Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Utilisation de MITRE ATT&CK pour enquêter sur le logiciel rançonneur RobbinHood

décembre 2019 par Yaelle Harel, Responsable technique des produits de prévention des menaces de Check Point

La ville de Baltimore a été prise en otage par le logiciel rançonneur RobbinHood en mai 2019.

Selon la BBC, le logiciel rançonneur a verrouillé 10 000 ordinateurs des services d’administration de la ville, a bloqué des comptes de messagerie, et a désactivé les paiements en ligne aux services de la ville pendant plusieurs semaines. Le logiciel malveillant a exigé un paiement en échange d’outils de déchiffrement.

Pour ce cas d’utilisation, nous allons décrire l’enquête sur « RobbinHood » à l’aide du framework MITRE ATT&CK.

Framework MITRE ATT&CK

MITRE ATT&CK est une base de connaissances recensant les tactiques et les techniques utilisées par les pirates.

C’est devenu un outil utile dans de nombreux cas d’utilisation de la cybersécurité, tels que la recherche de menaces, des simulations avec des équipes d’adversaires, et l’enrichissement de l’intelligence sur les menaces. Ce framework est fréquemment évoqué lors de conférences sur la cybersécurité telles que RSA, Black Hat, et le Sommet de Gartner sur la sécurité et la gestion des risques.

Il fournit une intelligence s’appuyant sur des observations de cas réels et est donc très utile pour enquêter sur des attaques.

Les sept tactiques utilisées par RobbinHood

L’équipe de recherche de Check Point a simulé l’attaque de RobbinHood avec SandBlast Agent en mode de détection, afin d’analyser le comportement du logiciel rançonneur. SandBlast Agent a observé sept tactiques MITRE ATT&CK utilisées par le logiciel rançonneur :

• Exécution - Interface en ligne de commande, API et autres techniques d’exécution utilisées.

• Contournement des défenses - Désactivation des connexions au partage réseau afin de supprimer toute trace.

• Accès aux identifiants - Accès aux clés de chiffrement.

• Découverte - Collecte d’informations sur le système d’exploitation et les processus en cours d’exécution.

• Collecte - Informations collectées sur le système.

• Exfiltration - Les données ont été compressées.

• Impact - Les données critiques ont été chiffrées et les services ont été stoppés.

Figure 1 : Ce tableau décrit les techniques utilisées par RobbinHood et les regroupe en différentes tactiques.

Blocage de l’attaque en couvrant 100 % des techniques

Check Point SandBlast Agent et Check SandBlast Network bloquent tous deux l’attaque de RobbinHood aux premières étapes de son déclenchement. Les moteurs de SandBlast détectent la tentative d’utilisation de l’interface de commande et de contrôle, et empêchent le déroulement de l’attaque. Étant donné que Check Point couvre 100 % des techniques utilisées par RobbinHood, les attaques seront bloquées avant que les données ne soient chiffrées, même si le pirate réussit à atteindre certains de ses objectifs tactiques.

Analyse de RobbinHood à l’aide des rapports d’analyse de SandBlast Agent

Check Point a récemment intégré la matrice MITRE ATT&CK dans les rapports d’analyse de la protection SandBlast Zero-Day. Les rapports de Threat Emulation et de SandBlast Agent incluent désormais une matrice MITRE ATT&CK détaillée avec les tactiques et les techniques adverses détectées. Ces informations peuvent être utilisées pour enquêter sur les incidents, évaluer la motivation des pirates et les dommages potentiels des attaques.

Le rapport d’analyse sur RobbinHood généré par Check Point SandBlast Agent est accessible au public. Il contient une vue d’ensemble de l’attaque, de son impact, etc. L’analyse des attaques à l’aide du rapport d’analyse est très utile. Dans le cas de RobbinHood, le rapport décrit le déroulement de l’attaque sous forme de graphique interactif qui illustre la façon dont le pirate utilise les techniques répertoriées ci-dessus et les connexions entre elles.

Check Point a récemment ajouté les détails de la matrice MITRE ATT&CK au rapport d’analyse. La matrice se trouve dans la section « Activité suspecte » du rapport. L’image suivante est extraite du rapport d’analyse de l’attaque RobbinHood :


Voir les articles précédents

    

Voir les articles suivants