Avec Custom Defense, la surveillance et la neutralisation des activités C&C offre une sécurité avancée des réseaux, des passerelles, des serveurs et des postes clients. De plus, les utilisateurs bénéficient d’alertes de veille sur les communications C&C. Pour la toute première fois, les entreprises et administrations disposent de la visibilité nécessaire pour détecter les attaques ciblées et réagir avant tout dommage majeur.

APT et Communications C&C

Les menaces APT et les attaques ciblées ont pour particularité de contourner les lignes de défense traditionnelles des organisations, comme le soulignent les attaques récentes qui ont visé le New York Times, le Wall Street Journal ou encore l’US Federal Reserve. Selon une enquête récente menée auprès des membres de l’ISACA, une association regroupant des professionnels de l’informatique, 21 % des sondés déclarent que leur entreprise a déjà été victime d’une APT, et 63 % d’entre eux pensent que ce n’est qu’une question de temps avant qu’elle ne soit ciblée.

Ces attaques sont souvent menées à distance et orchestrées à l’aide des communications C&C entre les systèmes infiltrés et les assaillants. Ces canaux de communication permettent de télécharger de nouvelles applications ou de recevoir des instructions. Les cybercriminels utilisent également ce canal pour déployer des backdoors et ainsi identifier et détourner les données ciblées. D’après une étude menée par Verizon en 2012, l’utilisation d’un backdoor ou d’un canal C&C a été constatée dans 50 % des cas étudiés de détournements de données.1

Détecter les communications C&C : un véritable défi

Afin de détecter les attaques ciblées, il est impératif d’identifier les communications C&C. Cependant, contrairement aux réseaux botnets d’envergure, le trafic C&C lié aux APT est intermittent et de faible volume, ce qui complexifie sa détection. D’autre part, les cybercriminels ne simplifient guère la tâche, en tentant de dissimuler le trafic C&C à l’aide de différentes techniques : changement et redirection d’adresses, utilisation d’applications et de sites légitimes en tant qu’intermédiaires, voire même déploiement des serveurs C&C au sein du réseau victime. Les chercheurs de Trend Micro constatent en effet que la durée de vie moyenne d’une adresse C&C est inférieure à trois jours. De plus, les assaillants utilisent des techniques détectables uniquement via des outils ou solutions déployés sur le réseau de l’entreprise ciblée.

Les chercheurs des TrendLabs ? estiment qu’il existe 1 500 sites C&C actuellement actifs et dénombrent de 1 à 25 000 victimes par site, même si plus des deux-tiers d’entre eux ne gèrent que 3 victimes ou moins. Plus de 25 % de ces sites ont une durée de vie de moins d’une journée, et pour 50 % d’entre eux, elle est inférieure à 4 jours.

Les nouvelles fonctionnalités de Custom Defense pour juguler les activités C&C

Lors de la conférence RSA 2013, Trend Micro a présenté les nouvelles fonctions orientées C&C de Custom Defense :

Identification et suivi des communications C&C dans le Cloud et sur les réseaux de l’entreprise.
Fonction intégrée de détection des communications C&C sur le réseau et au niveau des passerelles, des serveurs et des postes clients.
_Système d’alerte centralisé sur les C&C, veille sur les risques liés aux C&C et options flexibles de contrôle.
Mise à jour de l’ensemble des produits en cas de détection de nouvelles communications C&C.
Des API et des services Web pour intégrer des produits de sécurité tiers au sein de Custom Defense.

Comment ça marche ?

Identification et monitoring grâce à Trend Micro™ Smart Protection Network™ et au travail des chercheurs de Trend Micro

L’infrastructure Smart Protection Network identifie les sites C&C partout dans le monde. Il traite chaque jour 12 milliards d’IP et d’URL et effectue la corrélation de plus de 6 To de données. Ses moteurs de corrélation sont capables de surveiller les changements d’adresses des sites C&C, tandis que 1 200 chercheurs en sécurité de Trend Micro scrutent en permanence et détectent les techniques furtives utilisées par les assaillants.

Ces derniers recueillent et examinent les analyses post-incidents liées aux attaques ciblées avortées, sur un panel de plusieurs dizaines de milliers de clients Trend Micro. En analysant les différentes séquences des attaques, ces chercheurs obtiennent une visibilité précise sur les communications C&C, les malware et les techniques des assaillants, favorisant ainsi une amélioration constante de Smart Protection Network et des produits de Trend Micro.

Une surveillance réseau, assurée par Trend Micro™ Deep Discovery

Trend Micro Deep Discovery utilise des outils de détection spécifiques à chaque client afin d’identifier les malware, les communications suspectes, ainsi que l’activité des cybercriminels sur le réseau. Le « fingerprinting » (empreinte) du trafic C&C furtif, autrement dit l’étude des caractéristiques de ce trafic, permet d’identifier un assaillant qui utiliserait des applications et des sites web légitimes, ou des techniques sophistiquées à l’image d’un serveur C&C déployé au sein du réseau. Deep Discovery dispose d’un environnement sandbox qui identifie la destination des communications C&C liées aux attaques de type Zero-day, et effectue ainsi à une mise à jour de Smart Protection Network et de l’ensemble des outils de protection du client.

Une protection transversale et un système centralisé d’alerte

Les informations les plus récentes en matière de communications C&C, à l’échelle locale ou mondiale, alimentent les solutions Trend Micro afin de protéger les postes clients, les serveurs, le réseau, les passerelles et la messagerie. Toute communication C&C détectée est clairement identifiée sur une console centralisée, avec alerte des équipes de sécurité. L’évaluation, la prise en charge et la neutralisation des risques liés aux C&C bénéficient de la fonction de veille Threat Connect qui renseigne sur le niveau de dangerosité, l’activité, l’origine et les adresses du site C&C. Cette approche permet de statuer sur le niveau de risque d’une communication, sur la nécessité de l’interrompre et sur les opérations de restauration nécessaires.

– Disponibilité

Les produits Trend Micro listés ci-dessous bénéficient des nouvelles fonctionnalités de détection des communications C&C. Les versions bêta sont d’ores et déjà disponibles, et leur commercialisation effective s’effectuera d’ici la fin du premier trimestre 2013.

Sécurité des postes clients : Trend Micro™ OfficeScan™
Sécurité des serveurs, des environnements virtualisés et du Cloud : Trend Micro™ Deep Security
Sécurité des réseaux : Trend Micro™ Deep Discovery
Sécurité de la messagerie : Trend Micro™ InterScan Mail Security, et Trend Micro™ ScanMail™ for Exchange, Trend Micro™ ScanMail™ for Lotus Domino
Sécurité du Web : Trend Micro™ InterScan™ Web Security
Gestion centralisée : Trend Micro™ Control Manager™

Informations complémentaires disponibles en anglais :

– APT C&C Communication Superior Detection with Trend Micro Custom Defense (Trend Micro Solution Brief)

– ISACA Advanced Persistent Threats Awareness Survey

– Detecting APT Activity with Network Traffic Analysis

– Infographie Tracking Known C&C Traffic

– Livre blanc Custom Defense

– Lien vers la page Internet Custom Defense (en français)

– Trend Micro Custom Defense Video

Sources :

1. 2012 Data Breach Investigations Reports, Verizon RISK Team, Mars 2012