Les années se suivent et se ressemblent. Depuis la création officielle du CERT-Wavestone en 2013, notre équipe n’a cessé de croître et de répondre a de plus en plus d’incidents. L’année 2018 ne déroge pas à la règle jusqu’au point culminant de décembre qui n’a clairement pas été de tout repos pour notre équipe et nos clients victimes d’attaques (notamment une semaine a 8 interventions significatives en parallèle…). Quelques mots sur certaines de ces affaires :
- Compromission d’un SI et dépôt d’une souche inconnue d’un malware : à la suite de la découverte d’une vulnérabilité sur le SI de la victime, un attaquant s’est propagé sur l’ensemble des serveurs et a supprimé manuellement les différentes possibilités de sauvegardes (serveurs de sauvegardes, shadow copies, etc.). Notre équipe a alors été mandatée pour identifier le vecteur d’intrusion et les moyens de propagation de l’attaquant. Durant nos investigations nous avons pu mettre la main sur une souche inconnue du malware que nos reversers continuent à analyser à l’heure de l’écriture de cet édito. Plus d’informations à venir lors de notre prochaine lettre ou sur notre blog.
- Vulnérabilité Drupal et compromission de serveurs Web : outre l’étude de l’exploitation d’une vulnérabilité bien connue sur ce CMS, notre intervention a surtout consisté en l’analyse du niveau de compromission des systèmes hébergeant l’application Drupal.
- Dépôt d’un ransomware et blocage d’un site industriel : après plusieurs semaines à essayer de traiter l’infection localement, notre client nous a sollicité pour l’aider à maîtriser la propagation de la menace, puis pour s’assurer des résultats issus de l’investigation interne
RED Team 2.0 : Comment automatiser la mise en place d’une infrastructure C&C
Une opération Red Team consiste à tester un système d’information dans des conditions réelles. Le but est d’atteindre des objectifs précis (documents sensibles, serveur critique, etc.) à travers des moyens variés pouvant inclure :
Des intrusions physiques
Des intrusions logiques
De l’ingénierie sociale
Motivation du projet
L’outil présenté dans cet article a été développé pour répondre à des problématiques propres aux exercices Red Team :
Réduire le temps nécessaire pour mettre en place l’infrastructure nécessaire à l’exercice (serveurs de C&C, phishing, etc.)
Faciliter la réalisation des actions les plus fréquentes (cartographie, génération de code malveillant, etc.)
Permettre le lancement des actions les plus complexes (déploiement de serveurs, utilisation des services cloud comme AWS)
Mettre en place un suivi et une gestion opérationnelle efficace des opérations à grande échelle
L’objectif principal est de résoudre les problèmes auxquels les équipes actuelles sont régulièrement confrontées : multitude d’outils, manque d’agrégation des résultats, difficulté à suivre le travail en équipe.
En effet, le nombre d’éléments interconnectés nécessaires à un exercice Red Team peut rapidement devenir très grand et leur suivi d’autant plus complexe.
Il devient alors indispensable de centraliser les données et d’automatiser les actions qui peuvent l’être pour éviter la perte d’information (oubli d’activation des logs sur la distribution cloudfront ou le reverse proxy, typiquement) et les erreurs (génération maladroite de certificat TLS, par exemple).