Rencontrez les cerveaux derrière le Centre d'excellence de recherche sur les menaces avancées (ATRCoE) de F5

En tant que partie intégrante du Bureau F5 du CTO, le Centre d'excellence de recherche sur les menaces avancées se concentre sur la découverte des secrets des menaces les plus répandues qui affligent Internet. En complément de l'accent mis par F5 Labs sur la veille sur les menaces, ATRCoE mène des recherches avancées sur les menaces pour présenter des points de vue extérieurs sur les risques de cybersécurité. Cette recherche est ensuite analysée pour produire un leadership éclairé et des idées convaincantes dans le domaine de la cybersécurité.

Dirigé par le Dr Aditya Sood , ce nouveau groupe a déjà découvert des menaces avancées et publié des recherches dans de nombreuses publications telles que Virus Bulletin, Elsevier Magazines, BlackHat Arsenal et des conférences de sécurité de premier plan telles que Texas Cyber Summit, BSides Berlin, Hack-in-Paris, Secure 360, Virus Bulletin et autres. Quelques pièces notables sont présentées ci-dessous :

• Collectionneur-Voleur : Voleur d'informations d'origine russe
• Dissection du panneau AZORult C&C
• Le paysage des menaces liées au Covid-19
• Outil d'enfilade : Détection des infections par ransomware dans MongoDB
• Détection des attaques DGA (Domain Generation Algorithm) à l'aide du ML/AI
• Cryptojacking : Clusters Kubernetes compromis utilisant des pilotes NVIDIA
• Compromettre les panneaux C&C IoT pour détecter les infections

L'équipe est composée de chercheurs en menaces et d'ingénieurs en développement :

1. Amit Nagal est l'un des principaux data scientists chez F5. Il a plus de 15 ans d’expérience en apprentissage automatique et en analyse. Il est titulaire d'un doctorat en sciences du développement de l'université MGS. Dans le passé, il a travaillé chez Verizon et JPMorgan Chase.  
2. Bharathasimha Reddy Devarapally est ingénieur logiciel chez F5. Il a obtenu sa licence en informatique à l'Institut national de technologie de Warangal (Inde) en 2020. Il travaille activement sur la recherche sur les menaces au F5. 
3. Ruthvik Reddy Sankepally est ingénieur logiciel chez F5. Il est diplômé d'un diplôme BE en informatique du BITS Pilani Hyderabad.

Comment l'équipe découvre les menaces

L’équipe ATRCoE se concentre sur les aspects stratégiques, opérationnels, tactiques et analytiques d’une menace. En comprenant les risques commerciaux et l’impact des menaces avancées, ils décident du sujet de recherche sur les menaces. Ensuite, ils dissèquent ces menaces pour trouver leurs TTP (techniques, tactiques et procédures), leurs KSA (connaissances, compétences et capacités) et leurs AIL (infrastructures d’attaque et rampes de lancement). Dans ce contexte et en étudiant les travaux existants, l’équipe constitue la base de sa recherche et décide de la meilleure approche pour l’aborder. L’approche peut être défensive, offensive ou hybride. Les techniques employées peuvent être proactives, réactives ou une combinaison des deux. Ils partagent des renseignements sur les menaces en créant des outils open source et en publiant des recherches sur divers portails et conférences de sécurité.

Comment les menaces attirent l'attention de l'ATRCoE

La méthode de choix des sujets de recherche est basée sur un cadre TRIG (Threat Research and Intelligence Generation) développé en interne. Les recherches sont sélectionnées en fonction de leur pertinence par rapport aux menaces avancées actuelles sur Internet. Les menaces avancées extrêmement graves et largement médiatisées, y compris les vulnérabilités zero-day, requièrent une attention particulière en raison de leur urgence et de leur impact sur les offres de produits de F5. Par exemple, l’ATRCoE a analysé des menaces avancées telles que AZORult, Collector-stealer, Blackguard, etc. spécifiquement utilisées par des adversaires étatiques.

En outre, l’ATRCoE déploie des efforts pour utiliser le ML/AI pour relever les défis de la cybersécurité. Par exemple : analyser de grands ensembles de journaux DNS (Domain Name Server) et HTTP (Hypertext Transfer Protocol) dans un format structuré au sein de l'entrepôt de données de sécurité de F5, puis explorer les données pour trouver des artefacts de menace et des tendances intéressants dans le paysage des menaces afin de comprendre les défis actuels. Parmi les exemples, citons les travaux publiés par l’équipe sur les sites de phishing qui ont utilisé des thèmes liés à la Covid-19 et les recherches sur la détection DGA du projet Astra.

Outils utilisés pour la recherche ATRCoE

L'équipe pratique une approche hybride dans laquelle une grande variété d'outils sont utilisés pour l'analyse, l'automatisation et l'intelligence, y compris des scripts de conception personnalisés en interne, des outils open source, tels que nmap, masscan, wireshark, tshark, bro, Radare2/Cutter, Ghidra, python, etc. et des outils d'entreprise tels que le proxy Burp.
_____

En raison de la nature de ce type de recherche, il est difficile de prédire quand du nouveau contenu sera publié, mais vous pouvez vous attendre à en voir davantage de la part de ce groupe bientôt.