Qu’est-ce qu’une menace persistante avancée (APT) ?

Une menace persistante avancée (APT) est une attaque qui s’implante sans autorisation dans le but d’exécuter une attaque étendue et continue sur une longue période. Bien qu’elles soient peu nombreuses par rapport aux autres types d’attaques malveillantes, les APT doivent être considérées comme une menace sérieuse et coûteuse. En fait, selon le 13e rapport annuel NETSCOUT Arbor sur la sécurité des infrastructures dans le monde, seulement 16 % des entreprises et des organismes du secteur public ou de l’enseignement ont été confrontés à ces menaces en 2017, mais 57 % des ces entreprises les ont classées parmi leurs principales préoccupations en 2018.

La plupart des logiciels malveillants exécutent des attaques qui entraînent des dégâts, mais les APT adoptent une approche différente, plus stratégique et plus furtive. Les cybercriminels s’introduisent par l’intermédiaire de logiciels malveillants traditionnels tels que les chevaux de Troie ou l’hameçonnage, mais brouillent les pistes en se déplaçant secrètement pour déployer leur logiciel d’attaque sur l’ensemble du réseau. À mesure qu’ils s’implantent, ils peuvent atteindre leur objectif, qui consiste pratiquement toujours à extraire des données de manière continue et persistante sur une période de plusieurs mois, voire de plusieurs années.

Protéger votre Data Center au moyen d’un pare-feu interne dédié

Recherche avancée des menaces et réponse aux incidents avec Enterprise EDR

Les menaces persistantes avancées suivent toujours une séquence d’attaque

Pour atteindre leurs objectifs, les cybercriminels qui exécutent des attaques APT suivent une approche d’attaque séquentielle plutôt standard. Voici un bref résumé des étapes types qu’ils suivent :

Développer une stratégie spécifique. Les cybercriminels APT ont toujours un objectif ciblé en tête lorsqu’ils attaquent : généralement le vol de données.
Obtenir un accès. Les attaques sont souvent déclenchées par des techniques d’ingénierie sociale qui identifient les cibles vulnérables. Des e-mails d’hameçonnage ou des logiciels malveillants provenant de sites Web couramment utilisés sont ensuite utilisés pour accéder aux informations d’authentification et au réseau. Les cybercriminels tentent généralement d’établir le commandement et prendre le contrôle une fois qu’ils ont accédé au réseau.
Établir un point d’ancrage et sonder. Une fois qu’ils ont établi une présence dans le réseau, les cybercriminels se déplacent latéralement et librement dans tout l’environnement, qu’ils explorent en planifiant la meilleure stratégie d’attaque sur les données souhaitées.
Organiser l’attaque. L’étape suivante consiste à préparer l’exfiltration des données ciblées en les centralisant, en les chiffrant et en les compressant.
Prendre les données. À ce stade, les données peuvent facilement être exfiltrées et déplacées furtivement dans le monde entier, généralement sans préavis.
Persister jusqu’à détection. Ce processus se répète pendant de longues périodes par l’intermédiaire de la position de force des cybercriminels jusqu’à ce qu’ils finissent par être détectés.

Indices signalant une APT dans un environnement d’entreprise

Comme l’objectif des APT est pratiquement toujours l’exfiltration de données, les cybercriminels abandonnent des preuves de leur activité malveillante. Voici quelques-unes des indications les plus révélatrices, selon le CSO :

Augmentation des connexions à des heures inhabituelles, par exemple tard dans la nuit
Découverte de chevaux de Troie avec porte dérobée
Flux de données volumineux et inexpliqués
Lots de données agrégées inattendus
Détection d’outils de piratage de type « pass-the-hash »
Campagnes d’hameçonnage ciblées utilisant des fichiers PDF Adobe Acrobat

Dans le cadre d’une récente série de webinaires sur la recherche de menaces, des experts en sécurité ont fourni d’autres informations sur les activités malveillantes à rechercher pour donner aux entreprises une longueur d’avance sur les attaques APT.

Ces experts suggèrent de rechercher des shells de commande (WMI, CMD et PowerShell) qui établissent des connexions réseau, ou des outils d’administration à distance de serveurs ou de réseaux sur des systèmes non administrateurs. Ils ont également suggéré de rechercher les documents Microsoft Office, les incidents Flash ou Java qui appellent de nouveaux processus ou génèrent des shells de commande.

Tout écart des comportements normaux des comptes d’administrateur doit également être considéré comme une autre indication. La création de nouveaux comptes localement, d’un domaine de société ou de processus Windows (tels que lsass, svchost ou csrss) avec des parents inconnus peuvent également prouver l’existence d’une APT dans l’environnement.

« 57 % des entreprises et organismes du secteur public et de l’enseignement considèrent les APT comme une préoccupation majeure en matière de sécurité. »

Industry Pulse : Informations d’experts sur une attaque APT

À titre d’exemple d’une APT bien exécutée, voici une présentation rapide d’APT10, une campagne qui a peut-être commencé dès 2009. Constituant potentiellement l’une des menaces de cybersécurité les plus persistantes de l’histoire, APT10 a récemment attaqué des entreprises par l’intermédiaire de fournisseurs de services gérés de plusieurs secteurs d’activité dans de nombreux pays, ainsi que certaines entreprises japonaises, et a occasionné une quantité indéterminée de dommages via le vol d’importants volumes de données.

Ces attaques, actives depuis fin 2016, ont été découvertes par PwC UK et BAE Systems. Dans un rapport conjoint consacré à cette campagne, l’Opération Cloud Hopper, ces entreprises admettent volontiers que l’étendue des dommages causés par APT10 ne sera peut-être jamais connue.

Voici quelques-uns des principaux enseignements tirés du rapport de ces entreprises sur APT10 :

La campagne est probablement orchestrée par un cybercriminel implanté en Chine.
Elle a commencé en 2009 ou avant et utilise divers types de logiciels malveillants pour obtenir des accès sans précédent au fil du temps.
Les cybercriminels à l’origine d’APT10 font évoluer en permanence leurs méthodes d’attaque en utilisant de nouveaux outils avancés qui permettent d’augmenter l’échelle et les capacités des attaques.
À l’instar de la plupart des attaques APT, APT10 s’attaque à la propriété intellectuelle et aux données sensibles.
PwC UK et BAE estiment que le cybercriminel dispose de plus en plus de personnel et de ressources, avec peut-être plusieurs équipes de cybercriminels hautement qualifiés à l’œuvre en permanence.

* 5 signes indiquant que vous avez été victime d’une menace persistante avancée (APT)

Comment détecter une APT : Recherche de menaces pour trouver des indices laissés par les cybercriminels

Avec l’augmentation des découvertes d’APT, les équipes de sécurité parviennent de mieux en mieux à détecter ces menaces furtives. L’une des approches en pleine évolution est la recherche de menaces, qui combine une technologie innovante et des informations humaines en une approche proactive et itérative qui identifie les attaques qui ne sont pas détectées par la sécurité des terminaux standard.

Il faut en moyenne 150 jours pour détecter une violation. Cependant, avec la recherche des menaces, les entreprises peuvent détecter les attaques telles que les APT plus tôt dans la séquence d’attaque en observant les données historiques des terminaux non filtrées pour identifier les comportements inhabituels et les relations anormales entre les activités.

Un spécialiste de la recherche de menaces commence la détection avec un ensemble d’outils technologiques innovants, d’informations sur les menaces et d’informations humaines. Il affine ensuite le processus de recherche au moyen de recherches itératives qui mènent à la découverte des causes profondes. Le spécialiste répond ensuite aux menaces en les arrêtant et utilise les informations obtenues pour protéger l’environnement par la suite.

Pour commencer, un spécialiste de la recherche de menaces peut utiliser les caractéristiques connues d’une menace particulière, ainsi que des informations humaines sur les séquences d’attaque potentielles. Il peut lancer une série de recherches itératives à l’aide d’outils qui parcourent les environnements pendant qu’il surveille, enregistre et stocke toute l’activité des terminaux.
Par exemple, PwC UK et BAE Systems ont découvert que les cybercriminels utilisaient des fichiers Excel malveillants distribués via des campagnes d’hameçonnage par e-mail via Outlook. Les chercheurs ont également découvert que l’ouverture de ces fichiers entraînait le dépôt de nouveaux fichiers dans un dossier temporaire, et que ces fichiers fonctionnaient comme des dispositifs d’écoute C2, qui envoyait ses sorties sur le port 8080.
Une recherche initiale peut renvoyer un grand volume de données. Le spécialiste de la recherche de menaces doit donc généralement affiner sa recherche. Dans le cas d’une menace APT10, l’un des critères de recherche peut être les machines des RH, car celles-ci contiennent des données stratégiques et sensibles. Ensuite, à partir d’informations connues, le spécialiste peut affiner encore la détection en recherchant les fichiers Excel reçus en pièces jointes dans des e-mails Outlook. Le critère de recherche logique suivant serait une connexion de commande et de contrôle, qui pourrait être découverte en recherchant des connexions réseau avec plusieurs connexions.
Cela réduit la taille de l’ensemble de données, qui peut ensuite être considéré comme une arborescence d’analyse de processus qui met en évidence le fichier temporaire malveillant. Une fois identifié, il est possible de suivre ce fichier afin de déterminer s’il a tenté de créer une connexion réseau sur le port 8080.
Cette séquence d’activités confirme la présence d’une attaque APT10 active dans cet environnement. Grâce à la recherche de menaces et à des outils antivirus nouvelle génération avancés, l’attaque peut être isolée sur l’ordinateur hôte pour être éliminée du réseau. Une autre option consiste à bannir la valeur de hachage pour qu’elle ne puisse pas être exécutée.
L’activité finale du spécialiste en recherche de menaces consiste à protéger l’environnement contre les attaques futures. Cela s’effectue en généralisant et en élargissant la séquence de requêtes décrite ci-dessus pour créer une liste de surveillance. L’outil de sécurité identifie ces activités et envoie des alertes automatiques par e-mail afin que des mesures correctives puissent être prises immédiatement.

Recommandé pour vous

Sécurité réseau

À l’heure actuelle, 73 % des entreprises utilisent au moins deux Clouds publics. Incontestablement, le multicloud accélère la transformation digitale, mais il introduit également de la complexité et des risques.

Les services VMware Cross-Cloud™ permettent aux entreprises d’exploiter le potentiel du multicloud, tout en assurant la sécurité et la résilience de l’entreprise.

Anywhere Workspace

Plate-forme applicative

Infrastructure Cloud et Edge

Gestion du Cloud

Hyperviseur de poste de travail

Sécurité et réseau

Exécutez les solutions VMware dans tous les Clouds. Dans n’importe quel environnement. N’importe où.

Sur les Clouds publics et hybrides

Sur un Cloud privé et une infrastructure hyperconvergée ( HCI)

Solutions

Par secteur d’activité

Gérer votre environnement multicloud

Pour les clients

Pour les partenaires

Collaborer avec des partenaires pour assurer la réussite des clients

Outils et formation

Services

Support

Marketplace

Blogs et communautés

Clients

Événements

Protéger votre Data Center au moyen d’un pare-feu interne dédié

Recherche avancée des menaces et réponse aux incidents avec Enterprise EDR

Solutions et produits connexes