Le document traite du threat hunting, une pratique essentielle en cybersécurité qui vise à détecter proactivement les menaces au sein des systèmes informatiques en supposant qu'ils sont déjà compromis. Il aborde les raisons de son importance, les niveaux de maturité, les méthodologies et les approches pour réussir dans cette démarche. De nombreuses ressources et outils sont également partagés pour aider les professionnels à s'engager efficacement dans le threat hunting.

1. La chasse aux
menaces est
ouverte
Hackfest Decade (2018)

2. Bon Matin !!!
Eric M. Gagnon @T3kn1cs
10+ années en sécurité défensive
9 ans chez Desjardins
-Gestion Vulnérabilité
-Surveillance
-Cyber Threat Intel
-Threat Hunting
-OSCP, OSCE
2

3. La chasse aux menaces est ouverte
◎Qu’est-ce que le Threat Hunting?
◎Pourquoi en avons nous besoin?
◎Les différents niveaux de maturité
◎Méthodologies et approches
◎Ressources pour débuter
En espérant vous apprendre quelques astuces
pour partir à la chasse.
3

4. 1.
Threat Hunting
Qu’est-ce que c’est?
Bien plus qu’un simple ‘BuzzWord’
4

5. “
Toujours partir de l’idée que votre
entreprise est déjà compromise
5

6. 2.
Threat Hunting
Pourquoi en avons nous besoin?
6

7. Pourquoi en avons nous besoin?
◎Facilité de contournement des solutions
de détections conventionnelles.
◎Attaques de plus en plus évoluées et
furtives.
◎Sans TH, nous attendons qu’une alerte
lance le processus de gestion d’incident.
◎La période de détection (dwell time) est
beaucoup trop grande (101 jours).
7
https://www.fireeye.com/content/dam/collateral/en/mtrends-2018.pdf

8. En quoi le Threat Hunting peut aider?
◎Obviously, réduire le Dwell Time
◎Expertise lors de réponse en incident
◎Trouver les vieilles et mauvaises pratiques
◎Amélioration des systèmes de détection
◎Identifier les angles morts de surveillance
◎Développement de signature personnalisée
(AV, IDS, règles Yara et Snort)
◎Découverte de nouveaux IOCs
◎Transforme le Threat Intel en actions
8

9. La Pyramide de la Torture (Pyramid of Pain)
Complexité de collecte et
implémentation des IOCs.
Difficulté pour l’attaquant de
modifier son attaque.
9
IOC = Indicator of Compromise
TTP = Tactics, Techniques and Procedures

10. 3.
Threat Hunting
Les différents niveaux de maturité
10

11. Niveau de maturité du Threat Hunting
Niveau 1
Initial
Niveau 2
Minimal
Niveau 3
Procédurale
Niveau 4
Innovateur
Niveau 5
Leader
Ressources
Analyste
sécurité
Analyste
sécurité
Threat Hunter à
temps partiel
Équipe dédiée
au TH
Équipe de R&D
Processus
Réponse aux
alertes
Recherche IOC
TH Réactif
Exercice de TH
Ex: 1 sem/mois
TH proactif
TH récurrent
Automatisation
de l’analyse des
données
Talents Sécurité générale
DFIR de base
Utilisation EDR
Pro. EDR
Infrastructure et
réseau
Expert EDR
Threat Intel
Sécurité Offensive
DFIR avancé
Expert en
mégadonnées et
apprentissage
machine
11

12. 4.
Threat Hunting
Méthodologies et approches
12

13. Méthodologie
Découverte
13
Hypothèse
Amélioration Investigation

14. Différentes approches
Tactiques et
Techniques
Hypothèse basée sur
la tactique,
technique et
procédure.
Outil: Mitre Att@ck
Ex: User-Agent
Crown Jewels
Hypothèse que votre
système le plus
important est
compromis
Outil: Script de
compromission
Ex: Powershell
Situation Anormale
Hypothèse qu’un
comportement
anormal signifie une
compromission.
Outil: Visualisation
de données
Ex: Logs DHCP
14

15. Tactiques
Techniques
Concentrer les recherches sur une
technique documentée, soit
provenant d’un article, d’une
analyse d’APT, ou de Threat Intel
15

16. https://attack.mitre.org/ 16
Tactiques et techniques

17. https://attack.mitre.org/ 17
Tactiques et techniques

18. HUNT-User-Agent Malicieux
User-Agent #Utilisateurs Type Fureteur
Système
d’exploitation
Mozilla/5.0 (Windows NT 10.0; Win64;
x64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/70.0.3538.77
Safari/537.36
1337 Fureteur Chrome
70.0.3538.77
Windows 10
Mozilla/5.0 (Windows NT 6.1; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/68.0.3440.106 Safari/537.36 70 Fureteur Chrome
68.0.3440.106
Windows 7
Mozilla/5.0 (X11; Linux x86_64; rv:60.0)
Gecko/20100101 Firefox/60.0 2 Fureteur Firefox 60 Linux
Go-http-client/1.1
1 Script Go-Lang N/A
18
http://www.useragentstring.com/

19. Crown
Jewels
Concentrer vos efforts
sur ce qui est le plus
payant pour les
attaquants
19

20. Crown Jewel
Cache de compatibilité
(Shimcache)
Liste de binaire
exécuté
-Binaire avec 3
caractères ou moins
-Exec. de %TEMP%
-Typo dans le nom
-Binaires malicieux
HKEY_LOCAL_MACHINESYSTEM
CurrentControlSetControlSession
ManagerAppCompatCache
Exécution à distance
(PsExec)
EventID 7045
“A service was installed
in the system.”
2 Secondes...
EventID 4624
“An account was
successfully logged
on”
Binaires téléchargés
Obtient les binaires
qui ont été
téléchargés.
Alternate NTFS Data
Stream
Zone.Identifier = 3
20
https://github.com/TonyPhipps/THRecon
https://github.com/Infocyte/PSHunt

21. Situation
anormale
Concentrer vos
recherches sur les
événements qui sortent
de l’ordinaire
21

22. 22
HUNT - Logs DHCP

23. Tactiques et Techniques
HoneyUser
HoneyToken
HoneyFiles
HoneyServiceAccount
HoneyCredentials
Honey All The Things
23
(HoneyPots)

24. 5.
Threat Hunting
Conclusion
24

25. “
Toujours partir de l’idée que votre
entreprise est déjà compromise
25

26. RESSOURCES (Twitter)
#threathunting
@HuntOperator - Austin Taylor
@Lee_Holmes - Lee Holmes
@attrc - Andrew Case
@SqrrlData - Sqrrl
@sansforensics - SANS DFIR
@TommyPastry - Tom Pace
@DavidJBianco - David J. Bianco
@ThreatHuntProj - threathunting.net
26

27. RESSOURCES (Web)
Enterprise Detection & Response – David J. Bianco
http://detect-respond.blogspot.ca/
The ThreatHunting Project – David J. Bianco
https://www.threathunting.net/
Digital Forensics and Incident Response – Andrew Case
http://dfir.org/
Threat Hunting Academy Resource Page
https://threathunting.org/
Malware Archaeology and Logging Best Practices
https://www.malwarearchaeology.com/
Invoke IR – Jared Atkinson
http://www.invoke-ir.com/
Matt Graeber
http://www.exploit-monday.com/
ATT&CK Matrix
https://attack.mitre.org/wiki/ATT&CK_Matrix
https://car.mitre.org/caret/#/
Security + Big Data + Machine Learning Papers
http://www.covert.io/#machine-learning-and-security-papers
Security Datasets
http://www.secrepo.com/ 27

28. Merci!
Des questions?
Vous pouvez me trouver ici:
@t3kn1cs
Eric.m.gagnon@gmail.com
28