Informations structurées sur les attaques ciblées : les rapports Dr.Web vxCube sont combinés avec la matrice Mitre ATT&CK.

Toutes les actualités | Produits Dr.Web | Mises à jour de la base virale

Doctor Web présente le service Dr.Web vxCube actualisé. Le principal changement est la superposition du rapport sandbox sur la matrice Mitre ATT&CK Enterprise, qui permet de combiner les résultats de l'analyse avec une base de connaissances sur les tactiques et les techniques des attaquants.

Le résultat : une évaluation plus précise de la nocivité des échantillons à l'étude et la construction d'une chronologie de l'attaque. La matrice Mitre ATT&CK sous la forme d'une base de connaissances décrit les tactiques et les techniques des cybercriminels attaquant les systèmes d'information — cela permet aux spécialistes en sécurité informatique d'obtenir des données prêtes à l'emploi pour améliorer l'efficacité de la protection de l'infrastructure.

Cette mise à jour donne aux spécialistes une possibilité non seulement de voir un rapport technique sur les actions d'un objet potentiellement malveillant, mais également d'enregistrer la chaîne d'actions : comment l'objet a-t-il pénétré dans le système et l'a infecté. Sur la base de ces informations, il deviendra clair où il vaut la peine de « renforcer » la protection et de modifier les politiques de sécurité. De plus, en fonction des techniques et des tactiques découvertes, il est possible de créer des règles spécialisées pour l'ajout aux systèmes SOC et SIEM.

Pour plus de clarté, nous vous suggérons d'analyser l'un des rapports obtenus après avoir analysé un ransomware à chiffrement connu dans la nouvelle version de Dr.Web vxCube :

  1. Tactique : Initial Access («accès initial»)
    Technique : Replication Through Removable Media («Propagation via des supports amovibles»)
    La source d'infection était un support amovible, sur lequel un attaquant a téléchargé un programme malveillant. Il se peut que l'employé ait utilisé une clé USB personnelle infectée.

  2. Tactique : Exécution
    Technique : Windows Management Instrumentation (WMI)
    Dès que le lecteur flash est inséré dans l'ordinateur, le mécanisme d'exécution automatique est déclenché (par exemple, via autorun.inf). Le rançongiciel de chiffrement utilise l'outil système WMI pour effectuer sa charge principale. Cela l'aide à éviter les antivirus simples, car WMI est un outil d'administration légitime.

  3. Tactiques : Persistence & Privilege Escalation («permanence et escalade de privilèges»)
    Technique : Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
    Pour survivre au redémarrage de l'ordinateur et prendre le contrôle la prochaine fois que l'utilisateur se connecte, le ransomware s'enregistre dans l'auto-démarrage. Il crée une entrée dans le registre ou se copie dans le dossier « Auto-démarrage ». Souvent, cette étape lui permet également d'élever les privilèges au niveau de l'utilisateur actuel.

  4. Tactique : Defense Evasion («évasion de la défense»)
    Technique : Indicator Removal: File Deletion («suppression des indicateurs : suppression de fichiers»)
    Une fois ancré dans l'OS, le ransomware commence à « couvrir ses traces ». Il supprime son fichier exécutable d'origine d'un lecteur flash USB ou d'un dossier temporaire pour le rendre plus difficile à détecter et à analyser pour les experts antivirus.

  5. Tactique : Lateral Movement («déplacement dans le réseau»)
    Technique : Replication Through Removable Media («Propagation via des supports amovibles»)
    Le programme malveillant n'arrête pas son activité sur un ordinateur. Il surveille la connexion des nouvelles clés USB et les infecte. Maintenant, lorsque l'employé prend son lecteur flash de travail et l'insère dans un autre ordinateur, l'attaque sera répétée. Ainsi, le virus « saute » à travers les entrefers (air-gap) au sein du réseau.

  6. Tactique : Impact
    Techniques : Inhibit System Recovery et Data Encrypted for Impact
    Inhibit System Recovery : le ransomware tente de détruire ou de chiffrer le service de copie d'ombre (Volume Shadow Copy Service, ou VSS) afin que la victime ne puisse pas récupérer les fichiers à l'aide des outils Windows standard. 
    Data Encrypted for Impact : le programme chiffre tous les fichiers importants sur l'ordinateur (documents, photos, bases de données) à l'aide d'un algorithme puissant. Après cela, un message apparaît à l'écran demandant une rançon pour la clé de déchiffrement.

Sur cette base, le spécialiste en sécurité informatique peut prendre les mesures suivantes pour prévenir les contaminations par des programmes malveillants similaires :

  • Resserrez les politiques d'utilisation des périphériques USB (interdiction de l'exécution automatique, utilisation uniquement des lecteurs flash d'entreprise avec cryptage).
  • Configurez les systèmes de surveillance pour détecter les entrées suspectes dans les clés Registry Run Keys et utilisez WMI pour exécuter des scripts malveillants.
  • Mettre en œuvre la segmentation du réseau pour limiter la propagation de la menace.
  • Mettre en place des copies de sauvegarde régulières et sécurisées pour assurer la récupération.

L'innovation est disponible en version cloud ainsi qu'en version locale (on-premise) de Dr.Web vxCube, elle s'applique à la recherche dans les environnements Windows et Linux et est disponible uniquement en anglais. Les développeurs de Doctor Web prévoient d'ajouter une analyse dans l'environnement Android OS.

De plus, la documentation du bac à sable a été mise à jour. En raison de la mise à jour, la version cloud de Dr.Web vxCube ne sera pas disponible le 23 juillet de 12h00 à 13h00, heure de Paris.

Pour mettre à jour la version locale, vous devrez télécharger de nouvelles versions de la distribution Dr.Web vxCube et des images des machines virtuelles, ainsi que réinstaller le logiciel conformément à la documentation. Pour télécharger la version mise à jour, utilisez l'assistant de téléchargement.

Dr.Web vxCube est un outil d'analyse d'objets suspects dans un environnement virtuel isolé. Il permet d'identifier les indicateurs de compromission et de prévenir les attaques, y compris les attaques ciblées (APT). Le bac à sable est disponible en deux versions : cloud et locale (on-premise).

Pour obtenir un accès démo à la version cloud de Dr.Web vxCube, veuillez utiliser le formulaire web dédié.

Vous pouvez acheter la solution auprès des partenaires de Doctor Web.

Cette mise à jour contient la base de connaissances de MITRE ATT&CK®. L'utilisation de cette base de connaissances est basée sur une licence accordée par The MITRE Corporation.

© 2025 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Les conditions d'utilisation de MITRE ATT&CK® sont disponibles sur https://attack.mitre.org/resources/legal-and-branding/terms-of-use/.

0
Dernières news Toutes les news