La Threat Intelligence Blue Teaming

L'Équipe Alphorm
L'Équipe Alphorm 28e lecture en min

Suite à notre précédent article sur l‘utilisation de Wireshark dans le contexte du blue teaming, nous continuons notre exploration des pratiques de défense en cybersécurité avec un focus sur la threat intelligence blue teaming. Dans le domaine de la cybersécurité, cette approche joue un rôle crucial pour protéger les organisations contre les menaces persistantes avancées. En combinant des techniques de collecte et d’analyse de renseignements sur les menaces avec des stratégies de défense proactive, les équipes de blue teaming peuvent mieux anticiper et contrer les attaques potentielles. Cet article explore les outils et les méthodes essentiels pour renforcer vos défenses de sécurité à travers la threat intelligence blue teaming.

Découvrir le concept de Threat Intelligence

Qu'est-ce que la Threat Intelligence ?

La Threat Intelligence est une pratique qui permet d’identifier et d’analyser des cybermenaces. Elle combine l’analyse, l’exploration, l’identification et la réponse aux menaces.

La CTI (Cyber Threat Intelligence) permet de mieux se défendre en connaissant les menaces et en anticipant pour détecter les signes précurseurs d’une attaque.

Diagramme montrant le rôle de la Threat Intelligence dans la cybersécurité pour les blue teams

Informations collectées en Threat Intelligence

Les informations collectées peuvent varier, notamment des campagnes d’attaques, des IOC tels que des hash, des noms de domaines ou des adresses IP, des historiques d’attaques, la réutilisation d’architectures ou de plateformes précédemment utilisées, ainsi que l’utilisation de services, techniques et méthodes spécifiques.

Une des plateformes pour la cyber threat intelligence, AlienVault, est un outil qui rassemble des informations sur les acteurs de menaces. Notre objectif principal est d’avoir une vue générale de l’outil. Nous observons l’interface de l’outil.

Capture d'écran de l'interface du site officiel d'AlienVault pour la Threat Intelligence

Après la création d’un compte sur AlienVault, vous devriez voir cette interface comme illustrée ci-dessus. Vous pouvez y trouver des clusters de malwares très connus ainsi que des pulses.

Interface de l'outil AlienVault montrant des clusters de malwares et des pulses

Si nous cliquons sur « Browse« , nous avons accès à toutes les informations fournies, y compris :

Les pulses, c’est-à-dire tous les signaux qui remontent.

Capture d'écran des pulses sur l'outil AlienVault pour la Threat Intelligence

Les utilisateurs les plus actifs.

Liste des utilisateurs actifs sur l'outil AlienVault pour la Threat Intelligence

Les groupes de menaces détectés.

Liste des groupes de menaces détectés sur l'outil AlienVault

Les IOCs (Indicators of Compromise).

Liste des IOCs (Indicators of Compromise) sur l'outil AlienVault

Les familles de malwares déjà identifiées.

Liste des familles de malwares identifiées sur l'outil AlienVault

Les industries ciblées.

Liste des industries ciblées par les menaces sur l'outil AlienVault

Les groupes de menace.

Détails des groupes de menace sur l'outil AlienVault

Nous pouvons également choisir un groupe spécifique et trouver une brève définition ainsi que les pulses associés, qui peuvent être des rapports, des IOCs ou encore des actualités.

Informations détaillées sur une adversary sur l'outil AlienVault

En cliquant sur « Disséquer », nous accédons aux différents types d’IOCs. En bas, nous avons une liste des différents IOCs disponibles que vous pouvez explorer.

Liste des différents types d'IOCs sur l'outil AlienVault

En cliquant par exemple sur gouvernment nous voyons ci-dessus une liste des pulses relative au gouvernement

Liste des pulses relatifs au gouvernement sur l'outil AlienVault

Si on effectuer une clique sur un des pulses nous avons une vue comme vous voyez dans la figure suivante

Capture d'écran de la toolbox des scammers sur l'outil AlienVault

En entrant sur plus de détaille telle que le type la date l’inducteur

Résultats de l'analyse des scammers sur l'outil AlienVault

Est en fin nous pouvons voir le résultat comme ci-dessus

Informations détaillées sur l'analyse des menaces sur l'outil AlienVault

Appréhender les types de Threat Intelligence Blue Teaming

Les différents types de CTI en Blue Teaming

La Threat Intelligence technique : Organismes de recherche technologique supervisés par des représentants d’entreprises et d’État, jouant un rôle crucial dans l’innovation et les transferts technologiques.

La Threat Intelligence tactique : Comprendre les méthodes d’attaque pour développer des réponses proactives et prendre des décisions rapides lors de la détection et de la réponse aux intrusions.

La Threat Intelligence stratégique : Fournit des analyses et des informations de haut niveau pour évaluer l’impact financier des activités malveillantes et anticiper les tendances des attaques, applicables à divers secteurs.

Schéma montrant les différents types de Cyber Threat Intelligence (CTI)

Pratiques de la Threat Intelligence Blue Teaming

L’une des plateformes les plus intéressantes à utiliser est Threat Code, qui est un outil gratuit de renseignement sur les menaces permettant de faire des pivots sur les domaines/IPs/emails/antivirus/emplacements à l’intérieur du site.

L’interface pour effectuer une recherche sur les menaces est très intuitive, que ce soit sur le site web, via Maltego ou via l’API.

Capture d'écran de l'interface de l'outil Threat Code pour la recherche de menaces

En commençant par entrer un nom de domaine, par exemple en-marche.co, ce dernier nous permettra de récupérer certaines informations qui sont stockées.

Recherche d'un domaine spécifique sur l'outil Threat Code

Nous pouvons également effectuer un autre exemple sur ce dernier en spécifiant une adresse IP, par exemple 91.198.22.70.

Cette fois-ci, il ne s’agit pas seulement de présenter des rapports liés à des menaces, mais aussi des logiciels malveillants associés.

Recherche avec une adresse IP spécifique sur l'outil Threat Code

Les serveurs sont différents pour chaque domaine utilisé.

Résultats de la recherche pour une adresse IP affichés à l'écran.

En cliquant sur le lien, vous pouvez voir l’article comme illustré ci-dessus.

Affichage du contenu de rapports de threat intelligence.

Aussi, nous pouvons effectuer la recherche sur Alien Vault avec l’adresse IP, où l’on peut voir des analyses d’ensemble et d’autres résultats.

Effectuer une recherche sur AlienVault avec la même adresse IP.

On peut voir les résultats afficher comme ce ci

Affichage des résultats de recherche pour une adresse IP.threat intelligence blue teaming

Ici, on peut remarquer les différents domaines associés à cette adresse IP, qui est située en Suède. De plus, on a tous les URL remontés.

Résultats détaillés de la recherche d'une adresse IP.threat intelligence blue teaming

Appréhender les types de Threat Intelligence Blue Teaming

Maltego est l’outil de renseignement sur les menaces par excellence. Il offre une analyse complète des liens, avec une collecte de données en temps réel, permettant ainsi d’identifier facilement les schémas et les connexions multiples entre ces informations.

Pour télécharger l’outil, il suffit d’accéder au site officiel de Maltego et de vous diriger vers la section « Download« . Choisissez la version que vous souhaitez, par exemple Windows, puis cliquez sur « Download Maltego« .

Interface utilisateur du site officiel de Maltego.threat intelligence blue teaming

Après cela, vous pouvez créer un compte sur la plateforme et attendre que l’outil s’installe

Processus de création de compte sur Maltego.threat intelligence blue teaming

Une fois votre inscription terminée, vous verrez s’afficher un message, comme illustré ci-dessus.

Confirmation de la création de compte sur Maltego.

Après l’installation, vous allez lancer l’outil. La première interface affichée est celle illustrée ci-dessus. En cliquant sur « Next« , vous pourrez continuer le processus

Processus d'installation de Maltego sur un système.

Vous devez choisir la configuration que vous souhaitez pour votre environnement, comme l’emplacement, la version de la mémoire et les options Java

Configuration initiale de l'outil Maltego.

Maintenant, nous sommes dans la phase de configuration de Maltego. La première chose à faire est d’accepter le contrat de licence. Vous devez accepter les conditions et cliquer sur « Next« 

Processus de configuration de Maltego après installation.

Après cela, vous allez vous connecter avec votre Maltego ID que vous avez reçu lors de l’inscription dans votre boîte Gmail

Connexion à Maltego avec un identifiant Maltego.

Une fois connecté, vous verrez cette interface comme illustré ci-dessus. En ce qui concerne les autres étapes, il suffit simplement de cliquer sur « Next » puis sur « Finish« .

Confirmation réussie du login sur Maltego.

Après cela, vous verrez une interface comme celle-ci où vous devez choisir la version avec laquelle vous souhaitez travailler. Dans notre cas, nous allons choisir Maltego CE en cliquant sur « RUN« 

Aperçu des différents produits disponibles sur Maltego.

Maintenant que vous êtes entièrement connecté à l’outil Maltego, vous pouvez installer plusieurs autres outils pour effectuer des recherches. Nous allons installer VirusTotal en cliquant sur « Install« 

Processus de téléchargement des outils sur Maltego.

On va tout d’abord installer Virus total

Téléchargement de l'outil VirusTotal sur Maltego.

Il vous demandera de saisir une clé API, comme vous pouvez le voir ci-dessus

Utilisation de l'API de VirusTotal sur Maltego.

Il suffit d’accéder au site officiel de VirusTotal et de créer un compte. Ensuite, accédez à la section « API Key » et copiez votre clé API

Processus de récupération de l'API Key depuis le site VirusTotal.

Revenez à l’outil Maltego et collez la clé API, puis cliquez sur « OK« 

Intégration de l'API Key de VirusTotal sur Maltego.

Pour compléter l’installation, cliquez sur « Next« 

Processus d'installation de VirusTotal sur Maltego.

Acceptez les conditions, puis cliquez sur « Finish » pour terminer le processus d’installation

Installation de l'outil VirusTotal sur Maltego.

Pour lancer un scan sur une adresse IPv4 spécifique, il suffit de rechercher l’option IPv4 et de faire glisser la barre IPv4 vers l’interface vide. Ensuite, entrez l’adresse IPv4 spécifique, par exemple 91.184.216.34

Lancer un scan d'une adresse IP avec l'outil Maltego.

Maintenant, nous allons essayer de scanner pour voir les propriétés en effectuant un clic droit et en sélectionnant VirusTotal

Analyse effectuée avec les propriétés d'une IP sur Maltego.

Cliquez sur « IP Address Properties« .

Processus de lancement d'une analyse avec propriétés sur Maltego.

Voici les résultats des propriétés.

Résultats de l'analyse effectuée avec les propriétés sur Maltego.

Alors, on peut voir d’autres informations d’analyse, telles que le DNS passif.

Informations affichées sur les serveurs DNS.

En cliquant sur DNS

Les différentes phases du processus DNS.

Qui se divise en deux phases : soit avec des numéros, soit avec des enregistrements

Différentes étapes du processus de résolution DNS.

Aussi, on peut effectuer une analyse avec des logiciels malveillants en cliquant sur la transformation « Malware« 

Processus d'analyse des malwares avec Maltego.

Voici les résultats

Résultats de l'analyse des malwares avec Maltego.

Après, nous allons lancer un scan avec VirusTotal en cliquant avec le bouton droit, puis en sélectionnant « Search VirusTotal« 

Lancer un scan de sécurité avec VirusTotal.

Est on peut voir la résultats ci-dessus

Résultats du scan de sécurité avec VirusTotal.

Maintenant, nous allons essayer de spécifier un domaine à scanner en le mettant dans la barre de recherche de domaine et en le faisant glisser dans l’interface blanche.

Spécification du domaine à scanner sur Maltego.

Nous allons choisir un domaine spécifique, par exemple ARTANDDESIGN.ONE

Processus de scan sur un domaine avec Maltego.

Alors, pour effectuer une analyse avec VirusTotal, il suffit de faire un clic droit, puis de sélectionner VirusTotal.

Scan de sécurité d'un domaine avec VirusTotal.

Enfin, nous pouvons voir les résultats illustrés ci-dessus

Résultats de l'analyse d'un domaine avec Maltego.

Prêt à devenir un expert en sécurité Blue Teaming ?  Ne manquez pas notre formation vidéo exclusive ! 🔒 Transformez votre carrière en cyberdéfense maintenant ! 🚀Formation Blue Teaming

Déployer et manipuler la solution MISP pour la Threat Intelligence Blue Teaming

Recueillir et utiliser des informations sur les menaces informatiques est complexe. Standardiser et partager ces données est encore plus ardu. MISP, une plateforme open source de renseignements sur les menaces, simplifie ces processus essentiels.

Voici l’interface du site officiel du MISP

Interface utilisateur du site officiel de MISP.

Nous allons télécharger notre plateforme MISP sous forme de machine virtuelle.

Interface de téléchargement de MISP.

On va donc récupérer la dernière version et cliquer sur le bouton de téléchargement.

Téléchargement d'une machine virtuelle depuis MISP.

Vous pouvez choisir le format zip pour VMware, ou sélectionner la version correspondante si vous utilisez VirtualBox.

Processus de téléchargement de la machine virtuelle sur MISP.

Ensuite, je vais diriger vers VMware pour ouvrir notre machine virtuelle.

On clique sur ‘Open à Virtual Machine’.

Interface utilisateur de VMware pour gérer des machines virtuelles.

Dirigez-vous vers l’emplacement où vous avez placé la machine virtuelle que vous avez téléchargée, puis cliquez sur ‘Ouvrir’.

Processus de récupération d'une machine virtuelle sur VMware.

Nous allons donc démarrer notre machine en cliquant sur ‘Power’.

Interface de démarrage de MISP affichée à l'écran.

Après cela, nous allons voir une interface comme illustrée ci-dessus, qui contient des informations sur la machine ainsi que le login et le mot de passe.

Écran de démarrage de MISP avec ses options.

On se dirige vers notre moteur de recherche, par exemple Chrome, et on tape notre adresse de connexion avec le numéro de port qui est déjà affiché lors du démarrage de notre machine. Ensuite, on clique sur « Paramètres avancés » puis on continue vers ce site.

Interface de connexion de MISP affichée à l'écran.

Alors voici l’interface de login où l’on doit saisir le login et le mot de passe qui sont déjà affichés lors du démarrage de la machine.

Interface de login de MISP avec champs de saisie.

Après cela, vous aurez l’interface de la plateforme MISP comme illustré ci-dessus, qui va demander de changer le mot de passe.

Interface utilisateur de MISP affichant le tableau de bord.

Vous pouvez également voir des informations sur votre profil.

Détails des informations du compte utilisateur sur MISP.

On se dirige vers l’accueil et on consulte tous les événements passés.

Liste des événements affichés sur MISP.

Maintenant, pour pouvoir récupérer des événements, on se rend vers les actions synchronisées et on clique sur « Liste des flux ». On pourra alors voir les listes de flux disponibles.

Processus d'activation des flux sur MISP.

On va pouvoir activer ces sources d’informations en sélectionnant les deux flux, puis en cliquant sur « Activer la sélection » (ou « Enable selected »).

Processus d'activation des flux sur MISP.

Nous allons vers les jobs où nous verrons un job avec la date de création ainsi qu’un identifiant de processus (process ID) et d’autres informations.

Liste des jobs consultables sur MISP.

On peut également visualiser la liste des événements pour voir les événements, comme illustré ci-dessus.

Liste des événements disponibles à la consultation sur MISP.

On a aussi la possibilité d’ajouter d’autres événements en cliquant sur « Ajouter » et en remplissant toutes les informations telles que la date, la distribution, l’analyste et d’autres informations sur l’événement.

Nous avons créé un événement nommé « Analyst SOC » en ajoutant la date et toutes les informations nécessaires.

Processus de création d'un nouvel événement sur MISP.

Nous allons sur « View Event » pour voir notre événement « Analyst SOC », comme illustré ci-dessus. On peut voir assez d’informations sur cet événement.

Informations détaillées sur l'événement créé sur MISP.

On va donc ajouter un attribut en cliquant sur le symbole « + » (plus).

Processus d'ajout d'un attribut à un événement sur MISP.

Nous ajoutons des informations sur l’attribut telles que la catégorie, le type et d’autres informations, comme vous pouvez le voir.

Ajout de détails et informations à un attribut sur MISP.

Et on peut ajouter une liste IOC en cliquant sur la troisième icône située en haut de l’onglet « Organisation ». On peut donc ajouter des adresses IP ou des hachages, puis on clique sur « Submit ».

Processus d'ajout d'une liste IOC sur MISP.

Il va alors nous donner des mappages sur les adresses IP, et on clique sur « Submit Attributes ».

Confirmation des attributs ajoutés sur MISP.

Nous afficher une liste sur les IOC avec toutes les informations les concernant.

Résultats après création des IOC sur MISP.

On peut aussi voir une vue plus intéressante sous forme de graphe, comme vous pouvez le voir ici.

Vue graphique des données sur MISP.

C’est plutôt pertinent. Avec le changements d’IOC, on peut voir plusieurs informations affichées.

Affichage de résultats plus pertinents sur MISP.

On peut également voir la taille de la ligne et voir le premier IOC là.

Vue des résultats sous forme de lignes sur MISP.

Déployer et manipuler la solution OPENCTI pour la Threat Intelligence Blue Teaming

Présentation de la solution OPENCTI en Blue Teaming

Plateforme d’analyse de cybermenace ouverte, modulaire et documentée, avec API robuste. Offre une gamme étendue de fonctionnalités incluant un graph de connaissance, un modèle de données unifié, corrélation automatique, et gestion des accès. Intègre une variété de connecteurs pour une connectivité étendue.

Architecture de la solution OPENCTI

Schéma de l'architecture de la solution MISP.

Docker est essentiel pour exécuter des applications conteneurisées comme OpenCTI. Voici comment installer Docker sur votre instance Ubuntu EC2 :

Mettez à jour l’index de vos packages et installez-les packages nécessaires :

Processus de mise à jour du système MISP.

Installer les prérequis

Installation des prérequis nécessaires pour MISP.

Ajouter la clé GPG

Processus de vérification de la clé GPG sur MISP.

Vérifiez l’empreinte digitale de la clé

Processus de vérification de l'empreinte digitale de la clé GPG.

Ajouter le dépôt stable

Processus d'ajout d'un dépôt sur MISP.

Créer un essaim Docker

Processus de création d'un essaim Docker pour MISP.

Vérifier la version installée

Processus de vérification de la version installée de MISP.

Verifier les ID est le hostname est aussi statu pour notre docker node

Processus de vérification des identifiants sur MISP.

Installer Portainer

Processus d'installation de Portainer pour gérer les conteneurs MISP.

Avant de lancer Portainer, nous devons changer le port client car il entrera en conflit avec OpenCTI. Vous pouvez effectuer cette modification en éditant le portainer-agent-stack.ymlfichier. Localisez la portssection et changez-la du port 8000/9000 au port 18000/19000 respectivement. La configuration devrait ressembler à ceci par la suite.

Modification du fichier YML de configuration pour MISP.

Les ports étant modifiés, nous pouvons désormais lancer Portainer en utilisant la commande suivante :

Processus de lancement de l'outil Portainer pour MISP.

Vous pouvez ensuite vous connecter à Portainer en utilisant l’ip:19000 et en définissant votre mot de passe initial.

Interface de connexion de Portainer affichée à l'écran.

L’interface graphique fournit un aperçu complet de votre environnement de pile Docker.

Interface utilisateur de Portainer pour gérer les conteneurs.

Pour obtenir docker-compose.yml, téléchargez ou copiez le contenu depuis

Référence : Site officiel du github pour copiez le contenu de compose.yml https://github.com/OpenCTI-Platform/docker/blob/master/docker-compose.yml

 Vous pouvez également créer votre propre référentiel git pour cela et pointer Portainer vers celui-ci. Dans Portainer, accédez à Stacks dans le volet de gauche

Processus d'ajout d'une nouvelle stack sur Portainer.

Puis ajoutez une nouvelle pile en collant le contenu du fichier docker-compose.yml dans l’éditeur Web.

Avant de déployer la pile, nous devons créer un certain nombre de variables d’environnement. Si vous regardez le docker-compose.ymlfichier, vous remarquerez un tas d’entrées ${VARIABLE}. Nous pouvons les ajouter comme Environment variables.

Création de variables d'environnement pour MISP.

OpenCTI fournit un exemple. envde fichier

Référence : Site officiel du github pour exemple de fichier envde

https://github.com/OpenCTI-Platform/docker/blob/master/.env.example

Qui peut être utilisé et modifié. Il va sans dire que vous devriez créer vos propres mots de passe forts. Chaque élément de campagne doit être ajouté manuellement dans la section des variables d’environnement. Il y a 13 variables au total.

Processus de déploiement du fichier env sur MISP.

Déployer la pile OpenCTI pour la Threat Intelligence Blue Teaming

Une fois le fichier docker-compose ajouter à l’éditeur Web et les variables d’environnement remplies, appuyez sur le Deploy the stackbouton et attendez.

Entre le déploiement de la pile et la disponibilité d’OpenCTI, il a fallu un certain temps. Il est probablement préférable de faire une pause en attendant que la pile soit prête.

Tout se passe bien, vous devriez pouvoir accéder à n’importe quelle adresse IP de votre essaim de dockers sur le port 8080 et obtenir une page de connexion OpenCTI.

Interface de connexion de MISP affichée à l'écran.

Une fois connecté, le tableau de bord OpenCTI ressemble à ceci :

Tableau de bord de la plateforme OpenCTI.

Et c’est à peu près tout en ce qui concerne l’installation.

De nombreuses données sont fournies immédiatement. Un bon exemple de ce dont OpenCTI est capable est de consulter APT28.

À l’aide de l’icône Flask (2e icône à gauche), accédez à Intrusion setspuis sélectionnez APT28. Ici, vous pouvez commencer à voir les détails et les rapports.

Informations sur le groupe de menaces APT28 sur OpenCTI.

Si vous accédez à Knowledge, vous pouvez également commencer à voir d’où proviennent les rapports et la relation entre les indicateurs et les TTP utilisés par ce groupe.

Détails sur la connaissance du groupe APT28 sur OpenCTI.

Dans le volet de droite, vous pouvez voir les différents logiciels malveillants, techniques, outils, etc. associés.

Différents types de logiciels malveillants illustrés.

Envie d’élargir vos compétences en cybersécurité ?  Découvrez toutes nos formations de Blue teaming et trouvez celle qui vous convient le mieux : Parcours Blue Teaming

Déployer et manipuler un honeypot pour la Threat Intelligence Blue Teaming

L’architecture d’un honeypot comprend un ou plusieurs systèmes émulant des services vulnérables, des mécanismes de surveillance et de journalisation des activités des attaquants, ainsi que des outils d’analyse pour mieux comprendre les menaces et renforcer la sécurité du réseau.

Schéma de l'architecture de manipulation de honeypot.

Pour installer notre outil TPOT, nous commençons par ouvrir VMware Workstation et cliquer sur « Nouvelle machine virtuelle« .

Interface utilisateur de VMware pour créer et gérer des machines virtuelles.

Ensuite, nous choisissons le type de configuration souhaité

Processus de création d'une nouvelle machine virtuelle sur VMware.

Et l’emplacement de notre fichier ISO.

Indication du chemin de l'image ISO pour la création d'une VM.

Nous devons également sélectionner le type de système, qui est Linux Ubuntu 64 bits.

Choix du type de système d'exploitation pour une VM.

Ensuite, nous donnons un nom et un emplacement à notre machine virtuelle

Définition du nom de la machine virtuelle sur VMware.

Et nous choisissons la capacité de disque nécessaire.

Configuration de la capacité de la machine virtuelle sur VMware.

Vous pouvez également vérifier la configuration totale de votre machine.

Aperçu de la configuration complète d'une VM sur VMware.

Pour démarrer l’installation de l’outil, il suffit de cliquer sur « power« .

Écran de démarrage de la machine virtuelle sur VMware.
Processus d'installation du système d'exploitation sur une VM.
Sélection de la localisation de l'utilisateur lors de l'installation de Debian.
Choix du pays pour le miroir Debian lors de l'installation.
Configuration des informations HTTP lors de l'installation de Debian.

Ce processus peut prendre jusqu’à 10 à 15 minutes selon la vitesse de téléchargement. Une fois l’installation terminée, le système redémarrera et la connexion SSH sera déconnectée.

Étapes du téléchargement des fichiers nécessaires pour Debian.

Le port SSH a été déplacé du port 22 au port 64295. Il faut maintenant se connecter depuis ce port pour accéder au système.

Maintenant que les pots de miel sont configurés, regardons le portail frontal. Celui-ci peut être trouvé sur https://<adresse IP externe>:64297 . Connectez-vous avec le compte Webtsec créé lors de la configuration.

Tableau de bord frontal de la solution T-Pot.

En sélectionnant « tableau de bord » dans le menu, les tableaux de bord de vue globale et les tableaux de bord spécifiques aux pots de miel peuvent être visualisés. De nouveaux tableaux de bord peuvent également être créés ici.

Tableaux de bord par défaut fournis par T-Pot.

Le tableau de bord « T-Pot » contient des informations regroupant toutes les attaques dans différentes vues telles que le numéro de port ou le pays.

Ce tableau de bord peut également être utilisé pour suivre les noms d’utilisateur et les mots de passe courants utilisés dans les forces brutes.

Interface du tableau de bord de T-Pot.

Différence entre HoneyNets et Deceptive Security en Threat Intelligence Blue Teaming

HoneyNets en Threat Intelligence

Un honeynet est un réseau de honeypots interconnectés qui simule un véritable réseau et est configuré pour surveiller et enregistrer discrètement toutes les données.

Schéma de l'architecture des Honeynets.

Deceptive Security en Threat Intelligence

En général, la deception security consiste en un système d’information comprenant de vrais et de faux actifs associés à des données et des accès fictifs.

Sont communément appelés “breadcrumbs”, qui veut dire “miettes de pain” en français.

Types d'architectures de deceptive security.

Découvrir le darknet dans le cadre de la Threat Intelligence Blue Teaming

Le Darkweb, un sous-réseau logique d’Internet, fait partie d’Internet. Il existe non pas un, mais plusieurs darknets (networks).

Les avantages des darknets incluent l’intégration de protocoles d’anonymisation et de chiffrement, ainsi qu’une architecture décentralisée de type P2P. Bien qu’anonyme, il n’est pas totalement sûr. Généralement, l’accès se fait via un navigateur ou une application/service.

Avantages de l'utilisation du dark web dans la cybersécurité.

Les principaux darknets pour la Threat Intelligence

Quand ont parlent de darknet, on parle principalement de

Différents types de réseaux darknet illustrés.

L’accès se fait principalement via un navigateur ou bien application/service Au niveau de Tor, la communauté est beaucoup plus active, c’est plus sécurisé, démocratisé et fiable ! Une formation

Le réseau Tor en Threat Intelligence

D’abord le US Naval Research Laboratory, puis l’EFF et maintenant le Tor Project

Référence : Site officiel du TOR http://www.torproject.org/

  • Pourquoi ?

« Tor est un logiciel gratuit et un réseau ouvert qui vous aide à vous défendre contre toutes forme de surveillance de réseau qui menace la liberté personnelle et la vie privée, les activités et relations commerciales confidentielles, et la sécurité de l’Etat connue sous le nom d’analyse du trafic » – Tel

  • Quoi ?

Accéder anonymement aux sites Internet normaux et aux services cachés de Tor

  • Comment ?

Exécuter localement le proxy SOCKS qui se connecte au réseau Tor

Architecture Tor pour la Threat Intelligence

Schéma de l'architecture du réseau TOR.

OSINT Darknet en Threat Intelligence

En vue de la nature complexe du darknet, il est très complexe de récupérer des données L’identification d’informations/suspects est très difficile La clé de voute :

  • Combiner les techniques d’osint traditionnel avec les données et informations récupéré sur le darkweb
  • Nom d’utilisateurs
  • Avatar
  • Informations de contact
  • Headers
  • Images …

Use case par le passé

  • Identifiants en ligne
  • Exploitation PGP
  • Gpg – import XX.gpg
  • Empreinte digitaux
  • Erreurs de configuration
  • Serveur intermédiaire
  • Expositions d’informations
Processus d'identification utilisant les empreintes digitales.

Cas d'utilisation passés en Threat Intelligence

Nous disposons d’un graphique des cyberattaques avec des ransomwares en France en 2021. Il répertorie les cas connus ainsi que les cybercriminels impliqués.

Graphique montrant les cyberattaques ransomware en France.
Graphique des cyberattaques ransomware à l'échelle mondiale.

Définition des ransomware en Threat Intelligence

Ransomware, Crypto Locker… par abus de langage, on peut tout dire. À la base, c’est une catégorie de Malware qui vise à chiffrer vos données et demander une rançon en échange de la clé de déchiffrement. De nos jours, ces attaques sont orchestrées par des groupes de cybercriminels exploitant des techniques sophistiquées, y compris des CVE connues et des 0-day.

Le format traditionnel des ransomware

Différents formats d'attaques par ransomware.

Le format RaaS (Ransomware As A Service) en Threat Intelligence

Description du format RaaS (Ransomware as a Service).

Vous avez plusieurs plateformes à utiliser, comme RansomDB, qui est le meilleur outil utilisé dans les entreprises, comme vous pouvez le voir avec son interface.

Interface utilisateur de la base de données ransomware-db.

Si nous tapons « Volvo », nous visualisons directement les breaches ainsi que le nom du groupe qui a attaqué.

Processus de recherche d'informations sur ransomware-db.

Nous pouvons également voir les mises à jour en temps réel des différentes activités des groupes de ransomware, avec des informations.

Mises à jour en direct des ransomwares sur ransomware-db.threat intelligence blue teaming

De plus, les différents groupes sont catégorisés, et il est important de noter le nombre de victimes, ainsi que leur état et les icônes qui sont très importantes.

Liste des différents groupes de ransomware.threat intelligence blue teaming

Si on clique sur « Lire la suite », on voit plus de détails sur le groupe.

Description détaillée d'un groupe de ransomware.

Une partie très intéressante est la section des statistiques, qui nous affiche des données statistiques comme décrit ci-dessus.

Statistiques récentes sur les attaques par ransomware.

Cela comprend également des représentations sous forme de graphes et d’autres formats visuels pour une meilleure visualisation des données.

Différents types d'activités d'index associées aux ransomwares.

Dans le même ordre d’idées, nous avons également RansomwareWatch, qui est plus complet que le premier outil.

Comme vous pouvez le constater avec l’interface de ce site, il affiche différents types d’activités et d’index.

Différents types d'activités d'index associées aux ransomwares.

On peut trouver différents index, c’est-à-dire différentes plateformes de groupe indexées avec toutes les informations nécessaires.

Liste des différents index utilisés pour les ransomwares.

On peut voir les récents posts liés aux ransomwares et aux victimes.

Différents postes liés à la gestion et à l'analyse des ransomwares.

On a quelques statistiques disponibles.

Données statistiques récentes sur les attaques de ransomware.

Et quelques profils également.

Profils détaillés des différents types de ransomwares. threat intelligence blue teaming

conclusion

En conclusion, la threat intelligence blue teaming offre une approche systématique et proactive pour sécuriser votre organisation contre les cybermenaces. En intégrant des outils comme MISP, Maltego, et diverses stratégies de détection et de réponse, les équipes de blue teaming peuvent améliorer considérablement leur efficacité opérationnelle. Adopter ces pratiques de threat intelligence blue teaming est essentiel pour maintenir une posture de sécurité robuste face aux menaces en constante évolution.

ÉTIQUETÉ : Blue teaming
Partager cet article
Par L'Équipe Alphorm Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.