Botconf 2023 – Résumé du Jour 3

Ronan Mouchoux et François Moerman de XRATOR
Une expérimentation a été conduite pour capitaliser sur les connaissances des menaces diffusées sur Internet ; une recherche par motifs est ici préférée à un usage d’IA afin d’éviter les faux positifs. En entrée, 26 sources permettent de constituer une collection de plus 17000 articles d’analyses. Un traitement écarte tous les éléments des pages n’apportant pas de plus-value aux analyses (footers, etc.) ; une liste de 500 alias de noms de groupes a été constituée en amont. Quelques cas (APT28, SANDWORM, EQUATION) fournissent des illustrations de TTP « antécédents » couplés à des TTP « conséquences ». 75% des couples ainsi cernés sont uniques à un acteur. L’objectif des travaux était de connaître les habitudes d’un attaquant pour effectuer des réponses à incidents et du threat hunting ; l’idée n’était pas de réaliser des attributions.

Olivier Beaudet-Labrecque, Luca Brunoni et Renaud Zbinden (co-auteur), de l’Institut de lutte contre la cybercriminalité économique / Hautes Études de Gestion
La présentation prend comme cas d’étude un élève surnommé pour l’occasion « Einstein » qui a installé sur un poste de l’université une édition pirate de PhotoShop infectée avec TrickBot. La situation est le point de départ d’une évaluation, en séance, de la part de négligence et d’intention, qui servent à caractériser les conséquences judiciaires pour l’élève. Des comparaisons avec les approches américaines sont menées.

Matthieu Faou d’ESET
En préambule, il est rappelé qu’ESET se désolidarise de la Russie depuis l’invasion de l’Ukraine : fin des ventes en Russie, dons à des associations ukrainiennes, etc. Les groupes russes ont des actions qui appartiennent à trois catégories : destructions, espionnage (avec persistance durable) et cybercriminalité. Le groupe Asylum Ambuscade a une activité documentée en 2020 : il vise alors les banques canadiennes ; pour autant, les mêmes outils ont ciblé en 2022 le ministère des Affaires Étrangères ukrainien. Ces outils sont en général basiques mais fonctionnels ; les langages employés varient régulièrement pour éviter les détections ; les vecteurs initiaux sont également classiques : mails avec pièces-jointes, CVE-2022-30190 (Follina). Une hypothèse est faite sur les objectifs du groupe : le cybercrime finance ainsi peut-être les activités d’espionnage.

Erwan Chevalier (Twitter : https://twitter.com/r1chev) et Guillaume Couchard (Twitter : https://twitter.com/Wellan129), de Sekoia

Sekoia récupère de ses clients de nombreux logs aux formats hétérogènes ; ces éléments sont convertis puis confronté à des règles Sigma, un moteur de détection d’anomalie, une base CTI afin de détecter des infections. Chaque règle est évaluée sur le prisme d’un radar impliquant plusieurs critères : rareté de la cible, difficulté de maintenance, spécificité, taux de faux positifs, prise en main. Dans un second temps, les détections Sigma sont corrélées entre elles selon le déroulé temporel des événements : un exécutable lancé manuellement depuis le contenu d’une archive reçue en pièce-jointe et décompressé implique différentes règles, qui voient leur niveau d’alerte cumulé augmenter. Le pipeline de production global est un cycle Yara, FAME[1], Sandbox et détection de C2.

Yohann Sillam d’Imperva

Le trafic Internet d’origine humaine représente tout juste plus de la moitié des échanges ; le reste est couvert par des robots légitimes (ex : moteurs de recherche), mais presque 25% du trafic correspond à une activité malveillante : test de connexion avec des combinaisons utilisateur/mot de passe, création de comptes (ex : AYCD[2]), automatisation de clics, etc. Le domaine de l’automatisation est en pleine croissance, et Reddit accompagne le mouvement en assurant un canal de discussion dédié aux développements de méthodes de scraping[3].

[1] https://github.com/certsocietegenerale/fame

[2] https://aycd.io/

[3] https://www.reddit.com/r/webscraping