Les flux de la Cyber Threat Intelligence : le contexte
Le Cyber Threat Intelligence (CTI), ou renseignement sur les menaces cyber, repose sur une détection en flux des menaces, incluant des indicateurs d'anomalies réseau.Mais cela ne représente que la partie émergée de l'iceberg du CTI, celle consommée par les dispositifs SIEM (Security Information and Event Management).
Il est essentiel de comprendre la nécessité de préparer ou de sélectionner soigneusement les données CTI.
Au sein de TCS-CERT, nous affinons activement nos flux CTI. Cet article traite de l'importance de disposer de flux exploitables et de la manière dont TCS-CERT y parvient.
Qu'est-ce qu'un flux de Cyber Threat Intelligence ?
Intelligence feeds, ou les « flux de renseignements », contiennent des indicateurs liés à une menace identifiée ou potentielle. Les indicateurs CTI sont appelés « IoCs » (Indicators of Compromise – Indicateurs de compromission) ou « IoAs » (Indicators of Attack – Indicateurs d’attaque).
Un IoC est un indicateur de violation de la sécurité réseau. Il est utilisé pour identifier des signatures de malwares, des adresses IP ou des noms de domaine connus, ainsi que l’exploitation de produits ou de versions vulnérables, afin de détecter de manière réactive une compromission.
Un IoA permet de reconnaître l’intention des attaquants ainsi que des activités suspectes pouvant mener à une persistance de l’attaquant ou à des mouvements latéraux.
Les indicateurs peuvent être une adresse IP utilisée pour diffuser un malware, des adresses IP correspondant à des serveurs de contrôle d’attaquants (appelés « C2 »), des URL de pages de phishing, des noms ou des empreintes (hash) de fichiers malveillants, des adresses e-mail, etc.
Où obtenir votre propre flux de renseignements sur les menaces cyber ?
Le marché des sources de renseignements CTI n’est pas homogène. Les solutions de sécurité telles que les antivirus, les pare-feux ou les proxies peuvent inclure leur propre CTI propriétaire.
Des sources CTI ouvertes ou publiques comme VirusTotal [VT], Vx-underground [VX] ou Abuse.ch [Abuse.ch] permettent de télécharger divers échantillons ou IoC. Ces plateformes sont parfois alimentées de manière collaborative, avec des URL ou des fichiers soumis par des utilisateurs du monde entier.
Des plateformes comme PhishTank [PhishTank] ou OpenPhish [OpenPhish] permettent aux utilisateurs de signaler des sites malveillants cherchant à voler des identifiants ou d’autres informations sensibles.
Vous pouvez créer votre propre plateforme CTI, qui collecte et stocke les flux pertinents pour vous ; c’est ce que fait TCS-CERT.
Certains flux sont dédiés à une seule menace, comme OpenPhish pour le phishing ou une famille spécifique de malwares pour Abuse.ch. D’autres proposent une grande variété de menaces connues, comme la Malware Information Sharing Platform (MISP).
“Étiquetez tout!”
Le nom d’une menace est une information essentielle pour un analyste. Il n’existe pas de convention universelle de nommage CTI, et chaque fournisseur majeur applique la sienne. Par exemple, Emotet peut être référencé sous les noms Feodo, Heodo ou Geodo. Le stealer Pony peut être nommé Siplog ou Fareit. QakBot est aussi appelé Pinkslipbot, QBot ou Quakbot.
Il existe des catégories communes pour les indicateurs comme : C2, phishing, malware, RAT, ransomware, scanner, et botnet. Malheureusement, ces catégories ne sont pas universelles. La plateforme communautaire MISP propose le concept de « galaxies », que chaque membre peut définir. Cela entraîne l’association de multiples indicateurs à une même menace.
Le TCS-CERT applique une nomenclature uniforme à toutes les menaces, basée sur les standards de classification MISP. Notre CTI sélectionné est ensuite utilisé de manière cohérente dans les cas d’usage SIEM.
Ne perdez pas le contrôle de vos flux de renseignements sur les menaces cyber
Des flux CTI de mauvaise qualité produisent des indicateurs de mauvaise qualité. Voici un exemple d’indicateur CTI de faible qualité dû à des problèmes de formatage d’URL :
▪️ “http://${ip}:${port}/”
▪️ “http://ttp://avorlen.xyz”
▪️ “htttp://188.124.36.242:25802/”
Voici un exemple d’indicateur CTI de faible qualité dû à un problème de contenu, car il contient une adresse IP réservée par la norme RFC 1918 :
▪️ “https://172.28.37.102”#8221;
Voici un exemple d’indicateur CTI de faible qualité car trop spécifique. L’indicateur ne devrait pas inclure l’adresse e-mail, qui varie selon l’utilisateur ciblé :
▪️ “https://makeyouhappymg.ru.com/20?s3=ngo3g&s1=ppp11&email=valentino@acme.com”
Il est impératif de nettoyer les indicateurs CTI. Le nettoyage du contenu CTI protège votre équipe contre l’activation accidentelle de malwares. Exemple :
▪️ http://%D0%B2%D0%BE%D0%B4%D0%B0.net/kE9_6iaxBF_WWLBR8Mxnu
Le domaine n’est pas valide tel quel. Il est en réalité décodé comme « вода », un domaine valide, mais il doit être encodé sous sa forme internationalisée « xn--80adg3b » pour être utilisé dans un SIEM.
▪️ https://viro(.)mleydier(.)en
Ici, le domaine est protégé par des parenthèses, une pratique courante mais laissée à l’appréciation de chacun. On peut aussi trouver des crochets ou l’usage de « hxxp » à la place de « http ».
TCS-CERT teste, décode et réencode minutieusement chaque indicateur, tout en nettoyant et en éliminant ceux qui sont non pertinents.
Allez, créez votre propre flux !
Un contenu CTI générique peut entraîner la génération massive de faux positifs. Voyons les quatre exemples ci-dessous :
▪️ “http://firebasestorage.googleapis.com”
Il s’agit d’un service d’hébergement de contenu bien connu. Ce service peut être détourné à des fins malveillantes, mais sans le chemin d’accès exact à la page, le domaine en lui-même n’est pas malveillant.
▪️ “https://forms.office.com/r/”
Il est courant que des attaquants utilisent des services en ligne gratuits pour héberger des documents malveillants. Ils invitent ensuite leurs victimes à les télécharger et les ouvrir dans le cadre d’une campagne de phishing, afin d’éviter la détection. Sans l’identifiant (ex. : hxxps://forms.office.com/r/ne89GVwrYE), ce n’est pas un indicateur de menace.
▪️ “172.67.138.4”
Il s’agit d’une adresse IP interne. Elle correspond à une multitude de domaines : tous ne sont pas malveillants, et l’analyste chargé de la recherche DNS inversée doit être capable de classifier l’alerte.
C’est un exemple moins courant. Ce contenu CTI générera des alertes dans la plupart des environnements.
TCS-CERT prend des précautions supplémentaires pour éviter les contenus CTI susceptibles de générer un volume élevé de faux positifs.
Adapter votre flux de renseignements sur les menaces cyber aux capacités de votre SIEM
Il est important d’intégrer le déchiffrement SSL (Secure Socket Layer) dans votre architecture de sécurité. Sans un déchiffrement SSL adéquat, votre SIEM disposera de moins d’informations utiles : seuls les noms de domaine visités seront enregistrés.
Votre SIEM peut également présenter des limitations logicielles. La première peut être le nombre d’indicateurs qu’il peut ingérer simultanément. D’autres limitations sont liées aux fonctionnalités propres à chaque SIEM, car aucun n’est parfait.
Malheureusement, pour certains SIEM, aucune alerte ne sera déclenchée lors d’une visite à l’URL « https://walletsdappvalidation.com/ » si l’indicateur est « https://walletsdappvalidation.com/?u », car seuls les correspondances exactes sont prises en compte.
Tester, tester et tester encore
Il est essentiel de valider le contenu CTI.
TCS-CERT mesure le contenu CTI dans un environnement isolé afin de réduire les risques d’incidents liés à l’établissement de connexions avec les indicateurs.
Nous évaluons ensuite :
📌 Le niveau de redondance des indicateurs par rapport aux flux déjà en notre possession. Cela consiste à mesurer les correspondances entre les indicateurs et les éléments déjà bloqués par vos pare-feux, proxies, antivirus et autres solutions de sécurité périmétrique dans votre environnement.
📌 La proportion d’indicateurs générant des faux positifs. Cela peut être mesuré hors ligne en recherchant les indicateurs dans l’extraction de votre trafic.
📌 Le niveau de retraitement nécessaire avant ingestion par le SIEM. En l’absence de terminaison SSL dans votre trafic, il faudra au minimum extraire les noms de domaine des URL. Il faudra également envisager des stratégies pour limiter les faux positifs, comme décrit précédemment. Le retraitement inclut aussi le nettoyage de certains indicateurs récupérables
📌 Quelle est la proportion de déchets ? Cela consiste à identifier les indicateurs inutilisables, auxquels s’ajoutent ceux générant des faux positifs.
Seules ces réponses quantifiables permettent de conclure si un flux CTI est pertinent ou non.
TCS-CERT recommande également l’utilisation d’une base de données DNS passive. Cette approche permet d’effectuer des recherches étendues sans consommer les ressources du SIEM. Si des correspondances sont identifiées, une recherche sur une courte période dans le SIEM permettra de conclure si l’indicateur est un faux positif ou un vrai positif.
Les flux de Cyber Threat Intelligence : que conclure ?
L’intégration de contenu CTI dans un SIEM nécessite de prendre en compte de nombreux détails. C’est pourquoi TCS-CERT recommande d’appliquer une approche structurée pour la sélection et le traitement du contenu CTI.
