Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

21/03/2022

Cybersecurity Insights

Torturez votre EDR avec Atomic Red Team !

Les solutions antivirales classiques ne permettent plus de détecter ni de contenir les attaques par ransomware. La croissance du nombre de menaces, l’apparition de nouvelles techniques et les variantes d’une même famille de malware rendent l’approche par signature inefficiente.

Une protection efficace des postes de travail et des serveurs passent désormais par l’approche Endpoint Detection and Response (EDR). Ces solutions de nouvelle génération offrent en particulier :

  • Des mécanismes de détection à même de détecter et bloquer les nouvelles menaces : analyse comportementale, détection des attaques « file-less »,
  • Une visibilité complète sur les postes et des serveurs permettant la collecte et l’analyse des traces en cas de compromission d’un système pour en comprendre et déduire l’origine et l’impact.

Vous avez donc déployé un EDR de nouvelle génération, appliqué les derniers correctifs de sécurité et vous transmettez toute la télémétrie des endpoints à une équipe SOC ou à un SOC managé. Maintenant que tout est en place, comment s’assurer que les défenses déployées fonctionnent correctement et que vous serez informé des activités malveillantes ?

Nous vous proposons ici un ensemble de test techniques. Il ne s’agit aucunement de remplacer une approche par tests d’intrusion avec des pentesters chevronnés !

Présentation d’Atomic Red Team

Il existe de multiples outils commerciaux et open-source que vous pouvez utiliser pour effectuer des simulations d’attaques sur les endpoints. Avoir une méthodologie à suivre est tout aussi importante que l’outil que vous utilisez. Notre outil open-source préféré est Atomic Red Team de Red Canary. Les tests unitaires, appelés atomics, peuvent être exécutés manuellement sur un système ou via PowerShell.

Atomic Red Team permet de tester plus de 200 techniques d’attaque différentes qui sont en correspondance avec le framework MITRE Att&ck.

Le framework d’exécution (Invoke-AtomicRedTeam) est compatible avec les plateformes Windows, Linux et MacOS. Cependant, pour l’utiliser sur Linux et Mac, vous devez installer PowerShell Core. Nous allons nous concentrer sur l’exécution de Invoke-AtomicRedTeam sur une machine Windows sur laquelle Microsoft Defender for Endpoint est activé.

Installation

Invoke-AtomicRedTeam est disponible à l’installation dans la galerie PowerShell et peut être installée avec une simple commande exécutée à partir d’une invite PowerShell (PowerShell 5 et plus):

				
					Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser

Pour une installation sans la galerie PowerShell comme indiqué ci-dessus, vous pouvez utiliser avec les instructions suivantes :

				
					IEX (IWR ‘https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1’ -UseBasicParsing);
Install-AtomicRedTeam -getAtomics

Exécution d’un Atomic test

Avant de procéder aux tests, notez qu’il n’est pas recommandé d’utiliser Atomic Red Team sur un système de production.

Maintenant, qu’Invoke-AtomicRedTeam est installé, nous allons procéder à un premier test. Le test que nous allons exécuter est le 1053.005 Scheduled Task/Job:Scheduled Task, qui consiste à créer une tâche planifiée (Technique 1053 / sous technique 005 du framework MITRE Att&ck)

Un attaquant peut utiliser le planificateur de tâches de Windows pour exécuter des programmes au démarrage du système ou encore pour maintenir une persistance. Le planificateur de tâches de Windows peut également être utilisé de manière abusive pour effectuer une exécution à distance dans le cadre d’un mouvement latéral ou pour exécuter un processus dans le contexte d’un compte spécifique (tel que SYSTEM).

Pour exécuter le test, taper la commande :

				
					Invoke-AtomicTest T1053.005

La tâche ATOMIC-T1053.005 a été créée :

Cela a-t-il été détecté par l'EDR ?

Sur la console Defender for Endpoint, une alerte sur une tâche planifiée suspecte est bien présente :

Sur la capture ci-dessous, nous pouvons voir la ligne de commande exécutée par le test ainsi que le mapping MITRE Att&ck. Ce dernier mentionne la sous-technique 002 au lieu de la sous-technique 005 mais elles sont très similaires.

Nous pouvons voir aussi que l’alerte a été remontée suite à un comportement suspect, qui est la création d’une tâche planifiée via une commande PowerShell.

Pour voir tous les tests Atomics, rendez-vous sur le git de Red Canary en suivant ce lien.

Maintenant, allez-y, torturez votre EDR et voyez s’il résiste !

Benoit VEROVE

Lead Integration | Expert cybersécurité

Voir les derniers Cybersecurity Insights

13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
Read more
19 octobre 2023
C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.
Read more
16 octobre 2023
L'authentification multi-facteurs, un sujet toujours d'actualité à ne pas négliger !
Read more
11 octobre 2023
Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
Read more
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
Read more
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
Read more
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
Read more
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
Read more
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
Read more
2 juin 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.
Read more
The crew
Cyber Security
Secure Cloud &
Digital Technology
Almond Institute
News
Join us
We are HIRING
Contactez-nous
Twitter Linkedin Facebook Youtube Instagram
Paris_
STRASBOURG_
NANTES_
RENNES_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Gestion des cookies
© 2023 Almond. Tous droits réservés.
Twitter Linkedin Facebook Youtube Instagram

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !