Pourquoi mener une analyse Forensic ?

Pourquoi mener une analyse Forensic ?

Parfois la bonne volonté et les moyens de sécurité déployés ne suffisent pas face à des attaquants toujours mieux armés. Sur les 6 derniers mois, c’est plus d’une dizaine d’interventions en urgence que nos équipes spécialisées ont réalisé. Qu’il s’agisse d’OIV, d’entreprises cotées en bourse, ou de PME tout le monde est concerné.  Les récentes listes d’emails et mots de passe rendues publiques dont nous vous parlions dans un précédent article ne sont pas pour arranger les choses.

Voici donc quelques pistes sur la conduite à tenir en cas d’attaque.

Mener une analyse forensic

Quand vous subissez une attaque, votre premier instinct peut être de supprimer toutes traces liées à cette dernière. En faisant cela, vous risquez de supprimer des preuves potentiellement importantes qui auraient permis d’identifier la source de l’attaque. Passée la découverte, il est souvent nécessaire de faire appel à une société spécialisée dans les plus brefs délais pour réagir au mieux. Il est essentiel de se poser les bonnes questions et de ne pas intervenir dans l’urgence pour remettre en état de marche son application Web compromise ou encore son serveur ciblé par un cryptolocker.

Dans quel cas mener une analyse forensic ?

  • Dans le cas d’une fuite de données avérée ou encore suspicion d'une fuite de données à la suite du départ litigieux d'un collaborateur.
  • Si un concurrent semble trop en savoir sur votre activité.
  • Lorsque vous n’avez pas confiance dans les tous derniers équipements de VIP ultra connectés.
  • Si vous observez des activités étranges dans les boites mail.
  • Quand un malware se réplique sur l’ensemble du SI et que l’antivirus ne peut rien.
  • Si vous suspectez l'exploitation d’une vulnérabilité récente pouvant impacter l’un de vos équipements.
  • Lorsqu’apparaissent des fichiers illisibles (potentiellement chiffrés) avec des extensions étranges.

Et parfois même, lors de tests d'intrusion nous découvrons le passage d'individus malveillants avant nous. La plupart du temps, nous nous retrouvons confrontés à des traces qui ont été effacées par l’attaquant ou alors par des mesures d’urgence temporaires qui ont causé la perte de traces précieuses.

Nous avons donc développé une méthodologie d’audit claire que nous avons synthétisé en 3 points :

  • Préparation et identification : Le but est ici de se poser les bonnes questions et de détecter l'infection. L'information provenant de plusieurs sources doit être recueillie et analysée.
  • Mise en quarantaine : L’idée est ici d’arrêter l’attaque et de la contenir, d’éviter qu’elle se propage de trop.
  • Remédiation : Cela permet de mettre en place les mesures appropriées pour corriger tout défaut identifié et les actions pour éviter que cela se reproduise.

Dans certains cas, une option intéressante est de coupler l'audit d’investigation à un test d'intrusion une fois les traces figées afin de ne pas altérer les preuves. Cette partie offensive permettra rapidement de compléter l’audit et d’avoir une vision plus globale de la surface d’attaque. Cela permet en effet d’évaluer son niveau de sécurité et repartir sur de bonnes bases afin d’avoir une feuille de route sécurité sur les actions futures à prendre après la phase d’urgence.

Retour d’expérience

Une base de données cliente qui fuite et se retrouve en vente sur le « darkweb ». Les échanges avec les équipes dirigent vers l’exploitation d’une injection SQL. En effet, l’analyse des logs en surface montre l’utilisation d’outil d’exploitation de cette vulnérabilité.

Ce qui leur avait échappé c’est que l’attaquant avait installé un système de contrôle à distance persistant et disposait d’un accès permanent au système d’information…

Autre cas rencontré, un service informatique paralysé par un ransomware. Malgré la suppression du logiciel malveillant et la restauration de points de sauvegardes par les équipes techniques, l’attaquant parvenait sans cesse à chiffrer de nouveau les équipements. Lors de notre intervention, nous avons rapidement découvert qu’un service RDP était exposé sur internet laissant la porte ouverte à l’attaquant.

 

Comment limiter les dommages ?

S’armer en prévision d’une attaque :

  • Réaliser des sauvegardes régulières avec un temps de rétention suffisant. Cela va vous permettre de restaurer des données rapidement et pouvoir reprendre votre activité au plus vite en cas d’infection par un ransomware par exemple.
  • Journaliser un maximum d’évènements. Il est essentiel d’avoir un maximum de traces à analyser pour pouvoir retracer le maximum d’actions menées par l’attaquant et prévoir un temps de rétention de logs suffisant. Cela évitera l’écrasement automatique des traces avant même d’avoir pu les analyser.
  • Externaliser le stockage des sauvegardes et des traces (syslog par exemple). Vous limiterez ainsi les risques d’effacement des traces par l’attaquant.

Comment réagir en cas de compromission :

  • Sauvegarder l’état des actifs compromis.
  • Isoler autant que possible l'équipement concerné du réseau et d'Internet.
  • Faire appel à un interlocuteur spécialisé.
  • Effectuer les déclarations légales dans les délais imposés en cas de fuite de données personnelles ou en cas de périmètre concerné par la LPM ou le NIS.

Et surtout : Ne pas restaurer à un point antérieur sans sauvegarder l’état lors de la compromission. Cela rendra impossible l’analyse de manière exhaustive des actions effectuées par l’attaquant et d’autre part cela n’empêche pas l’attaquant de revenir.

 

             

Quentin De Priester, Consultant en sécurité, Advens