Case Study : Contrôle, Surveillance, Réaction


Découvrez la BU Contrôle Surveillance Réaction

Réponse à incident de sécurité : protéger les informations et minimiser l'impact

Suite à une intrusion sur un cluster applicatif, ACME Corp. a confié les activités de réponse à incident et d’investigation numérique au CSIRT Orange Cyberdefense. L’intervention rapide du CSIRT a permis de minimiser l’impact de l’incident et de mettre en œuvre des mesures de remédiation adaptées sans interruption de service.

Contexte et enjeux

Les utilisateurs de ACME Corp. ont constaté un dysfonctionnement d’une application extranet, avec des temps de traitement anormalement longs. Cette application est développée et maintenue par les équipes techniques de ACME Corp., et est supportée par une architecture trois tiers, avec cinq serveurs applicatifs web Apache Tomcat en répartition de charge et deux serveurs de bases de données en actif/passif. Ce cluster applicatif héberge plusieurs applications web accessibles à ses clients et partenaires afin de valider des commandes en cours, déclencher des interventions de TMA, et télécharger des mises à jour applicatives.

Au-delà de la nuisance actuellement ressentie par les utilisateurs, une intrusion sur ce serveur exposerait des données confidentielles de l’entreprise et de ses clients, et sa mise hors service perturberait plusieurs processus métier dont certains sont soumis à des SLA impliquant de fortes pénalités en cas de non-respect. Une investigation interne menée par les équipes d’administration de ACME Corp. a identifié plusieurs processus inconnus s’exécutant sur un des serveurs Apache, et consommant la majorité des ressources processeur du serveur.

Suite à cette détection, ACME Corp. a sollicité les équipes de réponse à incident d’Orange Cyberdefense dans le cadre du service CSIRT (CyberSecurity Incident Response Team) auquel il avait souscrit, lui garantissant une intervention en un jour ouvré d’enquêteurs qualifiés afin de qualifier l’incident et déterminer la posture de sécurité à tenir, définir le périmètre touché, circonscrire l’incident et rendre le contrôle du périmètre touché à l’entreprise.

Solution mise en œuvre

Les équipes d’investigation Orange Cyberdefense sont intervenues pendant dix jours dans les locaux de Client afin de définir le périmètre impacté par l’incident, et de procéder à la collecte des preuves à fin d’analyse. Les images des disques durs et de la mémoire vive des cinq serveurs web frontaux et des deux serveurs de base de données, ainsi que les journaux du reverse proxy ont été collectés, et une copie de ces preuves préservée pour une éventuelle exploitation légale.

La première phase de l’investigation a consisté en l’analyse par rétro-ingénierie des binaires à l’origine des processus inconnus. Les experts en analyse de malware Orange Cyberdefense ont identifié ces binaires comme des mineurs de crypto-monnaie, et d’extraire de leur configuration des indicateurs de compromission (adresses IP contactées, signatures YARA permettant d’identifier l’exécution du processus) qui ont été cherchés sur l’ensemble du périmètre des serveurs ACME Corp., validant l’étendue de la compromission à l’ensemble des serveurs frontaux.

L’analyse du contexte d’exécution de ces binaires a permis d’identifier une persistance sur le système au moyen d’une entrée dans la crontab de l’utilisateur root. L’analyse du système de fichier et des fichiers journaux applicatifs et système des serveurs touchés a permis de conclure à une compromission via une vulnérabilité connue dans le framework Apache Struts . En exploitant cette vulnérabilité, l’attaquant a déposé un script perl sur le serveur, contenant un reverse-shell, c’est-à-dire une connexion sortante depuis le serveur compromis vers un serveur sous le contrôle de l’attaquant lui permettant d’exécuter des commandes de son choix.

L’analyse des traces laissées sur le système par l’attaquant, ainsi que la mise en place d’une capture des flux réseau générés par le reverse-shell ont donné aux équipes de réponse une vision exhaustive des activités malveillantes effectuées sur le système.

Bénéfices

L’analyse de l’ensemble des éléments collectés et l’exploitation en temps réel du trafic réseau ont permis d’établir une chronologie des actions effectuées par l’attaquant sur le serveur : grâce à son premier accès va le reverse-shell, l’attaquant a parcouru le code source applicatif à la recherche d’identifiants avec lesquels il a tenté d’élever ses privilèges sur le premier serveur compromis.

L’un des identifiants utilisé pour synchronisation avec une application interne lui a permis d’élever ses privilèges jusqu’à l’utilisateur root, et de déposer ses mineurs de crypto-monnaie sur l’ensemble des frontaux web après une rapide découverte du périmètre réseau. En sus, l’attaquant a effectué des recherches sur le serveur de bases de données afin d’identifier des mots de passe applicatifs et des numéros de carte bancaire. Il a exfiltré les premiers via son reverse-shell, et n’a pas trouvé de données bancaires, la base de données n’en contenant pas.

La principale crainte de ACME Corp. concernait la fuite de son fichier de clients et de ses bordereaux de prix, auxquels heureusement l’attaquant ne s’est pas intéressé. Une fois identifié le périmètre de la compromission et les moyens de contrôle de l’attaquant sur le périmètre, les équipes d’investigation et de réponse d’Orange Cyberdéfense ont pu assister les équipes d’ACME Corp. dans l’éviction de l’attaquant et la remédiation de l’incident : reconstruction de serveurs applicatifs sains sur la base d’une version à jour du framework Struts, puis passage en production de ces serveurs synchronisé avec le blocage au niveau des pare-feux des adresses IP utilisées par les reverse-shells et les mineurs de crypto-monnaie, et changement des identifiants des serveurs compromis ou visités par l’attaquant.

Orange Cyberdefense a enfin développé un système de surveillance des authentifications aux applications desquelles les identifiants ont été exposés, permettant à ACME Corp. de planifier une réinitialisation de ceux-ci avec ses partenaires.

Une question ? Contactez nos experts « Contrôle, Surveillance, Réaction » :