Nation-State Attack or Compromised Government? [Guest Diary], (Thu, Dec 4th)

Sophistication Accrue des Acteurs Malveillants : Un Examen des Techniques d’Évasion

Une observation récente d’une tentative d’intrusion sur un honeypot a révélé des tactiques avancées de la part d’acteurs de menaces modernes. Ce qui semblait être une simple tentative de brute force SSH s’est avéré être le déploiement d’un cheval de Troie conçu pour une persistance et une évasion à long terme.

Points Clés

• Compromission via des Identifiants Faibles : L’attaque a réussi via une connexion SSH utilisant les identifiants “root” et “linux” depuis l’adresse IP 103[.]148[.]195[.]161.
• Déploiement d’un Cheval de Troie Évasif : Au lieu d’exécuter des commandes, l’attaquant a uploadé un fichier binaire nommé “sshd” (hash : 7a9da7d10aa80b0f9e2e3f9e518030c86026a636e0b6de35905e15dd4c8e3e2d). Ce fichier se fait passer pour le démon OpenSSH afin d’éviter la détection.
• Complexité des Attaques : Cette méthode démontre un effort considérable pour atteindre une persistance avancée et une capacité d’évasion, y compris le masquage et potentiellement l’évasion de bacs à sable et la falsification de binaires légitimes.
• Importance de l’Analyse Nuancée : L’origine de l’adresse IP (potentiellement gouvernementale) ne doit pas conduire à des conclusions hâtives sur l’identité de l’attaquant. Une adresse IP compromise est plus probable qu’une utilisation directe par un acteur étatique.
• La Valeur de la Chasse aux Menaces : Des indicateurs de compromission concrets comme les hashes de fichiers et les adresses IP malveillantes sont essentiels pour fournir des renseignements exploitables aux équipes de défense. Les sessions apparemment inactives peuvent cacher des intentions malveillantes.

Vulnérabilités

Bien que l’article ne fournisse pas de CVE spécifiques pour cette instance particulière, les techniques utilisées correspondent à plusieurs tactiques et techniques du cadre MITRE ATT&CK :

• T1078 - Comptes Valides : Utilisation d’identifiants (root/linux).
• T1110.001 - Brute Force : Tentative initiale d’accès SSH.
• T1204.002 - Exécution par l’Utilisateur : Implicitement, l’exécution du cheval de Troie une fois uploadé.
• T1036.005 - Masquage : Le fichier “sshd” se fait passer pour un processus légitime.
• T1554 - Compromission d’un Binaire Logiciel Client : L’upload et l’exécution d’un binaire malveillant comme s’il s’agissait d’un composant système.
• T1548.001 - Abus d’un Mécanisme de Contrôle d’Élévation : Potentiel si le cheval de Troie cherchait à élever ses privilèges.
• T1027 - Fichiers Obfusqués ou Informations : Probable pour l’évasion.
• T1497 - Évasion de Virtualisation/Bacs à Sable : Indiqué comme une capacité potentielle du cheval de Troie.
• T1480 - Garde-fous d’Exécution : Techniques utilisées pour contrôler l’exécution et éviter la détection.
• T1003.008 - Vidage des Identifiants du Système d’Exploitation : Technique potentielle du cheval de Troie pour extraire des informations d’identification.

Recommandations

Pour prévenir des attaques similaires, il est recommandé de :

• Désactiver l’authentification par mot de passe et privilégier les clés SSH.
• Mettre en place une liste blanche d’adresses IP autorisées.
• Utiliser des systèmes de détection et de prévention d’intrusion (IDS/IPS) et des solutions de détection et de réponse d’endpoints (EDR).
• Pratiquer la chasse aux menaces activement.
• Implémenter l’authentification multifacteur (MFA).

Source