Comme le terme de « threat intelligence » (ou « renseignement sur les menaces ») est souvent confondu avec « threat hunting » (ou « chasse aux menaces », nous allons d'abord nous efforcer de souligner certaines des différences entre les deux.

Le renseignement sur les menaces fait référence à l'agrégation et à l'enrichissement des données pour créer un profil reconnaissable de ce à quoi ressemble une cyberattaque spécifique, une campagne malveillante ou la capacité d'un attaquant.

La chasse aux menaces, quant à elle, fait référence au processus d'analyse des données d'événements pour détecter les comportements anormaux et malveillants dans un réseau qui pourraient indiquer l'intrusion d'un attaquant, le vol de données ou d'autres dommages. Bien que le renseignement sur les menaces n'ait pas les mêmes objectifs que la chasse aux menaces, il constitue un excellent point de départ pour cette dernière.

Examinons maintenant une sélection d'outils open-source utilisés dans les deux disciplines :

Figure 1. Sept outils open-source populaires pour le renseignement sur les menaces et la chasse aux menaces

Outils de renseignement sur les menaces

Yeti

Your everyday threat intelligence (Yeti) est une plateforme née du besoin des analystes de sécurité de centraliser de multiples flux de données sur les menaces. Les analystes sont fréquemment confrontés à des questions telles que : « Où cet indicateur a-t-il été observé ? » et « Cette information est-elle liée à une attaque ou une famille de logiciels malveillants spécifique ? ». Pour répondre à ces questions, Yeti aide les analystes à organiser les indicateurs de compromission (IoC) et les informations sur les tactiques, techniques et procédures (TTP) employées par les attaquants dans un référentiel unique et unifié. Une fois ingéré, Yeti enrichit automatiquement les indicateurs, par exemple, en résolvant les domaines ou en géolocalisant les adresses IP.

Figure 2. Lister les observables dans Yeti

Figure 3. Suivi des campagnes malveillantes dans Yeti

Yeti se distingue par sa capacité à ingérer des données (même des billets de blog), à les enrichir, puis à exporter les données enrichies vers d'autres outils utilisés dans l'écosystème de renseignement sur les menaces d'une organisation. Les analystes peuvent ainsi se concentrer sur l'utilisation de cet outil pour regrouper les informations sur les menaces au lieu de se préoccuper de l'importation et de l'exportation des données dans un format lisible par une machine. Les données enrichies peuvent ensuite être partagées avec d'autres systèmes pour la gestion des incidents, l'analyse des logiciels malveillants ou la surveillance.

Pour rationaliser davantage le flux de travail des analystes, Yeti propose également une API HTTP permettant d'accéder à toute la puissance de l'outil à partir d'un shell de commande et d'autres outils de renseignement sur les menaces.

MISP

Your everyday threat intelligence, Open Source Threat Intelligence and Sharing Platform (anciennement appelé Malware Information Sharing Platform), est un outil gratuit permettant de partager des IoC et des informations sur les vulnérabilités entre organisations, favorisant ainsi le travail collaboratif sur les renseignements sur les menaces. La plateforme est utilisée par des organisations du monde entier pour former des communautés de confiance qui partagent des données afin de les corréler et de mieux comprendre les menaces visant des secteurs ou des domaines spécifiques.

Figure 4. Tableau de bord du MISP

Au lieu d'envoyer les IoC par courrier électronique et sous forme de documents PDF, la plateforme aide les organisations collaboratrices à mieux gérer la manière dont les informations sont partagées et centralisées entre elles. Les informations partagées dans les communautés MISP peuvent ensuite être introduites dans Yeti pour un enrichissement supplémentaire.

OpenCTI

Tout comme Yeti, Open Cyber Threat Intelligence (OpenCTI) est une plateforme permettant d'ingérer et d'agréger des données afin d'enrichir les connaissances d'une organisation sur les menaces. Elle est soutenue par l'ANSSI (Agence nationale de sécurité informatique), le CERT-EU (Computer Emergency Response Team for the EU) et Luatix.

En plus de la saisie manuelle des données sur les menaces, OpenCTI propose des connecteurs permettant d'ingérer automatiquement des flux de données sur les menaces et des informations provenant de sources de renseignements sur les menaces populaires, notamment MISP, MITRE ATT&CK et VirusTotal. D'autres connecteurs sont disponibles pour enrichir les données avec des sources comme Shodan et exporter les données vers des plateformes comme Elastic et Splunk.

Figure 5. Tableau de bord d'OpenCTI

Harpoon

Harpoon est un outil en ligne de commande qui s'accompagne d'un ensemble de plugins Python permettant d'automatiser les tâches de renseignement sur les sources ouvertes. Chaque plugin fournit une commande que les analystes peuvent utiliser pour consulter des plateformes telles que MISP, Shodan, VirusTotal et Have I Been Pawned, via leurs API. Les analystes peuvent utiliser des commandes de niveau supérieur pour rassembler les informations relatives à une adresse IP ou à un domaine à partir de toutes ces plateformes à la fois. Enfin, d'autres commandes peuvent interroger des services de raccourcissement d'URL et effectuer des recherches sur les plateformes de médias sociaux, les dépôts GitHub et les caches Web.

Figure 6. Harpoon s'exécutant dans un shell de commande

Outils de chasse aux menaces

Sysmon

Bien qu'il ne soit pas open source, System Monitor (Sysmon) est un outil Windows gratuit qui surveille et enregistre des activités telles que les créations de processus, les connexions réseau, le chargement de pilotes et de DLL, et les modifications des horodatages de création de fichiers dans le journal des événements Windows. Comme Sysmon n'analyse pas les données système, les chasseurs de menaces utilisent généralement un outil de gestion des informations et des événements de sécurité (SIEM) pour collecter et analyser les données enregistrées par Sysmon afin de détecter les activités suspectes et malveillantes qui se produisent sur le réseau.

APT-Hunter

Alors que les solutions SIEM nécessitent une licence payante, une alternative gratuite est APT-Hunter. Lancé en 2021, APT-Hunter est un outil open source qui peut analyser le journal des événements de Windows pour détecter les menaces et les activités suspectes. L'outil contient actuellement un ensemble de plus de 200 règles de détection pour identifier les activités malveillantes telles que les attaques de type « pass-the-hash » et par pulvérisation de mots de passe (ou « password spraying »), ainsi que d'autres activités suspectes pour une inspection manuelle par les chasseurs de menaces. Un grand nombre de ces règles sont directement liées à la base de connaissances ATT&CK de MITRE.

APT-Hunter peut collecter les journaux Windows aux formats EVTX et CSV. Lors de son exécution, APT-Hunter génère deux fichiers de sortie :

  • Un fichier .xlsx qui contient tous les événements détectés comme suspects ou malveillants.
  • Un fichier .csv qui peut être chargé dans Timesketchpour afficher la progression d'une attaque de manière chronologique.

DeepBlueCLI

DeepBlueCLI est un outil open source fourni dans le dépôt GitHub de la SANS Blue Team qui peut analyser les fichiers EVTX du journal des événements de Windows. L'outil analyse les lignes de commande du Command Shell et de PowerShell enregistrées afin d'identifier les indicateurs suspects tels que les longues lignes de commande, les recherches regex, l'obscurcissement, les EXE et DLL non signés, les attaques sur les comptes d'utilisateurs telles que la recherche de mots de passe et la pulvérisation de mots de passe, ainsi que les outils tels que Mimikatz, PowerSploit et BloodHound.

Publié à l'origine comme un module PowerShell, DeepBlueCLI a également été écrit en Python pour être utilisé sur des machines de type Unix.

En terminant

Le renseignement sur les menaces et la chasse aux menaces sont des activités complémentaires dans le flux de travail quotidien de l'équipe de sécurité d'une organisation. À mesure que de nouvelles campagnes malveillantes apparaissent dans le paysage des menaces, il est essentiel que les organisations soient en mesure de partager leurs connaissances sur ce qu'elles observent afin de brosser un tableau plus détaillé des dernières activités des menaces connues et des nouveaux attaquants qui apparaissent sur la scène. Les analystes de sécurité sont chargés d'organiser et de corréler des données provenant de sources multiples et parfois disparates. Sur la base de ces données enrichies, les chasseurs de menaces peuvent alors plus facilement identifier les menaces présentes sur leurs réseaux et les neutraliser.