Attribution de cyber-attaquants à partir de logs Honeypots

Devant la fréquence et la sophistication grandissantes des cyber-menaces, les analystes se retrouvent submergés par un nombre démesuré d’alertes. Ces analystes sont employés pour reconstruire les vecteurs d’attaques et comprendre les ambitions des attaquants. Il devient alors nécessaire pour les entreprises d’investir dans des solutions de renseignements de menaces pour aider ces analystes. Cette tâche de compréhension des attaquants, appelée attribution, est actuellement entièrement réalisée par des humains, la rendant lente et coûteuse. De ce fait, beaucoup d’entreprises investissent dans des solutions défensives sans comprendre le comportement des personnes qui les attaquent. Il en résulte que ces entreprises perdent beaucoup d’argent en se protégeant contre des menaces qui ne les concernent pas. Notre revue de littérature nous a permis de réaliser que les travaux sur l’attribution étaient encore jeunes, mais semblent se décliner en trois axes principaux. On retrouve ceux utilisant des graphes d’attaques pour représenter les différents chemins que des attaquants pourraient prendre. On a aussi ceux utilisant des modèles de Markov cachés en utilisant les probabilités de transitions pour représenter les choix des attaquants. Enfin, l’axe où l’on retrouve le plus de travaux est l’utilisation de règles pour représenter l’état actuel du monde. Le principal problème des travaux actuels cependant est qu’aucune structure rigoureuse n’est utilisée. Ils définissent donc tous l’attribution de manière différente, ce qui rend leur comparaison complexe. Cette recherche s’intéresse alors à l’automatisation de certaines parties les plus fastidieuses du processus d’attribution. Nos travaux se situent principalement dans l’axe de recherche d’utilisation de règles pour représenter l’état actuel du monde, mais en utilisant MITRE ATT&CK, une base de connaissances réputée dans le domaine pour définir clairement nos pistes d’attributions. Dans un premier temps, nous nous intéressons à une représentation des attaquants en plusieurs caractéristiques et effectuons une analyse statistique ainsi qu’une analyse par regroupement afin d’identifier les attaquants les plus malveillants et de les ordonnancer. Cela permettrait à un analyste de concentrer son attention en écartant les attaquants bénins et en examinant ceux réalisant les attaques les plus sévères. Dans un second temps, nous utilisons le cadriciel MITRE ATT&CK afin de définir des modes opératoires d’attaquants et implémentons un algorithme pour identifier ceux-ci dans les attaques observées. Cet algorithme donne donc des pistes d’attribution aux analystes qui peuvent ensuite les confirmer ou infirmer.

Abstract

Faced to a growing frequency and complexity of cyber-attacks, network analysts are often overwhelmed with a huge number of alerts. Those analysts are employed to reconstruct the attack vectors and understand adversary behaviours. It becomes crucial for companies to invest in threat intelligence to help those analysts. This task of understanding adversary behaviours, generally called attribution, is currently undertaken by people, making it slow and costly. Therefore, many companies invest in defensive technologies without understanding the attackers and the attacks they face. This results in a huge waste of money as they become protected against threat they do not even face. Through a literature review, we realised that the works tackling attribution task were still quite young. However, it seems they can be declined in three main directions. Some researches use attack graphs to derive all the possible attacks paths an attacker can take. Others use Hidden Markov Models and use the transition probabilities to represent attackers’ choices when trying to breach a network. Finally, some use sets of rules to gain some insight on the current state of the world. However, we realised that a main problem with all these works is that everyone seems to define attribution in their own specific way, making it hardly possible to compare those works. Our research tackles the attribution problem through automatising its most cumbersome parts. Our work sits primarily in the field of using sets of rules to represent the state of the world, but through using MITRE ATT&CK, a well known knowledge base to define a rigorous framework for our methods. On the one hand, we aim to represent the attackers through characteristics and perform a statistical analysis as well as a clustering analysis to identify the most malicious ones and rank them in terms of severity. This allows a network analyst to discard most of the traffic and focus his attention on the most severe attackers. On the other hand, we aim to use the MITRE ATT&CK framework to define modus operandi of attackers and we implement an algorithm that uses this information to correlate attackers and give attribution leads to an analyst. The analyst can then investigate those leads further to either confirm or refute them.