Une nouvelle méthode de détection utilise les propres modèles de gigue des pirates contre eux

Les experts en cybersécurité de Varonis Threat Labs ont identifié une nouvelle méthode intelligente pour repérer les cyberattaques cachées, même celles utilisées par des groupes hautement qualifiés parrainés par l'État et des gangs criminels.

Leur nouvelle technique, appelée Jitter-Trap, se concentre sur l'identification des schémas aléatoires utilisés par les pirates pour préserver leur confidentialité. Cette approche innovante vise à détecter un aspect délicat des cyberattaques, appelé « communication post-exploitation et C2 ».

Pour information, les attaquants utilisent souvent des logiciels spéciaux, ou balises, qui envoient des signaux à leurs centres de contrôle. Ces balises sont conçues pour être difficiles à détecter grâce à des timings aléatoires, comme un battement de cœur qui s'accélère et ralentit sans schéma précis.

La méthode Jitter-Trap renverse complètement cette idée. Au lieu de se laisser tromper par le caractère aléatoire, les recherches de Varonis montrent que ce caractère aléatoire crée sa propre empreinte digitale unique, que les équipes de sécurité peuvent détecter.

Ces balises font partie d'outils de piratage plus vastes, parfois appelés frameworks de post-exploitation, tels que Cobalt Strike ou Sliver . Bien que ces outils puissent être utilisés à des fins légitimes, comme tester la sécurité, les criminels peuvent les utiliser pour pénétrer discrètement dans un réseau, voler des données ou prendre le contrôle d'ordinateurs. Ces outils avancés permettent de masquer leur activité en faisant passer leur trafic réseau pour une utilisation normale d'Internet, par exemple une mise à jour Microsoft inoffensive ou une simple visite d'un site web.

Traditionnellement, les équipes de sécurité recherchent des fichiers malveillants connus, des actions utilisateur inhabituelles ou des schémas réseau spécifiques pour identifier ces menaces cachées. Cependant, les pirates informatiques actualisent constamment leurs méthodes, ce qui facilite le contournement des anciennes règles de détection ou la création de nouvelles méthodes pour éviter d'être détectés. Le Jitter-Trap de Varonis examine spécifiquement la communication des balises, comme l'indique leur article de blog partagé avec Hackread.com.

Lorsque ces balises s'enregistrent auprès de leurs opérateurs, elles utilisent un temps de veille et un paramètre de gigue. Le temps de veille correspond au temps d'attente entre les vérifications, et la gigue ajoute un caractère aléatoire à ce temps d'attente. Bien que de nombreux services en ligne légitimes effectuent également des vérifications régulières, le type d'aléatoire spécifique créé par les paramètres de gigue d'une balise est généralement unique.

De plus, Varonis a constaté que, même si la gigue est censée masquer l'activité, les variations temporelles aléatoires qu'elle produit, notamment sur de longues périodes, forment un modèle reconnaissable, semblable à une distribution uniforme, rare dans le trafic réseau normal. Cela permet aux experts en sécurité d'identifier ces différences subtiles. Cette technique s'applique également à d'autres éléments aléatoires, comme la taille des données envoyées ou la manière dont les adresses web (URL) sont générées.

Cette méthode de détection aide les professionnels de la sécurité à mieux se défendre contre les menaces avancées. En recherchant ces schémas aléatoires spécifiques, les organisations peuvent repérer et stopper plus efficacement les cyberactivités cachées, en utilisant les techniques d'évasion des attaquants.