Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Brute Ratel C4, désormais préféré à son ennemi connu Cobalt Strike - Commentaire Netwrix

juillet 2022 par Netwrix

Selon un récent rapport mené par Unit42, des cybercriminels
spécialisés dans les menaces persistantes avancées ont adopté Brute
Ratel C4, un outil légitime de test d’intrusion.

Dirk Schrader [1], Resident CISO (EMEA) and VP of Security Research chez
Netwrix, a fait le commentaire suivant :

« Le récent rapport d’Unit42 [2] sur un nouvel outil de commande et
contrôle (C2) appelé Brute Ratel C4, désormais préféré des
attaquants à son ennemi connu Cobalt Strike, devrait sonner l’alarme
pour les cyber-défenseurs. Et voici pourquoi : cet outil semble
échapper à la détection des outils EDR et des antivirus en général,
car il possède des capacités intégrées pour garder les traces, en
particulier celles en mémoire cachées. Ce fait oblige les
organisations à vérifier leur architecture de cybersécurité.

Comme les capacités de détection installées sur les solutions
endpoints (EDR et antivirus précédemment nommés) ne sont pas
suffisantes pour détecter les activités de commande et contrôle
utilisant le Brute Ratel C4, les équipes informatiques doivent assurer
la sécurité de l’organisation en concentrant leurs efforts sur les
trois principales surfaces d’attaque : les données, les identités et
l’infrastructure.

Des outils comme Brute Ratel C4 ou Cobalt Strike sont exploités par les
attaquants pour établir un canal de retour vers le centre de contrôle,
un canal qui doit être pratiquement indétectable. C’est l’élément
clé de leur chaîne d’attaque. L’approche de la cyber-défense de
l’organisation doit viser à briser cette chaîne tout en restant
résiliente. L’équipe IT peut améliorer cette cyber-résilience en
identifiant le type de données précieuses stockées et leur
emplacement exact. Cela permettra de concentrer les efforts de
sécurité sur ce qui est réellement critique. Par exemple, si des
données sensibles se trouvent ouvertes à un groupe d’utilisateurs
jugé trop important, elles devraient être mises en quarantaine et
portées à l’attention des responsables IT et sécurité. Une telle
mesure est en revanche excessive pour des données non sensibles et ne
fait que détourner leur l’attention.

Une autre couche à surveiller est celle des identités. Le contrôle
des comptes d’utilisateurs et des comptes de services, ainsi que la mise
en place d’un gouvernement d’accès sont la pierre angulaire de la
sécurité des identités. Les privilèges doivent être gérés avec
encore plus de soin : accordés pour une session spécifique, ils
doivent être révoqués lorsque cette session prend fin. Une telle
approche élimine les privilèges permanents en place et réduit donc la
surface d’attaque de l’organisation.

La dernière pièce de ce puzzle est le maintien de l’intégrité des
systèmes organisationnels, la détection de tout changement survenant
dans les actifs et l’infrastructure, de tout fichier abandonné, d’une
bibliothèque de liens dynamiques (DLL) modifiée ou d’un changement de
configuration diminuant la posture de sécurité. Une détection
précoce augmente les chances de prévenir une compromission réelle des
données. »


Voir les articles précédents

    

Voir les articles suivants