Dans les pas d’un chasseur de menaces

Début avril, FireEye alertait sur l’exploitation de la vulnérabilité CVE 2017-0199, inédite, via un document RTF malicieux, pour exécuter des commandes PowerShell par le truchement d’un script Visual Basic. Il s’agissait alors de distribuer un bot. Mais cette vulnérabilité a également été mise à profit pour donner une nouvelle jeunesse au célèbre Dridex.

Yann Le Borgne, ingénieur sécurité chez ThreatQuotient, a saisi l’occasion pour enquêter, à l’aide de la plateforme de gestion du renseignement sur les menaces de l’éditeur, ThreatQ, concurrente de celles d’Anomali, Threat Connect, EclecticIQ ou encore RiskIQ.

Il s’est d’abord appuyé pour cela sur les flux d’InThreat, racheté par Sekoia l’an passé et avant cela fondé en 2015 à Rennes par David Bizeul. Au sein de ceux-ci, intégrés via un connecteur pour la plateforme de partage de renseignements sur les menaces MISP, on observe un premier incident, apparemment isolé, rapporté fin mars, avec dans deux vagues et, surtout, deux importantes campagnes début avril. Au total, quelques centaines d’indicateurs de compromissions sont accessibles à portée de clic.

Ceux-ci comportent notamment l’adresse IP d’un serveur de commande et de contrôle. Les capacités d’enrichissement de la plateforme permettent non seulement de reconnaître l’infrastructure à laquelle elle se rapporte mais également, via un connecteur avec Virus Total, de confirmer son implication dans plusieurs incidents connus. Dont les deux premières vagues de distribution de Dridex repérées précédemment, visant l’Australie et le Royaume-Uni.

Là, les sources de renseignements intègrent aussi des indicateurs sur les vecteurs d’attaque, à commencer par les noms de fichiers envoyés aux objectifs en pièces jointes de courriels ciblés. Mais une autre adresse IP fait son apparition : le lien, selon Yann Le Borgne, entre les deux premières campagnes de distribution de Dridex avec un outil connu, et la suivante, mettant à profit la fameuse vulnérabilité inédite. « Les acteurs ont changé de mode de distribution, mais ils ont conservé une partie de l’infrastructure de commande et de contrôle ».

L’intégration avec des outils de mise en bac à sable – sandbox –, en l’occurrence ThreatGrid de Cisco pour l’exercice, permet d’enquêter sur une pièce jointe malveillante, un fichier PDF, pour faire émerger de nouveaux indicateurs. Au passage, le domaine super-marv.com apparaît alors. FireEye l’a identifié récemment dans des campagnes de distribution de Dridex, mais également du ransomware Locky. Ses données Whois sont protégées par un service d’anonymisation.

Surtout, cette analyse permet de faire ressortir une signature pré-existante de fichier malveillant : il était simplement encapsulé dans le fichier PDF examiner. Et de montrer comment des règles de filtrage précédentes peuvent bloquer la nouvelle menace.

Et c’est en quelque sorte l’enseignement principal à retirer de l’exercice car pour Yann Le Borgne, l’analyse du renseignement sur les menaces vise à « collecter et organiser l’information sur les acteurs malveillants, à trouver ce qu’ils changent dans leurs opérations, mais également ce qu’ils réutilisent ». De quoi « construire des défenses pour lutter contre les vecteurs d’attaque existants, mais également déployer les contre-mesures appropriées pour anticiper une certaine part de changement ».