d’exfiltration. Ses outils comprennent un script Ruby malveillant et des portes dérobées.
- CL0P – focus Windows et Linux
Actif depuis au moins 2019, CL0P diffuse un ransomware, et comme la plupart des autres familles de ransomwares, il utilise la technique "vol, chiffrement, fuite”.
Le scénario : persistance et charge utile RAT en mémoire pour la découverte et l'exfiltration, puis téléchargement et exécution d’un ransomware qui applique plusieurs techniques d'évasion en matière d'impact et de défense. Pour finir, les attaquants procèdent à l’exfiltration de fichiers et à la “détonation” du ransomware.
- LockBit Ransomware - focus Windows et Linux
LockBit est une famille de ransomware redouté pour ses outils sophistiqués, méthodes d'extorsion et attaques d'une grande sévérité. C'est un “Ransomware-as-a-Service" (RaaS), ce qui permet à d'autres acteurs de la menace d'utiliser son ransomware pour leurs attaques. Aussi, les affiliés de LockBit peuvent détourner des outils open-source légaux pour actions malveillantes telles que la reconnaissance de réseaux, l'accès à distance, l'extraction d'identifiants ou de secrets, et l'exfiltration de fichiers.
Le scénario : accès initial par le biais d'informations d'identification compromises, suivi d'une découverte, d'un accès aux informations d'identification et d'une persistance. L'activité se poursuit par des actions malveillantes sur un serveur Linux KVM, puis par l’apparition d’un nouvel implant qui télécharge et exécute un outil d'exfiltration et un ransomware qui se propage sur le réseau et réalise une évasion de défense et un impact. Enfin, des machines virtuelles sont arrêtées et des fichiers exfiltrés et chiffrés.
Ce qui nous attendait et ce à quoi on ne s’attendait pas
Comme évoqué en introduction, même si les tests changent chaque année, nous pensions être un minimum rodés grâce à l’expérience 2023.
C’était sans compter les surprises qui nous attendaient pour cette édition 2024, plus mouvementée que prévu.
En premier lieu, les scénarios de test nous ont surpris car il semblait manquer des étapes entre l’arrivée initiale sur un poste et l’exécution de l’attaque. Au-delà de nous priver de valoriser nos détections sur ces étapes, le fait qu’il manque ces étapes cruciales pour la détection rend les scénarios moins réalistes – il y a toujours des reconnaissances et des latéralisations dans les vraies attaques.
Aussi, près du tiers des étapes étaient basées sur de la détection par API Windows.
Nous étions alors censés détecter des actions qui ne peuvent être vues que par les solutions de sécurité qui basent leur détection sur le userland hooking, or cette méthode est déconseillée par Microsoft car elle peut causer des problèmes d'incompatibilité avec d'autres logiciels ainsi que de l'instabilité sur le système. Conformément aux recommandations de Microsoft, nous n’utilisons pas le userland hooking, et comme d’autres solutions “Microsoft compliant”, cela nous a parfois pénalisés lors de ces tests.
Par ailleurs, certains comportements simulations d’attaquants n'avaient simplement aucune chance de se produire lors d’une vraie compromission. Par exemple, le scénario impliquant LockBit prévoyait des actions qui ne correspondent en aucun cas au mode opératoire d’attaquants.
Malgré ces surprises, MITRE reste un test qui nous fait aller de l’avant ! Nous remercions les équipes du MITRE qui challengent tous les acteurs de l’industrie pour renforcer la cybersécurité globale.
C’est l’occasion de revoir nos règles de détection dans leur ensemble, et développer de nouvelles capacités de détection pour continuer d’être à l’état de l’art.
Cette édition 2024 aura également été l’occasion de continuer à perfectionner les outils d'analyse statique disponibles dans la console, et de mettre en application de nouvelles techniques de détection que nous développons en continu.
Sur le terrain, nous rencontrons plus souvent Windows et Linux, et le fait d’être challengés sur macOS nous a poussés à développer de nouvelles règles de détection et à améliorer nos capacités de détection.
Aussi, l’évaluation des faux positifs a confirmé nos performances sur cet aspect crucial pour aider nos utilisateurs à se concentrer sur les événements de sécurité qui requièrent une attention particulière, voire des levées de doutes ou des investigations.
Enfin, ces tests nous auront aussi permis d’éprouver Static Analysis que nous avons mentionné ci-dessus, l’une de nos fonctionnalités qui a montré toute sa pertinence et ses qualités comme assistant à la détection. Static Analysis permet d’associer des informations contextuelles et de corréler des fichiers à partir de différentes alertes pour accélérer la levée de doute. Cette fonctionnalité aide ainsi à catégoriser rapidement les alertes et l’exécutable concerné à partir, par exemple, des chaînes de caractères contenus, des fichiers embarqués, ou encore la configuration de malwares connus tels que CobaltStrike.
Alors, rendez-vous en 2025 ? Assurément !
Et si vous êtes curieux de découvrir
les résultats de l’édition 2024, c’est ici :