Unprotect.it : mieux connaître les techniques de contournement des protections

Fin juillet 2022. Les équipes de SentinelOne présentent un lièvre qu’elles viennent de lever à l’occasion d’une investigation sur une cyberattaque ayant conduit au déploiement et au déclenchement du ransomware LockBit Black.

Lors de cette attaque, les assaillants avaient « détourné l’outil en ligne de commande MpCmdRun.exe de Windows Defender pour déchiffrer et charger » les balises Cobalt Strike. Une façon de plus d’essayer d’échapper à la détection et au blocage en s’appuyant sur des outils parfaitement légitimes, une pratique plus largement appelée « living off the land ».

Très vite, le chercheur français Sh0ck, Yann Faure, spécialiste des exercices d’intrusion, a partagé un démonstrateur de cette technique, assorti d’une règle Yara de détection de sa mise en œuvre. Mais l’ensemble était en fait déjà couvert par deux techniques ajoutées quelques jours plus tôt au projet Unprotect.it.

Ce projet doit essentiellement son apparition – dans sa forme actuelle – à deux personnes : Jean-Pierre Lesueur, pour la partie développement et qui est lui-même chercheur en sécurité et en maliciels, et Thomas Roccia. Après avoir passé six ans chez McAfee, ce dernier est récemment parti chez Microsoft, au sein des équipes de Defender.

Unprotect est un projet indépendant ; ce qui est voulu et revendiqué afin d’assurer l’accès durable le plus large possible à ses ressources, tout en se garantissant les apports de la communauté. Son nom vient d’une idée simple : déprotéger les logiciels malveillants en les empêchant de se cacher derrière tout ce qu’ils peuvent mettre en œuvre comme techniques d’évasion. Ces techniques qui visent à rendre à tout le moins plus difficile la détection, l’analyse, ou encore la rétro-ingénierie.

Thomas Roccia explique que tout est parti d’une réponse à incident, il y a plusieurs années : un logiciel malveillant était passé au travers de tous les mécanismes de détection en place, jusqu’au bac à sable. C’est là, dit-il, qu’il a pris la mesure de l’importance des mécanismes d’évasion.

Le projet a pris forme une première fois en 2016. Au début, il s’agissait surtout de sensibiliser au besoin de réglage fin des solutions de sécurité, avec un Wiki où chaque technique d’évasion était documentée. Jean-Pierre Lesueur a ensuite rejoint le projet, lui permettant de prendre sa forme actuelle. Et celle-ci est considérablement plus étoffée.

Aujourd’hui, plus de 200 techniques d’évasion sont classées et documentées. Certaines sont assorties de règles de détection – Yara, Sigma (pour l’analyse des journaux d’activité) ou Capa (comparable à Yara) – voire d’échantillons de code d’exploitation. Là, il s’agit surtout d’aider les équipes de sécurité offensive, les Red Team, afin de leur permettre d’éprouver les capacités de détection en place… comme avec de véritables assaillants.

Mais Thomas Roccia et Jean-Pierre Lesueur sont loin d’être les seuls à mesurer l’importance des mécanismes d’évasion. Le framework ATT&CK du MITRE, le montre bien : la catégorie « évasion de défenses » est celle pour laquelle la liste de techniques employées dans des attaques est la plus longue. Justement, le MITRE a déjà exprimé son intérêt pour certaines ressources d’Unprotect, notamment pour son projet de catalogue des comportements des logiciels malveillants, le malware behavior catalog. Et pas de doute pour Thomas Roccia : il y a là une véritable complémentarité.

La connaissance des techniques d’évasion – et la capacité à les reconnaître – est d’autant plus importante que certains attaquants ont accès à certaines d’entre elles sans la moindre compétence technique. On peut penser aux très classiques packers, utilisés pour empaqueter et maquiller le code malveillant, mais il y a plus que ça : un véritable marché pour les outils prêts à l’emploi de maquillage et d’évasion de défenses. Le groupe aux commandes de la franchise de ransomware GandCrab – prédécesseur de REvil/Sodinokibi – proposait ainsi à ses affidés l’accès à un outil dédié, NTCrypt, en mode service.