Rechercher
Fermer ce champ de recherche.

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

05/06/2018

Blog technique

Threat Hunting (Recherche de compromissions)

Equipe CERT

La recherche de compromissions (ou Threat Hunting pour les anglophones) consiste basiquement à rechercher sur un système d’information a priori sain si une présence malveillante peut être détectée. Sa mise en œuvre part du constat que la détection en temps continu n’est malheureusement pas suffisamment complète et souvent mise à mal, et qu’un appui technique ponctuel mais plus important peut pallier ce manque d’exhaustivité.

Pourquoi effectuer une recherche de compromissions ?

Les raisons d’une telle recherche peuvent être multiples :

  • lors de la suspicion d’une compromission ;
  • après un test d’intrusion concluant, pour s’assurer que les auditeurs sont bien les seuls intrus à avoir passé les barrières mises en place ;
  • avant l’application de mesures de sécurité sur le système d’information, pour être certain de partir sur des bases saines ;
  • ponctuellement, pour être sûr de l’état de son SI et parce qu’il vaut mieux ne pas attendre de constater les effets d’une compromission pour agir ;
  • pour s’assurer de l’état d’une entreprise tierce, avant un partenariat ou un rachat, par exemple.

AMOSSYS propose également une recherche de compromissions « opportuniste » durant son activité d’audit : elle consiste à effectuer des collectes d’éléments techniques sur les différents postes, typiquement lors d’une attaque réussie ou lors d’un relevé de configuration, puis à effectuer une analyse de ces éléments en marge de l’audit. Le but étant de s’assurer que les postes vulnérables compromis par les auditeurs (cas du test d’intrusion) ou les serveurs représentatifs (cas de l’audit de configuration) sont bien intègres.

Déroulement d'une recherche de compromissions

Concrètement, la recherche de compromissions consiste à appliquer les outils et les méthodes de la réponse sur incident. Pour AMOSSYS, cette mission est mise en oeuvre par le CERT (actuellement en cours de qualification PRIS), et peut être grossièrement définie par le cycle suivant :

Figure 1: Cycle de la recherche de compromissions

De façon plus détaillée, elle suivra en pratique les étapes suivantes :

  • entretiens préalables à la recherche, pour établir son périmètre et ses spécificités ;
  • déploiement de sondes de détection réseau en bordure du périmètre identifié ;
  • déploiement des outils de collecte d’informations « système » sur les postes et serveurs identifiés ;
  • s’il y a lieu, collecte des éléments techniques sur les équipements du système d’information ;
  • analyse des différents éléments collectés ;
  • restitution du travail d’investigation ;
  • application d’actions selon les résultats (phases de collecte et d’analyse complémentaires, escalade vers une réponse sur incident, accompagnement…) ;
  • clôture de la prestation.

Sauf compromission avérée, la restitution mettra en évidence les différentes anomalies constatées (ainsi que leur explication technique et la levée de doute effectuée) et les différentes pratiques à risques identifiées, donnera des recommandations visant à améliorer la sécurité du système d’information (avec les équipes d’audit en appui sur ce point), et, in fine, attribuera un score de confiance (sous la forme d’une note sur 10) au périmètre concerné.

Les atouts techniques AMOSSYS

Pour effectuer les collectes d’informations « système », AMOSSYS s’appuie sur des outils développés en propre qui collecteront un grand nombre de points techniques génériques ou spécifiques sur chaque machine, et dont le développement repose sur une connaissance fine des mécanismes du système d’exploitation sous-jacent (Microsoft Windows ou Linux, selon les cas). Ces informations permettront une reconstruction virtuelle du système d’information, autorisant les analystes à effectuer des recherches par anomalies sur le parc, rechercher des techniques d’injection de code en mémoire, appliquer des marqueurs de détection (IOC) variés et de façon déconnectée, collecter des pages mémoire vive suspectes, etc. L’aspect générique et privé de cet outil vise à éviter une contre-détection automatique par l’adversaire, but qui ne serait à notre sens pas atteignable en utilisant des outils grand-public facilement identifiables.

La détection réseau, plus simple à contourner par un adversaire mais néanmoins indispensable, n’est pas en reste avec une journalisation des métadonnées réseau (utiles lors d’une hypothétique réponse sur incident et/ou pour les levées de doutes) et un déploiement de règles de détection type SNORT/SURICATA. Les marqueurs recherchés, systèmes ou réseaux, très spécifiques ou plus génériques, sont quant à eux systématiquement validés avant mise en production pour éviter des faux-positifs trop nombreux qui pourraient brouiller les résultats. Ils sont issus de plusieurs sources complémentaires :

  • partenariats avec d’autres entités et veille sur les actualités ;
  • production par les équipes du CERT via leurs activités de threat intelligence et de R&D ;
  • abonnements payants à des flux de règles de détection (validées par les équipes).

Pour des informations complémentaires quant à nos prestations, vous pouvez consulter notre brochure disponible sur notre site web : « https://www.amossys.fr ».

Voir les derniers articles du Blog technique

11 avril 2024
M&NTIS Platform est une solution SaaS destinée au test d'efficacité de produits de défense (AV, EDR, sondes réseau/NDR, SIEM, XDR, ...) et d'architectures de supervision. Une nouvelle version majeure de la plateforme vient de sortir.
25 mars 2024
Through this article, we propose a way to find LPE in Windows applications, by using SysInternals tools. What and how to look at? How to exploit in an easy and quick way?
31 janvier 2024
During the inter-CESTI challenge organized by ANSSI, many vulnerabilities were included to test our abilities to find them and, if possible, to exploit them. In this article, we explore one vulnerability that we found during the original challenge, and explainhow we exploited it: can we find a secret key from a singlesignature?
4 décembre 2023
Find here the crypto and reverse challenges that our teams created for the European Cyber Week pre-qualification and qualification tests of CTF, a recognized cybersecurity event that took place in Rennes from November 21 to 23, 2023.
29 mars 2023
On the 24th of January, AMOSSYS and Malizen put together a Blue Team CTF, for the SupSec seminar organized by Inria. In this blog post, we explain how we, at AMOSSYS, generated the dataset used in this challenge.
20 décembre 2022
Find here the crypto and web challenges that our teams created for the European Cyber Week pre-qualification tests of CTF, a recognized cybersecurity event that took place in Rennes from November 15 to 17, 2022.
22 novembre 2022
Find here the write-ups of the crypto and web challenges that our teams created for the European Cyber Week pre-qualification tests of CTF
14 septembre 2022
This article starts with a quick overview on NIDS (Network Intrusion Detection System) evasions to remind what it is and why it could happen.
31 mars 2021
Essor du numérique, diversification des surfaces d’exposition, multiplication des cyberattaques… Depuis plusieurs années, la sécurité informatique est devenue une composante essentielle de l'administration d'un Système d'Information (SI).
18 septembre 2020
Depuis plusieurs années, l'écosystème informatique a dû faire face à une recrudescence de compromissions de systèmes d'informations par des rançongiciels, ou cryptolockers, qui s'introduisent principalement par des méthodes automatiques (_spear phishing_, etc.).