APT et communications C&C

Les menaces APT et les attaques ciblées ont pour particularité de contourner les lignes de défense traditionnelles des organisations, comme le soulignent les attaques récentes qui ont visé le New York Times, le Wall Street Journal ou encore l’US Federal Reserve. Selon une enquête récente, parrainée par Trend Micro et menée par  l’ISACA sur un panel mondial de 1500 personnes, 21% des personnes des personnes interrogées ont déjà été victimes d’une APT, et 63 % d’entre eux pensent qu’il ne s’agit que d’une question de temps avant que leur entreprise ne soit ciblée.

Ces attaques sont souvent menées à distance et orchestrées à l’aide des communications C&C entre les systèmes infiltrés et les assaillants, pour réaliser de nouveaux téléchargements ou recevoir des instructions. Les assaillants utilisent également ce canal pour déployer des backdoors, et ainsi identifier et détourner les données ciblées. Une étude menée par Verizon en 2012 valide que l’utilisation d’un backdoor ou d’un canal C&C a été constaté dans 50 % des cas de détournements de données étudiés (source 2012 Data Breach Investigations Reports, Verizon RISK Team, Mars 2012).

Détecter les communications C&C : un véritable défi

L’identification et des communications C&C est un impératif pour détecter les attaques ciblées, mais contrairement au cas des réseaux botnets d’envergure, le trafic C&C lié aux APT est intermittent et d’un volume faible, ce qui le complexifie sa détection. D’autre part, les assaillants ne simplifient pas la tâche, en tentant de dissimuler le trafic C&C à l’aide de différentes techniques : changement et redirection d’adresse, utilisation d’applications et de sites légitimes en tant qu’intermédiaire, voire le déploiement des serveurs C&C au sein du réseau victime. Les chercheurs de Trend Micro notent d’ailleurs que la durée de vie moyenne d’une adresse C&C est inférieure à trois jours, et que les assaillants utilisent des techniques qui ne peuvent être détectées que via des outils ou techniques déployées sur le réseau de l’organisation ciblée.

Selon les chercheurs des TrendLabs℠, environ 1 500 sites C&C actifs seraient actuellement actifs, avec de 1 à 25 000 victimes par site, bien que plus des deux-tiers de ces sites ne gèrent que 3 victimes ou moins. Plus de 25% de ces sites ont une durée de vie de moins d’une journée, et inférieur à 4 jours pour 50 % d’entre eux.

Aux équipes de sécurité de se poser les bonnes questions :

  • Y a-t-il une activité C&C sur mon réseau ?
  • S’agit d’un botnet classique ou d’une attaque ciblée ?
  • Quel est le niveau de risque ? Qui se dissimule derrière cette activité C&C ?
  • Faut-il immédiatement interrompre ces communications? Ou au contraire la surveiller pour en connaître les tenants et aboutissants ?

Pour en savoir davantage, voici une infographie sur le monitoring des communications C&C : Tracking Known C&C Traffic infographic.

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.