Quelles sont les menaces émergentes et comment investiguer
Une menace émergente est un risque de cybersécurité nouveau ou en évolution qui est particulièrement difficile à contrer en raison du manque de renseignements sur ses méthodes, stratégies et techniques d’attaque.
Ces menaces peuvent prendre diverses formes, allant de logiciels malveillants sophistiqués à des vecteurs d’attaque non conventionnels. Elles exploitent également souvent de nouvelles vulnérabilités ou technologies qui peuvent contourner les mesures de sécurité actuelles.
Caractéristiques des menaces émergentes
Contrairement aux menaces persistantes, qui sont bien connues et disposent de défenses existantes, les menaces émergentes :
● Impliquent de nouvelles techniques, outils ou exploits qui n’ont pas encore été largement observés.
● Évoluent en permanence, les attaquants affinant continuellement leurs méthodes pour échapper à la détection et aux contre-mesures.
● Sont difficiles à prévoir, ce qui les rend complexes à défendre.
● Peuvent avoir des implications bien plus graves pour les victimes.
Pourquoi les organisations doivent surveiller les menaces émergentes
De nombreuses organisations ne sont pas équipées pour gérer les menaces émergentes en raison d’un manque de sensibilisation, de ressources ou d’expertise. Ces menaces peuvent perturber leurs opérations, entraîner des violations de données et causer des pertes financières. Elles peuvent également nuire à la réputation de l’entreprise et affecter négativement la confiance des clients.
Pour protéger leurs actifs, les entreprises doivent se tenir informées des menaces émergentes et prendre des mesures proactives.
Comment la recherche de renseignements sur les menaces aide à collecter des informations sur les menaces émergentes
L’un des services qui aide les organisations à se renseigner sur les nouvelles menaces est Threat Intelligence (TI) Lookup de ANY.RUN.

Page principale de TI Lookup
Le service est alimenté par une communauté mondiale de 400 000 experts en sécurité qui soumettent chaque jour des milliers d’échantillons au bac à sable de ANY.RUN pour analyse.
Grâce à ce processus, de grands volumes d’indicateurs de compromission (IOCs) et d’autres données sur les menaces sont extraits et envoyés à Threat Intelligence Lookup, rendant ces informations accessibles aux utilisateurs pour rechercher et collecter des informations récentes sur les menaces de logiciels malveillants et de phishing.
- TI Lookup permet aux utilisateurs de :
● Rechercher les dernières données sur les menaces de logiciels malveillants et de phishing
● Affiner leurs recherches à l’aide de plus de 40 paramètres de recherche différents et de combinaisons, y compris des jokers
● Obtenir des résultats rapides, chacun accompagné d’une session de bac à sable correspondante
● Utiliser la recherche YARA avec un éditeur de règles intégré
● Intégrer le service à vos systèmes de sécurité via une APISearch through the latest malware and phishing threat data
Découvrez comment le service TI Lookup de ANY.RUN peut aider votre équipe grâce à un essai gratuit.
Exemples de menaces émergentes et comment les enquêter avec TI Lookup
1. Nouvelles menaces de phishing
Les attaquants trouvent constamment de nouvelles façons de rendre leurs tentatives de phishing convaincantes.
En abusant de services légitimes, en imitant des sites Web populaires et en créant des appâts crédibles, les criminels tentent de tromper les utilisateurs pour qu’ils s’engagent dans l’activité ciblée, comme révéler leurs identifiants ou installer des logiciels malveillants sur leurs systèmes.
Exemple : Abus des comptes SES par le kit de phishing Tycoon 2FA
Récemment, des chercheurs d’ANY.RUN ont repéré une campagne de phishing exploitant des comptes Amazon Simple Email Service (SES) compromis pour distribuer des e-mails de phishing.
La chaîne d’attaque a commencé par un e-mail provenant d’Amazon SES, qui a ensuite redirigé la victime à travers divers domaines, y compris des réseaux sociaux et des sites d’actualités comme India Times, vers la page finale demandant ses identifiants.
En utilisant une requête TI Lookup contenant une chaîne utilisée dans les URL de phishing combinée avec le domaine abusé, nous pouvons trouver davantage d’échantillons et de données pertinentes sur la menace liée à la campagne :

TI Lookup fournit un contexte approfondi sur les menaces en relation avec les artefacts soumis.
Threat Intelligence Lookup renvoie 8 domaines, 20 adresses IP, 29 fichiers et d’autres détails trouvés à travers une centaine de sessions de bac à sable consultables correspondant à notre requête de recherche.
2. Familles de logiciels malveillants nouvelles et évolutives
De nouvelles souches de logiciels malveillants apparaissent chaque jour, certaines d’entre elles devenant de graves défis de sécurité sur la scène mondiale. Celles-ci peuvent inclure des ransomwares, des chevaux de Troie et d’autres types de logiciels malveillants. Souvent, elles utilisent des méthodes avancées pour éviter la détection et attaquer les systèmes, comme s’exécuter uniquement en mémoire ou utiliser des outils légitimes pour se fondre dans les activités normales.
Exemple: Le malware DeerStealer
DeerStealer est une nouvelle famille de malware découverte par ANY.RUN en Juillet 2024. Ce programme malveillant a été distribué dans le cadre d’une campagne de phishing imitant le site Web de Google Authenticator.
Avec Threat Intelligence Lookup, nous pouvons rapidement rassembler des informations sur les derniers échantillons de ce logiciel malveillant en utilisant la recherche YARA. Cet outil nous permet d’utiliser des règles YARA personnalisées pour trouver des échantillons correspondant à leur contenu.
Empruntons une règle pour DeerStealer dans la collection publique de règles YARA d’ANY.RUN.

La recherche de règles YARA ne prend que quelques secondes.
En réponse à notre requête, le service fournit quatre échantillons avec leurs sessions de bac à sable correspondantes, nous permettant d’examiner de plus près le fonctionnement de la menace et de collecter des renseignements précieux.
Analyse du bac à sable ANY.RUN d’un échantillon de DeerStealer
Nous pouvons facilement naviguer vers chacun des échantillons pour consulter un rapport détaillé du bac à sable sur leur exécution et même relancer les sessions d’analyse en utilisant notre configuration de machine virtuelle personnalisée.

ANY.RUN sandbox analysis of a DeerStealer sample
3. TTPs (Tactiques, Techniques, et Procédures)
Les TTPs, ou Tactiques, Techniques, et Procédures, sont des méthodes utilisées par les attaquants pour réussir leur piratages.
Les familles de logiciels malveillants évolutifs introduisent souvent de nouvelles façons d’exploiter les vulnérabilités, d’éviter la détection et de voler des données avec chaque nouvelle version. Ces tactiques peuvent être de forts indicateurs des derniers échantillons de logiciels malveillants.
La matrice MITRE ATT&CK est un cadre détaillé pour comprendre les différents TTP (techniques, tactiques et procédures). Chaque type de comportement est catégorisé et se voit attribuer son propre identifiant. Par exemple, « T1059.003 » fait référence à l’abus de l’invite de commandes Windows.
Exemple: Echantillons de la nouvelle version de HijackLoader
Considérons pour l’exemple HijackLoader, qui a été mis à jour en début d’année 2024.
Une des fonctionnalités principales de la nouvelle version est le contournement du User Account Control (UAC) (TT1548.002) permettant à un malware de s’exécuter en contournant les permissions de Windows.
Pour trouver des échantillons de la nouvelle version de HijackLoader, nous pouvons utiliser la requête suivante dans TI Lookup :

TI Lookup affiche également les événements liés aux TTP trouvés dans les sessions d’analyse.
Le service renvoie 8 sessions de bac à sable avec l’analyse des dernières variantes de HijackLoader.
4. Exploitation des événements mondiaux
Les événements mondiaux, tels que les catastrophes naturelles, les crises politiques ou les urgences de santé publique, peuvent être exploités par les attaquants pour lancer des menaces cybernétiques.
Pendant la pandémie de COVID-19, il y a eu une augmentation des e-mails de phishing et des sites Web malveillants prétendant offrir des informations ou une assistance liées au virus.
Les attaquants profitent de l’intérêt accru et de l’inquiétude entourant ces événements pour tromper les utilisateurs afin qu’ils cliquent sur des liens malveillants ou téléchargent des logiciels malveillants.
Exemple: l’incident CrowdStrike
L’un des événements récents utilisés par les acteurs de la menace pour propager des logiciels malveillants et du phishing a été la panne de CrowdStrike.
Après que la société de cybersécurité a déployé une mise à jour défectueuse, des millions d’ordinateurs dans le monde ont affiché un écran bleu de la mort. Cela a poussé les attaquants à profiter de la confusion, lançant une vague d’e-mails de phishing et de sites Web malveillants proposant de faux guides de récupération.
Les analystes d’ANY.RUN ont été parmi les premiers à découvrir les menaces abusant de cet événement, et TI Lookup a joué un rôle important dans cette enquête.
Voici l’une des requêtes de recherche utilisées par notre équipe pour trouver des domaines imitant le domaine officiel de CrowdStrike qui ont émergé juste après l’incident :

L’icône de flamme indique les domaines qui ont été prouvés comme hébergeant du contenu malveillant.
TI Lookup fournit 76 domaines correspondant à notre description, ainsi que des adresses IP, des événements et des sessions de bac à sable.
Autres moyens d’enquêter sur les menaces avec TI Lookup
L’investigation sur les menaces nécessite une approche systématique et proactive.
Voici d’autres moyens d’effectuer efficacement des enquêtes avec TI Lookup en utilisant différents types d’indicateurs et d’artefacts.
1. Vérifier les connexions suspectes
En tant que professionnel de la sécurité, vous pouvez recevoir des dizaines d’alertes de sécurité chaque jour. TI Lookup vous aide à déterminer rapidement si un certain artefact représente réellement une menace.
Voici un exemple de requête montrant comment vous pouvez vérifier une adresse IP de destination suspecte :

TI Lookup simplifie vos enquêtes en vous aidant à identifier les activités malveillantes.
Le service partage instantanément un contexte plus large sur la menace et donne un verdict conclusif sur l’adresse IP.
2. Enrichir l’intelligence sur l’infrastructure C2 des logiciels malveillants
L’infrastructure de Command and Control (C2) fait référence aux serveurs et aux canaux de communication utilisés par les attaquants pour contrôler les systèmes compromis. Les attaquants mettent régulièrement à jour leur infrastructure C2, mais en utilisant TI Lookup, vous pouvez rester informé de tout changement.
L’enquête sur l’infrastructure C2 peut aider à identifier la source des attaques et les méthodes utilisées pour communiquer avec les systèmes infectés.
Voici une requête pour trouver les domaines utilisés par le voleur Lumma :

La recherche a donné plus de 573 résultats de domaines.
TI Lookup fournit une liste de domaines trouvés dans les sessions de bac à sable présentant Lumma. En haut, nous pouvons voir des domaines étiquetés « malconf », ce qui signifie qu’ils ont été extraits directement de la configuration du logiciel malveillant.
En savoir plus sur les IOCs malconf.
3. Découvrir l’activité réseau malveillante détectée par Suricata IDS
Suricata est un système de détection d’intrusion (IDS) open source capable de détecter une activité réseau suspecte. L’enquête sur l’activité réseau détectée par Suricata peut aider à identifier des menaces émergentes et à comprendre leur comportement.
TI Lookup nous permet de rechercher dans sa base de données en utilisant les détails des règles Suricata tels que le message, la classe, le niveau de menace et l’identifiant.
Voici un exemple de requête utilisant un message d’une règle Suricata qui détecte des menaces potentielles de phishing :

Menaces de phishing lors de l’analyse durant laquelle la règle Suricata a été déclenchée
Le service nous fournit une liste de menaces réseau correspondantes que nous pouvons étudier plus en détail dans le bac à sable.
En savoir plus sur la recherche Suricata.
4. Découvrir le paysage actuel des menaces
TI Lookup nous permet également d’explorer l’ensemble du paysage des menaces spécifique à un certain pays, en fonction des échantillons téléchargés dans le bac à sable ANY.RUN par les utilisateurs locaux.
Voici une requête pour trouver des soumissions malveillantes provenant d’utilisateurs espagnols :

TI Lookup répertorie les sessions de bac à sable pour les échantillons téléchargés dans le bac à sable ANY.RUN depuis l’Espagne.
Les résultats peuvent vous aider à mieux comprendre les menaces actuellement actives dans votre région
Conclusion
Une enquête efficace sur les menaces émergentes repose sur une intelligence de menace complète. TI Lookup fournit une multitude de données sur l’infrastructure C2, l’activité réseau, les processus, les modifications de registre et le contexte plus large des menaces. En analysant ces indicateurs, les organisations peuvent mieux comprendre et atténuer les menaces émergentes, garantissant ainsi la sécurité et l’intégrité de leurs systèmes.
À propos d’ANY.RUN
ANY.RUN aide plus de 400 000 professionnels de la cybersécurité dans le monde. Notre bac à sable interactif simplifie l’analyse de malware visant Windows et Linux. Nos produits de Threat intelligence, TI Lookup, Yara Search et Feeds, aident à trouver des IOCs ou fichiers pour en savoir plus sur les incidents et les traiter plus rapidement.