Campagne FunnyDream APT – Zoom sur Silverfort Protection contre les mouvements latéraux

*****Par Yiftach Keshet, directeur du marketing produit, Silverfort*****

Une nouvelle campagne APT, baptisée 'DrôleRêve', a été découvert par des chercheurs en sécurité. La campagne ciblait principalement les gouvernements d'Asie du Sud-Est. Des découvertes d'attaques ont été signalées depuis octobre 2018. L'enquête sur les activités d'espionnage du groupe APT montre des preuves de mouvement latéral. Il semble que des informations d'identification compromises aient été utilisées pour exécuter de nombreux fichiers batch avec des tâches planifiées et WMI sur des machines distantes. D'autres preuves montrent que les attaquants ont utilisé le script wmiexec.vbs pour exécuter des commandes à distance. C'est un rappel douloureux que le mouvement latéral est toujours un angle mort, en raison d'une lacune critique dans la pile de produits de sécurité standard de la plupart des organisations. Dans ce blog, nous allons expliquer comment le mouvement latéral est exécuté dans cette attaque, puis zoomez sur la façon dont Silverfortla technologie innovante de peut bloquer les mouvements latéraux tout à fait, en identifiant ses modèles d'authentification anormaux et en appliquant des politiques de sécurité sur les outils d'accès à distance en ligne de commande.

Présentation de la campagne FunnyDream

La campagne FunnyDream ciblait des entités de premier plan en Malaisie, à Taïwan, aux Philippines et au Vietnam. Il dispose d'un mécanisme de persistance sur mesure hautement sophistiqué utilisant des portes dérobées et des compte-gouttes avancés pour faciliter la collecte et l'exfiltration de données silencieuses et à long terme. Suite à l'infection initiale et à la mise en œuvre du mécanisme de persistance, les preuves suggèrent que les acteurs de la menace FunnyDream cherchent et réussissent à compromettre les contrôleurs de domaine de leurs victimes. Ils ont ensuite exécuté une vaste activité de mouvement latéral en utilisant tâches planifiées ainsi que WMI , avec une préférence particulière pour l'utilisation de wmiexec.vbs pour explorer et exécuter du code sur des machines distantes.

Mouvement latéral : légitime par conception, malveillant par contexte

Le mouvement latéral, comme on le voit dans les campagnes APT telles que FunnyDream, peut être exécuté à l'aide d'outils d'administration à distance légitimes tels que PSexec, Powershell ou dans le cas de FunnyDream WMI, pour explorer et accéder aux ressources du réseau. Ces outils éliminent le besoin de découvrir les vulnérabilités du jour zéro, de développer des exploits ou de créer une porte dérobée compliquée, car ces outils d'administration sont spécialement conçus pour permettre aux opérateurs de réseau et d'infrastructure d'accéder de manière transparente à n'importe quelle machine distante. En d'autres termes, ces outils sont de par leur conception à la fois des moteurs de productivité incroyables et des lames mortelles entre les mains des attaquants.

Le mouvement latéral présente des défis pour les produits de sécurité

Il y a deux raisons pour lesquelles les mouvements latéraux sont difficiles à détecter et à empêcher avec les solutions de sécurité courantes:
• L'attaque est effectuée à l'aide d'informations d'identification légitimes, mais compromises: cela signifie que, dans la pratique, ce que vous voyez est simplement une connexion avec des informations d'identification d'utilisateur valides. Il n'y a aucune indication explicite que les informations d'identification utilisées sont en fait compromises.
• La détection en temps réel des comportements anormaux est difficile en raison de la complexité de ces attaques: Certaines solutions telles que EDR, NDR et SIEM peuvent détecter une anomalie potentielle après un mouvement latéral et générer une alerte rétroactive. Cependant, comme ils ne le détectent pas en temps réel, ils ne peuvent pas le bloquer.

Pour mieux illustrer ce point, l'activité malveillante, par définition, s'écarte de l'activité légitime. Par exemple, dans le cas de logiciels malveillants ou d'exploits, il s'agit d'un écart par rapport au comportement standard d'un processus suivi de sa résiliation immédiate par la protection du terminal. Dans le cas de l'exfiltration massive de données, il s'agit d'un écart par rapport aux modèles standard de trafic réseau qui, une fois détecté, déclenche blocage immédiat par le produit de protection réseau. Et ainsi de suite. Cependant, lors de l'utilisation d'informations d'identification légitimes pour accéder aux ressources, l'écart ne serait visible que dans le activité de l'utilisateur. Et, si une anomalie dans l'activité de l'utilisateur est détectée, elle doit être suivie d'une réponse immédiate - soit bloquer l'accès de l'utilisateur, soit demander à l'utilisateur de se réauthentifier afin de vérifier la véritable identité de l'utilisateur. C'est ici que Silverfort entre en scène.

Silverfort: La première plateforme d'identité unifiée

Silverfort est le premier Unifié Protection d'identité Plate-forme spécialement conçue pour protéger les organisations contre les attaques basées sur l'identité, qui utilisent des informations d'identification compromises pour accéder aux ressources ciblées. Silverfort s'intègre à votre infrastructure IAM pour surveiller toute l'activité d'authentification dans le réseau, aux ressources cloud et sur site, pour une analyse continue des risques et l'application des règles d'accès.

Changement de paradigme : bloquer les mouvements latéraux en renforçant les exigences d'authentification en temps réel

SilverfortLa visibilité holistique de sur l'ensemble de l'activité d'authentification de chaque utilisateur lui permet d'évaluer avec une précision inégalée le profil de comportement de vos utilisateurs. Il calcule en permanence le risque de chaque demande d'accès par rapport au comportement observé de l'utilisateur et de sa communauté. Pour en savoir plus à ce sujet, consultez le blog : Détection et prédiction des accès malveillants dans les réseaux d'entreprise à l'aide de l'algorithme de détection communautaire de Louvain

Quand Silverfort identifie une activité anormale, comme cela se produit avec attaques de mouvement latéral, il peut renforcer les exigences d'authentification en temps réel pour bloquer l'accès, ou demander à l'utilisateur de s'authentifier avec un MFA de son choix (cela peut être Silverfortla solution MFA sans agent de ou une solution MFA tierce). Silverfort est la seule solution capable de faire respecter MFA sur les outils d'accès à distance en ligne de commande qui sont le pain et le beurre du mouvement latéral. Bien que la MFA ne soit traditionnellement pas considérée comme faisant partie intégrante de l'arsenal anti-APT dans la phase de mouvement latéral post-compromis, son application à de tels outils de ligne de commande en combinaison avec des politiques de risque adaptatives offre une protection simple mais efficace contre ces menaces.

Comment ça marche?

Illustrons cela à l'aide de l'exemple de mouvement latéral "FunnyDream" :

1. L'attaquant tente de se connecter à une machine avec wmiexec.vbs, à l'aide d'informations d'identification d'utilisateur compromises.
2. le Silverfort la stratégie recommandée pour l'utilisation de WMI pour l'accès à distance nécessite MFA. Par conséquent, l'utilisateur réel, l'utilisateur légitime qui possède les informations d'identification, est invité à vérifier l'authentification.
3. L'attaquant ne peut pas terminer l'authentification, l'accès à la ressource est donc bloqué.
4. Le SOC est immédiatement informé par Silverfort sur la tentative d'utilisation wmiexec.vbs permettant à l'équipe de sécurité d'enquêter plus avant et d'éradiquer la présence malveillante de leur réseau.

Pour en apprendre plus sur Silverfortde bloquer les attaques par mouvement latéral, veuillez regarder notre webinaire à la demande :

Pouvez-vous détecter et bloquer la menace évasive du mouvement latéral ?

Nous espérons avoir réussi à expliquer dans ce blog comment Silverfort atténue ces menaces et bloque les mouvements latéraux. Cependant, nous sommes toujours heureux d'en discuter davantage. Faites-nous savoir si vous avez des questions ou si vous souhaitez voir une démonstration complète de cette solution :

Démo