En novembre 2022, un serveur Linux situé en Pologne (Europe) a été exposé sur Internet. Comme il contenait des informations sensibles, ce serveur présentait un intérêt pour un groupe de cyberattaquants. Nous estimons que ce groupe voulait accéder au serveur pour exfiltrer des données. Dans le but de recueillir des renseignements sur la campagne de cyber-espionnage visant l’organisation, la remédiation n’a pas été activée afin de collecter du renseignement sur des groupes adversaires.
Ce serveur a été protégé par la plateforme TEHTRIS XDR et ses modules complémentaires : TEHTRIS EDR, SIEM, DNSF et NTA. TEHTRIS CTI est intégré nativement dans la Plateforme XDR et bénéficie à l’ensemble des technologies TEHTRIS.
Ce cas d’utilisation est un résumé de nos derniers TEHTRIS WarGames que nous organisons pour simuler des cyberattaques. Chez TEHTRIS, nous croyons qu’il faut apprendre en s’amusant : Les WarGames sont un moyen de jouer avec notre technologie, d’en perfectionner notre utilisation et de s’exercer à traiter les incidents de sécurité… pour faire face à l’imprévisible !
Pendant que l’attaque se déroule, regardons de plus près ce que les défenseurs ont vu en utilisant la plateforme TEHTRIS XDR.
Reconnaissance
Pendant la phase de reconnaissance, l’adversaire effectue un scanning actif afin de recueillir des informations sur la cible qui pourraient être utilisées ultérieurement pour obtenir un accès initial. Dans ce cas, les attaquants ontdécouvert que deux ports étaient ouverts sur la machine : le port 22 et le port 80.
Comme spécifié dans le cadre de MITRE ATT&CK, les scans actifs (T1595) sont ceux où l’adversaire sonde l’infrastructure de la victime via le trafic réseau. TEHTRIS NTA est conçu pour surveiller les flux réseau entrants et sortants et détecte automatiquement les activités suspectes en donnant à l’analyste beaucoup de contexte. Cette première étape de la chaîne d’attaque est donc détectée et déclenche une alerte sur l’utilisation de nmap, un scanner de ports gratuit et open-source.
Accès initial : exploitation de la vulnérabilité apache WebSVN
Le serveur Linux héberge un serveur Web Apache. L’adversaire utilise le fuzzing sur des répertoires et des fichiers web communs, et choisit de se concentrer sur une appliance WebSVN spécifique (version 2.6.0) comme point d’entrée sur la cible. En effet, les versions de WebSVN antérieures à 2.6.1 permettent aux attaquants d’exécuter des commandes arbitraires à distance (vulnérabilité connue sous le nom de CVE-2021-32305 – CVSSv3 9.8).
TEHTRIS NTA et TEHTRIS EDR détectent tous deux la tentative d’exploitation de la CVE-2021-32305.
Exécution : téléchargement d’un outil de post-exploitation
Après avoir obtenu l’accès à la cible, l’attaquant télécharge pupy, un outil de post-exploitation et un RAT multifonction.
Alors que TEHTRIS NTA détecte le téléchargement d’un exécutable, TEHTRIS EDR détecte l’utilisation de pupy et de toutes les commandes que l’attaquant a exécutées à distance via ce RAT.
Discovery : utilisation de linPEAS
Maintenant que l’attaquant a une emprise sur la machine et peut exécuter des commandes à distance, il passe à une phase de découverte. L’adversaire tente d’acquérir des connaissances sur le système et le réseau interne afin de préparer sa prochaine action. Dans ce cas, l’adversaire utilise linPEAS (Linux local Privilege Escalation Awesome Script), un script qui effectue une énumération automatique pour trouver les chemins possibles d’élévation de privilèges. L’attaquant a pris la peine d’encoder le script et de l’exécuter en mémoire pour être le plus discret possible.
Cependant, TEHTRIS EDR a détecté et lancé une alerte sur les lignes de commande d’énumération rapide qui visent à obtenir des informations sur la machine, comme les noms d’utilisateur.
Date | Ligne de commande | Utilisateur |
2022-11-10 08:40:27 | find /var/log/ /private/var/log -type f -exec grep -R -i pwd\|passw {} ; | www-data |
2022-11-10 08:40:25 | find / -perm -4000 -type f ! -path /dev/* | www-data |
2022-11-10 08:40:24 | ls -lahtr /opt/lampp/bin/suexec | www-data |
2022-11-10 08:40:24 | ls -ld /snap/core20/1778/etc/skel/.profile | www-data |
2022-11-10 08:40:22 | find /tmp /etc /home -type s -name agent.* -or -name *gpg-agent* ( ( -user www-data ) -or ( -perm -o=w ) -or ( -perm -g=w -and ( -group www-data -or -group adm -or -group cdrom -or -group sudo -or -group dip -or -group plugdev -or -group lpadmin -or -group lxd -or -group sambashare ) ) ) | www-data |
2022-11-10 08:40:22 | find /snap/snap-store/599/etc/ldap -name *.bdb | www-data |
2022-11-10 08:38:26 | grep -Eo ^Exec.*?=[!@+-]*[a-zA-Z0-9_/\-]+ /etc/systemd/system/dbus-org.freedesktop.timesync1.service | www-data |
Élévation de privilèges : tentatives infructueuses
Grâce à l’énumération, l’adversaire a découvert qu’un utilisateur fait partie du groupe sudo. Une tentative de connexion SSH a été détectée par TEHTRIS EDR, mais l’attaquant n’a pas réussi à obtenir l’accès à l’utilisateur et donc à obtenir des privilèges plus élevés.
Ensuite, en utilisant bash pour exécuter un script nommé f (sha256 e0dae22e68fa74a0d61c7cca42cdc964f3e76fabcf01fcde66e6cb51a1f3cbca), l’attaquant a tenté d’exploiter la CVE-2022-2588 (CVSSv3 6,5), une vulnérabilité relativement récente du noyau Linux qui permet une élévation de privilèges. Cette tentative est détectée par TEHTRIS EDR et déclenche une alerte antivirus car le binaire est connu pour être malveillant de la base de données antivirus de TEHTRIS et de sources externes.
Enfin, l’adversaire a essayé de se connecter à la base de données SQL du site Web, mais sans succès. Ces tentatives ont également été détectées par TEHTRIS EDR.
Toutes les tentatives d’élévation de privilèges ont échoué car le serveur n’était pas vulnérable aux exploits du noyau Linux.
TEHTRIS vous protège
À chaque étape de l’attaque, la plateforme TEHTRIS XDR détecte et alerte, fournissant du contexte et permettant aux analystes de savoir exactement ce qui se passe sur le parc informatique qu’ils protègent. TEHTRIS NTA surveille les flux réseau 24 heures sur 24 et 7 jours sur 7, qu’ils soient entrants ou sortants, et détecte automatiquement toute anomalie dans le trafic sur la base d’une analyse comportementale et de signatures. TEHTRIS EDR est un outil puissant qui surveille tous les endpoints et détecte et tue automatiquement les menaces connues et inconnues.
Dans ce scénario, une configuration adéquate de l’EDR de TEHTRIS sur l’exploitation de la CVE-2021-32305 permet d’alerter dès l’accès initial de l’attaquant au serveur. Après une période de test pour s’assurer qu’elle ne déclenche pas de faux positifs, la mise en œuvre d’une remédiation automatique empêcherait cette attaque de se dérouler sans action humaine.
Shall we play a game ?
Vous êtes l’un de nos partenaires ou clients et vous souhaitez participer à un exercice WarGames cette année ? N’hésitez pas à nous contacter.