Déjouer les cyberattaques élaborées sur les systèmes de nos clients, c’est le quotidien de la technologie TEHTRIS avec nos partenaires. Revenons sur un exemple concret dans le secteur industriel.
Contexte
En septembre 2022, TEHTRIS et son partenaire MSSP ont aidé à contrer la première étape d’une attaque avancée à l’encontre d’un industriel. Cette entreprise de fabrication mène des activités sur tous les continents avec de nombreux sites de production équipés des solutions unifiées de la TEHTRIS XDR Platform, dont l’EDR.
L’incident a été géré rapidement sans aucune conséquence opérationnelle pour l’activité économique du client de TEHTRIS. L’objectif de l’attaquant reste indéterminé. Toutefois, sur la base des éléments disponibles, TEHTRIS, son client et son partenaire MSSP se sont mis d’accord pour dire qu’il s’agit probablement une tentative d’exfiltration de données dans le cadre d’une campagne de cyber-espionnage ou de la première étape d’une attaque ransomware liée à l’extorsion de données.
Étapes de détection et de remédiation réalisées par les solutions TEHTRIS
Grâce à une Application Policy configurée en avance de phase afin de détecter des lignes de commandes PowerShell encodées et suspicieuses, l’analyste a reçu une alerte sur sa XDR à propos d’un évènement révélant la présence d’une backdoor. L’utilisation de PowerShell n’est pas malveillante en soi, mais les cyber attaquants peuvent abuser des commandes PowerShell pour l’exécution puisqu’il s’agit d’une interface de commandes interactives et puissantes inclue dans Windows (T1059.01 de la matrice MITRE ATT&CK). Cela explique pourquoi une alerte a été remontée. Cependant la remédiation automatique n’était pas activée sur le système infecté au moment de l’incident.
Ainsi interpellés, les analystes ont utilisé l’EDR de TEHTRIS pour explorer les logs afin d’évaluer la sévérité de l’alerte et identifier l’ampleur de l’attaque. Ils ont ensuite été capables d’appliquer une remédiation adaptée en blacklistant le binaire qui avait levé la première alerte.
Pour investiguer plus en profondeur, les analystes ont utilisé le TEHTRIS Offline Forensics (TOF), un outil qui permet d’obtenir du contexte et d’identifier les actions conduites par les attaquants avant que la remédiation n’ait eu lieu. Il est apparu que le vecteur initial de cette compromission était l’exploitation d’une vulnérabilité sur un produit répandu de virtualisation installé sur une machine qui n’était pas protégée par TEHTRIS. L’attaquant a ensuite réalisé une technique de mouvement latéral (TA0008 de la matrice MITRE ATT&CK) pour se propager sur le réseau de l’entreprise et infecter des appareils protégés par les solutions TEHTRIS, permettant la prise en compte rapide de l’incident grâce à la vision unifiée des événements sur la XDR Platform.
Que faut-il retenir ?
La TEHTRIS XDR Platform fournit des outils unifiés puissants pour alerter sur les activités suspicieuses, pour investiguer tout type de menaces et pour remédier aux incidents. C’est également un outil fiable de forensique pour les analystes MSSP qui peuvent se reposer dessus pour déterminer le périmètre d’une compromission.
Puisque l’environnement des menaces évolue si rapidement, et que les cyber attaquants utilisent de plus en plus des techniques furtives (comme les Living Off the Land binaries), les cyber analystes doivent rester informés sur les menaces actuelles et adapter les paramètres de configuration de leurs outils très régulièrement.
La coordination, la communication et la réactivité sont les clés pour déjouer une attaque au premier stade. TEHTRIS aide à vous préparer à faire face à tout type de cyberattaques avec ses solutions en vous armant avec des capacités de recherche et de réponse.