Cet article fait partie d’une série qui vise à informer les professionnels de la cybersécurité sur les leçons apprises par les victimes de violations. Chaque leçon comprendra des recommandations simples, dont beaucoup ne nécessitent pas l’achat d’outils par les entreprises.
Comme indiqué dans le rapport Sophos intitulé Active Adversary Playbook 2021, les adversaires se tournent vers des outils couramment utilisés par les administrateurs IT et les professionnels de la sécurité, rendant ainsi plus difficile l’identification des actions suspectes. Bon nombre de ces outils sont détectés par les produits de sécurité comme des “applications potentiellement indésirables” (ou PUA/PUP/RiskWare/RiskTool) et sont en même temps nécessaires pour mener à bien les activités quotidiennes des équipes IT. Les défenseurs doivent donc se poser deux questions importantes : (1) Est-ce que tous mes utilisateurs doivent être en mesure d’utiliser ces utilitaires ? (2) Ces utilitaires doivent-ils pouvoir s’exécuter sur tous les appareils ?
Qu’est-ce qu’une application potentiellement indésirable (PUA) ?
Découvrons ce qu’est une “application potentiellement indésirable” et quelle est la meilleure façon de l’utiliser en toute sécurité. Les outils d’administration fournis avec un système d’exploitation, comme PowerShell par exemple, offrent des moyens d’automatiser et de gérer les appareils au niveau d’un réseau. Il existe également des outils supplémentaires ainsi que d’autres en provenance de tiers qui sont fréquemment utilisés pour obtenir davantage de fonctionnalités telles que l’analyse des ports, les captures de paquets, les scripts, la surveillance, les outils de sécurité, la compression et l’archivage, le chiffrement, le débogage, les tests de pénétration, l’administration réseau et l’accès à distance. La plupart de ces applications s’exécutent avec un accès au niveau Système ou Root.
Lorsqu’elles sont installées et utilisées en interne par votre propre équipe IT, ces applications sont des outils pratiques. Lorsqu’elles sont installées et utilisées par quelqu’un d’autre, elles sont considérées comme des applications potentiellement indésirables (PUA) et sont souvent signalées comme telles par des solutions de sécurité endpoint réputées. De nombreux administrateurs, afin de pouvoir utiliser ces outils sans entrave, les ajoutent tout simplement à une liste d’Exclusion Globale (Global Exclusion) ou d’Autorisation (Allow) au niveau de leur configuration de sécurité endpoint. Malheureusement, cette méthode d’exclusion permet également l’installation et l’utilisation de ces outils par des personnes non autorisées, souvent sans aucune surveillance, alerte ou notification.
Les PUA problématiques
Certains des PUA les plus couramment trouvées et utilisées par les adversaires sont :
- PSExec : “…une alternative légère à Telnet qui vous permet d’exécuter des processus sur d’autres systèmes, compléter par une interactivité totale au niveau des applications de type console, et ce sans avoir à installer manuellement le logiciel client. Les utilisations les plus puissantes de PSExec incluent le lancement d’invites de commande interactives au niveau de systèmes distants et d’outils d’activation à distance comme IpConfig qui, sinon, n’auraient pas la capacité d’afficher des informations sur les systèmes distants”.
- PSKill : cet outil peut “tuer des processus sur les systèmes distants. Vous n’avez même pas besoin d’installer un client sur l’ordinateur cible pour utiliser PSKill afin de terminer un processus distant”.
- Process Hacker : il s’agit d’un outil de surveillance des ressources, souvent utilisé pour stopper les logiciels de sécurité et de journalisation (logging).
- Anydesk/TeamViewer/RDPWrap, ou bien tout autre outil conçu pour l’accès à distance, notamment via Internet, peuvent être utilisés par un acteur malveillant.
- GMER : conçu à la base comme un outil anti-rootkit, les acteurs malveillants exploitent ses capacités pour “désactiver” le processus de sécurité.
- 7Zip/GZip/WinRar : ces outils de compression sont utilisés par les adversaires pour combiner, réduire et exfiltrer vos données, généralement à des fins d’extorsion.
- Les outils Nirsoft : il s’agit d’un ensemble d’outils permettant la récupération de mots de passe, la désinstallation de logiciels et l’exécution d’outils de ligne de commande sans afficher d’interface utilisateur.
- IOBit : cet outil possède de puissantes capacités de désinstallation et est souvent utilisé pour supprimer les logiciels de sécurité.
- ProcDump : il s’agit d’un outil de débogage qui peut transférer la mémoire sur le disque, permettant ainsi à un acteur malveillant de compromettre des données en mémoire, telles que des identifiants.
Utilisation des PUA par les acteurs malveillants
La configuration de la politique de sécurité pour autoriser les PUA doit être réalisée avec soin. Le fait d’exclure ces outils aurait un impact au niveau de vos administrateurs IT et des acteurs malveillants, et vous n’aurez alors aucune visibilité sur l’utilisation de l’outil, l’intention réelle ou le contexte.
Si un outil a été exclu, un acteur malveillant pourra toujours tenter de l’installer et de l’utiliser même s’il n’est pas déjà installé sur un appareil particulier. Les techniques adverses connues sous le nom de “living off the land” désignent des acteurs malveillants utilisant des fonctionnalités et des outils préexistants afin d’éviter d’être détectés et ce le plus longtemps possible. Elles permettent aux acteurs malveillants de lancer les actions suivantes : la phase de découverte, l’accès aux identifiants, l’élévation des privilèges, l’évasion de la défense, la persistance, les mouvements latéraux, la collecte et l’exfiltration, et ce sans que la moindre alerte ne soit déclenchée.
Au moment où l’adversaire est prêt à déployer la dernière phase de son attaque, qui constitue en général l’assaut final comme par exemple le lancement d’une charge virale utilisant un ransomware, il est déjà trop tard ; vos outils de sécurité ont déjà été désactivés (via PSKill ou IOBit ?), un haut niveau d’accès aux identifiants a été obtenu (via GMER ou ProcDump ?), vos données ont déjà été transférées vers le dark web (via des fichiers 7Zip ?) et les malwares pré-positionnés sur des systèmes clés (ou pire encore, sur des partages de fichiers au niveau du domaine comme SYSVOL ou NETLOGON) sont prêts à être exécutés (via PSExec ?). Ainsi, plus les attaquants pourront trouver de PUA, plus la surface d’attaque exploitable sera grande.
Autoriser les PUA dans votre entreprise
La première étape consiste à examiner vos exclusions globales actuelles. Sont-elles vraiment indispensables ? Existe-il une raison justifiant cette exclusion, ou bien a-t-elle simplement “toujours été là” ? Menez des recherches pour savoir pourquoi le produit de sécurité a détecté cette PUA en premier lieu. Pourrait-elle être utilisée de manière malveillante ? Les exclusions doivent-elles vraiment s’appliquer à TOUS les serveurs et appareils des utilisateurs finaux ? L’outil d’administration est-il indispensable ou bien pouvons-nous utiliser une fonction intégrée ? Avez-vous besoin de plusieurs outils pour obtenir le même résultat ?
Notre recommandation est d’autoriser les PUA sur une base très contrôlée : à savoir pour des applications spécifiques, des machines spécifiques, à des horaires spécifiques et enfin pour des utilisateurs spécifiques. Cette approche peut être mise en œuvre via une politique intégrant l’exclusion requise, qui sera appliquée puis supprimée au besoin. Toute utilisation détectée d’une PUA qui n’est pas prévue doit faire l’objet d’une investigation car elle pourrait indiquer qu’un acteur malveillant a accès à votre environnement.
Billet inspiré de Hindsight #5: Exclude admin tools with a scalpel, not a sledgehammer, sur le Blog Sophos.