Développement d’un rançongiciel factice pour des exercices de red team
Introduction
D’après le rapport 2021 du CERT de l’ANSSI sur l’état de la menace rançongiciel https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-001.pdf :
« Les rançongiciels représentent actuellement la menace informatique la plus sérieuse pour les entreprises et institutions, par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité. »
Pour se protéger contre ce genre de menaces, de nombreuses entreprises organisent des exercice de « red team » pour simuler des attaques en grandeur réelle afin de tester les défenses de l’organisation et entraîner la « blue team ».
L’objectif de ce projet est de chercher et développer des solutions permettant d’aider les auditeurs de sécurité à réaliser des simulations réalistes d’attaques par rançongiciel, sans pour autant impacter réellement l’infrastructure de la cible.
Description
Plus concrètement, il s’agira d’étudier des comportements de rançongiciels puis de chercher comment les reproduire de manière suffisamment réaliste pour générer les mêmes indicateurs de compromission qu’un rançongiciel classique, sans interrompre les services ou impacter de manière notable l’infrastructure cible. Une analyse des mécanismes de détection et de défense pourra également être réalisée.
Cette étude se fera sous Linux, plateforme souvent moins étudiée que Windows dans ce domaine, et pour laquelle les comportements et solutions de détection sont aujourd’hui moins poussées.
Objectifs
Les objectifs suivants sont proposées et pourront être sélectionnés en fonction des préférences de l’équipe :
- Étude de rançongiciels existants et de la littérature associée.
- Étude des mécanismes de détection et de défense des outils à l’état de l’art.
- Conception de stratégies de chiffrement de données réalistes sans impact réel sur la cible.
- Étude d’un possible paramétrage du rançongiciel (e.g. langage de
développement, déplacement latéral, actions sur le système…) et leur impact potentiel sur la détection et le réalisme. - Développement de « preuves de concept » du rançongiciel factice et/ou des techniques de détection proposées.