Cet article initialement publié le 29 mars 2019 vous est proposé en « Best-of » pendant l’été 2019. Lors de sa première publication il a été consulté par 6653 lecteurs.
Lorsqu’une menace se présente, l’équipe en charge de la sécurité doit mener une investigation pour déterminer la réalité d’une attaque et son degré de gravité. Cette investigation permet de prendre des dispositions pour, s’il n’est pas trop tard, faire échouer l’offensive et, d’une manière plus globale, mieux se protéger contre certains modes opératoires.
L’une des attaques les plus fréquentes est celle du spear-phishing qui consiste à envoyer des e-mails suffisamment ciblés pour tromper la vigilance des victimes. Cet article aborde l’une des manières d’investiguer lorsque cette situation se présente. La méthode choisie ici est la victimologie, qui permet de déterminer plus rapidement si nous avons affaire à une offensive ciblée contre « notre » entreprise ou du phishing traditionnel.
Prenons l’exemple d’un système de protection qui indique dans ses alertes avoir bloqué six événements de spear phishing envoyés depuis le même expéditeur sur une période de 45 jours. Il est à noter qu’un expert en sécurité passe à autre chose une fois qu’il a constaté que les équipements ont fonctionné, pas un analyste du renseignement. C’est pourquoi il est important de multiplier les profils.
La victimologie pour identifier les motivations et le ciblage de l’attaque
La première étape consiste à comprendre à qui ont été envoyés ces e-mails. Le responsable de l’investigation ne connaissant pas nécessairement tous les salariés de l’entreprise, il convient d’importer dans une plateforme de renseignement sur les menaces (ou « TIP », pour Threat Intelligence Platform), les identités de tous les collaborateurs de l’entreprise. Il est alors nécessaire de disposer de leur titre, de leur poste, du nom de leur responsable, de leur emplacement géographique, etc. Il existe plusieurs manières de constituer cette liste ; elles vont de l’export simple depuis Active Directory au script qui injecte automatiquement les données dans le TIP via une API, en utilisant les champs standards de logiciels comme PeopleSoft.
Avec toutes ces données préparées, il devient trivial de visualiser les similitudes entre les destinataires de cette campagne de spear phishing. Dans notre exemple, ils travaillent tous au service financier. Il s’agit donc bien d’une attaque conçue sur mesure contre des salariés de ladite entreprise et dont la motivation est financière.
Procéder à une analyse technique pour savoir quelles contre-mesures déployer
La seconde étape est une analyse technique de l'attaque. L'horodatage de chaque événement est parfois un indice : si les e-mails sont tous envoyés à la même heure de la journée, on peut déduire qu’un script a été programmé par un assaillant qui industrialise ses attaques, ce qui signifierait qu’il mène d’autres offensives par ailleurs et que ladite entreprise n’est qu’une cible parmi une campagne plus vaste. Si ce n’est pas le cas, cela signifie que « notre » entreprise occupe toute l’attention de l’assaillant et que celui-ci est d’autant moins susceptible de jeter l’éponge.
L’analyse détaillée des destinataires peut aussi révéler des points intéressants. Par exemple, il se peut que l’un d’eux n’apparaissent que plusieurs jours après le début des attaques et que, renseignement pris auprès des RH, il ne faisait pas partie de l’équipe financière avant cela. Ici, l’adversaire se tient à jour sur nos recrutements.
L’analyse des e-mails permet de savoir si un contenu radicalement différent est utilisé à chaque envoi, y compris parmi les pièces attachées, les failles qu’elles adressent et/ou le code malveillant qu’elles intègrent. Si ce contenu évolue, cela signifie que l’assaillant change de techniques pour mettre à l’épreuve les défenses de l’entreprise et il est fort probable qu’il continuera à le faire. Notons qu’il est difficile de dire si notre assaillant n’est qu’une seule personne disposant d’un vaste arsenal d’offensives ou plusieurs pirates chacun dotés d’une spécialité, mais il y a fort à parier que les attaques sont coordonnées.
Cette analyse technique permet de prendre des dispositions face à l’attaque. L’entreprise est en effet en mesure de savoir comment sensibiliser les équipes, comment nettoyer les postes, quelles contre-mesures techniques mettre en place et mieux prioriser ses vulnérabilités.
Les perspectives apportées par l’investigation
L’investigation ne s’arrête pas là. L’attaque étant manifestement ciblée, il sera nécessaire de comparer les prochains événements de spear phishing à ceux qui ont été étudiés ici, ne serait-ce que pour déterminer si l’assaillant en a toujours après « nous ».
Dans le cadre de cet exemple, les prochains e-mails de spear phishing seront intégrés dans notre TIP et il est probable que des liens soient découverts, voire que nous nous apercevions que l’assaillant change de cible en s’attaquant dorénavant aux équipes RH.
Au final, cette enquête aura permis de découvrir que l’entreprise avait un adversaire en particulier et de réorienter sa stratégie pour se défendre contre lui. Elle aura aussi apporté des éléments tangibles pour remonter l’information au plus haut niveau hiérarchique et ainsi sensibiliser toute l’entreprise.