Chaque jour nous identifions et cartographions des milliers de systèmes malveillants. Cette liste, que nous utilisons lors de nos réponses à incident, est mise à disposition de nos clients afin d'identifier au plus tôt une attaque sur leurs systèmes.
Lors de la majorité de nos réponses à incident, plus de 80% des adresses utilisées par les attaquants étaient déjà connues de notre Threat Intelligence. Nous avons décidé de partager cette liste afin de permettre à nos clients de réagir au plus vite aux menaces.
Pour ce faire, une infrastructure spécifique a été déployée : elle répond à de fortes contraintes opérationnelles, notamment le support d'une grande volumétrie de données et la possibilité d'investigation en profondeur de nombreux éléments.
Cette infrastructure et le suivi des attaquants a été développée et est maintenue par ceux qui ont mis en place la CTI (Cyber Threat Intelligence) technique à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Originellement positionnée pour suivre des attaquants étatiques, nous avons étendu son application aux acteurs du cybercrime comme par exemple les groupes de ransomware.
Tous les indicateurs sont à 100% générés en interne et émettent peu de faux positifs. En cas de détection nous nous chargeons de vérifier manuellement s'il s'agit d'un faux positif ou d'une véritable attaque. Ce contrôle manuel nous incite à fortement qualifier chaque indicateur qui sera inséré dans les IOCs distribués.
Cette source utilisée conjointement aux systèmes de supervision en place dans un SI attirera rapidement l'attention sur les connexions les plus à risque.
Nous parcourons continuellement Internet pour identifier de nouveaux systèmes mis en place par les attaquants. Chaque système identifié est enrichi d'informations de contexte pour permettre son exploitation.
Depuis des années, ExaTrack surveille les allocations DNS et les noms de domaines à la recherche de signaux faibles laissés par des attaquants. Chaque jour, ce sont des dizaines voire des centaines d'allocations suspectes qui sont étudiées pour qualification. En plus de ce système, un système de passive DNS (observation des requêtes DNS effectuées sur Internet) interne nous permet de compléter les informations associées aux domaines.
Chaque information récupérée est transférée aux autres systèmes pour exploitation automatique. Ainsi nous automatisons des centaines d'actions manuelles des analystes pour qu'ils puissent se concentrer sur l'essentiel : débusquer l'attaquant !
En plus des identifications réseau, nous avons établi des centaines de règles de détections nous permettant, d'une part d'identifier les attaquants que nous suivons, et d'autre part d'identifier également des attaquants encore inconnus. De cette façon chaque année nous identifions de nouvelles backdoors de niveau étatique.
ExaTrack est majoritairement composé d'experts en analyse de codes malveillants ; l'analyse et la rétroconception de malwares font donc partie de l'ADN de la société. Nous avons d'ailleurs plusieurs fois publié sur ce sujet. Les codes malveillants récupérés sont ainsi analysés par des personnes spécialisées qui savent en extraire les informations les plus pertinentes et parfois cachées.
Tous les éléments évoqués nous permettent de recouper quotidiennement des milliards de données. Ces données nous permettent de suivre l'activité d'attaquants, qu'ils soient étatiques ou issus du milieu criminel. Des signaux faibles émergent de la pluralité des sources utilisées, ces signaux étant exploités par nos équipes et menant régulièrement à des identifications étendues qui améliorent encore la qualité des IOC.
Pour plus d'informations sur notre offre de Threat Intelligence, n'hésitez pas à nous contacter.
