1.1 Mise en bac à sable des maliciels ciblant l’Internet des objets (IdO)

Résultats :

• Développement du concept d’IdO spécialisé, qui est conçu à partir d’un bac à sable d’IdO générique en y appliquant des micrologiciels d’IdO particuliers.

• Développement d’un bac à sable spécialisé pour l’analyse des maliciels VPNfilter associés à l’IdO.

• Analyse des échantillons de maliciels Mirai et VPNfilter dans des bacs à sable IdO généraux et spécialisés respectivement.

• Développement d’une capacité permettant l’analyse généralisée et spécialisée de maliciels associés à l’IdO dans le bac à sable automatisé.

• Établissement d’une liste de recommandations sur le bac à sable actuel d’Android en vue de contrer les techniques d’évasion.

• Élaboration de techniques de prise d’empreintes pour dispositifs Android qu’il sera possible d’appliquer au bac à sable.

• Amélioration des capacités du bac à sable Android.

1.2 BareMetal : Amélioration des capacités de l’hôte physique utilisé aux fins d’analyse des maliciels

Résultats :

• Développement d’un service d’API REST.

• Assemblage des images COW de Windows XP, 7 et 10, et d’Ubuntu 18.04 avec instrumentation.

• Développement de l’ébauche d’un service AssemblyLine au moyen du client Cuckoo.

• Développement des capacités nécessaires pour procéder au démarrage par le réseau d’un Raspberry Pi au moyen d’images personnalisables et pour programmer le cycle d’alimentation d’un Raspberry Pi.

• Mise en place des éléments constitutifs d’un environnement BareMetal d’analyse IdO.

1.3 Minks : Pots de miel bon marché sur un réseau avec Raspberry Pi

Résultats :

• Infrastructure honeytrap élargie pour la mise en œuvre des pots de miel Zigbee et Wi-Fi.

• Infrastructure honeytrap élargie pour la mise en œuvre du protocole ICS (modbus, bacnet, dnp3).

• Ajout de capacités pour la tunnellisation du trafic vers une autre source.

• Intégration dans Docker de la majeure partie des éléments pour un déploiement plus facile.

• Mise en place d’une gestion à distance (sur le Web) permettant de changer et modifier les fonctionnalités actuelles des pots de miel.

1.4 HoneyNet : Pots de miel sur le nuage à grande échelle

Résultats :

• Déploiement de l’infrastructure automatisée de HoneyNet sur Azure au moyen de Gitlab-CI et Terraform.

• Déploiement de deux pots de miel fonctionnant sous Cowrie, lesquels peuvent être personnalisés au moyen de scripts Ansible.

• Déploiement d’instances personnalisées de Cowrie (Samsung SG AARCH/Ubiquity).

• Mise en place de la tunnellisation OpenVPN pour une utilisation dans l’internet clandestin.

• Présentation des exemples d’IdO (MIPS) aux autres équipes.

• Développement d’un pots de miel avec surcharge PHP appelé Overlord.

• Élaboration d’une logique de classification des échantillons de maliciels selon la routine d’infection.

• Développement des tableaux de bord Kibana illustrant les connexions entrantes sur une carte du monde.

1.5 Source ouverte : Pour favoriser la contribution de la collectivité

Résultats :

• Développement en source ouverte du projet du Système d’expérimentation automatisé (AES) pour la communauté GeekWeek.

• Développement d’une solution d’analyse de maliciels basée le projet AES pour Virtualbox.

• Collaboration de la communauté visant à améliorer et enrichir le projet AES.

2.1 Catalogue des services : Satisfaire l’appétit de partage de la communauté cybernétique

Résultats :

• Création d’un portail central comportant un catalogue en ligne des services, des outils et des données fournis par le Centre canadien pour la cybersécurité (CCC).

• Élaboration des politiques et de la conformité juridique applicables à chaque interaction avec le partenaire.

• Élaboration d’un questionnaire sur la maturité visant à évaluer la posture de cybersécurité d’une organisation, ainsi que sa capacité à acquérir et utiliser l’information fournie par le CCC.

2.2 Atténuation et plateformes d’échange (ArcticHub et MISP) : Partager, c’est s’entraider

Résultats :

• Développement d’un module de blocage DNS pouvant être déployé par le client, qui permet de valider les requêtes par rapport à des algorithmes de génération de domaines (DGA) connus, à DNSTwist, à PunyCode, aux différents flux de menaces et aux incidents signalisés dans TAXII.

• Développement de Pihole, un trou noir DNS pouvant être déployé par le client avec indicateurs MISP.

• Intégration de ArticHUB à MISP, Pihole et TAXII.

• Développement de l’API du service de réputation d’un domaine qui intègre diverses sources, telles que ArticHub, PunyCode, l’équipe des menaces du CCC et top un million Alexa.

• Capacité d’interagir par programmation et de contrôler les signalements afin que les outils externes puissent les ajouter aux événements MISP.

• Création d’un module pour la conversion du format des bases de connaissances cybernétiques (CKB) du CCC aux formats MIPS (au-delà de la représentation du modèle des CKB dans la plateforme MIPS), et inversement. Tous les utilisateurs MIPS à travers le monde peuvent activer la taxonomie CKB dans leur instance de MIPS afin de pouvoir utiliser ou ajouter du contexte CKB.

• Les utilisateurs QRadar peuvent importer les événements MISP directement dans le système, y compris alimenter automatiquement les observations dans MISP au moyen d’appels PyMisp nouvellement ajoutés.

• Modification de la plateforme MISP pour assurer le transfert des données CKB du CCC dans un format compatible à MISP. Les partenaires peuvent acquérir les données CKB sans avoir à partager le code source, et structurer leur événement selon le format CKB.

2.3 Outils d’évaluation

Résultats :

• Développement d’un outil d’évaluation externe permettant d’effectuer une évaluation à partir d’une entité externe. Utilisation des données provenant d’ArticHub, de Shodan, de Censys et du CCC.

• Développement d’un outil d’évaluation interne pouvant être par le client qui permet d’installer Sysmon et WinLogBeat sur les points extrémités, de journaliser les données en fonction de leur SIEM, et d’effectuer une analyse pour déterminer et évaluer les points extrémités et le trafic réseau généré à l’intérieur du périmètre.

• Les partenaires peuvent soumettre une demande d’assistance et échanger de l’information avec le CCC à partir du portail de contrôle de la mission.

2.4 Ingestion de maliciels

Résultats :

• Création d’un portail permettant aux partenaires de soumettre des fichiers afin qu’ils soient automatiquement analysés par les systèmes du CCC et AssemblyLine et d’en faire rapport.

• Ajout de l’option permettant de demander que l’analyse soit effectuée par un humain dans la mesure où les attentes ont été clairement expliquées.

2.5 Télémétrie des clients et mesures

Résultats :

• Développement d’un agent pouvant être déployé par le client permettant de récupérer la télémétrie de l’hôte, en plus de prendre les mesures nécessaires sur les hôtes contrôlés.

• Développement d’un script pouvant être déployé par le client permettant d’attribuer au coupe-feu de Microsoft Azure la tâche de bloquer ou d’ignorer le trafic selon les analyses CYBERDECK d’IPFlow et du protocole HTTP, ce qui comprend la détection de signatures incorrectes dans le trafic du protocole HTTP.

• Développement d’un serveur proxy HTTP pouvant être déployé par le client transmettant de l’information dans un SIEM ELK pour obtenir des indicateurs.

• Le partenaire peut visualiser toutes les alertes émises par son système SIEM et les outils d’évaluation externes depuis une même interface. Utilisé conjointement à des outils de cyberdéfense dynamiques, le système SIEM permet à l’équipe de sécurité de l’organisation d’automatiser le processus en vue de prendre des mesures directes.

3.1 Hameçonnage et pollupostage

Résultats :

• Développement d’un algorithme de reconnaissance de logo et de regroupement de balises HTML qui permet de détecter les tendances des campagnes d’hameçonnage et de prendre des mesures de façon opportune.

• Développement d’algorithmes permettant de détecter les adresses IP et domaines malveillants dans les courriels afin que les utilisateurs puissent décider de la marche à suivre en étant pleinement conscients des risques.

• Mise en œuvre d’un système de mise en cache Redis pour les adresses URL et l’identification des types de fichiers, ce qui permet d’accroître considérablement l’efficacité du processus d’ingestion.

3.2 Documents Office et analyse des macros

Résultats :

• Ajout d’une fonctionnalité permettant de désobscurcir un sous-ensemble de contrôles ActiveX. Une interface a été conçue pour faciliter de futurs projets et aider à déterminer les contrôles qui n’ont pas encore été définis.

• Ajout d’un service AssemblyLine afin de désobscurcir les macros VBA à la volée s’ils ont fait l’objet d’un obscurcissement et de les transmettre à tous les autres outils afin d’extraire des indicateurs de compromission (IC) utiles.

• Ajout d’un service AssemblyLine visant à détecter et classer les macros en faisant appel à l’apprentissage machine pour déterminer l’indice de confiance et de malveillance.

• Mise en œuvre d’un algorithme pour accroître la vitesse d’ingestion d’un système selon des expressions régulières, ce qui a mené à une hausse de performance de plus de 20 %.

• Utilisation de NiFi pour le traitement de grandes quantités de données de pollupostage et la transmission aux systèmes d’analyse appropriés, ce qui a amélioré les performances de façon significative.

• Recours à une grappe de serveurs Apache Spark pour améliorer l’analyse des données de pollupostage.

• Recours au traitement des langues naturelles pour détecter les sujets abordés dans les campagnes de pollupostage.

3.3 Tableaux de bord et outils de visualisation des données

Résultats :

• Création d’un tableau de bord interactif Tableau illustrant la cybersanté de l’entreprise par rapport à son secteur. Diverses mesures et analyses prévisionnelles s’affichent pour fournir à l’entreprise de l’information concernant sa cybersanté.

• Création d’un tableau de bord Tableau comportant des profils de maliciels et de correctifs des vulnérabilités personnalisés pour les entreprises. Un client peut obtenir des plans de correction personnalisés qui lui permettront de renforcer sa cybersanté.

4.1 Efforts communs de recherche en collaboration avec les organismes d’application de la loi

Résultats :

• Identification et recherche des menaces liées aux dispositifs mobiles qui visent les Canadiens (hameçonnage par message texte et détournement SIM) en vue de monter des dossiers qui seront ensuite remis aux authorités.

• Création d’une base de données retraçable pour l’analyse des échantillons conformément à la saisie multiorganisationnelle de laquelle découle la visualisation.

• Rédaction d’un livre blanc résumant brièvement la situation.

• Codage d’un outil de collecte de sites d’hameçonnage judiciairement reconnu.

• Développement de trois dossiers potentiels qui sont en cours de documentation pour une prise en charge par la GRC.

• Élaboration de processus pour la mobilisation du secteur privé avec les authorités.

4.2 Collaboration avec Malpedia

Résultats :

• Soutien accru pour Apivector (un service de Malpedia) dans le bac à sable Cuckoo d’AssemblyLine’s.

• Ajout de règles pour Malpedia Yara dans AssemblyLine.

• Ajout de capacités pour l’identification de fichiers exécutables malveillants et la suppression automatique des IC de la mémoire.

4.3 Infiltration des réseaux de zombies Necurs

Résultats :

• Développement de connaissances, de capacités et de fonctionnalités pour le suivi des réseaux de zombie et leurs activités opérationnelles.

• Rétro-ingénierie de Necurs pour mieux comprendre son fonctionnement.

• Création d’une bibliothèque pour le chiffrement et le déchiffrement du trafic généré par le réseau de zombies.

• Création d’un cadre d’application pour l’automatisation de la communication et de la journalisation des activités des réseaux de zombies.

• Recours à l’apprentissage machine pour classifier et potentiellement identifier les familles de maliciels et l’ID des réseaux de zombies en fonction des domaines des AGD.

4.4 Regroupement comportemental des maliciels

Résultats :

• Atténuation de l’incidence des maliciels par une détection immédiate des maliciels du jour zéro et la mise en commun de leurs signatures.

• Mise en commun des signatures Yara dans MISP.

4.5 Capacités d’analyse de la mémoire interne

Résultats :

• Élaboration d’un système de mise en bac à sable pour l’analyse syntaxique de la configuration.

• Mise en place d’un service Assemblyline pour Apivector.

• Mise en place d’un service Assemblyline pour PyREBox.

• Expansion du service de décodage de la configuration.