Les tactiques, techniques et procédures (TTP) constituent le fondement des stratégies de défense modernes. Contrairement aux indicateurs de compromission (IOC), les TTP sont plus stables, ce qui en fait un moyen fiable d’identifier des cybermenaces spécifiques. Voici quelques-unes des techniques les plus couramment utilisées, selon ANY.RUN. T3 2024 rapport sur les tendances en matière de logiciels malveillants, accompagné d’exemples concrets.
Désactivation de la journalisation des événements Windows (T1562.002)
La perturbation de la journalisation des événements Windows aide les attaquants à empêcher le système d’enregistrer des informations cruciales sur leurs actions malveillantes.
Sans journaux d’événements, des détails importants tels que les tentatives de connexion, les modifications de fichiers et les modifications du système ne sont pas enregistrés, laissant les solutions de sécurité et les analystes avec des données incomplètes ou manquantes.
La journalisation des événements Windows peut être manipulée de différentes manières, notamment en modifiant les clés de registre ou en utilisant des commandes telles que « net stop eventlog ». La modification des stratégies de groupe est une autre méthode courante.
Étant donné que de nombreux mécanismes de détection s’appuient sur l’analyse des journaux pour identifier les activités suspectes, les logiciels malveillants peuvent fonctionner sans être détectés pendant de longues périodes.
Exemple : XWorm désactive les journaux du service d’accès à distance
Pour détecter, observer et analyser différents types de TTP malveillants dans un environnement sécurisé, nous pouvons utiliser Le bac à sable interactif d’ANY.RUN. Le service fournit des machines virtuelles Windows et Linux hautement configurables qui vous permettent non seulement de faire exploser des logiciels malveillants et de voir leur exécution en temps réel, mais également d’interagir avec eux comme sur un ordinateur standard.
Grâce au suivi de toutes les activités du système et du réseau, ANY.RUN vous permet d’identifier facilement et rapidement les actions malveillantes comme la désactivation de la journalisation des événements Windows.
 |
| Session sandbox ANY.RUN affichant les résultats de la détonation de XWorm |
Regarde ça séance d’analyse où XWorm, un cheval de Troie d’accès à distance (RAT) très répandu, utilise T1562.002.
 |
| Le bac à sable partage des détails sur le processus malveillant et sa modification du registre |
Plus précisément, il modifie le registre pour désactiver les journaux de trace pour RASAPI32, qui est responsable de la gestion des connexions d’accès à distance sur le système.
 |
| Le malware désactive les journaux en modifiant plusieurs noms de registre |
En définissant ENABLEAUTOFILETRACING et d’autres noms de registre liés à RASAPI32 sur 0, l’attaquant garantit que les journaux ne sont pas générés. Cela rend plus difficile pour les logiciels de sécurité tels que les antivirus d’identifier l’incident.
Analysez gratuitement les logiciels malveillants et les menaces de phishing dans le bac à sable cloud d’ANY.RUN.
Utilisez toutes les fonctionnalités PRO avec un essai de 14 jours
Exploitation PowerShell (T1059.001)
PowerShell est un langage de script et un shell de ligne de commande intégrés à Windows. Les attaquants l’exploitent généralement pour effectuer diverses tâches malveillantes, notamment la manipulation des paramètres du système, l’exfiltration de données et l’établissement d’un accès persistant aux systèmes compromis.
Lorsqu’ils utilisent les fonctionnalités étendues de PowerShell, les acteurs malveillants peuvent utiliser des techniques d’obscurcissement, telles que des commandes de codage ou des méthodes de script avancées, pour contourner les mécanismes de détection.
Exemple : BlanGrabber utilise PowerShell pour désactiver la détection
Considérer cette analyse d’un échantillon BlankGrabberune famille de logiciels malveillants utilisée pour voler des données sensibles sur des systèmes infectés. Après l’exécution, le programme malveillant lance plusieurs processus, dont PowerShell, pour modifier les paramètres du système afin d’éviter toute détection.
 |
| Le bac à sable montre toutes les opérations effectuées par BlankGrabber via PowerShell |
ANY.RUN identifie instantanément toutes les activités des logiciels malveillants et les présente en détail. Entre autres choses, BlankGrabber utilise PowerShell pour désactiver les services du système de prévention des intrusions (IPS), de la protection OAV et de la surveillance en temps réel du système d’exploitation Windows. Le bac à sable affiche également le contenu de la ligne de commande, affichant les commandes réellement utilisées par le logiciel malveillant.
Abus de Windows Command Shell (T1059.003)
Les attaquants exploitent également couramment Windows Command Shell (cmd.exe), un autre outil polyvalent utilisé pour des tâches administratives légitimes, telles que la gestion de fichiers et l’exécution de scripts. Son utilisation généralisée en fait un choix intéressant pour dissimuler des actions nuisibles.
En utilisant le shell de commande, les attaquants peuvent exécuter diverses commandes malveillantes, allant du téléchargement de charges utiles depuis des serveurs distants à l’exécution de logiciels malveillants. Le shell peut également être utilisé pour exécuter des scripts PowerShell afin d’effectuer d’autres activités malveillantes.
Étant donné que cmd.exe est un utilitaire fiable et largement utilisé, des commandes malveillantes peuvent se fondre dans des activités légitimes, ce qui rend plus difficile pour les systèmes de sécurité d’identifier les menaces et d’y répondre en temps réel. Les attaquants peuvent également utiliser des techniques d’obscurcissement dans leurs commandes pour éviter davantage la détection.
Exemple : Lumma utilise CMD dans l’exécution de la charge utile
Jetez un oeil à suite à l’analyse de Lummaun voleur d’informations largement utilisé et actif depuis 2022.
 |
| Le bac à sable attribue un score de 100 au processus cmd.exe, le marquant comme malveillant |
ANY.RUN nous donne un aperçu approfondi des opérations effectuées par le malware via cmd. Il s’agit notamment du démarrage d’une application avec une extension inhabituelle et de la modification du contenu exécutable, ce qui indique que le processus est abusé par des attaquants.
Modification des clés d’exécution du registre (T1547.001)
Pour garantir que les logiciels malveillants s’exécutent automatiquement à chaque démarrage d’un système, les attaquants ajoutent des entrées à des clés de registre spécifiques conçues pour lancer des programmes au démarrage.
Les fichiers malveillants peuvent également être placés dans le dossier de démarrage, qui est un répertoire spécial dans lequel Windows analyse et exécute automatiquement les programmes lorsque l’utilisateur se connecte.
En utilisant les clés d’exécution du registre et le dossier de démarrage, les attaquants peuvent maintenir une persistance à long terme, leur permettant de poursuivre leurs activités malveillantes, telles que l’exfiltration de données, les mouvements latéraux au sein d’un réseau ou l’exploitation ultérieure du système.
Exemple : Remcos gagne en persistance via la touche RUN
Voici un exemple de cette technique interprété par Remcos. Dans ce cas, la clé de registre en cours de modification est HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN.
 |
| Le bac à sable attribue des TTP pertinents à différentes actions malveillantes |
En ajoutant une entrée à la clé RUN dans le registre, la porte dérobée Remcos garantit qu’elle démarrera automatiquement à chaque nouvelle connexion. Cela permet au malware de maintenir sa persistance sur le système infecté.
Évasion basée sur le temps (T1497.003)
L’évasion basée sur le temps est une technique utilisée par les logiciels malveillants pour éviter d’être détectés par les solutions de sécurité qui s’appuient sur le sandboxing.. De nombreux bacs à sable ont des périodes de surveillance limitées, souvent de quelques minutes seulement. En retardant l’exécution du code malveillant, les logiciels malveillants peuvent éviter d’être détectés pendant cette fenêtre.
Un autre objectif courant de ce TTP est de faire apparaître le logiciel malveillant comme inoffensif lors de l’analyse initiale, réduisant ainsi la probabilité qu’il soit signalé comme suspect. Retarder l’exécution peut rendre plus difficile pour les outils d’analyse comportementale de corréler le comportement inoffensif initial avec les activités malveillantes ultérieures.
Les logiciels malveillants s’appuient souvent sur plusieurs composants ou fichiers pour mener à bien leur processus d’infection. Les retards peuvent aider à synchroniser l’exécution de différentes parties du logiciel malveillant. Par exemple, si le logiciel malveillant doit télécharger des composants supplémentaires à partir d’un serveur distant, un délai peut garantir que ces composants sont entièrement téléchargés et prêts avant l’exécution de la charge utile principale.
Certaines activités malveillantes peuvent dépendre de la réussite d’autres tâches. L’introduction de retards peut aider à gérer ces dépendances, en garantissant que chaque étape du processus d’infection est effectuée dans le bon ordre.
Exemple : DCRAT retarde l’exécution pendant une attaque
Dark Crystal RAT fait partie des nombreuses familles de logiciels malveillants qui s’appuient sur des techniques d’évasion basées sur le temps pour rester sous le radar du système infecté.
 |
| ANY.RUN propose une matrice MITRE ATT&CK intégrée pour suivre les TTP identifiés lors de l’analyse |
Dans le contexte du session sandbox suivantenous pouvons observer comment DCRAT reste endormi pendant seulement 2 000 millisecondes, soit 2 secondes, avant de poursuivre l’exécution. Ceci est probablement fait pour garantir que tous les fichiers nécessaires à la prochaine étape du processus d’infection sont prêts à être exécutés.
 |
| Le bac à sable ANY.RUN affiche les détails de chaque processus malveillant |
Une autre tentative d’évasion temporelle de DCRAT détectée par ANY.RUN est l’utilisation de l’outil légitime w32tm.exe pour retarder le processus d’exécution.
Analysez les logiciels malveillants avec ANY.RUN Sandbox
ANY.RUN propose un bac à sable basé sur le cloud pour analyser les logiciels malveillants et les menaces de phishing, fournissant des résultats rapides et précis pour améliorer vos enquêtes. Grâce à ses fonctionnalités avancées, vous pouvez interagir librement avec les fichiers et les URL soumis, ainsi qu’avec le système, pour approfondir l’analyse des menaces.
- Téléchargez simplement un fichier ou une URL pour démarrer le processus d’analyse
- La détection des menaces prend moins de 60 secondes
- Le service extrait rapidement des informations approfondies sur le comportement des logiciels malveillants et génère des rapports sur les menaces.
- Tapez, ouvrez des liens, téléchargez des pièces jointes, exécutez des programmes dans la VM
- Utilisez le mode d’analyse privée et les outils de collaboration en équipe
Intégrez le bac à sable d’ANY.RUN dans le flux de travail de votre organisation avec un essai gratuit de 14 jours pour essayez tout ce qu’il a à offrir.