Threat Intelligence


Chaque jour nous identifions et cartographions des milliers de systèmes malveillants. Cette liste, que nous utilisons lors de nos réponses à incident, est mise à disposition de nos clients afin d'identifier au plus tôt une attaque sur leurs systèmes.

Lors de la majorité de nos réponses à incident, plus de 80% des adresses utilisées par les attaquants étaient déjà connues de notre Threat Intelligence. Nous avons décidé de partager cette liste afin de permettre à nos clients de réagir au plus vite aux menaces.
Pour ce faire une infrastructure spécifique a été déployée, elle répond à de fortes contraintes opérationnelles, comme une grande volumétrie de données et l'investigation en profondeur de nombreux éléments.
Cette infrastructure et le suivit des attaquants a été développée et est maintenu par ceux qui ont mise en place la CTI (Cyber Threat Intelligence) technique à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Originellement positionnée pour suivre des attaquants étatiques, nous avons étendu son application aux acteurs du cybercrime comme les groupes de ransomware.
Tous les indicateurs sont à 100% générés en interne et émettent peu de faux positifs. En cas de détection nous nous chargeons de vérifier manuellement s'il s'agit d'un faux positif ou d'une véritable attaque. Ce contrôle manuel nous incite à fortement qualifier chaque indicateur qui sera inséré dans les IOC distribués.
Cette source utilisée conjointement aux systèmes de supervisions en place dans un SI apportera rapidement l'attention sur les connexions les plus à risque.

Technologies utilisées

Technologies utilisées


Scans d'Internet

Nous parcourons continuellement Internet pour identifier de nouveaux systèmes mis en place par les attaquants. Chaque système identifié est enrichi d'informations de contexte pour permettre son exploitation.

Noms de domaines

Depuis des années ExaTrack scrute les allocations DNS et les noms de domaines à la recherche de signaux faibles laissés par des attaquants. Chaque jour ce sont entre des dizaines et des centaines d'allocations suspectes qui sont étudiées pour qualification. En plus de ce système un système de passive DNS interne (observation des requêtes DNS effectuées sur Internet) nous permet d'amplifier les informations associées aux domaines.

Pivots entre les informations

Chaque information récupérée est transférée aux autres systèmes pour exploitation automatique. Ainsi nous automatisons des centaines d'actions manuelles des analystes pour qu'ils puissent se concentrer sur l'essentiel : débusquer l'attaquant !

VirusTotal

En plus des identifications réseaux nous avons établi des centaines de règles de détections nous permettant, d'une part d'identifier des attaquants que nous suivons, mais nous permettant aussi de trouver des attaquants encore inconnus. De cette façon chaque année nous identifions de nouvelles backdoors de niveau étatiques.

Analyse de malwares

ExaTrack est majoritairement composé d'experts en analyse de codes malveillants, l'analyse et la rétroconception de malwares font donc partie de l'ADN de la société. Nous avons d'ailleurs plusieurs fois publié sur le sujet. Les codes malveillants récupérés sont ainsi analysés par des personnes spécialisées qui savent en extraire les informations les plus pertinentes et parfois cachées.

Suivi d'attaquants

Tous les éléments évoqués nous permettent de recouper quotidiennement des milliards de données. Ces données nous permettent de suivre l'activité d'attaquants, qu'ils soient étatiques ou issus du milieu criminel. Des signaux faibles émergent de la pluralité des sources utilisées, ces signaux étant exploités par nos équipes et menant régulièrement à des identifications étendues qui améliorent encore la qualité des IOC.

Contactez nous !


Pour plus d'informations sur notre offre de Threat Intelligence, n'hésitez pas à nous contacter.

contact [at] exatrack [dot] com