Rencontrez les cerveaux derrière le Centre d'excellence de recherche sur les menaces avancées (ATRCoE) de F5

En tant que partie intégrante du Bureau F5 du CTO, le Centre d'excellence de recherche sur les menaces avancées se concentre sur la découverte des secrets des menaces les plus répandues qui affligent Internet. En complément de l'accent mis par F5 Labs sur la veille sur les menaces, ATRCoE mène des recherches avancées sur les menaces pour présenter des points de vue extérieurs sur les risques de cybersécurité. Cette recherche est ensuite analysée pour produire un leadership éclairé et des idées convaincantes dans le domaine de la cybersécurité.

Dirigé par le Dr Aditya Sood , ce nouveau groupe a déjà découvert des menaces avancées et publié des recherches dans de nombreuses publications telles que Virus Bulletin, Elsevier Magazines, BlackHat Arsenal et des conférences de sécurité de premier plan telles que Texas Cyber Summit, BSides Berlin, Hack-in-Paris, Secure 360, Virus Bulletin et autres. Quelques pièces notables sont présentées ci-dessous :

• Collectionneur-Voleur : Voleur d'informations d'origine russe
• Dissection du panneau AZORult C&C
• Le paysage des menaces liées au Covid-19
• Outil d'enfilade : Détection des infections par ransomware dans MongoDB
• Détection des attaques DGA (Domain Generation Algorithm) à l'aide du ML/AI
• Cryptojacking : Clusters Kubernetes compromis utilisant des pilotes NVIDIA
• Compromettre les panneaux C&C IoT pour détecter les infections

L'équipe est composée de chercheurs en menaces et d'ingénieurs en développement :

1. Amit Nagal est l'un des principaux data scientists chez F5. Il a plus de 15 ans d’expérience en apprentissage automatique et en analyse. Il est titulaire d'un doctorat en sciences du développement de l'université MGS. Dans le passé, il a travaillé chez Verizon et JPMorgan Chase.  
2. Bharathasimha Reddy Devarapally est ingénieur logiciel chez F5. Il a obtenu sa licence en informatique à l'Institut national de technologie de Warangal (Inde) en 2020. Il travaille activement sur la recherche sur les menaces au F5. 
3. Ruthvik Reddy Sankepally est ingénieur logiciel chez F5. Il est diplômé d'un diplôme BE en informatique du BITS Pilani Hyderabad.

Comment l'équipe découvre les menaces

Notre équipe ATRCoE analyse les aspects stratégiques, opérationnels, tactiques et analytiques d'une menace. En comprenant les risques commerciaux et l’impact des menaces avancées, nous choisissons les sujets de recherche dédiés à ces menaces. Nous décomposons ensuite ces menaces pour identifier leurs TTP (Techniques, Tactiques et Procédures), KSA (Connaissances, Compétences et Aptitudes) et AIL (Infrastructure et plates-formes de lancement d’attaque). Fort de ce contexte et des études existantes, nous posons les bases de notre recherche et décidons de la meilleure approche pour y répondre. Cette approche peut être défensive, offensive ou hybride. Les techniques utilisées sont parfois proactives, réactives, ou une combinaison des deux. Nous partageons notre veille sur les menaces en développant des outils open source et en publiant nos recherches sur différents portails et conférences spécialisés en sécurité.

Comment les menaces attirent l'attention de l'ATRCoE

La méthode de choix des sujets de recherche est basée sur un cadre TRIG (Threat Research and Intelligence Generation) développé en interne. Les recherches sont sélectionnées en fonction de leur pertinence par rapport aux menaces avancées actuelles sur Internet. Les menaces avancées extrêmement graves et largement médiatisées, y compris les vulnérabilités zero-day, requièrent une attention particulière en raison de leur urgence et de leur impact sur les offres de produits de F5. Par exemple, l’ATRCoE a analysé des menaces avancées telles que AZORult, Collector-stealer, Blackguard, etc. spécifiquement utilisées par des adversaires étatiques.

En outre, l’ATRCoE déploie des efforts pour utiliser le ML/AI pour relever les défis de la cybersécurité. Par exemple : analyser de grands ensembles de journaux DNS (Domain Name Server) et HTTP (Hypertext Transfer Protocol) dans un format structuré au sein de l'entrepôt de données de sécurité de F5, puis explorer les données pour trouver des artefacts de menace et des tendances intéressants dans le paysage des menaces afin de comprendre les défis actuels. Parmi les exemples, citons les travaux publiés par l’équipe sur les sites de phishing qui ont utilisé des thèmes liés à la Covid-19 et les recherches sur la détection DGA du projet Astra.

Outils utilisés pour la recherche ATRCoE

L’équipe adopte une approche hybride, utilisant une large gamme d’outils pour l’analyse, l’automatisation et l’intelligence, comprenant des scripts personnalisés internes, des outils open source comme nmap, masscan, wireshark, tshark, bro, Radare2/Cutter, Ghidra, python, etc., ainsi que des solutions professionnelles telles que Burp proxy.
_____

En raison de la nature de ce type de recherche, il est difficile de prédire quand du nouveau contenu sera publié, mais vous pouvez vous attendre à en voir davantage de la part de ce groupe bientôt.