Après une faille applicative, comprendre les causes de l’incident est primordial. Pour ce faire, il existe une méthode appelée l’analyse post-intrusion, aussi surnommée Forensic.
Il s’agit d’une méthode en accord avec la règle des 5W.
Where : Quelles machines ont été compromises ? Y-a-il eu un rebond sur une autre ? Il convient de vérifier si le SI a été atteint et si la compromission s’y est propagé.
What : quelles données et fichiers ont été exfiltrés.
Who : Trouver l’IP à l’origine de la compromission initiale.
Why : L’attaque était-elle ciblée ou opportuniste ? Quel en était l’objectif final ? S’agissait-il de miner de la crypto-monnaie ? D’usurper des données bancaires ou des clients ?
When : Quand la compromission a-t’elle eut lieu ? De fait, il faut souvent plusieurs semaines voire mois pour s’en rendre compte.
Avant toute chose…
Avant de réaliser toute prestation, il convient de disposer d’un certain nombre d’informations que le client doit mettre à disposition.
Premièrement, disposer de l’emplacement des journaux applicatifs est un impondérable. De fait, il existe autant de manières d’administrer une machine que d’administrateurs système.
Puis, il est nécessaire d’obtenir un historique rapide des faits (quoi et quand) pour que l’analyse se fasse sur la bonne période.
Enfin, le client et les équipes doivent rendre disponibles les horodatages ainsi que les corrections déjà faites. Sans ces derniers, les équipes Forensic pourraient confondre des actions réalisées dans un but correctif de celles de l’attaquant.
L’étude de la compromission
Une fois l’ensemble de ces éléments en main, l’analyse peut commencer.
Les journaux sont étudiés de manière à remonter le fil d’Ariane qu’ils constituent. Il s’agit ici de cibler les actions menées lors de la compromission (accès à une backdoor entre autres). Dans la plupart des compromissions, les responsables utilisent plusieurs adresses IP. Dans ce cas précis, récupérer l’ensemble des actions effectuées par ces derniers peut alors vite devenir fastidieux.C’est pourquoi il est préférable de limiter cela en définissant une recherche par mots-clefs dans les logs et en se basant sur les compétences des analystes.
Dans le cas d’un dépôt de backdoor par exemple, il serait possible de rechercher toutes les requêtes POST qui ont retourné un code 200 ainsi que des traces d’injections SQL et le nom des fichiers identifiés comme malveillants.
Il devient alors possible de retracer les actions qui ont mené la compromission et, plus important, la méthode utilisée lors de l’attaque.
Mettons l’accent sur le fait que la compromission résulte le plus souvent de composants obsolètes du site.
Il va sans dire que dans ce cas de figure, il est intéressant, si ce n’est indispensable d’identifier les versions des composants déployés sur le serveur. Néanmoins, cette vérification ne peut se faire qu’avec mainmise des équipes le dit serveur.
Lorsque ce n’est pas possible, nous utilisons Wappalyser, un outil développé en interne se basant sur de l’open source. Il permet une corrélation entre l’ensemble des versions détectées et les vulnérabilités associées.
Une fois ces vulnérabilités dressées, il reste à trouver la vulnérabilité possédant la finalité semblable à celle recherchée sur le serveur. Dans le cas où cette identification est positive, il faut encore chercher si un Exploit Public est accessible.
Cette méthode permet de s’assurer si cette faille a été celle utilisée lors de l’attaque.
L’identification des fichiers compromis
Une fois le scénario de la compromission connu, il faut encore examiner les fichiers sur le serveur, et en identifier les malveillants.
Lors d’une analyse Forensic sur un environnement LAMP, est utilisé PHPMalwareFinder. Il permet d’identifier les fichiers suspects disposant de code altéré ou encore de potentielles actions dangereuses.
Lorsque ces fichiers sont identifiés, ils sont analysés afin de comprendre leur utilité et fonctionnement. Il convient aussi de s’assurer qu’ils n’agissent pas comme accès permanent à la plateforme.
Pour finir, une fois cette tâche effectuée, il faut rechercher si l’attaquant a altéré des fichiers de configuration ou le système par des créations d’utilisateurs ou encore par l’ajout d’une tâche récurrente.
Les grandes lignes du pourquoi et comment de la compromission définis, il est temps de passer aux recommandations.
La première recommandation est d’agir en fonction du cadre légal. Après les résultats de l’analyse, il est nécessaire d’indiquer si un vol de données personnelles a eu lieu. Si c’est le cas, la ou les victimes doivent le faire part au PFPD, dans le cadre de la réglementation des données.
Enfin, une démarche d’accompagnement s’impose pour éviter une nouvelle compromission. Cet accompagnement passe par des mesures applicatives comme le changement des mots de passe ou par une démarche pédagogique sur les bonnes à pratiques à prendre.
Forts de 20 ans d’expérience, nos équipes sont en mesure de vous aider à réaliser ces analyses post-intrusion. En outre, nous disposons de solutions diverses et variées à travers notre cloud sécurisé.
Nos offres et infrastructures sont certifiées ISO2700 et notre hébergement CerberHost offrent un protection évolutive et adaptative contre les diverses menaces et le Top OWASP.
Besoin d’un accompagnement ? Contactez-nous !
