fermer
fermer
  • Pourquoi Netskope signe chevron

    Changer la façon dont le réseau et la sécurité fonctionnent ensemble.

  • Nos clients signe chevron

    Netskope sert plus de 3 400 clients dans le monde, dont plus de 30 entreprises du Fortune 100

  • Nos partenaires signe chevron

    Nous collaborons avec des leaders de la sécurité pour vous aider à sécuriser votre transition vers le cloud.

Un leader sur SSE. Désormais leader en matière de SASE à fournisseur unique.

Découvrez pourquoi Netskope a été classé parmi les leaders de l'édition 2024 du Gartner® Magic Quadrant™️ pour le Secure Access Service Edge à fournisseur unique.

Recevoir le rapport
Coup de projecteur sur les idées novatrices de nos clients

Découvrez comment des clients innovants naviguent avec succès dans le paysage évolutif de la mise en réseau et de la sécurité d’aujourd’hui grâce à la plateforme Netskope One.

Obtenir l'EBook
Coup de projecteur sur les idées novatrices de nos clients
La stratégie de commercialisation de Netskope privilégie ses partenaires, ce qui leur permet de maximiser leur croissance et leur rentabilité, tout en transformant la sécurité des entreprises.

En savoir plus sur les partenaires de Netskope
Groupe de jeunes professionnels diversifiés souriant
Votre réseau de demain

Planifiez votre chemin vers un réseau plus rapide, plus sûr et plus résilient, conçu pour les applications et les utilisateurs que vous prenez en charge.

Obtenir le livre blanc
Votre réseau de demain
Netskope Cloud Exchange

Le Netskope Cloud Exchange (CE) fournit aux clients des outils d'intégration puissants pour optimiser les investissements dans l'ensemble de leur infrastructure de sécurité.

En savoir plus sur Cloud Exchange
Aerial view of a city
  • Security Service Edge signe chevron

    Protégez-vous contre les menaces avancées et compatibles avec le cloud et protégez les données sur tous les vecteurs.

  • SD-WAN signe chevron

    Fournissez en toute confiance un accès sécurisé et performant à chaque utilisateur, appareil, site et cloud distant.

  • Secure Access Service Edge signe chevron

    Netskope One SASE fournit une solution SASE cloud-native, entièrement convergée et à fournisseur unique.

La plateforme du futur est Netskope

Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), et Private Access for ZTNA intégrés nativement dans une solution unique pour aider chaque entreprise dans son cheminement vers l'architecture Secure Access Service Edge (SASE).

Présentation des produits
Vidéo Netskope
Next Gen SASE Branch est hybride - connectée, sécurisée et automatisée

Netskope Next Gen SASE Branch fait converger Context-Aware SASE Fabric, Zero-Trust Hybrid Security et SkopeAI-Powered Cloud Orchestrator dans une offre cloud unifiée, ouvrant la voie à une expérience de succursale entièrement modernisée pour l'entreprise sans frontières.

En savoir plus Next Gen SASE Branch
Personnes au bureau de l'espace ouvert
L'architecture SASE pour les nuls

Obtenez votre exemplaire gratuit du seul guide consacré à la conception d'une architecture SASE dont vous aurez jamais besoin.

Obtenir l'EBook
SASE Architecture For Dummies eBook
Optez pour les meilleurs services de sécurité cloud du marché, avec un temps de latence minimum et une fiabilité élevée.

Découvrez NewEdge
Autoroute éclairée traversant des lacets à flanc de montagne
Permettez en toute sécurité l'utilisation d'applications d'IA générative grâce au contrôle d'accès aux applications, à l'accompagnement des utilisateurs en temps réel et à une protection des données de premier ordre.

Découvrez comment nous sécurisons l'utilisation de l'IA générative
Autorisez ChatGPT et l’IA générative en toute sécurité
Solutions Zero Trust pour les déploiements du SSE et du SASE

En savoir plus sur la confiance zéro
Bateau roulant en pleine mer
Netskope obtient l'autorisation FedRAMP High Authorization

Choisissez Netskope GovCloud pour accélérer la transformation de votre agence.

En savoir plus sur Netskope GovCloud
Netskope GovCloud
  • Ressources signe chevron

    Découvrez comment Netskope peut vous aider à sécuriser votre migration vers le Cloud.

  • Blog signe chevron

    Découvrez comment Netskope permet la transformation de la sécurité et de la mise en réseau grâce à l'accès sécurisé à la périphérie des services (SASE).

  • Événements et ateliers signe chevron

    Restez à l'affût des dernières tendances en matière de sécurité et créez des liens avec vos pairs.

  • Définition de la sécurité signe chevron

    Tout ce que vous devez savoir dans notre encyclopédie de la cybersécurité.

Podcast Security Visionaries

Naviguer dans la souveraineté des données
Max Havey s'entretient avec Michael Dickerson, PDG de TSC Global et fondateur de Dickerson Digital, sur le thème crucial de la souveraineté des données.

Écouter le podcast Parcourir tous les podcasts
Derniers blogs

Découvrez comment Netskope peut faciliter le parcours Zero Trust et SASE grâce à des capacités d'accès sécurisé à la périphérie des services (SASE).

Lire le blog
Lever de soleil et ciel nuageux
SASE Week 2024 A la demande

Apprenez à naviguer dans les dernières avancées en matière de SASE et de confiance zéro et découvrez comment ces cadres s'adaptent pour répondre aux défis de la cybersécurité et de l'infrastructure.

Explorer les sessions
SASE Week 2024
Qu'est-ce que SASE ?

Découvrez la future convergence des outils réseau et sécurité dans le modèle économique actuel, dominé par le cloud.

En savoir plus sur SASE
  • Entreprise signe chevron

    Nous vous aidons à conserver une longueur d'avance sur les défis posés par le cloud, les données et les réseaux en matière de sécurité.

  • Carrières signe chevron

    Rejoignez les 3 000 membres de l'équipe de Netskope qui construisent la première plateforme de sécurité cloud-native du secteur.

  • Solutions pour les clients signe chevron

    Nous sommes là pour vous et avec vous à chaque étape, pour assurer votre succès avec Netskope.

  • Formation et accréditations signe chevron

    Avec Netskope, devenez un expert de la sécurité du cloud.

Soutenir le développement durable par la sécurité des données

Netskope est fière de participer à Vision 2045 : une initiative visant à sensibiliser au rôle de l'industrie privée dans le développement durable.

En savoir plus
Soutenir le développement durable grâce à la sécurité des données
Contribuez à façonner l'avenir de la sécurité du cloud

At Netskope, founders and leaders work shoulder-to-shoulder with their colleagues, even the most renowned experts check their egos at the door, and the best ideas win.

Rejoignez l’équipe
Carrières chez Netskope
Les professionnels du service et de l'assistance de Netskope veilleront à ce que vous puissiez déployer avec succès notre plateforme et en tirer toute la valeur.

Aller à Solutions clients
Services professionnels Netskope
Sécurisez votre parcours de transformation numérique et tirez le meilleur parti de vos applications cloud, Web et privées grâce à la formation Netskope.

En savoir plus sur les formations et les certifications
Groupe de jeunes professionnels travaillant

Introduction lien lien

Les attaquants ajoutent à leurs logiciels malveillants des capacités de commande et de contrôle (C2) nouvelles et sophistiquées qui leur permettent d'échapper facilement aux défenses statiques courantes basées sur les signatures IPS ou les listes de blocage IP/domaine/url en utilisant des outils C2 courants et largement disponibles tels que Cobalt Strike, Brute Ratel, Mythic, Metasploit, Sliver et Merlin. Ces outils fournissent des capacités de post-exploitation, notamment de commande et de contrôle, d'escalade des privilèges et d'actions sur l'hôte, et ont été conçus à l'origine pour les tests de pénétration et les opérations de l'équipe rouge.

Cependant, les attaquants ont détourné et intégré ces mêmes boîtes à outils à des fins malveillantes, car de nombreux produits sont libres, comme Mythic et Merlin, tandis que d'autres produits commerciaux, comme Cobalt Strike et Brute Ratel, ont été volés par des attaquants par le biais de copies piratées ou de fuites de code source. Cela a effectivement transformé ces mêmes outils en cadres C2 adverses pour une post-exploitation malveillante.

Ces outils peuvent facilement façonner et modifier de nombreux paramètres des communications C2, ce qui permet aux logiciels malveillants d'échapper encore plus facilement et plus longtemps aux défenses actuelles et de causer des dommages plus importants au sein des réseaux des victimes, notamment : le vol de davantage de données, la découverte de données plus précieuses, l'indisponibilité des applications/services professionnels et le maintien d'un accès caché aux réseaux en vue de dommages ultérieurs.

Les approches actuelles de détection des derniers logiciels malveillants utilisant des cadres C2 utilisent des signatures et des indicateurs statiques, y compris la détection des exécutables d'implants, des signatures IPS pour la détection du trafic C2, et des filtres IP/URL qui sont inadéquats pour traiter les profils dynamiques et malléables des outils de cadre C2 largement disponibles.

Une nouvelle approche est nécessaire, qui ne soit pas aussi rigidement liée aux attaques connues, mais qui soit basée sur la détection d'anomalies d'un ensemble complet de signaux introduits dans des modèles d'apprentissage automatique entraînés, avec un suivi fin du périphérique et du risque pour l'utilisateur. Cette approche complétera les approches existantes, mais peut augmenter considérablement les taux de détection tout en maintenant les faux positifs à un niveau bas et en assurant une protection future contre l'évolution des schémas de trafic C2 qui sont facilement activés par ces mêmes outils d'encadrement C2.

Ce document examine les lacunes des approches actuelles et l'efficacité accrue de l'utilisation d'une approche ciblée d'apprentissage automatique avec des signaux de réseau supplémentaires et des mesures de risque fines basées sur des modèles au niveau de l'utilisateur et de l'organisation. Nous examinons également certains des principaux défis à relever pour tester l'efficacité d'une solution de détection de balises C2.

 

Cadres adverses C2 lien lien

Cobalt Strike, Metasploit, Mythic et Brute Ratel sont quelques-uns des outils de simulation d'adversaires commerciaux et open-source conçus à l'origine pour les tests de détection de logiciels malveillants de l'équipe rouge. Ces boîtes à outils sont parfois appelées outils d'émulation de la menace ou cadres C2, car elles offrent un ensemble de fonctionnalités (Gill) permettant de simuler l'activité d'une menace réelle pendant les opérations de l'équipe rouge, en mettant l'accent sur les parties de commandement et de contrôle post-exploitation de la chaîne d'attaque.

Il se peut que nous utilisions certains de ces termes de manière interchangeable tout au long du document, mais nous utiliserons généralement les cadres C2 pour souligner que ces outils sont utilisés par des acteurs malveillants pour avoir un impact sur les environnements de production et que le problème à résoudre va bien au-delà des simulations ou des émulations réalisées par de sympathiques équipes rouges internes.

Ces outils C2 ont été intégrés, piratés ou volés et utilisés par de nombreux attaquants ("Cobalt Strike : International law enforcement operation tackles illegal uses of 'Swiss army knife' pentesting tool"), y compris des acteurs étatiques tels que l'APT29 russe dans SolarWinds ("SolarWinds Supply Chain Attack Uses SUNBURST Backdoor") et le TA415 de la RPC (Larson et Blackford) pour améliorer et faire évoluer les capacités de communication furtive de divers RAT, botnets et logiciels malveillants dotés d'un système C2.

Cobalt Strike est l'outil le plus populaire du cadre C2, et nous l'utilisons comme exemple spécifique tout au long de ce document, bien que les observations s'appliquent à tous les outils similaires. Le diagramme d'architecture de haut niveau de Cobalt Strike ci-dessous présente ses composants de base (Rahman) et le flux d'attaque en cours d'exécution.

Architecture de haut niveau Cobalt Strike

Figure 1 : Architecture de haut niveau de Cobalt Strike

 

#

Étape de l'attaque

Description

1

Accès initial / infectionVecteur d'infection initial, y compris le téléchargeur et le chargeur de la charge utile de la balise.

2

Appeler à la maison (C2)

Beacon appelle le serveur d'équipe en utilisant typiquement HTTP/HTTPS/DNS. Peut utiliser l'obscurcissement du domaine/de l'IP via des redirecteurs tels que les proxys, le fronting de domaine (par ex. CDN) ou le masquage de domaine. Les balises peuvent également enchaîner les communications pour contourner la segmentation des réseaux internes.

3

Commandement et contrôle de l'attaquantL'attaquant contrôle Beacon et émet diverses commandes. Vous pouvez utiliser des scripts Aggressor pour automatiser/optimiser workflow.

4

Exécuter des commandesLa balise peut utiliser Execute Assembly (exécutables .NET) dans un processus séparé ou Beacon Object Files dans la session/le processus de la balise, ce qui permet d'étendre les capacités de post-exploitation. L'injection de mémoire est utilisée pour éviter d'être détectée par les systèmes de défense des points finaux qui se concentrent sur les fichiers et l'activité du disque associés aux fichiers malveillants.

5

Actions sur l'hôteDe nombreuses actions intégrées sont fournies pour de nouvelles capacités via des extensions telles que BOF ou Execute Assembly.

Tableau 1 : Chaîne d'attaque utilisant le cadre Cobalt Strike C2

 

Cobalt Strike et d'autres outils similaires permettent de configurer facilement et largement le trafic HTTP/S, produisant un trafic C2 qui semble souvent inoffensif, qui ressemble à un trafic HTTP/web normal et qui est similaire au trafic d'un navigateur web ou d'une application populaire. Les outils sont fournis avec des configurations par défaut qui émulent à la fois des logiciels malveillants connus et des applications valides connues.

Bien que le DNS soit également pris en charge en tant que protocole C2, nous nous concentrerons sur le C2 HTTP/S car il reflète la majeure partie du trafic réseau entrant/sortant d'une organisation, est plus complexe en raison de la variété des applications utilisant HTTP/S, et attire la majorité des acteurs malveillants qui tentent de se cacher parmi le bruit du réseau, y compris les balises C2 légitimes et bénignes.

Les boîtes à outils sont hautement configurables (via des profils malléables) et peuvent facilement faire varier le moment, la fréquence, le volume, les protocoles d'application, les IP/domaines de destination, les agents utilisateurs, les en-têtes HTTP, les verbes HTTP, les URI, les paramètres, les certificats SSL/TLS, le délai de balisage avec une gigue aléatoire, et la charge utile/le contenu. Les outils du cadre C2 permettent également un grand nombre d'actions post-exploitation, qui sont chiffrées, téléchargées et exécutées en mémoire, ce qui rend l'activité post-compromission très difficile à détecter sur les points finaux.

Nous nous concentrerons sur les capacités spécifiques de communication C2 des outils du cadre C2 (par exemple, le balisage C2), sur la facilité avec laquelle les communications peuvent être modifiées (par exemple, via les profils malléables C2 de Cobalt Strike) et sur les défis posés aux organisations qui tentent de détecter les logiciels malveillants furtifs.

Il existe de nombreuses ressources intéressantes sur les fonctionnalités des profils malléables (Gill) de Cobalt Strike, mais nous nous contenterons de souligner certaines des caractéristiques les plus utilisées. Voici un extrait du profil malléable permettant d'imiter l'application du navigateur Gmail dans Cobalt Strike (Mudge) :

Figure 2 : Profil C2 malléable (gmail)

Figure 2 : Profil C2 malléable (gmail)

 

Voici quelques-unes des fonctionnalités et des domaines clés du profil :

Section | Paramètres

Description | Capacités

certificat https# Utilisez un certificat existant ou générez un certificat auto-signé comme dans cet exemple.
# exemple.
options globales# Ces options globales ci-dessous fixent le temps de sommeil de la balise C2 à 60 secondes avec une gigue aléatoire de +/- 15%.
# une gigue aléatoire de +/- 15%, montrant la possibilité de varier le timing de l'appel de retour pour éviter une
# une détection aisée.
set sleeptime "60000";
set jitter "15";


# D'autres options globales spécifient des paramètres d'action post-exploitation sur l'hôte tels que le
# nom du processus créé pour exécuter des commandes utilisant l'injection en mémoire ou le
# pipename utilisé pour les communications IPC. Ces éléments ne sont pas pertinents pour C2.
set pipename "interprocess_##";
set spawnto "userinit.exe";
http-get# Le chemin uri utilisé pour les communications avec le serveur beacon->peut être modifié à l'aide d'une liste
set uri "/_/scs/mail-static/_/js/";

# Les communications avec le client (serveur beacon->), y compris les cookies, les en-têtes et l'encodage, # peuvent toutes être spécifiées et modifiées facilement.
# peuvent toutes être spécifiées et modifiées facilement au niveau du protocole HTTP
client {
metadata {}
header {}
}


# De même, les communications entre le serveur et la balise>peuvent également être modifiées au niveau du protocole HTTP
# au niveau du protocole HTTP
serveur {
header {}
}


# Cobalt Strike permet de façonner le flux de communication bidirectionnel entre le # client Beacon et le serveur C2 Team ("A Beacon HTP").
# client Beacon et le serveur C2 Team ("A Beacon HTTP Transaction Walk-through") :
# 0. http-stager {} optional stager to download full Beacon
# 1. http-get {client} client -- call home → server
# 2. http-get {server} server -- cmds → client
# 3. http-post {client} client -- cmd output → server
# 4. http-get {server} server -- confirm → client

Tableau 2 : Description du profil C2 malléable (gmail)

 

Comme on peut le voir ci-dessus, de simples modifications de ces profils peuvent facilement changer le comportement des communications C2 pour imiter les applications courantes, leurs balises et le trafic web. Il existe plus de 240 profils publics malléables pour le seul Cobalt Strike, facilement utilisables ou modifiables.

 

Méthodes de détection actuelles lien lien

Les approches actuelles de détection du trafic C2 malveillant tendent à faire correspondre des signatures d'octets codées en dur ou à utiliser des expressions régulières pour faire correspondre la charge utile ou les en-têtes (signatures IPS), ou sont basées sur la correspondance de listes d'adresses IP/domaines/URL. Ces approches sont statiques et facilement contournées par la nature dynamique et configurable des boîtes à outils du cadre C2 intégrées par les attaquants.

Signatures IPS

Listes de blocage IP/URL

Heuristique du trafic sur le réseau

Efficacité

Nouvelle approche de détection lien lien

Une approche plus efficace est nécessaire, basée non pas uniquement sur des indicateurs statiques, mais sur des modèles d'apprentissage automatique ciblés qui peuvent détecter des anomalies dans le trafic réseau en utilisant une multitude de signaux réseau qui indiquent une activité de commande et de contrôle suspecte par rapport à ce que les applications valides font normalement pour les utilisateurs spécifiques au sein de l'organisation spécifique. En outre, des mesures de risque fines devraient être suivies au niveau de l'utilisateur afin de fournir les mesures d'atténuation les plus précises et les plus efficaces. Des innovations dans ces trois domaines sont nécessaires pour améliorer considérablement la détection des balises C2 furtives à partir des outils du cadre C2 :

Figure 5 : Nouvelle approche de la détection des balises C2

Figure 5 : Nouvelle approche de la détection des balises C2

 

Signaux complets

Anomaly Detection

Données de formation

Mesures granulaires des risques

Évaluation et test

Considérations relatives à la conception

Avantages lien lien

Détection des anomalies des nouvelles menaces inconnues

Analyse complète des signaux

Détection de la boîte à outils des adversaires

Efficacité de la détection

Conclusion lien lien

Les boîtes à outils des cadres C2 ont permis aux attaquants d'utiliser des techniques sophistiquées pour échapper à la détection des systèmes de commandement et de contrôle (C2). Notamment, des outils très répandus comme Cobalt Strike, Brute Ratel et Mythic sont accessibles sous forme de code source libre ou de code commercial piraté ou volé.

Les approches statiques traditionnelles, qui s'appuient fortement sur des signatures et des indicateurs statiques tels que les listes de blocage IP/URL, sont confrontées à de graves limitations et sont facilement contournées par ces menaces en constante évolution.

Pour relever ce défi, il est nécessaire d'adopter une approche fondamentalement différente qui s'appuie sur des modèles d'apprentissage automatique. Ces modèles intègrent un ensemble complet de signaux de réseau, spécialement formés au niveau de l'utilisateur et de l'organisation. En outre, ils utilisent des mesures fines du risque pour l'utilisateur afin de réduire les faux positifs et de mesurer le gris souvent associé aux menaces.

L'efficacité des méthodes d'apprentissage automatique doit être soigneusement évaluée par les utilisateurs. Il est essentiel de procéder à des essais rigoureux sur un banc d'essai robuste contenant du trafic malveillant et bénin pour déterminer leur efficacité en matière de détection et d'atténuation de ces nouvelles menaces.

 

References lien lien

"Cobalt Strike : Une opération internationale d'application de la loi s'attaque aux utilisations illégales de l'outil de pentesting "couteau suisse"". The Record from Recorded Future News, 3 juillet 2024, https://therecord.media/cobalt-strike-law-enforcement-takedown. Consulté le 23 août 2024.

Gill, Andy. "Comprendre les profils Cobalt Strike - Mise à jour pour Cobalt Strike 4.6". ZSEC Blog, 13 avril 2022, https://blog.zsec.uk/cobalt-strike-profiles/. Consulté le 23 août 2024.

Larson, Selena, et Daniel Blackford. "Cobalt Strike : L'outil APT favori des logiciels criminels". Proofpoint, 29 juin 2021, https://www.proofpoint.com/us/blog/threat-insight/cobalt-strike-favorite-tool-apt-crimeware.

Mudge, Raphael. "Profils C2 malléables : gmail". Malleable-C2-Profiles normal gmail.profile, rsmudge, 28 février 2018, https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/gmail.profile.

Mulugeta, Dagmawi. "Systèmes et méthodes de sécurité pour la détection de commandes et de contrôles malléables". Systèmes de sécurité et méthodes de détection de commandement et de contrôle malléables, Free Patents Online, 20 août 2024, https://www.freepatentsonline.com/12069081.html.

Rahman, Alyssa. "Cobalt Strike | Defining Cobalt Strike Components & BEACON." Google Cloud, 10 décembre 2021, https://cloud.google.com/blog/topics/threat-intelligence/defining-cobalt-strike-components/.

Grognement. "SID 1:25050". Règle Snort : MALWARE-CNC Win.Trojan.Zeus variant connexion sortante, Snort, https://www.snort.org/rule_docs/1-25050.

"SolarWinds Supply Chain Attack Uses SUNBURST Backdoor". Google Cloud, 13 décembre 2020, https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/.