Nous avons abordé le concept de la pyramide de la douleur utilisé dans la réponse aux incidents et la chasse aux menaces, qui couvre les artefacts des outils et techniques de l'attaquant et la facilité/difficulté à les modifier pour éviter d'être détectés par les analystes. Nous avons également couvert et expliqué ce que chaque couche de la pyramide représente en tant qu'artefact lors de la phase d'une cyberattaque. Cela faisait partie de TryHackMe La Pyramide de la douleur.
Obtenez les notes du certificat COMPTIA Security+
Le cours pratique complet sur les tests d’intrusion d’applications Web
Description du défi
Découvrez ce qu'est la Pyramide de la Douleur et comment utiliser ce modèle pour déterminer le niveau de difficulté qu'elle entraînera pour un adversaire pour modifier les indicateurs qui lui sont associés et sa campagne.
Faits saillants de la vidéo
Les professionnels de la sécurité utilisent généralement les valeurs de hachage pour obtenir un aperçu d'un échantillon de logiciel malveillant spécifique, d'un fichier malveillant ou suspect, et comme moyen d'identifier et de référencer de manière unique l'artefact malveillant.
Vous avez probablement déjà lu des rapports sur les ransomwares, dans lesquels les chercheurs en sécurité fournissaient les hachages liés aux fichiers malveillants ou suspects utilisés à la fin du rapport. Vous pouvez consulter Le rapport DFIR et Blogs de recherche sur les menaces FireEye si vous souhaitez voir un exemple.
Dans la Pyramide de la Douleur, les adresses IP sont indiquées par la couleur verte. Vous vous demandez peut-être pourquoi et à quoi associer la couleur verte ?
Du point de vue de la défense, la connaissance des adresses IP utilisées par un adversaire peut être précieuse. Une tactique de défense courante consiste à bloquer, abandonner ou refuser les demandes entrantes provenant d'adresses IP sur votre paramètre ou votre pare-feu externe. Cette tactique n'est souvent pas à l'épreuve des balles, car il est trivial pour un adversaire expérimenté de récupérer simplement en utilisant une nouvelle adresse IP publique.
L'un des moyens par lesquels un adversaire peut rendre difficile la réussite du blocage IP est d'utiliser Flux rapide.
Selon Akamai, Fast Flux est un DNS technique utilisée par les botnets pour masquer les activités de phishing, de proxy Web, de diffusion de logiciels malveillants et de communication de logiciels malveillants derrière des hôtes compromis agissant en tant que proxy. L’objectif de l’utilisation du réseau Fast Flux est de rendre la communication entre les logiciels malveillants et leur serveur de commande et de contrôle (C&C) difficile à découvrir par les professionnels de la sécurité.
Les noms de domaine peuvent être un peu plus pénibles à modifier pour l'attaquant, car il devra probablement acheter le domaine, l'enregistrer et le modifier. DNS enregistrements. Malheureusement pour les défenseurs, de nombreux fournisseurs DNS ont des normes souples et fournissent des API pour permettre à l'attaquant de changer encore plus facilement de domaine.
Les attaquants cachent généralement les domaines malveillants sous Raccourcisseurs d'URL. Un URL Shortener est un outil qui crée une URL courte et unique qui redirigera vers le site Web spécifique spécifié lors de l'étape initiale de configuration du lien URL Shortener.
Les artefacts de l'hôte sont les traces ou les observables que les attaquants laissent sur le système, tels que les valeurs de registre, l'exécution de processus suspects, les modèles d'attaque ou IOC (indicateurs de compromission), les fichiers supprimés par des applications malveillantes ou tout autre élément exclusif à la menace actuelle.
Les artefacts du réseau appartiennent également à la zone jaune de la Pyramide de la Douleur. Cela signifie que si vous pouvez détecter et répondre à la menace, l'attaquant aura besoin de plus de temps pour revenir en arrière et changer de tactique ou modifier les outils, ce qui vous donnera plus de temps pour répondre et détecter les menaces à venir ou remédier à celles existantes.
Un artefact réseau peut être une chaîne d'agent utilisateur, C2 informations ou modèles d'URI suivis par les requêtes HTTP POST. Un attaquant pourrait utiliser une chaîne User-Agent qui n'a pas été observée auparavant dans votre environnement ou qui semble sortir de l'ordinaire. Le User-Agent est défini par RFC2616 comme champ d'en-tête de demande qui contient les informations sur l'agent utilisateur à l'origine de la demande.
Les artefacts de réseau peuvent être détectés dans les PCAP Wireshark (fichier contenant les données par paquets d'un réseau) à l'aide d'un analyseur de protocole réseau tel que Requin ou explorer ID (Intrusion Detection System) journalisation à partir d'une source telle que Renifler.
MalwareBazar et Partager sont de bonnes ressources pour vous donner accès aux échantillons, aux flux malveillants et aux résultats YARA – tout cela peut être très utile lorsqu'il s'agit de traquer les menaces et de répondre aux incidents.
Pour les règles de détection, Marché de détection des menaces SOC Prime est une excellente plateforme sur laquelle les professionnels de la sécurité partagent leurs règles de détection pour différents types de menaces, y compris les dernières CVE exploitées dans la nature par des adversaires.
Le hachage flou est également une arme puissante contre les outils de l'attaquant. Le hachage flou vous aide à effectuer une analyse de similarité : faites correspondre deux fichiers présentant des différences mineures en fonction des valeurs de hachage floues. L'un des exemples de hachage flou est l'utilisation de SSDprofond; sur le site officiel de SSDeep, vous pouvez également trouver l'explication complète du hachage flou.
TTPs signifie Tactiques, Techniques et Procédures. Cela inclut l'ensemble MITRE Matrice ATT&CK, c'est-à-dire toutes les mesures prises par un adversaire pour atteindre son objectif, depuis les tentatives de phishing jusqu'à la persistance et l'exfiltration de données.
Si vous parvenez à détecter et à répondre rapidement aux TTP, vous ne laissez pratiquement aucune chance à vos adversaires de riposter. Par exemple, si vous pouviez détecter un Passez le hachage attaque à l'aide de la surveillance du journal des événements Windows et y remédier, vous pourrez trouver l'hôte compromis très rapidement et arrêter le mouvement latéral à l'intérieur de votre réseau. À ce stade, l’attaquant aurait deux options :
- Revenez en arrière, faites plus de recherches et de formations, reconfigurez leurs outils personnalisés
- Abandonnez et trouvez une autre cible
L’option 2 semble définitivement moins gourmande en temps et en ressources.
Réponses de la salle
Quel terme fait référence à une adresse utilisée pour accéder à des sites Web ?
Quel type d'attaque utilise des caractères Unicode dans le nom de domaine pour imiter un domaine connu ?
Un fournisseur de sécurité a analysé l'échantillon malveillant pour nous. Consultez le rapport ici pour répondre aux questions suivantes.
L'acteur lâche un exécutable malveillant (EXE). Quel est le nom de cet exécutable ?
Regarde ça rapport par Virustotal. Combien de fournisseurs déterminent que cet hôte est malveillant ?
Combien de requêtes POST y a-t-il dans la capture d'écran du fichier pcap ?
Fournissez le nom alternatif pour les hachages flous sans l'abréviation
Chimera est un groupe de piratage informatique basé en Chine, actif depuis 2018. Quel est le nom de l'outil commercial d'accès à distance qu'il utilise pour C2 balises et exfiltration de données ?
Vidéo pas à pas
