Étude de forums pour une collecte de renseignement proactive | Study Hackers Forum for Proactive Cyber Threat Intelligence

(English version will follow)

Les cyberattaques coûtent approximativement 445 milliards de dollars par an à l’économie mondiale. Les rapports de renseignements sur les cyber menaces (cyber threat intelligence (CTI) en anglais) sont conçus pour aider les organisations à se protéger contre les cyberattaques. Pour créer ces rapports, les compagnies s’appuient sur des données collectées à partir d’attaques ou d’évènements réels à travers les entrées de réseau et d’antivirus, les pots de miel (honeypot), les accès aux bases de données et bien plus. La plupart des rapports de renseignements sur les cyber menaces se concentrent sur l’analyse des cyberattaques après qu’elles aient infecté ou compromis un système.

Il est de plus en plus important de développer une approche proactive de la collecte des renseignements sur les cyber menaces. En effet, les rapports ne fournissent pas de renseignements sur les outils développés par les pirates et souvent, ignorent les acteurs spécifiques qui sont responsables des attaques. Ces manquements ne permettent alors pas de donner une image complète de l’écosystème des pirates et amènent à considérer que les renseignements sur les cyber menaces ne sont pas suffisants pour adresser proprement les risques. Il est donc nécessaire pour les organisations d’avoir une approche proactive de la cybersécurité et cela implique de comprendre les menaces potentielles directement à partir des communautés de pirates.

Dans cette étude, Sagar Samtani et ses collègues de l’Université d’Arizona ont collecté et analysé le contenu et les ressources disponibles dans des forums de pirates anglophones et russophones afin de bâtir un nouveau cadre pour les renseignements sur les cyber menaces. Les auteurs se sont concentrés sur les codes sources, les tutoriels et les pièces jointes disponibles aux pirates. Ils ont aussi eu recours à une analyse de réseau afin d’identifier les acteurs clés de ces ressources.

Les résultats de leur analyse ont démontré que les membres des forums peuvent avoir accès une large variété de code malveillant incluant ceux qui permettent l’exploitation des systèmes à un moindre niveau (injections de shellcode dans la mémoire); l’exploitation d’applications exploits (crypteurs et enregistreur de frappe); d’attaques web (détournement de site web et injections SQL). Les auteurs ont aussi trouvé plusieurs sujets portant sur les pièces jointes malveillantes tels que les outils d’administration à distance DarkComet ainsi que ceux d’enregistrement de frappe et de perçage des mots de passe. La majorité des tutoriels étaient quant à eux bénins, ayant simplement pour but d’instruire les membres sur des tâches informatiques basiques. Cependant, un ensemble de tutoriels malveillants sont disponibles aux membres tels que des tutoriels de carding, de crypteurs et d’injections SQL. Dans leur analyse des réseaux sociaux des pirates, les auteurs ont trouvé que la majorité des pirates dans le top dix étaient des membres séniors du forum et qu’ils contribuaient à un grand nombre de publications.

Cette recherche est utile pour les organisations afin d’améliorer leur position en ce qui a trait à la cybersécurité. Elle donne un cadre qui permet aux organisations d’agir de manière proactive afin de protéger leur systèmes en identifiant et en utilisant les ressources des pirates.

Citer: Samtani, S., Chinn, R., Chen, H. and Nunamaker, J. F. Jr. (2017). Exploring Emerging Hacker Assets and Key Hackers for Proactive Cyber Threat Intelligence. Journal of Management Information Systems, 34(4), 1023-1053.

Source: https://www.tandfonline.com/doi/full/10.1080/07421222.2017.1394049.


Cyberattacks cost the global economy approximately $445 billion per year. Cyber threat intelligence (CTI) reports are designed to help organizations protect against cyberattacks. To create these reports, companies rely on data collected from actual attacks or events such as network logs, antivirus logs, honeypots, database access events and much more. Much of the traditional cyber threat intelligence focuses on analyzing cyber attack assets after they have already infected or compromised a system.

There is a growing importance to develop more proactive CTI. Indeed, these reports do not provide intelligence on tools that hackers have developed and often ignore the specific actors who are responsible, resulting in an incomplete picture of the overall hacker ecosystem. These shortcomings have led to consider that CTI is not sufficient to properly address risk and organizations and therefore need to take a more proactive approach to cybersecurity. One way to help accomplish this is by understanding potential threats directly from hacker communities.

In this study, Sagar Samtani and his colleagues from the University of Arizona collected and analyzed content and assets of English and Russian hacker online forums in order to build a framework to CTI. The authors focused their research on assets such as hacker source code, tutorials, and attachments. They also resorted to network analysis techniques in order to identify key hackers for thoses selected assets.

The results of the analysis showed that members of forums can access a great variety of malicious code, including low-level system exploits (for example, shellcode and memory injections); application exploits (crypters and keyloggers); and web attacks (backdooring websites and SQL injections). Also, a variety of topics related to malevolent attachments were discovered such as DarkComet remote administration tools, keylogging and password-cracking tools. The majority of tutorial topics were benign, with a purpose of educating others on how to perform basic computing tasks. However, sets of malicious tutorials are still freely available for forum members to access such a carding, crypter or SQL injections tutorials. In their analysis of the social network of hackers, the authors found that the majority of the hackers in the top ten ranking were senior members and contributed to a large number of forum posts.

This research is valuable for organizations in order to improve their cyber security position. It provides a framework that enable organizations to proactively identify and use hacker assets for their systems.

Cite: Samtani, S., Chinn, R., Chen, H. and Nunamaker, J. F. Jr. (2017). Exploring Emerging Hacker Assets and Key Hackers for Proactive Cyber Threat Intelligence. Journal of Management Information Systems, 34(4), 1023-1053.

Source: https://www.tandfonline.com/doi/full/10.1080/07421222.2017.1394049.