Le phishing à l’heure du covid-19

Depuis quelques semaines, suite à la crise du covid-19 et à la généralisation du télétravail, on a pu noter une très forte recrudescence des attaques par phishing, comme on peut le voir par exemple sur le site du gouvernement cybermalveillance ou cet article du monde.

Concernant le Coronavirus, nous ne pouvons pas faire grand chose à part rester sagement chez soi derrière nos écrans de pc. Les attaques informatiques par contre, c’est notre métier :-).

GLIMPS avait jusque-là laissé de côté le phishing : ces attaques sont la plupart du temps peu complexes, et il existe déjà de nombreuses solutions pour s’en prémunir.
Mais nous sommes bien obligés de constater dans l’actualité que le phishing fait actuellement beaucoup de dégâts, et que leur détection peut/doit donc être améliorée.

Adaptation de GLIMPS-Malware au phishing

Nous avons profité du week-end de Pâques pour monter une plateforme qui adapte GLIMPS-Malware pour la détection d’attaques par phishing.
L’idée est d’adapter et intégrer GLIMPS-Malware dans un environement comme celui-ci :

Commençons par les présentations : CSE-Assemblyline est une plateforme de détection et d’analyse de malwares développée par le  Centre pour la cybersécurité canadien et mis en opensource fin 2017.
Ses grandes forces sont :

  • Un orchestrateur très performant qui permet d’ajuster la charge et de la distribuer sur  plusieurs serveurs de manière transparente,

  • De nombreux plugins présents par défaut : antivirus, modules yaras, extracteurs…

  • La possibilité d’ajouter ses propres plugins facilement, tout en les intégrant avec les plugins existants, ce dont nous allons parler ici.

C’est un outil réellement performant, c’est la raison pour laquelle chez GLIMPS, nous l’utilisons beaucoup ! La plateforme est intégrée dans GLIMPS-Malware, mais une autre instance nous a également permis d’analyser et catégoriser des millions de malwares pour construire nos datasets. Nous en avons également dérivé une version pour construire en masse nos bases de concepts-codes de bibliothèques pour le produit GLIMPS-Audit.

La version 4 (actuellement en Beta) apporte par ailleurs de nombreux changements indispensables. Notamment, chaque plugin s’exécute désormais dans un docker, et l’ancienne base de données Riak qui nous posait quelques soucis a été remplacée par Elasticsearch, beaucoup plus facile à utiliser.

Nous avons donc encore une fois décidé d’utiliser AssemblyLine comme base d’une plateforme anti-phishing.

Le principe : un connecteur dans le serveur mail soumet chaque mail reçu à AssemblyLine. Le mail est analysé, et sont notamment extraites :

  • les pièces jointes,

  • les URIs.

AssemblyLine fonctionne comme un jeu de poupées russes : tout est récursif. Les pièces jointes sont ainsi elles-mêmes analysées : elles sont transmises à GLIMPS-Malware, mais également aux modules standards d’Assemblyline (antivirus, frankenstrings, etc). Ainsi, si quelqu’un transmet dans un mail une pièce jointe sous forme d’un zip contenant des mails contenant eux mêmes des URIs malveillantes… Ces URIs seront détectées et analysées. De même si une pièce jointe est un Excel contenant des liens…

Il manquait 2 plugins à la Beta d’AssemblyLinev4 pour monter une telle plateforme :

  1. Un nouveau plugin de parsing de mails pour ALv4. Godfried Meesters (lien Github) en a proposé un sur le forum d’AssemblyLine juste avant que je fasse le mien, j’ai pu le réutiliser avec des modifications mineures (insertion des URIs dans des tags)

  2. Un plugin qui vérifie l’ensemble des URIs détectées par rapport à une blacklist mise à jour très régulièrement.

Et voilà ! Sur les exemples testés, cela fonctionne parfaitement ! La plateforme détecte des mails contenant des liens de phishing, que ce soit dans le corps du mail ou dans des pièces jointes Excel par exemple. Tous les exécutables sont également analysés pour évaluer le caractère malveillant potentiel.

Dans notre exemple, chaque fichier est ainsi passé au crible des modules ci-dessous :

NomType de fichiersDescription
emlParserdocument/email|code/html|textanalyse les mails, extrait les URIs et les pièces jointes et formate la sortie pour une belle visualisation
Extract*Extrait les fichiers d'un grand nombre de types conteneurs (zip...)
Yara*Applique les règles yara...
GLIMPS-MalwareexecutableGLIMPS-Malware génère du concept-code à partir d'un exécutable et le compare à une base de malwares classifiés pour identifier et caractériser les malwares.
Url-checkertagsanalyse toutes les URIs identifiées lors de l'analyse pour détecter des liens de type phishing
UnpackerexecutableExtrait les exécutables packés. GLIMPS a développé une version plus complète dans GLIMPS-Malware
ClamAV*Antivirus ClamAV
PDFIddocument/pdfExtrait les métadonnées des PDFs
PeePdf(document/email|code/html|text)Extrait et tente de désobfuscer le code JavaScript présent dans les PDFs
Characterize*Calcule l'entropy du fichier par partition.
PEFileexecutable/windows
Beaver*compare les hashs à la base CCIRC
ViperMonkey(document/email|code/html|text)Analyse les macros VBA

Bien sûr, GLIMPS-Malware peut également être utilisé de façon bien plus étendue au sein de votre entreprise, notamment :

– connecté au proxy web pour analyser les fichiers téléchargés,

– comme guichet centralisé d’analyse de fichiers,

– comme outil à destination du SOC de l’entreprise pour effectuer les levées de doute.

Le schéma ci-dessous reprend ces possibilités pour votre entreprise :

En conclusion, le code du plugin url-checker sera disponible d’ici fin Avril sur le Github GLIMPS. 

N’hésitez pas à nous faire part de votre intérêt pour cette solution !

Categories: Cas d'usage