Netskope a été nommé leader dans l'édition 2024 du Magic Quadrant™de Gartner® pour le Secure Access Service Edge à fournisseur unique. Obtenir le rapport

fermer
fermer
  • Pourquoi Netskope signe chevron

    Changer la façon dont le réseau et la sécurité fonctionnent ensemble.

  • Nos clients signe chevron

    Netskope sert plus de 3 400 clients dans le monde, dont plus de 30 entreprises du Fortune 100

  • Nos partenaires signe chevron

    Nous collaborons avec des leaders de la sécurité pour vous aider à sécuriser votre transition vers le cloud.

Un Leader du SSE.
Et maintenant un Leader du SASE à fournisseur unique.

Découvrez pourquoi Netskope a été classé parmi les leaders de l'édition 2024 du Gartner® Magic Quadrant™️ pour le Secure Access Service Edge à fournisseur unique.

Recevoir le rapport
Pleins feux sur les clients visionnaires

Découvrez comment des clients innovants naviguent avec succès dans le paysage évolutif de la mise en réseau et de la sécurité d’aujourd’hui grâce à la plateforme Netskope One.

Obtenir l'EBook
Pleins feux sur les clients visionnaires
La stratégie de commercialisation de Netskope privilégie ses partenaires, ce qui leur permet de maximiser leur croissance et leur rentabilité, tout en transformant la sécurité des entreprises.

En savoir plus sur les partenaires de Netskope
Groupe de jeunes professionnels diversifiés souriant
Votre réseau de demain

Planifiez votre chemin vers un réseau plus rapide, plus sûr et plus résilient, conçu pour les applications et les utilisateurs que vous prenez en charge.

Obtenir le livre blanc
Votre réseau de demain
Présentation de la plate-forme Netskope One

Netskope One est une plate-forme cloud native qui offre des services de sécurité et de mise en réseau convergents pour faciliter votre transformation SASE et Zero Trust.

En savoir plus sur Netskope One
Abstrait avec éclairage bleu
Adopter une architecture SASE (Secure Access Service Edge)

Netskope NewEdge est le nuage privé de sécurité le plus grand et le plus performant au monde. Il offre aux clients une couverture de service, des performances et une résilience inégalées.

Découvrez NewEdge
NewEdge
Netskope Cloud Exchange

Le Netskope Cloud Exchange (CE) fournit aux clients des outils d'intégration puissants pour optimiser les investissements dans l'ensemble de leur infrastructure de sécurité.

En savoir plus sur Cloud Exchange
Aerial view of a city
La plateforme du futur est Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), et Private Access for ZTNA intégrés nativement dans une solution unique pour aider chaque entreprise dans son cheminement vers l'architecture Secure Access Service Edge (SASE).

Présentation des produits
Vidéo Netskope
Next Gen SASE Branch est hybride - connectée, sécurisée et automatisée

Netskope Next Gen SASE Branch fait converger Context-Aware SASE Fabric, Zero-Trust Hybrid Security et SkopeAI-Powered Cloud Orchestrator dans une offre cloud unifiée, ouvrant la voie à une expérience de succursale entièrement modernisée pour l'entreprise sans frontières.

En savoir plus Next Gen SASE Branch
Personnes au bureau de l'espace ouvert
La conception d'une architecture SASE pour les nuls

Obtenez votre exemplaire gratuit du seul guide consacré à la conception d'une architecture SASE dont vous aurez jamais besoin.

Obtenir l'EBook
Optez pour les meilleurs services de sécurité cloud du marché, avec un temps de latence minimum et une fiabilité élevée.

Découvrez NewEdge
Autoroute éclairée traversant des lacets à flanc de montagne
Permettez en toute sécurité l'utilisation d'applications d'IA générative grâce au contrôle d'accès aux applications, à l'accompagnement des utilisateurs en temps réel et à une protection des données de premier ordre.

Découvrez comment nous sécurisons l'utilisation de l'IA générative
Autorisez ChatGPT et l’IA générative en toute sécurité
Solutions Zero Trust pour les déploiements du SSE et du SASE

En savoir plus sur la confiance zéro
Bateau roulant en pleine mer
Netskope obtient l'autorisation FedRAMP High Authorization

Choisissez Netskope GovCloud pour accélérer la transformation de votre agence.

En savoir plus sur Netskope GovCloud
Netskope GovCloud
  • Ressources signe chevron

    Découvrez comment Netskope peut vous aider à sécuriser votre migration vers le Cloud.

  • Blog signe chevron

    Découvrez comment Netskope permet la transformation de la sécurité et de la mise en réseau grâce à l'accès sécurisé à la périphérie des services (SASE).

  • Événements et ateliers signe chevron

    Restez à l'affût des dernières tendances en matière de sécurité et créez des liens avec vos pairs.

  • Définition de la sécurité signe chevron

    Tout ce que vous devez savoir dans notre encyclopédie de la cybersécurité.

Podcast Security Visionaries

L'avenir de la sécurité : Quantum, IA et changements macropolitiques
Emily Wearmouth et Max Havey s'entretiennent avec Sanjay Beri, PDG de Netskope, et Krishna Narayanaswamy, directeur technique, sur l'avenir de la sécurité.

Écouter le podcast Parcourir tous les podcasts
L'avenir de la sécurité : Quantum, IA et changements macropolitiques
Derniers blogs

Découvrez comment Netskope peut faciliter le parcours Zero Trust et SASE grâce à des capacités d'accès sécurisé à la périphérie des services (SASE).

Lire le blog
Lever de soleil et ciel nuageux
SASE Week 2024 A la demande

Apprenez à naviguer dans les dernières avancées en matière de SASE et de confiance zéro et découvrez comment ces cadres s'adaptent pour répondre aux défis de la cybersécurité et de l'infrastructure.

Explorer les sessions
SASE Week 2024
Qu'est-ce que SASE ?

Découvrez la future convergence des outils réseau et sécurité dans le modèle économique actuel, dominé par le cloud.

En savoir plus sur SASE
  • Entreprise signe chevron

    Nous vous aidons à conserver une longueur d'avance sur les défis posés par le cloud, les données et les réseaux en matière de sécurité.

  • Carrières signe chevron

    Join Netskope's 3,000+ amazing team members building the industry’s leading cloud-native security platform.

  • Solutions pour les clients signe chevron

    Nous sommes là pour vous et avec vous à chaque étape, pour assurer votre succès avec Netskope.

  • Formation et accréditations signe chevron

    Avec Netskope, devenez un expert de la sécurité du cloud.

Soutenir le développement durable par la sécurité des données

Netskope est fière de participer à Vision 2045 : une initiative visant à sensibiliser au rôle de l'industrie privée dans le développement durable.

En savoir plus
Soutenir le développement durable grâce à la sécurité des données
Contribuez à façonner l'avenir de la sécurité du cloud

At Netskope, founders and leaders work shoulder-to-shoulder with their colleagues, even the most renowned experts check their egos at the door, and the best ideas win.

Rejoignez l’équipe
Carrières chez Netskope
L’équipe de services professionnels talentueuse et expérimentée de Netskope propose une approche prescriptive pour une mise en œuvre réussie.

En savoir plus sur les services professionnels
Services professionnels Netskope
Sécurisez votre parcours de transformation numérique et tirez le meilleur parti de vos applications cloud, Web et privées grâce à la formation Netskope.

En savoir plus sur les formations et les certifications
Groupe de jeunes professionnels travaillant

Introduction lien lien

Les attaquants ajoutent à leurs logiciels malveillants des capacités de commande et de contrôle (C2) nouvelles et sophistiquées qui leur permettent d'échapper facilement aux défenses statiques courantes basées sur les signatures IPS ou les listes de blocage IP/domaine/url en utilisant des outils C2 courants et largement disponibles tels que Cobalt Strike, Brute Ratel, Mythic, Metasploit, Sliver et Merlin. Ces outils fournissent des capacités de post-exploitation, notamment de commande et de contrôle, d'escalade des privilèges et d'actions sur l'hôte, et ont été conçus à l'origine pour les tests de pénétration et les opérations de l'équipe rouge.

Cependant, les attaquants ont détourné et intégré ces mêmes boîtes à outils à des fins malveillantes, car de nombreux produits sont libres, comme Mythic et Merlin, tandis que d'autres produits commerciaux, comme Cobalt Strike et Brute Ratel, ont été volés par des attaquants par le biais de copies piratées ou de fuites de code source. Cela a effectivement transformé ces mêmes outils en cadres C2 adverses pour une post-exploitation malveillante.

Ces outils peuvent facilement façonner et modifier de nombreux paramètres des communications C2, ce qui permet aux logiciels malveillants d'échapper encore plus facilement et plus longtemps aux défenses actuelles et de causer des dommages plus importants au sein des réseaux des victimes, notamment : le vol de davantage de données, la découverte de données plus précieuses, l'indisponibilité des applications/services professionnels et le maintien d'un accès caché aux réseaux en vue de dommages ultérieurs.

Les approches actuelles de détection des derniers logiciels malveillants utilisant des cadres C2 utilisent des signatures et des indicateurs statiques, y compris la détection des exécutables d'implants, des signatures IPS pour la détection du trafic C2, et des filtres IP/URL qui sont inadéquats pour traiter les profils dynamiques et malléables des outils de cadre C2 largement disponibles.

Une nouvelle approche est nécessaire, qui ne soit pas aussi rigidement liée aux attaques connues, mais qui soit basée sur la détection d'anomalies d'un ensemble complet de signaux introduits dans des modèles d'apprentissage automatique entraînés, avec un suivi fin du périphérique et du risque pour l'utilisateur. Cette approche complétera les approches existantes, mais peut augmenter considérablement les taux de détection tout en maintenant les faux positifs à un niveau bas et en assurant une protection future contre l'évolution des schémas de trafic C2 qui sont facilement activés par ces mêmes outils d'encadrement C2.

Ce document examine les lacunes des approches actuelles et l'efficacité accrue de l'utilisation d'une approche ciblée d'apprentissage automatique avec des signaux de réseau supplémentaires et des mesures de risque fines basées sur des modèles au niveau de l'utilisateur et de l'organisation. Nous examinons également certains des principaux défis à relever pour tester l'efficacité d'une solution de détection de balises C2.

 

Cadres adverses C2 lien lien

Cobalt Strike, Metasploit, Mythic et Brute Ratel sont quelques-uns des outils de simulation d'adversaires commerciaux et open-source conçus à l'origine pour les tests de détection de logiciels malveillants de l'équipe rouge. Ces boîtes à outils sont parfois appelées outils d'émulation de la menace ou cadres C2, car elles offrent un ensemble de fonctionnalités (Gill) permettant de simuler l'activité d'une menace réelle pendant les opérations de l'équipe rouge, en mettant l'accent sur les parties de commandement et de contrôle post-exploitation de la chaîne d'attaque.

Il se peut que nous utilisions certains de ces termes de manière interchangeable tout au long du document, mais nous utiliserons généralement les cadres C2 pour souligner que ces outils sont utilisés par des acteurs malveillants pour avoir un impact sur les environnements de production et que le problème à résoudre va bien au-delà des simulations ou des émulations réalisées par de sympathiques équipes rouges internes.

Ces outils C2 ont été intégrés, piratés ou volés et utilisés par de nombreux attaquants ("Cobalt Strike : International law enforcement operation tackles illegal uses of 'Swiss army knife' pentesting tool"), y compris des acteurs étatiques tels que l'APT29 russe dans SolarWinds ("SolarWinds Supply Chain Attack Uses SUNBURST Backdoor") et le TA415 de la RPC (Larson et Blackford) pour améliorer et faire évoluer les capacités de communication furtive de divers RAT, botnets et logiciels malveillants dotés d'un système C2.

Cobalt Strike est l'outil le plus populaire du cadre C2, et nous l'utilisons comme exemple spécifique tout au long de ce document, bien que les observations s'appliquent à tous les outils similaires. Le diagramme d'architecture de haut niveau de Cobalt Strike ci-dessous présente ses composants de base (Rahman) et le flux d'attaque en cours d'exécution.

Architecture de haut niveau Cobalt Strike

Figure 1 : Architecture de haut niveau de Cobalt Strike

 

#

Étape de l'attaque

Description

1

Accès initial / infectionVecteur d'infection initial, y compris le téléchargeur et le chargeur de la charge utile de la balise.

2

Appeler à la maison (C2)

Beacon appelle le serveur d'équipe en utilisant typiquement HTTP/HTTPS/DNS. Peut utiliser l'obscurcissement du domaine/de l'IP via des redirecteurs tels que les proxys, le fronting de domaine (par ex. CDN) ou le masquage de domaine. Les balises peuvent également enchaîner les communications pour contourner la segmentation des réseaux internes.

3

Commandement et contrôle de l'attaquantL'attaquant contrôle Beacon et émet diverses commandes. Vous pouvez utiliser des scripts Aggressor pour automatiser/optimiser workflow.

4

Exécuter des commandesLa balise peut utiliser Execute Assembly (exécutables .NET) dans un processus séparé ou Beacon Object Files dans la session/le processus de la balise, ce qui permet d'étendre les capacités de post-exploitation. L'injection de mémoire est utilisée pour éviter d'être détectée par les systèmes de défense des points finaux qui se concentrent sur les fichiers et l'activité du disque associés aux fichiers malveillants.

5

Actions sur l'hôteDe nombreuses actions intégrées sont fournies pour de nouvelles capacités via des extensions telles que BOF ou Execute Assembly.

Tableau 1 : Chaîne d'attaque utilisant le cadre Cobalt Strike C2

 

Cobalt Strike et d'autres outils similaires permettent de configurer facilement et largement le trafic HTTP/S, produisant un trafic C2 qui semble souvent inoffensif, qui ressemble à un trafic HTTP/web normal et qui est similaire au trafic d'un navigateur web ou d'une application populaire. Les outils sont fournis avec des configurations par défaut qui émulent à la fois des logiciels malveillants connus et des applications valides connues.

Bien que le DNS soit également pris en charge en tant que protocole C2, nous nous concentrerons sur le C2 HTTP/S car il reflète la majeure partie du trafic réseau entrant/sortant d'une organisation, est plus complexe en raison de la variété des applications utilisant HTTP/S, et attire la majorité des acteurs malveillants qui tentent de se cacher parmi le bruit du réseau, y compris les balises C2 légitimes et bénignes.

Les boîtes à outils sont hautement configurables (via des profils malléables) et peuvent facilement faire varier le moment, la fréquence, le volume, les protocoles d'application, les IP/domaines de destination, les agents utilisateurs, les en-têtes HTTP, les verbes HTTP, les URI, les paramètres, les certificats SSL/TLS, le délai de balisage avec une gigue aléatoire, et la charge utile/le contenu. Les outils du cadre C2 permettent également un grand nombre d'actions post-exploitation, qui sont chiffrées, téléchargées et exécutées en mémoire, ce qui rend l'activité post-compromission très difficile à détecter sur les points finaux.

Nous nous concentrerons sur les capacités spécifiques de communication C2 des outils du cadre C2 (par exemple, le balisage C2), sur la facilité avec laquelle les communications peuvent être modifiées (par exemple, via les profils malléables C2 de Cobalt Strike) et sur les défis posés aux organisations qui tentent de détecter les logiciels malveillants furtifs.

Il existe de nombreuses ressources intéressantes sur les fonctionnalités des profils malléables (Gill) de Cobalt Strike, mais nous nous contenterons de souligner certaines des caractéristiques les plus utilisées. Voici un extrait du profil malléable permettant d'imiter l'application du navigateur Gmail dans Cobalt Strike (Mudge) :

Figure 2 : Profil C2 malléable (gmail)

Figure 2 : Profil C2 malléable (gmail)

 

Voici quelques-unes des fonctionnalités et des domaines clés du profil :

Section | Paramètres

Description | Capacités

certificat https# Utilisez un certificat existant ou générez un certificat auto-signé comme dans cet exemple.
# exemple.
options globales# Ces options globales ci-dessous fixent le temps de sommeil de la balise C2 à 60 secondes avec une gigue aléatoire de +/- 15%.
# une gigue aléatoire de +/- 15%, montrant la possibilité de varier le timing de l'appel de retour pour éviter une
# une détection aisée.
set sleeptime "60000";
set jitter "15";


# D'autres options globales spécifient des paramètres d'action post-exploitation sur l'hôte tels que le
# nom du processus créé pour exécuter des commandes utilisant l'injection en mémoire ou le
# pipename utilisé pour les communications IPC. Ces éléments ne sont pas pertinents pour C2.
set pipename "interprocess_##";
set spawnto "userinit.exe";
http-get# Le chemin uri utilisé pour les communications avec le serveur beacon->peut être modifié à l'aide d'une liste
set uri "/_/scs/mail-static/_/js/";

# Les communications avec le client (serveur beacon->), y compris les cookies, les en-têtes et l'encodage, # peuvent toutes être spécifiées et modifiées facilement.
# peuvent toutes être spécifiées et modifiées facilement au niveau du protocole HTTP
client {
metadata {}
header {}
}


# De même, les communications entre le serveur et la balise>peuvent également être modifiées au niveau du protocole HTTP
# au niveau du protocole HTTP
serveur {
header {}
}


# Cobalt Strike permet de façonner le flux de communication bidirectionnel entre le # client Beacon et le serveur C2 Team ("A Beacon HTP").
# client Beacon et le serveur C2 Team ("A Beacon HTTP Transaction Walk-through") :
# 0. http-stager {} optional stager to download full Beacon
# 1. http-get {client} client -- call home → server
# 2. http-get {server} server -- cmds → client
# 3. http-post {client} client -- cmd output → server
# 4. http-get {server} server -- confirm → client

Tableau 2 : Description du profil C2 malléable (gmail)

 

Comme on peut le voir ci-dessus, de simples modifications de ces profils peuvent facilement changer le comportement des communications C2 pour imiter les applications courantes, leurs balises et le trafic web. Il existe plus de 240 profils publics malléables pour le seul Cobalt Strike, facilement utilisables ou modifiables.

 

Méthodes de détection actuelles lien lien

Les approches actuelles de détection du trafic C2 malveillant tendent à faire correspondre des signatures d'octets codées en dur ou à utiliser des expressions régulières pour faire correspondre la charge utile ou les en-têtes (signatures IPS), ou sont basées sur la correspondance de listes d'adresses IP/domaines/URL. Ces approches sont statiques et facilement contournées par la nature dynamique et configurable des boîtes à outils du cadre C2 intégrées par les attaquants.

Signatures IPS

Pour illustrer les défis posés par les solutions IPS, voici l'une des règles Snort permettant de détecter le cheval de Troie Zeus (Snort) :

Figure 3 : Règle Snort (cheval de Troie Zeus)

Figure 3 : Règle Snort (cheval de Troie Zeus)

 

Snort et de nombreuses solutions IPS autorisent diverses correspondances de contenu ou d'en-têtes aux niveaux 3 et 4, ainsi qu'au niveau de l'application, comme indiqué par les verbes d'action dans la règle. De nombreuses correspondances, telles que l'option content rule, sont des correspondances statiques octet/caractère, tandis que l'option pcre rule est une correspondance d'expression régulière.

Si l'on examine côte à côte le côté adverse (par exemple, le profil malléable C2 pour gmail vu précédemment) et le côté défensif (par exemple, la règle Zeus snort), la correspondance statique codée en dur et la fragilité sont évidentes. Imaginez qu'un attaquant ait créé et déployé une nouvelle variante de Zeus qui utilise Cobalt Strike et qu'un IPS Snort ait mis en place la règle Zeus ci-dessus qui a détecté efficacement le nouveau logiciel malveillant. L'attaquant pourrait facilement modifier un caractère du profil, par exemple en ajoutant un espace dans MSIE pour éviter la correspondance : content :"|3B 20|MSIE|20|"; et le logiciel malveillant pourrait échapper à la signature IPS.

Bien qu'il y ait une connaissance du contexte et un suivi de l'état, l'approche de la signature IPS est intrinsèquement limitée en raison de sa correspondance statique, qui entraîne des faux négatifs et une évasion facile (changer littéralement un caractère dans un champ peut contourner une règle IPS).

Cela ne veut pas dire que les solutions IPS ne sont pas utiles. Les signatures IPS devraient plutôt être conservées, car elles constituent une défense périmétrique utile, bloquant de manière rapide et efficace de nombreux exploits connus sur le réseau. Dans ce cas, même si un IPS n'atteint qu'un taux de détection de 60 %, ces 60 % peuvent être bloqués ou faire l'objet d'une alerte facilement, ce qui évite un traitement coûteux en aval.

Listes de blocage IP/URL

D'autres approches traditionnelles, telles que l'utilisation de listes de blocage (IP ou URL), sont souvent appliquées dans le but d'empêcher l'accès initial ou le téléchargement de logiciels malveillants lors de la navigation sur le web, ainsi que pour bloquer le trafic C2 potentiel.

Les listes de blocage posent souvent un problème : elles sont souvent obsolètes, ce qui entraîne des faux positifs, et elles sont réactives, c'est-à-dire qu'elles sont mises à jour après la compromission de la cible n° 1 ou du patient n° 0.

Ce phénomène est exacerbé par les techniques d'indirection IP/domaine utilisées pour masquer le domaine ou l'adresse IP du serveur C2. Cobalt Strike utilise des redirecteurs, qui peuvent être aussi simples que