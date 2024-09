Présentation des solutions :

L’aéroport a mis en œuvre le logiciel IBM Security QRadar EDR , qui utilise la technologie NanoOS pour une visibilité exceptionnelle sur les terminaux et l’infrastructure.



Les moteurs d'analyse comportementale QRadar EDR fonctionnent sans dégradation sur les réseaux isolés.





Grâce à de puissantes capacités de traque des menaces, l’aéroport peut reconstruire et analyser les incidents.

L'aéroport a utilisé le logiciel IBM Security QRadar EDR pour effectuer un contrôle d'hygiène dans le réseau isolé, car certains nœuds finaux semblaient avoir ralenti. Après le déploiement de QRadar EDR sur un premier segment, les moteurs ont détecté des activités potentiellement malveillantes provenant d'un petit nombre d'appareils. L’analyse initiale a identifié une borne accessible au public comme étant le premier point d’entrée. Cependant, une nouvelle analyse a détecté un second point d’entrée, provenant cette fois d’un appareil situé dans la zone d’enregistrement. Ces deux vecteurs malveillants ont réussi à s’étendre à un nombre limité d’appareils touchant différents segments du réseau.



La visibilité fournie par QRadar EDR a permis la reconstitution de l'incident depuis le début, ainsi que la résolution sécurisée de l'infection, sans interruption de la continuité des opérations de l'aéroport.

Analyse des causes premières



Le déploiement initial a détecté plusieurs anomalies comportementales. Une application a installé un enregistreur de frappe en mémoire en l’injectant dans une instance cachée du navigateur par défaut. Puis, un autre thread a réussi à parcourir le disque de fond en comble pour trouver des fichiers Microsoft Word, des fichiers PDF, des cookies et des bases de données de navigateur. Ces informations ont été recueillies dans un fichier caché, qu’on a ensuite tenté d’envoyer à intervalles réguliers vers un serveur de commande et de contrôle (C2). Cette tentative a échoué puisque le réseau est totalement coupé du monde.



Un examen plus approfondi du vecteur d’infection a donné des résultats intéressants : le vecteur était inhabituellement grand et contenait une série de mécanismes visant à contourner non seulement un antivirus local mais également une analyse de bac à sable. Sa taille importante devait probablement servir à essayer d’échapper à un moteur d’émulation d’antivirus car, en général, ce type de système émule un petit segment du fichier binaire complet.



En fin de compte, deux vecteurs différents ont été identifiés : un vecteur installé dans une borne publique et un autre installé sur un appareil qui faisait partie du capteur du réseau de gestion de l'enregistrement. Bien que les vecteurs aient semblé différents (principalement en raison de la vaste quantité d’instructions factices utilisée pour éviter la détection), le logiciel semblait être le même. Dans les deux cas, ils essayaient de contacter le même serveur C2 et se comportaient de façon identique.

Reconstruction de l'attaque



Lorsque QRadar EDR n'est déployé qu'après la violation, toutes les informations ne sont pas disponibles et l'infrastructure native n'utilise qu'une consignation minimale au niveau du système d'exploitation. Malgré la quantité limitée d’informations, une analyse de suivi a montré que l’infection s’était produite cinq mois plus tôt et que les deux nœuds finaux avaient été infectés à quelques jours d’intervalle à partir de deux lecteurs USB. D’autres points de terminaison ont été infectés par l’un de ces vecteurs, principalement en raison de mots de passe faibles que le logiciel malveillant a essayés sur tous les appareils auxquels il a pu se connecter, à une fréquence aléatoire. Le logiciel malveillant est parvenu à recueillir des informations en continu et ne semblait pas appliquer de contrôle en matière de rétention ni de limite à son propre stockage. Une connexion au C2 a été tentée toutes les huit heures, mais n’a jamais réussi en raison de l’air gap.



L'analyse finale a montré que, même si le logiciel malveillant disposait de capacités d'auto-réplication et pouvait copier automatiquement son stockage sur un lecteur USB externe, cette fonctionnalité n'était pas activée. Vraisemblablement, l'exfiltration était supposée être lancée manuellement.

Réponse et résolution



L’aéroport a utilisé le module de correction de QRadar EDR pour nettoyer les appareils infectés et effacer les dossiers de stockage identifiés afin d’éviter toute fuite de données. L'interface de traque des menaces de la solution s'est avérée essentielle pour confirmer l'absence du même vecteur sur l'ensemble de l'infrastructure, à l'exception des appareils infectés déjà identifiés. L'aéroport a également effectué une recherche comportementale pour s'assurer qu'aucune instance du logiciel malveillant ne s'exécutait sans être détectée sur d'autres appareils. Il a recherché tous les comportements identifiés, les menaces persistantes et les méthodes de collecte de données, jusqu'à ce qu'il puisse confirmer l'absence de ce vecteur et de ses variantes dans l'infrastructure.

Enfin, l’équipe de sécurité locale a établi un ensemble de règles plus strictes pour le contrôle du trafic interne. La partie publique du réseau a été isolée des opérations, et l'équipe de sécurité locale a commencé à mener une surveillance continue des nœuds finaux, ainsi que des campagnes régulières de traque des menaces.