Blog

Comment utiliser des techniques offensives pour enrichir les renseignements sur les menaces

Comment utiliser des techniques offensives pour enrichir les renseignements sur les menaces (1)



Qu’est-ce que la Threat Intelligence ?

Intelligence sur les menaces (TI), ourécolte proactive de données sur les menaces de cybersécurité, est un instrument essentiel pour identifier et répondre aux incidents de sécurité. Certaines des sources TI courantes incluent les abonnements gratuits aux flux IOC (indicateurs de compromission), les bulletins de vulnérabilité publiés par les fournisseurs de matériel et de logiciels, les rapports des chercheurs en sécurité couvrant l'analyse des menaces, ainsi que les abonnements commerciaux TI.

Toutefois, les informations obtenues via les canaux mentionnés ci-dessus peuvent être incomplètes et pas suffisamment pertinentes. Afin d'augmenter l'efficacité de TI et de garantir une meilleure qualité des données sur les menaces, les organisations peuvent également utiliser OSINT (intelligence open source) et des techniques offensives qui seront analysées dans cet article.



Article similaire: Les meilleures plateformes de renseignement sur les menaces

Pas à la place, mais ensemble

Il convient de souligner dès le départ que l’approche décrite ne consiste pas à ignorer ou à remplacer les informations sur les menaces extraites des sources conventionnelles gratuites ou payantes. Plutôt,il s’agit de compléter et d’enrichir ces données.



L'utilisation dedes techniques TI supplémentaires peuvent accélérer la réponse aux incidentset aider à résoudre un certain nombre de tâches importantes. Par exemple, dans le cas d’une autre épidémie d’IoT qui exploite les failles de sécurité de versions spécifiques du micrologiciel, à quelle vitesse pouvez-vous obtenir le flux des adresses IP des appareils potentiellement vulnérables afin de pouvoir détecter efficacement une telle activité au périmètre du réseau ? De même, lorsqu'un indicateur de compromission (adresse IP ou nom de domaine), signalé comme malveillant il y a un an ou plus, déclenche une alerte du système de surveillance – comment savoir s'il est toujours malveillant, étant donné qu'un nouveau contrôle de ce CIO « n'est pas correct ». maintenant » est impossible ?

En d’autres termes, l’enrichissement est particulièrement utile pour repérer les IOC dont le cycle de vie moyen est inclus dans l’ouvrage « » de David Bianco. Pyramide de la Douleur » (adresses IP, noms de domaine, artefacts réseau/hôte). Cela dit, vous pouvez obtenir de nouveaux IOC durables (au-dessus de la « Pyramide ») dans certains cas, à condition d'appliquer les analyses appropriées.

Numérisation Internet

L'analyse Internet est l'une des techniques de renseignement sur les menaces les plus informatives.. Quel type de données est généralement collecté de cette manière ? Les informations les plus précieuses sont obtenues en analysant ce que l’on appelle les « bannières », c’est-à-dire les réponses que le système inspecté renvoie aux requêtes du scanner. Ces bannières contiennent une multitude de détails qui identifient le logiciel appliqué et ses diverses propriétés « à l'autre bout ». De plus, ce contrôle ne prend pas beaucoup de temps.

Si vous cherchez à élargir la portée de vos renseignements sur les menaces, l’ensemble d’Internet est soumis à une analyse. En analysant l'intégralité de l'espace d'adressage IP public (environ 3,7 milliards d'adresses IPv4, à l'exclusion des adresses réservées), vous pouvez obtenir les informations utiles suivantes :

  • Quels nœuds sont affectés par des vulnérabilités largement utilisées dans campagnes malveillantes en cours et sont donc des sources potentielles d’impacts néfastes.
  • Dans quels nœuds se trouvent Serveurs de commande et de contrôle des botnets , requête qui peut identifier un point de terminaison compromis dans le périmètre protégé.
  • Quels nœuds représentent une zone non publique de réseaux anonymes distribués qui peuvent être utilisés pour dépasser le périmètre protégé de manière discrète et non guidée.
  • Informations complètes sur les nœuds répertoriés dans les rapports d'avertissement du système de surveillance.

Sélection d'outils

Beaucoup de outils d'analyse réseau ont été créés au cours de l’évolution des réseaux d’information. Les scanners suivants méritent une mention distincte :

Examinons quelques brefs aperçus des avantages et des inconvénients de ces outils dans le contexte de l'enrichissement TI.

Nmap

Nmap est peut-êtrele scanner réseau le plus populairecréé il y a 20 ans. Grâce à la possibilité d'utiliser des scripts personnalisés (via Nmap Scripting Language), il s'agit d'un outil incroyablement flexible dont les capacités vont au-delà de la simple récolte de bannières appliquées. Un grand nombre de scripts NSE sont disponibles à ce stade, dont beaucoup sont gratuits. Nmap inspecte chaque connexion et fonctionne donc de manière synchrone. Il ne doit donc pas être utilisé pour surveiller de grands réseaux tels qu'Internet, car la vitesse d'analyse n'est pas élevée. En attendant, c’est une bonne idée d’exploiter cet instrument pour analyser une petite plage d’adresses obtenues avec des outils plus rapides, compte tenu de la puissance de NSE.

ZCarte

Celui-ci est un autre scanner de réseau asynchrone bien connu, bien que pas le premier du genre, qui a fait surface en 2013. Selon les développeurs rapport qui a fait l'objet d'une publicité lors du 22e USENIX Security Symposium, cet outil estcapable de scanner toute la gamme d'adresses publiques (sur un seul port) en moins de 45 minuteslorsqu'il est lancé sur un ordinateur moyen avec au moins 1 Go de bande passante de connexion Internet. Ses avantages sont les suivants :

  • Haute performance. Avec le framework PF_RING et une bande passante de connexion de 10 Go, le temps théorique nécessaire pour analyser la plage d'adresses IPv4 publiques est de 5 minutes (sur un port).
  • Prend en charge l'ordre aléatoire d'analyse des adresses réseau.
  • Prend en charge les modules pour l'analyse TCP SYN, ICMP, les requêtes DNS, UPnP, BACnet et sondage UDP.
  • Disponibilité des kits de distribution GNU/Linux courants dans les référentiels. BSD et macOS sont également pris en charge.
  • Un certain nombre de projets connexes ont été lancés qui fournissent des utilitaires complétant les fonctionnalités du scanner.

En parlant des inconvénients de ZMap, le plus important est peut-être que seules les adresses d’un port peuvent être analysées à la fois.

Les projets associés suivants, qui renforcent la puissance de ZMap dans le cadre de tâches spécifiques, méritent d'être soulignés :

  • ZGrab – un scanner de protocoles appliqués prenant en charge les protocoles HTTP, HTTPS, SSH, Telnet, FTP, SMTP, POP3, IMAP, Modbus, BACnet et Siemens S7, ainsi que le capteur de bannière Tridium Fox avec des fonctionnalités étendues.
  • ZDNS – un utilitaire pour les requêtes DNS rapides.
  • ZTag – un utilitaire pour marquer les résultats d'analyse renvoyés par ZGrab.
  • ZBrowse – un utilitaire basé sur l'outil Headless Chrome qui surveille les modifications du contenu du site Web.

Masscan

Masscan est un scanner asynchrone créé la même année que ZMap, qui ressemble à Nmap par sa syntaxe de commande.

Selon son créateur, Robert David Graham, son outilbénéficiait d'une productivité supérieure à celle de tout autre scanner asynchroneexistants à ce stade, y compris ZMap, en raison de l'utilisation d'une pile TCP/IP personnalisée.

Ses avantages incluent :

  • Des performances élevées atteignant théoriquement 10 millions de paquets par seconde, ce qui permet de scanner toute la gamme IPv4 en quelques minutes (sur un seul port), avec une bande passante de connexion de 10 Go en place. Ceci est comparable à ZMap utilisant le framework PF_RING.
  • Prend en charge les protocoles TCP, SCTP et UDP (ce dernier fonctionne en transférant les charges utiles UDP depuis Nmap).
  • Prend en charge l'ordre aléatoire d'analyse des adresses réseau.
  • Prend en charge l'option permettant de sélectionner à la fois la plage IP et la plage de ports pour l'analyse.
  • Prend en charge différents formats de présentation des résultats de l'analyse (sortie XML, grepable, JSON, binaire ou liste régulière).

Cela dit, ce scanner présente un certain nombre de défauts :

  • Étant donné qu'une pile TCP/IP personnalisée est utilisée, il est recommandé d'exécuter l'analyse à partir d'une adresse IP dédiée afin d'éviter les conflits avec la pile du système d'exploitation.
  • Capacités limitées du capteur de bannière, par rapport à ZGrab.

Tableau comparatif des scanners

Le tableau ci-dessous reflète une comparaison des fonctionnalités des scanners mentionnés ci-dessus.

Interprétation des symboles :

« ++ » – très bien mis en œuvre

«+» – mis en œuvre

«+-» – mis en œuvre avec des restrictions

'-' - pas mis en œuvre

Vitesse de numérisation élevée-++++
Prise en charge de l'ordre d'analyse d'adresses aléatoires+++
Prise en charge de la définition des éléments ignorés+++
Flexibilité de configuration des cibles d'analyse (adresses, ports)+-+
Couverture des protocoles appliqués++++-
L'utilisation de scripts pour analyser des objets++--
Prise en charge de différents types de sortie de résultats (liste, tableau, structuré, grepable)+++++
Couverture du système d'exploitation par les kits binaires disponibles++++-

Sélection des cibles et des méthodes de numérisation

Une fois le bon outil sélectionné, il est temps de définir l’objet et le but de l’analyse, c’est-à-dire de comprendre ce que vous allez analyser et pourquoi. Alors que le premier est généralement un choix trivial (il s’agit de la plage d’adresses IPv4 publique à quelques exceptions près), le second dépend entièrement du résultat souhaité. Par exemple:

  • Pour découvrir les nœuds sensibles à une certaine vulnérabilité, il est logique de scanner d'abord la plage cible à l'aide d'un outil rapide (ZMap, Masscan). Cela vous permettra de repérer les nœuds avec des ports ouverts utilisés par des services vulnérables connus. Après avoir finalisé la plage d'adresses, vous pouvez commencer à exploiter Nmap avec un script NSE approprié (s'il existe). Sinon, vous devrez créer un script personnalisé basé sur les informations de vulnérabilité disponibles publiées par les chercheurs en sécurité. Parfois, exécuter une commande grep pour trouver les bannières appliquées récoltées suffira, car de nombreux services y fournissent les détails de leur version.
  • Pour découvrir des nœuds d’infrastructure secrète– à la fois les réseaux anonymes et les nœuds C2 (c’est-à-dire les serveurs de commande et de contrôle des botnets) – vous devrez créer des charges utiles/sondes personnalisées.
  • Pour résoudre un large éventail de tâchesen termes de découverte de nœuds compromis, de segments de l'infrastructure de réseaux anonymes, etc., il peut être très instructif de récolter et d'analyser les certificats lors de la négociation TLS.

Le choix des infrastructures

Le fait queles scanners rapides et modernes peuvent fournir des résultats impressionnantsmême avec les ressources limitées de l’unité de traitement moyenne, cela ne signifie pas nécessairement que la charge de l’infrastructure réseau sera insignifiante. Compte tenu des particularités du trafic généré lors du scan, le débit de paquets par seconde est assez élevé. En pratique, un cœur d'un processeur moyen (fabriqué au cours des dernières années, fonctionnant dans un environnement virtuel, sous n'importe quel système d'exploitation et sans aucun réglage fin de la pile TCP/IP) peut générer un flux d'environ 100 à 150 000 paquets par seconde avec une bande passante proche de 50 Mbps. Cela représente une charge importante pour les routeurs logiciels. Le matériel réseau peut également avoir du mal à atteindre la limite de productivité des ASIC. De plus, si la vitesse d'analyse est comprise entre 100 et 150 Kpps (milliers de paquets par seconde), couvrir la plage IPv4 publique peut prendre plus de 10 heures.

Pour accélérer le processus de numérisation,il est logique d'utiliser un réseau distribué de nœuds d'analysecela divisera le pool d'analyse en plusieurs parties. La configuration d’une séquence d’analyse aléatoire est une autre mesure importante pour réduire la congestion de la bande passante et la charge des paquets sur l’équipement du « dernier kilomètre » du FAI.

Des difficultés

L'expérience concrète montre que les analyses massives des réseaux peuvent s'accompagner d'un certain nombre d'obstacles technologiques, organisationnels et juridiques.

Problèmes de performances et de disponibilité

Comme mentionné ci-dessus,l'analyse réseau de masse génère du trafic avec un taux PPS élevécela entraîne une charge tangible à la fois sur l’infrastructure locale et sur le réseau du FAI qui exploite les nœuds d’analyse. Avant d’effectuer des activités d’analyse à des fins de recherche, c’est certainement une bonne idée de les coordonner avec les administrateurs locaux et les représentants des FAI. D'un autre côté, des problèmes de performances peuvent également survenir au niveau des points finaux d'analyse si vous louez des serveurs virtuels auprès de fournisseurs d'hébergement Internet.

Tous les VPS ne sont pas également utiles. Lorsque vous utilisez ceux loués avec des services d'hébergement non traditionnels, vous pouvez vous retrouver dans une situation où, même sur des machines virtuelles hautes performances (avec quelques vCPU et plusieurs gigaoctets de mémoire sous le capot), les débits de paquets de ZMap et Masscan ne le feront pas. dépasser quelques dizaines de Kpps. L'obstacle courant est une combinaison de matériel ancien et de configurations inappropriées du logiciel d'environnement virtuel. D'une manière ou d'une autre, dans la pratique, vous pouvez être assuré que les performances seront à un niveau décent tant que vous coopérerez avec de grandes entreprises leaders du secteur.

De plus, si des nœuds vulnérables sont repérés, gardez à l’esprit queLes contrôles NSE peuvent provoquer un déni de service au niveau des nœuds analysés. Non seulement un tel scénario est contraire à l’éthique, mais il dépasse également le domaine juridique et pourrait entraîner des conséquences néfastes, allant jusqu’à des poursuites pénales.

Que cherchons-nous?

Pour trouver quelque chose, il faut savoir comment le chercher. Les menaces évoluent constamment et il faut de nouvelles connaissances analytiques continues pour les découvrir. Parfois, l’analyse fournie dans les livres blancs devient obsolète, ce qui encourage les entreprises à mener leurs propres recherches.

L'un des exemples les plus connus est celui recherche sur l'identification des nœuds Tor, ce qui a été fait par les auteurs de ZMap en 2013. En examinant une chaîne de certificats et en repérant les attributs de nom de sujet générés de manière particulière dans les certificats auto-signés, les analystes ont pu identifier environ 67 000 nœuds Tor sur le port tcp/443. , et environ 2 900 sur le port TCP/9001. De nos jours, un nombre beaucoup plus restreint de nœuds Tor peuvent être identifiés de cette manière en raison d'une plus grande variété de ports, de l'utilisation de transports obfs et de la migration vers les certificats Let's Encrypt. Cette tendance encourage les chercheurs à exploiter d’autres techniques analytiques pour résoudre une telle tâche.

Plaintes pour abus et législation

Au cours d'une analyse à l'échelle d'Internet, il y a presque100 % de chances de faire face à une multitude de plaintes pour abus. Les abus générés automatiquement concernant quelques dizaines de paquets SYN sont particulièrement irritants. De plus, les analyses récurrentes peuvent donner lieu à de nombreuses plaintes déposées manuellement.

Qui se plaint le plus ? Les principales sources de plaintes pour abus (pour la plupart automatiques) sont les établissements d'enseignement du domaine *.edu. Aussi, les rapports de ZCarte et Masscan les auteurs incluent plusieurs exemples intéressants de réaction inadéquate à l’analyse du réseau.

Il est recommandé de prendre ces abus au sérieux pour les raisons suivantes :

  • Après avoir reçu une plainte pour abus, l’hébergeur bloquera très probablement le trafic vers ou depuis les machines virtuelles louées, ou pourra même suspendre temporairement leur fonctionnement.
  • Le FAI peut désactiver la liaison montante pour éliminer les risques de blocage du système autonome.

Certaines des bonnes pratiques visant à minimiser les plaintes se résument aux éléments suivants :

  1. Familiarisez-vous avec les conditions d’utilisation de votre FAI/hébergeur.
  2. Créez une page d'informations sur les adresses sources de l'analyse qui expliquera les objectifs de l'analyse. De plus, ajoutez le commentaire approprié aux enregistrements DNS TXT.
  3. Clarifiez l'essence de l'analyse si vous recevez des plaintes pour abus.
  4. Mettez en œuvre une liste d'exclusions d'analyse, ajoutez les sous-réseaux des parties plaignantes à cette liste à la première demande et complétez la page d'informations par une clarification concernant vos pratiques d'ajout d'exclusions.
  5. N’exécutez pas d’analyses plus longtemps ou plus fréquemment que nécessaire pour résoudre une tâche spécifique.
  6. Distribuez le trafic d'analyse par source, adresses de destination et heure, si possible.

Externalisation de la numérisation réseau

Effectuer vous-même des analyses de masse doit être un effort mûrement réfléchi (les risques sont soulignés ci-dessus). En attendant, vous devez reconnaître que le résultat final peut s’avérer insatisfaisant si le traitement analytique des résultats de l’analyse n’est pas suffisamment approfondi. Vous pouvez rendre les choses plus faciles, au moins d'un point de vue technique, en utilisant des produits commerciaux existants, tels que :

Shodan

Celui-ci est lemoteur de recherche le plus connu pour les services accessibles en lignequi a été initialement conçu comme un système de recherche IoT et a été lancé par John Matherly en 2009. À ce stade, cet instrument offre plusieurs niveaux d’accès aux informations qu’il détient. Les options sont assez basiques, sauf si vous vous inscrivez. Si vous vous inscrivez au service et payez les frais d'adhésion, les fonctionnalités suivantes deviennent disponibles :

  • Recherchez avec des filtres de base.
  • « Données brutes » détaillées sur les nœuds.
  • API de base permettant l'intégration avec des utilitaires populaires, tels que Maltego, Metasploit, Nmap, etc.
  • Export des résultats de recherche (payable avec des « Crédits », la monnaie interne du service).
  • Analyse à la demande d'adresses et de plages d'adresses spécifiques (payables avec des « crédits »).

Les options répertoriées ci-dessus devraient suffire pour les OSINT , mais l'abonnement entreprise peut débloquer toutes les fonctionnalités du moteur de recherche, qui comprennent :

  • Analyse à la demande de l'ensemble de la gamme IPv4 publique d'Internet, y compris la vérification d'une plage de ports attribuée et l'indication des capteurs de bannières spécifiques au protocole.
  • Notifications en temps réel sur les nouveaux résultats d'analyse.
  • Obtention de résultats d'analyse « bruts » pour une analyse plus approfondie (aucune restriction, l'intégralité de la base de données étant disponible).
  • La possibilité de créer des grabbers personnalisés affinés pour des tâches spécifiques (telles que des protocoles peu courants).
  • Accès aux anciens rapports d'analyse.

Un certain nombre d'initiatives connexes ont été lancées dans le cadre du projet Shodan, telles que Malware Hunter, Honeypot Or Not et Exploits, qui enrichissent les résultats d'analyse.

Voir également: Comment trouver et supprimer votre appareil du moteur de recherche Shodan IoT

Censys

Censys est un moteur de recherche IoTdoté de fonctionnalités étendues. Il a été créé par l'auteur de ZMap Zakir Durumeric et présenté en 2015. Le moteur utilise la technologie de ZMap et quelques projets associés (ZGrab et ZTag). Contrairement à Shodan, il permet d'exécuter cinq requêtes à partir d'une adresse IP par jour sans inscription. Une inscription étend la portée des fonctionnalités disponibles avec une API et davantage de résultats de recherche renvoyés pour les requêtes (jusqu'à 1 000). Cependant, l'accès le plus complet, qui inclut les données historiques, est l'apanage des clients qui achètent le forfait Entreprise.

Les avantages de ce moteur par rapport au Shodan sont les suivants :

  • Aucune limitation de filtre de recherche pour les plans d'abonnement de base.
  • Une plus grande vitesse de mise à jour automatique des résultats de l’analyse (quotidiennement, selon les développeurs ; la vitesse de Shodan est bien inférieure).

Les inconvénients de Censys incluent :

  • Moins de ports pouvant être analysés par rapport à Shodan.
  • Pas d'analyse à la demande (que ce soit par plages IP ou par ports).
  • La profondeur de l’enrichissement des résultats d’analyse grâce à des instruments prêts à l’emploi est moindre (ce qui est évident, étant donné le plus grand nombre d’outils Shodan mis en œuvre via des projets connexes).

Si les résultats obtenus sur la gamme de ports pris en charge par Censys sont suffisants pour atteindre un objectif particulier, alors le manque d'analyse à la demande ne devrait pas être un obstacle majeur, compte tenu de la vitesse élevée de mise à jour des résultats de l'analyse.

ZoomŒil

ZoomEye est un moteur de recherche IoT conçu par la société de sécurité chinoise Knowsec Inc. en 2013. Il est soutenu par les outils propriétaires du fournisseur, Xmap (scanner de port) et Wmap (robot d'exploration Web).Ce moteur collecte des informations sur une vaste gamme de ports et prend en charge de nombreux critères de recherche(ports, services, système d'exploitation, applications), fournissant des détails sur chaque hôte (contenu de la bannière appliquée). Le rapport d'analyse répertorie les vulnérabilités logicielles potentielles appliquées couvertes par le projet SeeBug associé (sans vérification d'applicabilité). Les comptes enregistrés peuvent utiliser une API et une fonction de recherche Web avec un ensemble complet de filtres, bien qu'il existe des limites quant au nombre de résultats affichés. La levée des restrictions consiste à acheter le plan Entreprise. Les avantages de ce moteur incluent :

  • Grand nombre de ports pouvant être analysés (comparable à celui de Shodan).
  • Prise en charge Web étendue.
  • Identification des logiciels appliqués et du système d'exploitation.

Les principaux inconvénients sont les suivants :

  • Long intervalle de mise à jour des résultats d’analyse.
  • Aucune option d'analyse à la demande.
  • L'enrichissement des résultats d'analyse se limite à l'identification des services, des logiciels appliqués, du système d'exploitation et des vulnérabilités potentielles.

Tableau comparatif des prestations

Le tableau ci-dessous présente une comparaison des services mentionnés ci-dessus en fonction de leurs fonctionnalités :

Interprétation des symboles :

« ++ » – très bien mis en œuvre

«+» – mis en œuvre

«+-» – mis en œuvre avec des restrictions

'-' - pas mis en œuvre

Couverture portuaire+++-++
Couverture des protocoles appliqués identifiables+++-++
Vitesse de mise à jour de la base de données des résultats d'analyse++++-
Générer des résultats « bruts » sur les nœuds analysés++-
Disponibilité de projets associés enrichissant les résultats d'analyse+++-+
Disponibilité de l'API pour l'intégration+++
Analyse à la demande+--

Scannons-nous nous-mêmes

Votre propre infrastructure peut également être une source TI utilecela pourrait faire la lumière sur les nouveaux hôtes et services apparus sur le réseau, et savoir s'ils sont ou non vulnérables, voire malveillants. Bien que vous puissiez tirer parti de services tiers pour analyser votre périmètre (par exemple, ce type de cas d'utilisation est officiellement pris en charge par Shodan), vous devez effectuer vous-même toutes les actions à l'intérieur du périmètre. L'ensemble des outils applicables pour surveillance du réseau et l'analyse dans ce scénario peut être assez importante et inclure à la fois des moniteurs de sécurité réseau passifs, tels que Frère , Argus , Nfdump , p0f , et des scanners actifs comme Nmap, ZMap, Masscan ainsi que leurs concurrents commerciaux.

Le IVRE cadrepeut aider à interpréter les résultats collectés, vous permettant d'obtenir votre propre instrument de type Shodan / Censys. Ce cadre a été créé par un groupe de chercheurs en sécurité Internet. L'un d'eux, Pierre Lalet , est co-auteur du Scapy utilitaire. Les capacités de ce framework incluent :

  • L'utilisation d'outils d'analyse visuelle pour découvrir des modèles et des anomalies.
  • Moteur de recherche avancé offrant une analyse détaillée des résultats de l’analyse.
  • Intégration avec des utilitaires tiers via le support API et Python.

IVRE est également un excellent choix pour analyser des analyses à l'échelle d'Internet.

Conclusion

L'analyse et la reconnaissance active du réseau sont d'excellentes techniques que différents chercheurs en sécurité utilisent depuis longtemps. Cependant, les experts en sécurité de la vieille école ne sont pas encore à l’aise avec ces méthodes. L'utilisation de l'OSINT et des techniques offensives, combinée aux mécanismes défensifs classiques, peut renforcer considérablement la protection et assurer sa proactivité.

^