Le suivi des cyberrisques requiert une enquête détaillée pour comprendre comment un réseau a été compromis et quelles données ont été exposées aux attaquants. L’article suivant explique comment CYDEF enquête les cyberrisques à l’aide de notre outil propriétaireSMART-Monitor. 

2020: Fin avec une montée subite de brèches 

Au cours des derniers mois de 2020, les réseaux mondiaux ont été inondés par une vague de brèches. Nos clients CYDEF ont connu une hausse similaire, que nous avons suivie grâce à notre produit clé SMART-MonitorL’article suivant détaille les actions entreprises par notre équipe d’analystes pour suivre les cyberrisques de nos clients. 

Suivi des cyberrisques avec SMART-Monitor 

La plate-forme SMART-Monitor de CYDEF utilise l’apprentissage machine pour examiner la télémétrie client. Une fois que les systèmes automatisés éliminent toutes les activités connues bonnes, les analystes examinent manuellement les activités restantes. 

Notre équipe a récemment détecté l’anomalie suivante lors du suivi de cyberrisques. L’activité de ligne de commande n’était pas classée à ce moment-là. 

rundll command line relationship for the living off the land attack

Figure 1: relation de ligne de commande rundll pour les attaques qui “vivent de la terre” 

Cette activité de ligne de commande était liée au programme rundll. Lors de l’inspection initiale, la ligne de commande a éveillé la suspicion. Le nom du fichier ne comprenait qu’un groupe de tirets et tirets de soulignement, avec un seul point. Le point d’entrée de la librairie est une chaîne de lettres qui ne fait aucun sens. 

Il était très improbable que cette ligne de commande soit liée à un programme légitime. 

La réponse de CYDEF à une ligne de commande suspecte 

Chaque fois que nos analystes identifient une ligne de commande inhabituelle, nous creusons plus profondément dans les données. Notre réponse dans ce cas n’était pas différente. 

En explorant la vue Stack, nous pouvons voir les journaux bruts agrégés par activité et par machines/clients. 

Nous avons identifié une seule entrée de journal, un événement de création de processus de Sysmon, associé à la ligne de commande. (La capture d’écran a été recadrée pour masquer les informations de l’utilisateur) 

Sysmon process creation event

Figure 2: Extrait de l’événement de création de processus Sysmon 

En vérifiant le hachage de rundll32.exe, nous avons identifié que le rundll était l’exécutable légitime de Microsoft. Le processus parent était explorer.exe (l’interface utilisateur Windows). 

À partir de cette première enquête, nous pouvions dire qu’un utilisateur a peut-être cliqué sur un élément malveillant ou un élément malveillant a été exécuté lors du chargement du bureau. Jusqu’ici, nous n’avions pas suffisamment d’informations pour comprendre la source de l’élément suspect. 

Dans la vue Stack, nous avons exploré les activités liées au ProcessGuid. Après avoir téléchargé tous les journaux liés à ce processus individuel, nous avons découvert que le ProcessGuid de rundll32 n’affichait qu’un événement d’arrêt de processus. Aucune information utile n’a été recueillie lors de cette recherche. 

Le processus explorer.exe n’a pas beaucoup aidé non plus. Il ne contenait que les journaux pour l’initialisation de la session et certaines activités Office génériques. Les journaux du processus d’initialisation ne semblaient montrer de signes de DLL étranges, et l’activité de bureautique générique était standard comme vérifier des courriels, naviguer sur le web, et travailler sur des documents. Nous n’avions toujours pas découvert d’informations contextuelles pour continuer.  

En réponse, nos analystes ont contacté le client. Nous devions obtenir le consentement pour prendre contrôle à distance de leurs systèmes, à l’aide du module de réponse SMART-Monitor. À ce moment-là, notre plan était de saisir le fichier et de le télécharger sur VirusTotal. 

Quand les fuseaux horaires présentent des défis opérationnels 

La réalité des opérations de surveillance de l’autre côté du monde est la disponibilité. Les clients en Asie peuvent être en train d’aller au lit alors que nos analystes en Amérique du Nord arrivent au bureau. 

Malgré tous nos efforts, nous n’avons pas réussi à joindre le client. Ce client est basé en Asie et ils sont rentrés chez eux pour la nuit. Une action par l’un de leurs employés dans l’après-midi et a été soulevée pour enquête par notre équipe lorsqu’ils sont arrivés le lendemain matin. 

Par le temps que les premières étapes de l’enquête étaient complètes et que nous devions contacter le client, ils n’étaient pas disponibles – probablement endormi. Même les contacts d’urgence ne répondaient pas. 

Google Search identifie une nomenclature rundll similaire 

Quand la vie vous donne des citrons, vous faites une recherche Google pour une recette de limonade. 

Puisque nous n’avons pas pu contacter le client, nous avons effectués une recherche sur le Web. Nous nous sommes dit: “Peut-être que quelqu’un d’autre avait aussi vu ça “. 

Naturellement, l’exécution d’une recherche sur le point d’entrée de la DLL n’a rien retourné. Nous nous attendions à cela, étant donné que le point d’entrée semblait être généré de manière unique. Rechercher des sections du nom de fichier n’a rien retourné non plus. 

Cependant, la recherche de “nom de fichier uniquement tiret et traits de soulignement rundll” à mener à un résultat de recherche prometteur. 

Google search result for file name with only dash underscores rundll

Figure 3: Résultats de la recherche Google pour le nom de fichier uniquement tiret et traits de soulignement rundll 

L’article de blog indique que la convention de dénomination des fichiers et le point d’entrée de la DLL sont très similaires à celui que nous avons détecté. Cependant, cela pourrait être une coïncidence. Avec seulement des données limitées et de forts soupçons, nous n’avons pas pu confirmer que notre cas et l’exemple Web sont identiques.

Logiciel malveillant propagé à l’aide d’une clé USB  

Tracking Cyber Exposure USB Key

L’article de blog indiquait que le logiciel malveillant en question s’était propagé à l’aide d’une clé USB. Un utilisateur serait arnaqué par le logiciel malveillant pour l’inciter à cliquer sur un fichier LNK qui exécuterait le logiciel malveillant. 

Peut-être, nous avons pensé, nous pourrions trouver l’accès USB. 

L’activité rundll32 initiale a indiqué la machine particulière et l’heure à laquelle l’incident s’est produit. Nous avons utilisé la fonctionnalité d’Observateur d’Événements de SMART-Monitor pour télécharger les données du journal du système affecté dans une plage de temps étroite autour de l’activité. Nous avons cherché ensuite pour le point d’entrée du DLL (un identifiant très unique) afin de mettre en évidence l’activité.

Nous avons rapidement retrouvé l’événement de création de processus et avons continué notre recherche de journaux contenant des traces d’activité USB. (Données client masquées dans la capture d’écran ci-dessous).

SMART-Sentinel event viewer highlighting event containing DLL entry point

Figure 4: l’observateur d’événements SMART-Monitor mettant en évidence l’événement contenant le point d’entrée du DLL

Le répertoire de travail était en fait le lecteur E: et la DLL en question était sur la clé USB. 

Dans le moment, nous n’avions pas remarqué la clé USB et avons regardé les autres événements. Quelques millisecondes avant l’événement, les pilotes étaient en cours de mise à jour.

Trigger for driver updater

Figure 5: Logiciel de mise à jour du pilote déclenché

Call for user mode driver

Figure 6: Pilote en mode utilisateur exécutable appelé 

Quelques millisecondes plus tard, un document Word a été chargé à partir du lecteur E:. 

USB Key Responsible for cyber exposure

Figure 7: document Word chargé à partir du lecteur USB 

Nous avons finalement remarqué le répertoire de travail dans le journal rundll32 lié à une clé USB. Nous étions assez confiants que cet événement était en fait le logiciel malveillant décrit dans le blog (une souche de Gamarue / Andromeda). 

Nous avons conseillé au client de mettre en quarantaine l’ordinateur et, plus important encore, la clé USB. 

Nous avons également demandé au client si nous pouvions obtenir une copie informatique légale de la clé USB afin de valider nos résultats. Étant donné que la DLL résidait sur la clé USB, il serait impossible de procéder à une évaluation à distance. 

Cependant, nous n’avons pas pu accéder à la clé USB. Malheureusement, nous n’avons pas pu confirmer la souche spécifique du logiciel malveillant – ou s’il s’agissait d’un logiciel malveillant en premier lieu. 

Suivi des incidents à distance 

CYDEF Tracking Cyber Exposure

Notre équipe travaille avec SMART-Monitor tous les jours, mais nous sommes toujours étonnés par la capacité d’identifier et de suivre une ligne de commande étrange liée à une clé USB infectée au milieu de l’Asie. 

Nous avons même réussi à identifier, avec confiance modérée, la souche probable du logiciel malveillant. 

Lorsque vous travaillez sur un projet depuis si longtemps, il est très satisfaisant de voir tous les dominos tomber exactement comme vous l’attendiez.