Démasquer l’ennemi ! -Blogs OpenText

Détection et réponse étendues gérées OpenText™ (MxDR) offre une cyber-résilience en recherchant les menaces pour détecter le comportement de l’adversaire. Dans un paysage de cybersécurité en constante évolution, rester en avance sur le nombre croissant de menaces constitue un défi permanent. OpenText a récemment expliqué comment il utilise le framework MITRE ATT&CK pour sa détection et sa chasse aux menaces dans Comprendre MITRE ATT&CK et Tidal Cyber ​​Vendor Registry.

La chasse commence

Paul, un chasseur de menaces astucieux au sein de l’équipe SOC d’OpenText, parcourait les journaux d’un environnement client lorsqu’il est tombé sur une étrange ligne de commande. Il utilisait une technique « Vivre de la terre » utilisant un exécutable Windows appelé Rundll32.exe, mais cette ligne de commande semblait inhabituelle par rapport aux autres qu’il examinait. La cible de la commande ne semble pas être un fichier DLL. En approfondissant, Paul a remarqué que le processus tentait une seule connexion sortante une fois par jour vers une adresse IP d’un réseau d’hébergement. L’activité particulière impliquait l’envoi répété de drapeaux SYN à cette adresse IP via le port 443, mais rien de plus. Pour Paul, il ne s’agissait pas simplement d’un bruit aléatoire ; c’était un subtil appel à l’attention, un « ping » numérique qui ressemblait à une activité de balisage classique.

Dans le monde de la cybersécurité, le balisage laisse souvent présager des problèmes. C’est comme une machine compromise qui murmure à son serveur de commande et de contrôle (C2) : « Je suis en vie ! Quelle est la prochaine étape ? Paul a immédiatement signalé l’activité pour une enquête plus approfondie et en a parlé au client final.

Une connexion obscure

En fouillant dans la propriété intellectuelle, Paul a découvert une histoire troublante. Il y a sept mois, l’IP était liée au fameux Groupe de rançongiciels Bianlianconnus pour leurs opérations furtives et leurs attaques dévastatrices. Cependant, de récents rapports de renseignement sur les menaces suggèrent que l’adresse IP était « propre » et ne présentait aucune activité suspecte. Serait-ce un vestige de leur infrastructure, ou la propriété intellectuelle a-t-elle été réutilisée ?

Une rapide requête sur Shodan a révélé l’état actuel du serveur : il était toujours exposé à Internet, avec les ports 22 (SSH) et 3389 (RDP) grands ouverts, des ports communs pour l’accès à distance.

Dévoilement de l’intrusion

En remontant le fil d’Ariane, Paul s’est concentré sur deux indicateurs de compromis (IOC) :

1. L’adresse IP du serveur C2 suspecté.
2. Un fichier suspect inclus dans la ligne de commande inhabituelle (SUPPRIMÉ.log).

Les deux artefacts ont mis en évidence les premiers signes d’activités malveillantes au cours des derniers jours. À partir des journaux, Paul et son collègue Sourabh, un autre chasseur de menaces OpenText méticuleux, ont reconstitué une arborescence de processus qui racontait une histoire effrayante :

1. svchost.exe avait engendré une instance de wscript.exe avec la commande :C:WindowsSystem32WScript.exe "C:windowssystem32REDACTED.vbs"
2. Le même wscript.exe puis lancé rundll32.exeavec une commande pointant vers le fichier suspect trouvé dans la ligne de commande ; EXPURGÉ.log.

Il n’y avait pas de processus parental clair pour svchost.exemais Sourabh a découvert une tâche planifiée s’exécutant en même temps :

• Nom: EXPURGÉ
• Chemin: MicrosoftWindowsWininetEXPURGÉ
• Action: C:Windowssystem32REDACTED.vbs

Ce nom de tâche a été choisi pour s’intégrer et a probablement été implanté par l’attaquant pour garantir la persistance. Grâce à cette nouvelle découverte, Paul a ajouté d’autres IOC à la liste, tous liés à la tâche planifiée.

Analyse des logiciels malveillants

L’étape suivante de Paul consistait à analyser le contenu du fichier à partir de la ligne de commande d’origine (EXPURGÉ.log) et le EXPURGÉScript .vbs. Bien que EXPURGÉ.log n’a pas été trouvé dans les référentiels publics de logiciels malveillants, une analyse dynamique a révélé qu’il s’agissait en fait d’un fichier DLL malveillant, comme on le soupçonnait. Le VBScript a été utilisé pour exécuter une fonction dans la DLL malveillante, envoyant des paramètres tels que l’adresse IP C2. Il a été conçu pour déclencher un comportement de balisage via des tâches planifiées, signalant aux attaquants que la machine compromise était prête à recevoir des instructions supplémentaires.

Un confinement rapide

Armés de preuves et confirmant que les IOC n’étaient pas visibles sur d’autres hôtes dans l’environnement, Paul et l’équipe ont pris des mesures immédiates pour contenir la menace :

1. Le EXPURGÉLe fichier .log a été supprimé.
2. La tâche planifiée malveillante a été supprimée.
3. Le EXPURGÉLe script .vbs a été éradiqué du système.

Une fois les IOC neutralisés, la machine compromise a été confinée, et l’enquête plus approfondie et la chasse aux menaces se sont poursuivies.

Conclusion

Le groupe de rançongiciels BianLian, probablement basé en Russie, est actif depuis juin 2022, ciblant divers secteurs d’infrastructures critiques aux États-Unis et en Australie. Utilisant initialement un modèle de double extorsion, BianLian chiffrerait les systèmes des victimes après avoir exfiltré les données. Cependant, depuis janvier 2024, ils se sont tournés vers des extorsions principalement basées sur l’exfiltration, menaçant de divulguer les données volées si les rançons ne sont pas payées. Le groupe accède généralement via des informations d’identification RDP (Remote Desktop Protocol) valides et utilise des outils open source et des scripts de ligne de commande pour la découverte et la collecte d’informations d’identification. Ils exfiltrent les données à l’aide de méthodes telles que File Transfer Protocol (FTP), Rclone ou Mega.

Cet incident nous a brutalement rappelé que même une infrastructure déclarée propre par de nombreux services en ligne, comme une adresse IP associée à un groupe de ransomwares il y a plusieurs mois, peut rester une menace. La vigilance et l’approche méthodique de notre équipe OpenText SOC ont non seulement déjoué les dommages potentiels, mais ont également fourni des informations précieuses sur l’évolution des tactiques des cyber-adversaires.

La bataille en matière de cybersécurité est en cours, mais avec des chasseurs de menaces dévoués et qualifiés dans notre Équipe OpenText MxDRles défenseurs continuent de tenir la ligne.