The Pyramid of Pain ou l’échelle de la cyber-douleur
Le 1er mars 2013, David Bianco, expert reconnu en cybersécurité (General Electric, Mandiant/FireEye) a publié un billet de blog sur le concept de « Pyramid of Pain » (PoP) que l’on peut traduire en français en « échelle de la cyber-douleur ». Cette échelle définit le degré et le niveau de dommages qu’il est possible d’infliger à un adversaire en fonction de ses capacités détruites, neutralisées ou dégradées par les actions des équipes de cyberdéfense de ses cibles.
Comment faire mal aux attaquants ?
La PoP permet aux défenseurs de concentrer leurs efforts sur les points les plus douloureux : en bloquant ces capacités (règles de filtrage par exemple), en les détectant (activités de threat hunting ou de DFIR) ou en les neutralisant (blocage, nettoyage ou filtrage).
Il ne s’agit pas stricto sensu d’un outil d’analyse à l’usage du renseignement sur les menaces (Threat Intelligence) mais plus une aide à la décision destinée aux équipes de réponse aux incidents afin qu’elles tapent en priorité là où cela fera le plus de mal à l’adversaire.
Les capacités de l’adversaire sont constituées par l’infrastructure technique utilisée pour mener ses opérations : adresses IP des machines, qu’elles soient compromises ou propriété des attaquants, les noms de domaines mais aussi les logiciels, légitimes ou développés sur mesure, qui composent sa boîte à outils et son cyber-arsenal.
Elles comprennent aussi des éléments comme les modes opératoires et l’expérience de l’adversaire, ce que l’on pourrait aussi définir comme sa marque de fabrique ou sa griffe, et qui sont regroupés sous le vocable TTP : Tactics,Techniques and Procedures.
Cette pyramide se présente sous la forme suivante :
Elle est divisée en strates, chacune d’entre elles étant associée à un type d’indicateurs et un niveau de douleur. Plus on monte dans ces strates, plus la douleur ressentie/infligée est élevée.
Empreintes cryptographiques
La strate la plus basse est relative aux empreintes cryptographiques — MD5, SHA-1, etc. — des fichiers, quel que soit leur type : fichiers exécutables, fichiers de configuration, documents, etc. déployés par les attaquants durant leurs actions. La plupart du temps, ces fichiers seront identifiés sur les actifs ciblés mais il ne faut pas négliger les fichiers localisés sur des machines distantes comme les images illustrant une page Web malveillante et qui peuvent, dans certains cas, servir de « marqueurs » ou contenir des données dans leurs méta-données ou par stéganographie.
Ces hash sont utilisés pour la détection (threat hunting) et l’identification (signatures pour antivirus). Ces indicateurs sont pourtant parmi les plus fiables, en ce sens où ils ne génèrent pas de faux-positifs. Ils n’ont pas de durée de vie et conservent leur pertinence dans le temps. Mais ce sont aussi des indicateurs aisément modifiables : il suffit de changer un bit d’un fichier pour en modifier l’empreinte. Il est donc aisé pour l’adversaire d’agir sur ces hash et les rendre inutiles. C’est la raison, facile à comprendre, pour laquelle D. Bianco associe ces indicateurs au plus petit degré de douleur : trivial.
Adresses IP
Au-dessus se trouvent les adresses IP. Cet indicateur est de loin le plus commun et le plus utile dès lors qu’une attaque utilise le réseau, que ce soit pour contacter un serveur de commande et de contrôle (C2), pour envoyer des messages électroniques (adresse d’un serveur de messagerie), etc. Cependant, ce type d’indicateur n’est pas sans défaut.
Sa durée de vie peut être très limitée : une machine identifiée par son adresse IP et contactée à l’instant T par un code malveillant pour télécharger des modules additionnels ou exfiltrer des données volées, peut ne plus être accessible à l’instant T+x, qu’il s’agisse d’un ordinateur derrière une connexion domestique dont l’adresse change régulièrement ou d’un serveur dans un datacenter qui aura été décommissionné avant que l’attaque soit détectée. Elle conserve certes son utilité dans le temps pour la recherche dans des journaux applicatifs (log). Pour un attaquant suffisamment expérimenté, une adresse IP n’est pas un élément vital de son infrastructure ou pour la conduite de ses actions.
Il existe des services d’anonymisation comme Tor ou, sans plonger dans les profondeurs du Web, suffisamment de serveurs mandataires (proxy) pour masquer cette information aux défenseurs. Et il y aura toujours assez de serveurs WordPress vulnérables pour qu’un attaquant y déploie un proxy SOCKS ou un tunnel IP. La perte de cet élément n’engendre pas une douleur insoutenable (easy).
Noms de domaine
Les noms de domaine succèdent fort logiquement aux adresses IP. Adressage, nommage et routage sont en effet les trois mamelles d’Internet. Sans vouloir heurter les puristes, le terme « nom de domaine » est à prendre au sens large et recouvre aussi bien un domaine qu’un sous-domaine qu’un nom d’hôte. Contrairement aux précédents, et sauf exceptions particulières (DNS poisoning par exemple), ces actifs doivent être déposés et enregistrés pour être utilisables. Cette opération est rarement gratuite : le déposant doit disposer d’un moyen de paiement et fournir dans la grande majorité des cas une adresse électronique de contact.
Deux éléments qui peuvent nuire plus ou moins gravement à l’OPSEC d’un groupe d’acteurs, si ils sont réutilisés trop souvent. Malgré cela, le nombre de fournisseurs de services de gestion de noms de domaines laxistes — volontairement ou non — est suffisamment grand pour que la perte — par blocage sur les équipements locaux des cibles ou par désactivation/neutralisation des domaines par les registres — de ces actifs ne soit pas mortelle.
Artefacts réseaux et locaux
On commence à entrer dans le « dur » avec les artefacts réseaux et locaux liés aux activités de l’adversaire sur sa cible. Il s’agit des flux entrants ou sortants et de leurs caractéristiques (taille des paquets, contenu, etc.), des traces dans les journaux système et applicatifs laissées par les logiciels déployés par l’adversaire ou par ses actions, des clés de registre, des fichiers de configuration, l’historique des commandes lancées, des scripts, etc.
Si la victime identifie ces éléments afin de la détecter et le bloquer, l’adversaire devra trouver un moyen de contourner ces défenses : par exemple en chiffrant les flux réseau ou en camouflant (obfuscation) les fichiers. Sans présenter une difficulté majeure, ces modifications se font au prix d’efforts et peuvent nécessiter une mise à jour des composants déjà installés. La perte de la maîtrise de ces actifs est pour cela jugée ennuyante (annoying).
Outils
Les choses se corsent pour l’adversaire si il perd l’usage de ses outils (logiciels), surtout si ceux-ci ont été développés sur-mesure ou si ils n’ont pas été partagés avec d’autres groupes.
L’identification de ces logiciels — à l’aide de signatures pour IDS ou pour antivirus ou bien encore par règles YARA — découle souvent de celle des artefacts précédemment évoqués. Alors qu’une mise à jour partielle ou une simple modification de ces outils était suffisante dans ce cas, reconstituer l’intégralité d’une boîte à outils est une tâche autrement plus ardue et consommatrice en temps : d’ingénierie, de développement, de tests et de formation. De quoi ralentir ou sévèrement contrarier les activités d’un adversaire.
TTPs
Enfin, au sommet de la pyramide on trouve les TTPs. De la même façon qu’on reconnaît l’artiste à son savoir-faire, on reconnait un groupe d’acteurs à son mode opératoire qui constitue sa “griffe”. Un défenseur capable de détecter un adversaire, non plus sur la seule base de ses outils ou des indicateurs purement techniques précédemment décrits, mais sur son comportement dispose d’un atout majeur pour contrer ses actions, sans parler de la capacité d’attribuer à cet adversaire des incidents passés.
C’est tout l’enjeu de la Threat Intelligence que d’apporter aux défenseurs ce niveau de connaissance sur les adversaires. Les deux principaux choix qui se présentent alors à celui-ci consistent à repartir de zéro et se réinventer ou abandonner la partie.
Une proposition de mise à jour de la Pyramide
Le billet de D. Bianco a été publié en 2013, puis légèrement modifié en 2014 (ajout des hash à la base de la pyramide). Si le modèle reste globalement pertinent et adapté, il mériterait d’être revisité à la lumière des incidents et des tendances relevées ces 5 dernières années.
Les attaquants utilisent de plus en plus des outils “sur étagère” : Metasploit, PowerShell ou même Python figurent au catalogue de tous les groupes actifs sérieux du moment. Ils présentent l’avantage de ne pas permettre d’attribution facile sur la base des logiciels déployés, au détriment, certes, d’une détection parfois plus facile, et libèrent les adversaires de tout effort de développement et de maintenance. S’ils recourent au “fait-maison”, c’est souvent pour les phases finales de leurs attaques, surtout quand elles consistent à saboter les machines infectées. L’utilisation d’outils communs agit comme un “antalgique” pour l’adversaire et devrait mener à un ré-ordonnancement des phases.
De plus, cette pyramide, très techno-centrique, mériterait d’être étendue. On pourrait ainsi ajouter un étage supplémentaire : les identités numériques et réelles des membres des groupes d’acteurs qui sont des éléments intangibles. Cette tâche est étroitement liée aux capacités à attribuer une attaque à un groupe de façon quasi-certaine et elle repose sur des moyens qui dépassent souvent ceux dont disposent des entités non étatiques.
Le Department of Justice (DoJ) des Etats-Unis a ainsi rédigé plusieurs actes d’accusation en 2018 à l’encontre de membres de groupes d’acteur russes, chinois, iraniens et nord-coréens. Il faut être naïf pour penser que les personnes inculpées seront poursuivies devant des tribunaux américains ou que ces seules actions permettront de dissuader des Etats ou des entités non-étatiques de lancer de nouvelles cyberattaques. Il ne faut toutefois pas négliger l’impact du message envoyé, sorte de “persona non grata” appliqué au cyberespace.
Sources :