Description
Episode dédié à la découverte de "Kill chain" et de MITRE.
Site web de MITR : https://attack.mitre.org
Site web qui regroupe des outils d'OSINT : https://osintframework.com
Episode de "No Limit Secu" dédié à MITR : https://www.nolimitsecu.fr/mitre-attck/
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Lors de l'épisode Pour une poignée de dollars nous avons détaillé une attaque point par point. Et vous l'avez peut-être compris, même s'il existe des centaines d'attaques différentes, il y en a en fait autant qu'il existe de groupes de cyberattaquants. Elles ont toutes plus ou moins la même forme. D'une certaine manière, on peut les modéliser, c'est-à-dire disséquer l'attaque en différentes étapes. Cette modélisation peut avoir beaucoup d'intérêt en matière de cybersécurité, car comme toujours, mieux connaître le mécanisme d'une attaque, c'est-à-dire qui la lance, avec quelle technique et dans quel but, permet d'adapter et de contrôler sa ligne de défense. Il y a principalement trois méthodologies de modélisation d'une attaque qui sont les modèles Kill Chain de Lucky de Martine, le modèle Diamond et le modèle Maitre Attack. Ces modèles ont tous des points communs et des différences. Je ne parlerai ici que des modèles Kill Chain et Maitre. Commençons par le modèle Kill Chain. La méthode Kill Chain est un modèle conceptuel développé pour analyser et comprendre les différentes étapes d'une cyberattaque. Ce modèle a été initialement développé par LookinMartin, une entreprise de défense et de sécurité, et largement utilisée dans le domaine de la cybersécurité pour évaluer les menaces et les attaques. On parle d'ailleurs assez souvent de la Kill Chain pour définir l'ensemble des éléments mis en œuvre lors d'une attaque. C'est devenu un terme générique qui décrit l'attaque dans son intégralité. La Kill Chain se décompose en 7 étapes distinctes qui représentent les processus typiques suivis par les cyberattaquants pour compromettre un système ou un réseau. Première étape, la reconnaissance. L'attaquant cherche des informations sur les victimes, telles que les vulnérabilités potentielles, les systèmes utilisés, les employés et d'autres informations qui peuvent être utiles pour planifier et exécuter l'attaque. Pour ceci, il va utiliser principalement deux catégories de méthodes pour obtenir des informations sur sa cible. D'une part, il va collecter des informations de manière passive, c'est-à-dire récupérer des informations qui sont disponibles directement sur Internet. Wizz, par exemple, est un service qui permet de récupérer des informations sur le domaine de votre organisation, quand le domaine a été créé et qui est son propriétaire si cette information n'a pas été anonymisée. Google peut être aussi un excellent moyen de récupérer des informations utiles. Souvent, les cyberattaquants lancent des requêtes très spécifiques en ciblant particulièrement un domaine, cherchant des informations potentiellement utiles pour une attaque. Ces requêtes, qu'on appelle Google d'orque dans le jargon, permettent de récupérer des informations mal protégées et indexées par Google par erreur. Il n'est pas rare que des fichiers de configuration se trouvent ainsi exploités dans ce contexte. Il existe aussi des sites bien plus spécialisés dans l'acquisition des données liées à une organisation. C'est le cas du site Shodan qui permet en quelques clics de récupérer des informations liées à une infrastructure ciblée. Le dernier exemple, mais qui est certainement le plus évident, c'est le site web de l'organisation lui-même. Bien souvent, ce site web est utilisé pour fabriquer des dictionnaires qui seront par la suite utilisés pour tenter de craquer des mots de passe. Sachant que bien souvent, les utilisateurs font référence au nom de l'organisation dans leur mot de passe, la probabilité est assez grande de craquer un mot de passe en utilisant ce type d'informations. Si vous souhaitez avoir une liste un peu plus exhaustive des outils disponibles, vous pouvez consulter le site web osinframework.com, dont bien évidemment, je mettrai le lien en commentaire. Par ailleurs, l'attaquant va effectuer des recherches actives. au sens où il va délibérément questionner votre système d'information pour récupérer des informations. On trouvera par exemple l'utilisation de l'outil Nmap, qui a pour but de contacter un serveur et de déterminer quels ports sont ouverts ou cachés derrière un firewall. Il pourra aussi dans certains cas déterminer quel système d'exploitation fait tourner la machine. Ces informations sont très utiles pour un attaquant, car il pourra s'en servir pour mieux connaître les faiblesses de la cible. Il pourra d'ailleurs tout simplement lancer un scan de vulnérabilité, c'est-à-dire un outil ayant pour but de trouver automatiquement des failles de sécurité. Rappelez-vous qu'un port est un peu comme un service que vous cherchez à joindre dans une entreprise. Chaque service a son propre numéro de téléphone qui est lié à l'entreprise. Eh bien, Nmap va essayer de joindre tous les postes de l'entreprise. Si le numéro ne répond pas, c'est que le service n'est pas actif. Alors que si le numéro répond, c'est qu'il l'est. Comme par exemple le service des pièces détachées. Grâce à cette information, Nmap... est capable de cartographier très rapidement les services qui tournent sur une machine, mais aussi quelle est la nature de ce service et éventuellement les versions du logiciel qui tournent derrière. Il y a un orange dans le bin-bon ?
Oui, bonjour, je voudrais résilier l'abonnement de ma box.
Alors dans ce cas-là, il me faudrait votre numéro de client, s'il vous plaît, c'est sur votre facture. Oui,
donc c'est le 81267B. En fait, je voudrais résilier l'abonnement de ma box.
Ah oui, mais là, vous n'êtes pas au bon service.
Et bien, pourquoi vous m'avez demandé mon numéro de client ? Parce que c'est la procédure.
Allez, je vous transfère. Au revoir, votre temps d'attente. Le 7,
petit café ? Votre temps d'attente est estimé à 20 minutes. Bon, il est 12. Donc, on va venir à l'accueil. T'as péré, toi.
Vous pouvez constater que la première méthode se base sur des informations que vous avez communiquées, volontairement ou involontairement. Ce sont généralement des informations en source ouverte. Alors que la deuxième méthode est basée sur des informations que le cyberattaquant va chercher lui-même. C'est la raison pour laquelle on parle de récupération d'informations passives. dans le premier cas, et active dans le second. Mais comment se prémunir de ce genre de problème ? Comment faire pour ne pas trop laisser d'informations fuiter ? Eh bien la solution la plus simple est d'essayer d'en donner le minimum possible. Vous devez vous restreindre à divulguer uniquement ce qui est nécessaire et surtout vérifier par vous-même s'il n'y a pas des données dans la nature. Seconde étape, la transformation en arme. C'est ce qu'on appelle en anglais weaponization L'attaquant crée un vecteur d'attaque en combinant une charge utile, généralement un logiciel malveillant, avec une méthode de livraison, comme un courrier de phishing par exemple. Le cyberattaquant va dans ce cas transformer l'exploitation de la feuille de sécurité en arme, c'est-à-dire industrialiser l'exploit de cette feuille. Il s'agit ici de la rendre facilement utilisable contre une cible. Une attaque nécessite souvent une mise au point assez fine et des adaptations par rapport à la cible. Il peut y avoir quelques variations techniques d'une cible à une autre qui rend l'attaque inopérante sans adaptation. Certaines attaques peuvent parfaitement fonctionner dans certaines circonstances, mais peuvent nécessiter des adaptations dans d'autres cas. Il va sans dire que pour être efficace, le cyberattaquant a besoin que son attaque s'adapte automatiquement aux différents cas de figure. Sans ça, il devra faire du sur-mesure pour chacune des cibles attaquées et perdre énormément de temps. Le temps joue souvent contre les attaquants car les systèmes de défense vont tôt ou tard se mettre à jour et vont bloquer les attaques. Plus l'attaque sera automatisée et plus elle pourra cibler un large nombre de victimes potentielles, et plus elle aura de chances d'être un succès. Il existe de multiples outils qui permettent de coder son attaque dans un framework connu. L'un des plus connus est Metasploit. Metasploit est une plateforme très connue dans le monde de la cybersécurité car elle permet de lancer l'exploitation de feuilles de sécurité déjà écrites. Dans la plupart des cas, il ne reste qu'à préciser quelques paramètres sur la cible, comme par exemple l'adresse IP et le port. Cette plateforme a été conçue pour permettre aisément l'ajout de nouveaux cas d'exploitation de vulnérabilité. Cet outil permet aussi de générer du code malveillant à la demande. Là encore, la possibilité qu'a un attaquant d'automatiser cette étape permet de lui faire gagner un temps précieux. Pour compléter la panoplie, il existe aussi des outils qui permettent de camoufler son attaque. Comme par exemple l'outil Veil, qui permet d'éviter de se faire repérer trop rapidement par les antivirus. Il y a plusieurs intérêts à faire cela. D'une part, et comme nous l'avons expliqué, cela permet aux cyberattaquants d'utiliser de manière industrielle une attaque et donc d'être plus efficaces. Et d'autre part, s'ils ne souhaitent pas aller plus loin, ils peuvent facilement revendre son exploit prêt à l'emploi à un autre groupe de cyberattaquants. Vous allez faire sauter le pont ?
Je vais essayer.
Vous branchez le fil rouge sur le bouton rouge, le fil vert sur le bouton vert.
Vous appuyez et plaf ! Le fil vert sur le bouton vert, le fil rouge sur le bouton vert. Fil vert sur le bouton vert, le fil rouge sur le bouton vert.
Comment éviter ce genre de situation ? La première règle est d'appliquer des règles strictes en matière de patching d'infrastructures. Comme on le dit souvent en cybersécurité, il n'y a que trois choses à faire. Patcher, patcher et encore patcher, c'est-à-dire appliquer les correctifs en temps et en heure. Deuxième chose à faire, beaucoup de failles de sécurité sont exploitables car il est possible d'exécuter du code. C'est souvent le cas pour les macros dans la suite Office, particulièrement pour les fichiers Excel. Mais il y a aussi les browsers qui acceptent d'exécuter du code JavaScript. Bref, il faut réduire au maximum sa surface d'attaque, c'est-à-dire laisser le moins de possibilités au cyberattaquant d'exécuter du code sur votre machine. Mais n'oublions pas aussi quelques règles basiques, comme avoir un antivirus actif et à jour, un système de sécurité sur vos mails ou encore renforcer l'utilisation du multifactor authentication. Troisième étape, la livraison. L'attaquant utilise le vecteur d'attaque pour transmettre la charge utile à la victime. Concrètement, le cyberattaquant va essayer de délivrer le code malveillant qu'il a soigneusement préparé à l'étape précédente. Et là, tous les coups sont permis. Il y a les sites web malveillants ou encore les clés USB. A noter que les clés USB sont de moins en moins utilisées, mais cela reste un moyen extrêmement efficace de délivrer du code malveillant. Mis à part bloquer les ports USB, il n'y a que très peu de moyens de se prévenir de ce genre de problème. Quatrième étape, l'exploitation. L'exploitation fait référence à l'utilisation d'un logiciel, des données ou à une commande qui amène le système visé à opérer de manière non intentionnelle. Autrement dit, l'attaquant utilise une faille ou une vulnérabilité dans le système ou dans une application pour exécuter des commandes arbitraires. lire des données sensibles ou altérer des données. Il s'agit de l'étape où l'attaquant commence à exploiter activement les vulnérabilités qu'il a découvertes lors des étapes précédentes. Cela peut se produire de différentes manières. Par exemple, exploiter une faille de sécurité dans un logiciel pour obtenir un accès non autorisé, envoyer un mail de phishing contenant un lien vers un site web malveillant qui exploite une faille du navigateur, ou utiliser un exploit 0D. Un exploit 0D est une vulnérabilité encore inconnue des défenseurs et des étudiants de logiciels. Sachant qu'en plus, les failles 0D peuvent être acquises auprès d'un autre groupe de cyberattaquants. Une fois que l'exploitation est réussie, l'attaquant a généralement un certain niveau d'accès à l'environnement de la cible. Cela peut aller d'un accès limité à un seul système ou un accès complet au réseau. Et ce, en fonction de la vulnérabilité exploitée. Ici, la sandbox dont nous avions parlé dans l'épisode précédent peut jouer un rôle mitigant très important au niveau de ce risque. Cinquième étape, l'installation. Durant cette phase, l'attaquant tente d'installer un logiciel malveillant, généralement un malware, sur le système de la victime. Ce malware peut prendre plusieurs formes, notamment un ransomware. Ce type de malware chiffre les fichiers de l'utilisateur et exige une rançon pour les déchiffrer. Un logiciel espion, un spyware. Il surveille et collecte les activités de l'utilisateur sur son système sans son consentement. Il y a aussi les botnets. Il s'agit d'un réseau d'ordinateurs infectés contrôlés par un attaquant. Ces orniétards peuvent être utilisés pour lancer des attaques de grande envergure, comme des attaques par déni de service, ce qu'on appelle le DDoS. L'objectif de l'installation varie en fonction des intentions de l'attaquant. Il peut chercher à maintenir un accès à long terme au système, c'est ce qu'on appelle la persistance, ou à exfiltrer des données sensibles, mais encore à utiliser le système infecté pour lancer d'autres attaques, ou plus simplement à provoquer des dommages. Il est à noter que l'installation ne se limite pas à l'implantation de logiciels malveillants. Elle peut également impliquer la création de compte utilisateur malveillant ou l'altération de paramètres du système pour faciliter les actions ultérieures de l'attaquant. Il arrive assez fréquemment qu'une fois cette étape atteinte, les cyberattaquants laissent mijoter, c'est-à-dire qu'ils vont maintenir cet accès mais ne sont pas très actifs. Et parfois c'est simplement pour des raisons commerciales, car ils vont revendre ce point d'accès à un autre groupe d'attaquants. 6ème étape, le command and control ou le C2 pour les intimes. Après l'installation d'un logiciel malveillant ou d'un outil d'accès à distance sur le système ciblé, l'attaquant passe à la phase de contrôle de votre infrastructure. Dans cette phase, l'attaquant établit une connexion à distance avec le système compromis. Le serveur de command and control, le C2, est généralement un système informatique contrôlé par l'attaquant. Il est utilisé pour envoyer des commandes au système compromis et pour recevoir des données en retour. Cette connexion permet à l'attaquant de contrôler à distance les systèmes compromis et de lui donner des instructions précises.
Oui, monsieur le directeur. Gardez tout votre calme, Dubreuil. Et si vous ne dites plus qu'un seul mot ? Oui, vous avez compris ? Mais je ne comprends pas, monsieur le directeur. Mais qu'est-ce que je viens de vous dire ? Vous voulez être viré ? Mais... Oui, monsieur le directeur. Vous avez compris. Bon. Le plombier est toujours là. Oui, il est en train de... Oui, oui, oui.
Oui.
Détendez-vous, souris. Faites comme si je vous annonçais une grosse augmentation. Ah, merci, monsieur le directeur. Ça fait... Alors, vous allez très décontracté sortir du bureau et y laisser le plombier. Voilà, et vous venez nous rejoindre. Oui, monsieur le directeur. Maintenant, répétez ce que je vais vous dire. Un apéritif à l'atelier de gravure, j'arrive tout de suite, monsieur le directeur. Un apéritif à l'atelier de gravure, j'arrive tout de suite, monsieur le directeur. Je vous attends. Andouille. Bon, rassemblez tout le monde, on va le...
Voici quelques exemples de ce que l'attaquant peut faire lors de cette phase. Envoyer des commandes pour exécuter des actions spécifiques, comme la suppression de fichiers, la modification de paramètres du système ou le lancement d'attaques supplémentaires. Ou collecter des données sensibles à partir du système compromis. Les types de données collectées peuvent varier, mais elles incluent souvent les informations d'identification, des données financières, des données personnelles ou des informations commerciales sensibles. On peut aussi utiliser le système compromis comme point de lancement pour une autre attaque. Par exemple, l'attaquant peut utiliser le système compromis pour attaquer d'autres systèmes sur le même réseau ou pour lancer des attaques par déni de service contre une autre cible. Il peut aussi mettre à jour ou modifier le logiciel malveillant installé sur le système compromis. Et bien évidemment, il va essayer de dissimuler son activité en utilisant des techniques d'évasion et de persistance pour éviter la détection par les outils de sécurité. Septième et dernière étape, l'action sur l'objectif. Après avoir réussi les étapes précédentes, c'est-à-dire accéder au système ou au réseau cible, Après avoir installé des outils malveillants et établi un canal avec le Command Control, l'attaquant est maintenant prêt à réaliser son objectif final. L'objectif précis de l'attaquant dépend de ses motivations, qui peuvent être financières, politiques ou idéologiques. Voici quelques exemples de ce que l'attaquant pourrait faire lors de cette dernière étape. L'extraction de données. L'attaquant peut collecter des données sensibles du système ou du réseau compromis et les transférer vers un emplacement qu'il contrôle. Ces données peuvent inclure des informations d'identification, des informations financières ou des données personnelles, mais aussi des informations commerciales sensibles ou des secrets de l'entreprise. Il peut aussi essayer de détruire les données. L'attaquant, dans ce cas, peut effacer des données du système compromis soit pour causer des dommages, soit pour dissimuler ses activités. Il y a par ailleurs le déni de service. L'attaquant peut surcharger le système ou le réseau avec du trafic ou des requêtes inutiles, le rendant inaccessible aux utilisateurs légitimes. Il peut aussi tenter de modifier ou d'altérer les données. L'attaquant peut chercher à modifier des données sur les systèmes compromis pour atteindre certains objectifs. Par exemple, il pourrait modifier les transactions financières, falsifier des informations ou induire des erreurs dans certaines données. Sans oublier l'espionnage. L'objectif de l'attaquant peut être de surveiller les activités sur le système ou le réseau compromis, de collecter des informations sur une longue période ou d'intercepter des communications. Le modèle Kill Chain aide les organisations à identifier les points faibles de leur sécurité à chacune des étapes du processus d'attaque, mais aussi à mettre en place des contre-mesures et à renforcer leur posture en matière de cybersécurité. C'est un modèle très pragmatique qui colle dans la grande majorité des cas à une attaque typique. En comprenant les différentes étapes de la Kill Chain, les équipes de cybersécurité peuvent mieux anticiper les tactiques des attaquants et déployer des défenses appropriées pour réduire les risques et les impacts d'une cyberattaque. C'est une approche très pragmatique et très efficace, mais qui ne prend pas en compte les spécificités des groupes d'attaquants, ni même le mode opératoire. Un autre modèle existe qui, lui, prend en compte ces spécificités. C'est le modèle MITRE. Le modèle reprend en détail les étapes présentes dans le modèle Kill Chain, mais comme nous allons le voir, est aussi beaucoup plus collaboratif. Le MITRE ATTACK, pour Adversarial Tactics, Techniques and Common Knowledge, est un cadre de référence développé par le MITRE Corporation. Ce framework décrit des classes de TTP. TTP pour Tactics, Techniques et Procédures. Ce sont les tactiques, techniques et procédures utilisées par les cyberattaquants pour pénétrer et compromettre les systèmes d'information. Les TTP sont un peu comme une signature qui décrivent le style de chaque groupe de cyberattaquants. Le cadre MITRE est organisé en différentes matrices qui représentent différentes phases de l'attaque. Vous allez voir que cela reprend en détail les étapes de la killchain. Je ne fais ici que traduire ce que vous pouvez trouver sur le site web de MITRE. Étape numéro 1, la reconnaissance. La reconnaissance consiste en des techniques qui impliquent que les adversaires recueillent activement ou passivement des informations qui peuvent être utilisées pour cibler. Ces informations peuvent inclure des détails sur l'organisation victime, l'infrastructure ou le personnel. Ces informations peuvent être exploitées par l'adversaire pour aider dans d'autres phases du cycle de vie, comme l'utilisation des informations recueillies pour planifier et exécuter l'accès initial. Pour délimiter aussi et prioriser les objectifs après compromission. Ou pour orienter et diriger davantage d'efforts et de reconnaissance. Étape numéro 2, développement des ressources. Le développement de ressources constituant des techniques qui impliquent que les adversaires créent, achètent ou compromettent, ou souhaitent vol, des ressources qui peuvent être utilisées pour soutenir le ciblage. Ces ressources comprennent l'infrastructure, les comptes et les services. Ces ressources peuvent être exploitées par l'adversaire pour aider dans d'autres phases du cycle de vie de l'attaque, comme l'utilisation de domaines achetés pour soutenir le command and control, des comptes de courrier électronique pour le phishing dans le cadre de l'accès initial, ou le vol de certificat pour la signature du code peut aider aussi à l'évaluation ou au camouflage. Étape numéro 3, l'accès initial. L'accès initial consiste en des techniques qui utilisent divers vecteurs d'entrée pour obtenir leur première emprise dans le réseau. Les techniques utilisées pour obtenir une emprise comprennent le hameçonnage ciblé, le spear phishing et l'exploitation de faiblesse sur les serveurs web accessibles au public. Les points d'ancrage obtenus grâce à l'accès initial peuvent permettre un accès continu. comme des comptes valides par exemple ou l'utilisation de services distants externes. Mais généralement, son usage est relativement limité à cause de la modification des mots de passe. Étape numéro 4, l'exécution. L'exécution consiste en des techniques qui aboutissent à l'exécution de codes contrôlés par l'adversaire sur un système local ou distant. Par exemple, un adversaire pourrait utiliser un outil d'accès à distance pour exécuter un script PowerShell qui effectue une découverte du système à distance. Étape numéro 5, la persistance. La persistance consiste en des techniques que les adversaires utilisent pour maintenir l'accès au système malgré les redémarrages, les changements de mot de passe et autres interruptions qui pourraient couper leurs accès. Les techniques utilisées pour la persistance comprennent les accès, les actions ou les modifications de configuration qui permettent de maintenir leur emprise sur le système, comme le remplacement ou la prise de contrôle de codes légitimes ou l'ajout de codes au redémarrage. Étape numéro 6, élévation de privilèges. L'élévation de privilèges consiste en des techniques que les adversaires utilisent pour obtenir des permissions de niveau supérieur sur un système ou un réseau. Les adversaires peuvent souvent entrer et explorer un réseau avec un accès non privilégié. Mais il est nécessaire d'obtenir des permissions élevées pour réaliser leur objectif. Les approches courantes consistent à tirer parti des faiblesses du système, les mauvaises configurations, les vulnérabilités, etc. Les exemples d'accès élevés comprennent généralement le compte administrateur local, ou un compte utilisateur avec un accès semblable à celui d'un administrateur, mais encore un compte utilisateur ayant un accès spécifique au système et qui est capable d'exécuter une fonction spécifique. Septième étape, les techniques de furtivité. Les techniques de furtivité consistent en des techniques que les adversaires utilisent pour éviter la détection tout au long de leur compromission. Les techniques utilisées pour assurer la furtivité comprennent la désinstallation ou la désactivation de logiciels de sécurité, ou l'obscurcissement ou le chiffrement des données et des scripts. Les adversaires exploitent également et abusent des processus de confiance pour cacher et masquer leurs logiciels malveillants. Huitième étape. accès aux informations d'identification. L'accès aux informations d'identification consiste en des techniques de vol de référence telles que le nom de compte et les mots de passe. Les techniques utilisées pour obtenir ces informations d'identification incluent l'enregistrement de frappe, ce qu'on appelle le keylogging, ou la capture d'informations d'identification, ce qu'on appelle le credential damping. L'utilisation de références légitimes peut donner aux adversaires un accès au système, ce qui rend la détection plus difficile à détecter et offrent la possibilité de créer davantage de comptes pour aider à atteindre leurs objectifs. Étape 9, la découverte. La découverte consiste en des techniques qu'un adversaire peut utiliser pour acquérir des connaissances sur le système et leur réseau interne. Ces techniques aident les adversaires à observer l'environnement et à s'orienter avant de décider comment agir. Elles permettent également aux adversaires d'explorer ce qu'ils peuvent contrôler et qui se trouve autour de leur point d'entrée, afin de découvrir comment cela pourrait bénéficier à leur objectif actuel. Les outils natifs du système d'exploitation sont souvent utilisés pour atteindre cet objectif de collecte d'informations après compromission. L'étape numéro 10, le mouvement latéral. Le mouvement latéral consiste en des techniques que les adversaires utilisent pour entrer et contrôler des systèmes à distance sur le réseau. Pour atteindre leur objectif principal, ils doivent souvent explorer le réseau pour trouver leur cible et par la suite obtenir l'accès à celle-ci. Atteindre leur objectif implique souvent de pivoter à travers plusieurs systèmes et de comptes. Les adversaires pourraient installer leurs propres outils d'accès à distance pour réaliser un mouvement littéral ou utiliser des informations d'identification légitimes avec des outils natifs du réseau ou du système d'exploitation, ce qui est plus discret. Étape numéro 11, la collecte. La collecte consiste en des techniques que les adversaires peuvent utiliser pour rassembler des informations pertinentes pour la réalisation de leurs objectifs. Souvent, le prochain but après la collecte de données est de voler, c'est-à-dire d'exfiltrer les données. Étape numéro 12, le common hand control. Le common hand control consiste en des techniques que les adversaires peuvent utiliser pour communiquer avec les systèmes sous leur contrôle au sein du réseau de la victime. Les adversaires tentent généralement d'imiter le trafic normal pour éviter la détection. Il existe de nombreuses façons pour un adversaire d'établir un common hand control avec différents niveaux de discrétion, selon la structure de réseau de la victime et ses défenses. Étape numéro 13, l'exfiltration. L'exfiltration consiste en des techniques. que les adversaires peuvent utiliser pour voler des données sur votre réseau. Une fois les données collectées, les adversaires les regroupent et les traitent souvent pour éviter la détection lors de leur retrait. Cela peut inclure la compression et le chiffrement. Les techniques pour extraire des données d'un réseau cible incluent généralement les transferts via le canal du command and control ou aussi un canal alternatif. Étape numéro 14, l'impact. L'impact consiste en des techniques que les adversaires utilisent pour perturber la disponibilité ou pour compromettre l'intégrité du système d'information en manipulant les processus opérationnels de l'entreprise. Les techniques utilisées pour l'impact peuvent inclure de la destruction ou la falsification de données. Dans certains cas, les processus commerciaux peuvent sembler être corrects, mais peuvent avoir été modifiés pour favoriser les objectifs de l'adversaire. Ces techniques peuvent être utilisées par les adversaires pour réaliser leur objectif final ou pour fournir une couverture pour une relation de confidentialité. On comprend assez facilement qu'il y a des similitudes entre le modèle Kill Chain. Mais d'une certaine manière, Maitre va un cran plus loin. Le framework Maitre et le modèle Killchain sont tous les deux des outils précieux pour comprendre et contrer les menaces de cybersécurité, mais ils ont des approches différentes et peuvent être utilisés de manière complémentaire. L'un des aspects qui rend le framework Maitre particulièrement collaboratif est son caractère ouvert et évolutif. Maitre est une base de connaissances globale en constante évolution qui utilise des sources d'informations en provenance de communautés cyber du monde entier, qui mettent à jour le framework avec les dernières tactiques, techniques et procédures, les fameux TTP utilisés par les cyberattaquants. Maitre utilise un format ouvert, il est d'ailleurs disponible gratuitement pour toutes les personnes intéressées, ce qui facilite la collaboration et le partage d'informations entre les chercheurs en cybersécurité. On peut aussi parler, pour finir, de l'interopérabilité avec les autres outils et frameworks. Le framework Maitre est conçu pour être utilisé avec d'autres outils et des frameworks de cybersécurité, ce qui facilite l'intégration du framework dans d'autres systèmes de gestion de menaces et des incidents. On trouvera par exemple dans Azure, le cloud de Microsoft, une représentation de la matrice Maitre et des contrôles sous-jacents mis en place dans le cloud. Grâce à toutes ces caractéristiques, Maitre est devenu très populaire en cybersécurité, car c'est un framework qui donne une vision de bout en bout d'une attaque en se basant sur des informations collectées dans le monde entier. Si vous souhaitez aller plus loin dans la compréhension de ce framework, je ne peux que vous encourager à consulter le site web de Maitre, dont je mettrai bien évidemment le lien en commentaire de cet épisode. et aussi l'écoute de l'épisode 343 de l'excellent podcast No Limits Sécu qui est consacré à ce sujet. Encore merci d'avoir écouté cet épisode, n'hésitez pas à le liker et à le partager avec d'autres. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certaines personnes, la cybersécurité est un enjeu de vie de mort, c'est bien plus sérieux que ça.
Description
Episode dédié à la découverte de "Kill chain" et de MITRE.
Site web de MITR : https://attack.mitre.org
Site web qui regroupe des outils d'OSINT : https://osintframework.com
Episode de "No Limit Secu" dédié à MITR : https://www.nolimitsecu.fr/mitre-attck/
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Lors de l'épisode Pour une poignée de dollars nous avons détaillé une attaque point par point. Et vous l'avez peut-être compris, même s'il existe des centaines d'attaques différentes, il y en a en fait autant qu'il existe de groupes de cyberattaquants. Elles ont toutes plus ou moins la même forme. D'une certaine manière, on peut les modéliser, c'est-à-dire disséquer l'attaque en différentes étapes. Cette modélisation peut avoir beaucoup d'intérêt en matière de cybersécurité, car comme toujours, mieux connaître le mécanisme d'une attaque, c'est-à-dire qui la lance, avec quelle technique et dans quel but, permet d'adapter et de contrôler sa ligne de défense. Il y a principalement trois méthodologies de modélisation d'une attaque qui sont les modèles Kill Chain de Lucky de Martine, le modèle Diamond et le modèle Maitre Attack. Ces modèles ont tous des points communs et des différences. Je ne parlerai ici que des modèles Kill Chain et Maitre. Commençons par le modèle Kill Chain. La méthode Kill Chain est un modèle conceptuel développé pour analyser et comprendre les différentes étapes d'une cyberattaque. Ce modèle a été initialement développé par LookinMartin, une entreprise de défense et de sécurité, et largement utilisée dans le domaine de la cybersécurité pour évaluer les menaces et les attaques. On parle d'ailleurs assez souvent de la Kill Chain pour définir l'ensemble des éléments mis en œuvre lors d'une attaque. C'est devenu un terme générique qui décrit l'attaque dans son intégralité. La Kill Chain se décompose en 7 étapes distinctes qui représentent les processus typiques suivis par les cyberattaquants pour compromettre un système ou un réseau. Première étape, la reconnaissance. L'attaquant cherche des informations sur les victimes, telles que les vulnérabilités potentielles, les systèmes utilisés, les employés et d'autres informations qui peuvent être utiles pour planifier et exécuter l'attaque. Pour ceci, il va utiliser principalement deux catégories de méthodes pour obtenir des informations sur sa cible. D'une part, il va collecter des informations de manière passive, c'est-à-dire récupérer des informations qui sont disponibles directement sur Internet. Wizz, par exemple, est un service qui permet de récupérer des informations sur le domaine de votre organisation, quand le domaine a été créé et qui est son propriétaire si cette information n'a pas été anonymisée. Google peut être aussi un excellent moyen de récupérer des informations utiles. Souvent, les cyberattaquants lancent des requêtes très spécifiques en ciblant particulièrement un domaine, cherchant des informations potentiellement utiles pour une attaque. Ces requêtes, qu'on appelle Google d'orque dans le jargon, permettent de récupérer des informations mal protégées et indexées par Google par erreur. Il n'est pas rare que des fichiers de configuration se trouvent ainsi exploités dans ce contexte. Il existe aussi des sites bien plus spécialisés dans l'acquisition des données liées à une organisation. C'est le cas du site Shodan qui permet en quelques clics de récupérer des informations liées à une infrastructure ciblée. Le dernier exemple, mais qui est certainement le plus évident, c'est le site web de l'organisation lui-même. Bien souvent, ce site web est utilisé pour fabriquer des dictionnaires qui seront par la suite utilisés pour tenter de craquer des mots de passe. Sachant que bien souvent, les utilisateurs font référence au nom de l'organisation dans leur mot de passe, la probabilité est assez grande de craquer un mot de passe en utilisant ce type d'informations. Si vous souhaitez avoir une liste un peu plus exhaustive des outils disponibles, vous pouvez consulter le site web osinframework.com, dont bien évidemment, je mettrai le lien en commentaire. Par ailleurs, l'attaquant va effectuer des recherches actives. au sens où il va délibérément questionner votre système d'information pour récupérer des informations. On trouvera par exemple l'utilisation de l'outil Nmap, qui a pour but de contacter un serveur et de déterminer quels ports sont ouverts ou cachés derrière un firewall. Il pourra aussi dans certains cas déterminer quel système d'exploitation fait tourner la machine. Ces informations sont très utiles pour un attaquant, car il pourra s'en servir pour mieux connaître les faiblesses de la cible. Il pourra d'ailleurs tout simplement lancer un scan de vulnérabilité, c'est-à-dire un outil ayant pour but de trouver automatiquement des failles de sécurité. Rappelez-vous qu'un port est un peu comme un service que vous cherchez à joindre dans une entreprise. Chaque service a son propre numéro de téléphone qui est lié à l'entreprise. Eh bien, Nmap va essayer de joindre tous les postes de l'entreprise. Si le numéro ne répond pas, c'est que le service n'est pas actif. Alors que si le numéro répond, c'est qu'il l'est. Comme par exemple le service des pièces détachées. Grâce à cette information, Nmap... est capable de cartographier très rapidement les services qui tournent sur une machine, mais aussi quelle est la nature de ce service et éventuellement les versions du logiciel qui tournent derrière. Il y a un orange dans le bin-bon ?
Oui, bonjour, je voudrais résilier l'abonnement de ma box.
Alors dans ce cas-là, il me faudrait votre numéro de client, s'il vous plaît, c'est sur votre facture. Oui,
donc c'est le 81267B. En fait, je voudrais résilier l'abonnement de ma box.
Ah oui, mais là, vous n'êtes pas au bon service.
Et bien, pourquoi vous m'avez demandé mon numéro de client ? Parce que c'est la procédure.
Allez, je vous transfère. Au revoir, votre temps d'attente. Le 7,
petit café ? Votre temps d'attente est estimé à 20 minutes. Bon, il est 12. Donc, on va venir à l'accueil. T'as péré, toi.
Vous pouvez constater que la première méthode se base sur des informations que vous avez communiquées, volontairement ou involontairement. Ce sont généralement des informations en source ouverte. Alors que la deuxième méthode est basée sur des informations que le cyberattaquant va chercher lui-même. C'est la raison pour laquelle on parle de récupération d'informations passives. dans le premier cas, et active dans le second. Mais comment se prémunir de ce genre de problème ? Comment faire pour ne pas trop laisser d'informations fuiter ? Eh bien la solution la plus simple est d'essayer d'en donner le minimum possible. Vous devez vous restreindre à divulguer uniquement ce qui est nécessaire et surtout vérifier par vous-même s'il n'y a pas des données dans la nature. Seconde étape, la transformation en arme. C'est ce qu'on appelle en anglais weaponization L'attaquant crée un vecteur d'attaque en combinant une charge utile, généralement un logiciel malveillant, avec une méthode de livraison, comme un courrier de phishing par exemple. Le cyberattaquant va dans ce cas transformer l'exploitation de la feuille de sécurité en arme, c'est-à-dire industrialiser l'exploit de cette feuille. Il s'agit ici de la rendre facilement utilisable contre une cible. Une attaque nécessite souvent une mise au point assez fine et des adaptations par rapport à la cible. Il peut y avoir quelques variations techniques d'une cible à une autre qui rend l'attaque inopérante sans adaptation. Certaines attaques peuvent parfaitement fonctionner dans certaines circonstances, mais peuvent nécessiter des adaptations dans d'autres cas. Il va sans dire que pour être efficace, le cyberattaquant a besoin que son attaque s'adapte automatiquement aux différents cas de figure. Sans ça, il devra faire du sur-mesure pour chacune des cibles attaquées et perdre énormément de temps. Le temps joue souvent contre les attaquants car les systèmes de défense vont tôt ou tard se mettre à jour et vont bloquer les attaques. Plus l'attaque sera automatisée et plus elle pourra cibler un large nombre de victimes potentielles, et plus elle aura de chances d'être un succès. Il existe de multiples outils qui permettent de coder son attaque dans un framework connu. L'un des plus connus est Metasploit. Metasploit est une plateforme très connue dans le monde de la cybersécurité car elle permet de lancer l'exploitation de feuilles de sécurité déjà écrites. Dans la plupart des cas, il ne reste qu'à préciser quelques paramètres sur la cible, comme par exemple l'adresse IP et le port. Cette plateforme a été conçue pour permettre aisément l'ajout de nouveaux cas d'exploitation de vulnérabilité. Cet outil permet aussi de générer du code malveillant à la demande. Là encore, la possibilité qu'a un attaquant d'automatiser cette étape permet de lui faire gagner un temps précieux. Pour compléter la panoplie, il existe aussi des outils qui permettent de camoufler son attaque. Comme par exemple l'outil Veil, qui permet d'éviter de se faire repérer trop rapidement par les antivirus. Il y a plusieurs intérêts à faire cela. D'une part, et comme nous l'avons expliqué, cela permet aux cyberattaquants d'utiliser de manière industrielle une attaque et donc d'être plus efficaces. Et d'autre part, s'ils ne souhaitent pas aller plus loin, ils peuvent facilement revendre son exploit prêt à l'emploi à un autre groupe de cyberattaquants. Vous allez faire sauter le pont ?
Je vais essayer.
Vous branchez le fil rouge sur le bouton rouge, le fil vert sur le bouton vert.
Vous appuyez et plaf ! Le fil vert sur le bouton vert, le fil rouge sur le bouton vert. Fil vert sur le bouton vert, le fil rouge sur le bouton vert.
Comment éviter ce genre de situation ? La première règle est d'appliquer des règles strictes en matière de patching d'infrastructures. Comme on le dit souvent en cybersécurité, il n'y a que trois choses à faire. Patcher, patcher et encore patcher, c'est-à-dire appliquer les correctifs en temps et en heure. Deuxième chose à faire, beaucoup de failles de sécurité sont exploitables car il est possible d'exécuter du code. C'est souvent le cas pour les macros dans la suite Office, particulièrement pour les fichiers Excel. Mais il y a aussi les browsers qui acceptent d'exécuter du code JavaScript. Bref, il faut réduire au maximum sa surface d'attaque, c'est-à-dire laisser le moins de possibilités au cyberattaquant d'exécuter du code sur votre machine. Mais n'oublions pas aussi quelques règles basiques, comme avoir un antivirus actif et à jour, un système de sécurité sur vos mails ou encore renforcer l'utilisation du multifactor authentication. Troisième étape, la livraison. L'attaquant utilise le vecteur d'attaque pour transmettre la charge utile à la victime. Concrètement, le cyberattaquant va essayer de délivrer le code malveillant qu'il a soigneusement préparé à l'étape précédente. Et là, tous les coups sont permis. Il y a les sites web malveillants ou encore les clés USB. A noter que les clés USB sont de moins en moins utilisées, mais cela reste un moyen extrêmement efficace de délivrer du code malveillant. Mis à part bloquer les ports USB, il n'y a que très peu de moyens de se prévenir de ce genre de problème. Quatrième étape, l'exploitation. L'exploitation fait référence à l'utilisation d'un logiciel, des données ou à une commande qui amène le système visé à opérer de manière non intentionnelle. Autrement dit, l'attaquant utilise une faille ou une vulnérabilité dans le système ou dans une application pour exécuter des commandes arbitraires. lire des données sensibles ou altérer des données. Il s'agit de l'étape où l'attaquant commence à exploiter activement les vulnérabilités qu'il a découvertes lors des étapes précédentes. Cela peut se produire de différentes manières. Par exemple, exploiter une faille de sécurité dans un logiciel pour obtenir un accès non autorisé, envoyer un mail de phishing contenant un lien vers un site web malveillant qui exploite une faille du navigateur, ou utiliser un exploit 0D. Un exploit 0D est une vulnérabilité encore inconnue des défenseurs et des étudiants de logiciels. Sachant qu'en plus, les failles 0D peuvent être acquises auprès d'un autre groupe de cyberattaquants. Une fois que l'exploitation est réussie, l'attaquant a généralement un certain niveau d'accès à l'environnement de la cible. Cela peut aller d'un accès limité à un seul système ou un accès complet au réseau. Et ce, en fonction de la vulnérabilité exploitée. Ici, la sandbox dont nous avions parlé dans l'épisode précédent peut jouer un rôle mitigant très important au niveau de ce risque. Cinquième étape, l'installation. Durant cette phase, l'attaquant tente d'installer un logiciel malveillant, généralement un malware, sur le système de la victime. Ce malware peut prendre plusieurs formes, notamment un ransomware. Ce type de malware chiffre les fichiers de l'utilisateur et exige une rançon pour les déchiffrer. Un logiciel espion, un spyware. Il surveille et collecte les activités de l'utilisateur sur son système sans son consentement. Il y a aussi les botnets. Il s'agit d'un réseau d'ordinateurs infectés contrôlés par un attaquant. Ces orniétards peuvent être utilisés pour lancer des attaques de grande envergure, comme des attaques par déni de service, ce qu'on appelle le DDoS. L'objectif de l'installation varie en fonction des intentions de l'attaquant. Il peut chercher à maintenir un accès à long terme au système, c'est ce qu'on appelle la persistance, ou à exfiltrer des données sensibles, mais encore à utiliser le système infecté pour lancer d'autres attaques, ou plus simplement à provoquer des dommages. Il est à noter que l'installation ne se limite pas à l'implantation de logiciels malveillants. Elle peut également impliquer la création de compte utilisateur malveillant ou l'altération de paramètres du système pour faciliter les actions ultérieures de l'attaquant. Il arrive assez fréquemment qu'une fois cette étape atteinte, les cyberattaquants laissent mijoter, c'est-à-dire qu'ils vont maintenir cet accès mais ne sont pas très actifs. Et parfois c'est simplement pour des raisons commerciales, car ils vont revendre ce point d'accès à un autre groupe d'attaquants. 6ème étape, le command and control ou le C2 pour les intimes. Après l'installation d'un logiciel malveillant ou d'un outil d'accès à distance sur le système ciblé, l'attaquant passe à la phase de contrôle de votre infrastructure. Dans cette phase, l'attaquant établit une connexion à distance avec le système compromis. Le serveur de command and control, le C2, est généralement un système informatique contrôlé par l'attaquant. Il est utilisé pour envoyer des commandes au système compromis et pour recevoir des données en retour. Cette connexion permet à l'attaquant de contrôler à distance les systèmes compromis et de lui donner des instructions précises.
Oui, monsieur le directeur. Gardez tout votre calme, Dubreuil. Et si vous ne dites plus qu'un seul mot ? Oui, vous avez compris ? Mais je ne comprends pas, monsieur le directeur. Mais qu'est-ce que je viens de vous dire ? Vous voulez être viré ? Mais... Oui, monsieur le directeur. Vous avez compris. Bon. Le plombier est toujours là. Oui, il est en train de... Oui, oui, oui.
Oui.
Détendez-vous, souris. Faites comme si je vous annonçais une grosse augmentation. Ah, merci, monsieur le directeur. Ça fait... Alors, vous allez très décontracté sortir du bureau et y laisser le plombier. Voilà, et vous venez nous rejoindre. Oui, monsieur le directeur. Maintenant, répétez ce que je vais vous dire. Un apéritif à l'atelier de gravure, j'arrive tout de suite, monsieur le directeur. Un apéritif à l'atelier de gravure, j'arrive tout de suite, monsieur le directeur. Je vous attends. Andouille. Bon, rassemblez tout le monde, on va le...
Voici quelques exemples de ce que l'attaquant peut faire lors de cette phase. Envoyer des commandes pour exécuter des actions spécifiques, comme la suppression de fichiers, la modification de paramètres du système ou le lancement d'attaques supplémentaires. Ou collecter des données sensibles à partir du système compromis. Les types de données collectées peuvent varier, mais elles incluent souvent les informations d'identification, des données financières, des données personnelles ou des informations commerciales sensibles. On peut aussi utiliser le système compromis comme point de lancement pour une autre attaque. Par exemple, l'attaquant peut utiliser le système compromis pour attaquer d'autres systèmes sur le même réseau ou pour lancer des attaques par déni de service contre une autre cible. Il peut aussi mettre à jour ou modifier le logiciel malveillant installé sur le système compromis. Et bien évidemment, il va essayer de dissimuler son activité en utilisant des techniques d'évasion et de persistance pour éviter la détection par les outils de sécurité. Septième et dernière étape, l'action sur l'objectif. Après avoir réussi les étapes précédentes, c'est-à-dire accéder au système ou au réseau cible, Après avoir installé des outils malveillants et établi un canal avec le Command Control, l'attaquant est maintenant prêt à réaliser son objectif final. L'objectif précis de l'attaquant dépend de ses motivations, qui peuvent être financières, politiques ou idéologiques. Voici quelques exemples de ce que l'attaquant pourrait faire lors de cette dernière étape. L'extraction de données. L'attaquant peut collecter des données sensibles du système ou du réseau compromis et les transférer vers un emplacement qu'il contrôle. Ces données peuvent inclure des informations d'identification, des informations financières ou des données personnelles, mais aussi des informations commerciales sensibles ou des secrets de l'entreprise. Il peut aussi essayer de détruire les données. L'attaquant, dans ce cas, peut effacer des données du système compromis soit pour causer des dommages, soit pour dissimuler ses activités. Il y a par ailleurs le déni de service. L'attaquant peut surcharger le système ou le réseau avec du trafic ou des requêtes inutiles, le rendant inaccessible aux utilisateurs légitimes. Il peut aussi tenter de modifier ou d'altérer les données. L'attaquant peut chercher à modifier des données sur les systèmes compromis pour atteindre certains objectifs. Par exemple, il pourrait modifier les transactions financières, falsifier des informations ou induire des erreurs dans certaines données. Sans oublier l'espionnage. L'objectif de l'attaquant peut être de surveiller les activités sur le système ou le réseau compromis, de collecter des informations sur une longue période ou d'intercepter des communications. Le modèle Kill Chain aide les organisations à identifier les points faibles de leur sécurité à chacune des étapes du processus d'attaque, mais aussi à mettre en place des contre-mesures et à renforcer leur posture en matière de cybersécurité. C'est un modèle très pragmatique qui colle dans la grande majorité des cas à une attaque typique. En comprenant les différentes étapes de la Kill Chain, les équipes de cybersécurité peuvent mieux anticiper les tactiques des attaquants et déployer des défenses appropriées pour réduire les risques et les impacts d'une cyberattaque. C'est une approche très pragmatique et très efficace, mais qui ne prend pas en compte les spécificités des groupes d'attaquants, ni même le mode opératoire. Un autre modèle existe qui, lui, prend en compte ces spécificités. C'est le modèle MITRE. Le modèle reprend en détail les étapes présentes dans le modèle Kill Chain, mais comme nous allons le voir, est aussi beaucoup plus collaboratif. Le MITRE ATTACK, pour Adversarial Tactics, Techniques and Common Knowledge, est un cadre de référence développé par le MITRE Corporation. Ce framework décrit des classes de TTP. TTP pour Tactics, Techniques et Procédures. Ce sont les tactiques, techniques et procédures utilisées par les cyberattaquants pour pénétrer et compromettre les systèmes d'information. Les TTP sont un peu comme une signature qui décrivent le style de chaque groupe de cyberattaquants. Le cadre MITRE est organisé en différentes matrices qui représentent différentes phases de l'attaque. Vous allez voir que cela reprend en détail les étapes de la killchain. Je ne fais ici que traduire ce que vous pouvez trouver sur le site web de MITRE. Étape numéro 1, la reconnaissance. La reconnaissance consiste en des techniques qui impliquent que les adversaires recueillent activement ou passivement des informations qui peuvent être utilisées pour cibler. Ces informations peuvent inclure des détails sur l'organisation victime, l'infrastructure ou le personnel. Ces informations peuvent être exploitées par l'adversaire pour aider dans d'autres phases du cycle de vie, comme l'utilisation des informations recueillies pour planifier et exécuter l'accès initial. Pour délimiter aussi et prioriser les objectifs après compromission. Ou pour orienter et diriger davantage d'efforts et de reconnaissance. Étape numéro 2, développement des ressources. Le développement de ressources constituant des techniques qui impliquent que les adversaires créent, achètent ou compromettent, ou souhaitent vol, des ressources qui peuvent être utilisées pour soutenir le ciblage. Ces ressources comprennent l'infrastructure, les comptes et les services. Ces ressources peuvent être exploitées par l'adversaire pour aider dans d'autres phases du cycle de vie de l'attaque, comme l'utilisation de domaines achetés pour soutenir le command and control, des comptes de courrier électronique pour le phishing dans le cadre de l'accès initial, ou le vol de certificat pour la signature du code peut aider aussi à l'évaluation ou au camouflage. Étape numéro 3, l'accès initial. L'accès initial consiste en des techniques qui utilisent divers vecteurs d'entrée pour obtenir leur première emprise dans le réseau. Les techniques utilisées pour obtenir une emprise comprennent le hameçonnage ciblé, le spear phishing et l'exploitation de faiblesse sur les serveurs web accessibles au public. Les points d'ancrage obtenus grâce à l'accès initial peuvent permettre un accès continu. comme des comptes valides par exemple ou l'utilisation de services distants externes. Mais généralement, son usage est relativement limité à cause de la modification des mots de passe. Étape numéro 4, l'exécution. L'exécution consiste en des techniques qui aboutissent à l'exécution de codes contrôlés par l'adversaire sur un système local ou distant. Par exemple, un adversaire pourrait utiliser un outil d'accès à distance pour exécuter un script PowerShell qui effectue une découverte du système à distance. Étape numéro 5, la persistance. La persistance consiste en des techniques que les adversaires utilisent pour maintenir l'accès au système malgré les redémarrages, les changements de mot de passe et autres interruptions qui pourraient couper leurs accès. Les techniques utilisées pour la persistance comprennent les accès, les actions ou les modifications de configuration qui permettent de maintenir leur emprise sur le système, comme le remplacement ou la prise de contrôle de codes légitimes ou l'ajout de codes au redémarrage. Étape numéro 6, élévation de privilèges. L'élévation de privilèges consiste en des techniques que les adversaires utilisent pour obtenir des permissions de niveau supérieur sur un système ou un réseau. Les adversaires peuvent souvent entrer et explorer un réseau avec un accès non privilégié. Mais il est nécessaire d'obtenir des permissions élevées pour réaliser leur objectif. Les approches courantes consistent à tirer parti des faiblesses du système, les mauvaises configurations, les vulnérabilités, etc. Les exemples d'accès élevés comprennent généralement le compte administrateur local, ou un compte utilisateur avec un accès semblable à celui d'un administrateur, mais encore un compte utilisateur ayant un accès spécifique au système et qui est capable d'exécuter une fonction spécifique. Septième étape, les techniques de furtivité. Les techniques de furtivité consistent en des techniques que les adversaires utilisent pour éviter la détection tout au long de leur compromission. Les techniques utilisées pour assurer la furtivité comprennent la désinstallation ou la désactivation de logiciels de sécurité, ou l'obscurcissement ou le chiffrement des données et des scripts. Les adversaires exploitent également et abusent des processus de confiance pour cacher et masquer leurs logiciels malveillants. Huitième étape. accès aux informations d'identification. L'accès aux informations d'identification consiste en des techniques de vol de référence telles que le nom de compte et les mots de passe. Les techniques utilisées pour obtenir ces informations d'identification incluent l'enregistrement de frappe, ce qu'on appelle le keylogging, ou la capture d'informations d'identification, ce qu'on appelle le credential damping. L'utilisation de références légitimes peut donner aux adversaires un accès au système, ce qui rend la détection plus difficile à détecter et offrent la possibilité de créer davantage de comptes pour aider à atteindre leurs objectifs. Étape 9, la découverte. La découverte consiste en des techniques qu'un adversaire peut utiliser pour acquérir des connaissances sur le système et leur réseau interne. Ces techniques aident les adversaires à observer l'environnement et à s'orienter avant de décider comment agir. Elles permettent également aux adversaires d'explorer ce qu'ils peuvent contrôler et qui se trouve autour de leur point d'entrée, afin de découvrir comment cela pourrait bénéficier à leur objectif actuel. Les outils natifs du système d'exploitation sont souvent utilisés pour atteindre cet objectif de collecte d'informations après compromission. L'étape numéro 10, le mouvement latéral. Le mouvement latéral consiste en des techniques que les adversaires utilisent pour entrer et contrôler des systèmes à distance sur le réseau. Pour atteindre leur objectif principal, ils doivent souvent explorer le réseau pour trouver leur cible et par la suite obtenir l'accès à celle-ci. Atteindre leur objectif implique souvent de pivoter à travers plusieurs systèmes et de comptes. Les adversaires pourraient installer leurs propres outils d'accès à distance pour réaliser un mouvement littéral ou utiliser des informations d'identification légitimes avec des outils natifs du réseau ou du système d'exploitation, ce qui est plus discret. Étape numéro 11, la collecte. La collecte consiste en des techniques que les adversaires peuvent utiliser pour rassembler des informations pertinentes pour la réalisation de leurs objectifs. Souvent, le prochain but après la collecte de données est de voler, c'est-à-dire d'exfiltrer les données. Étape numéro 12, le common hand control. Le common hand control consiste en des techniques que les adversaires peuvent utiliser pour communiquer avec les systèmes sous leur contrôle au sein du réseau de la victime. Les adversaires tentent généralement d'imiter le trafic normal pour éviter la détection. Il existe de nombreuses façons pour un adversaire d'établir un common hand control avec différents niveaux de discrétion, selon la structure de réseau de la victime et ses défenses. Étape numéro 13, l'exfiltration. L'exfiltration consiste en des techniques. que les adversaires peuvent utiliser pour voler des données sur votre réseau. Une fois les données collectées, les adversaires les regroupent et les traitent souvent pour éviter la détection lors de leur retrait. Cela peut inclure la compression et le chiffrement. Les techniques pour extraire des données d'un réseau cible incluent généralement les transferts via le canal du command and control ou aussi un canal alternatif. Étape numéro 14, l'impact. L'impact consiste en des techniques que les adversaires utilisent pour perturber la disponibilité ou pour compromettre l'intégrité du système d'information en manipulant les processus opérationnels de l'entreprise. Les techniques utilisées pour l'impact peuvent inclure de la destruction ou la falsification de données. Dans certains cas, les processus commerciaux peuvent sembler être corrects, mais peuvent avoir été modifiés pour favoriser les objectifs de l'adversaire. Ces techniques peuvent être utilisées par les adversaires pour réaliser leur objectif final ou pour fournir une couverture pour une relation de confidentialité. On comprend assez facilement qu'il y a des similitudes entre le modèle Kill Chain. Mais d'une certaine manière, Maitre va un cran plus loin. Le framework Maitre et le modèle Killchain sont tous les deux des outils précieux pour comprendre et contrer les menaces de cybersécurité, mais ils ont des approches différentes et peuvent être utilisés de manière complémentaire. L'un des aspects qui rend le framework Maitre particulièrement collaboratif est son caractère ouvert et évolutif. Maitre est une base de connaissances globale en constante évolution qui utilise des sources d'informations en provenance de communautés cyber du monde entier, qui mettent à jour le framework avec les dernières tactiques, techniques et procédures, les fameux TTP utilisés par les cyberattaquants. Maitre utilise un format ouvert, il est d'ailleurs disponible gratuitement pour toutes les personnes intéressées, ce qui facilite la collaboration et le partage d'informations entre les chercheurs en cybersécurité. On peut aussi parler, pour finir, de l'interopérabilité avec les autres outils et frameworks. Le framework Maitre est conçu pour être utilisé avec d'autres outils et des frameworks de cybersécurité, ce qui facilite l'intégration du framework dans d'autres systèmes de gestion de menaces et des incidents. On trouvera par exemple dans Azure, le cloud de Microsoft, une représentation de la matrice Maitre et des contrôles sous-jacents mis en place dans le cloud. Grâce à toutes ces caractéristiques, Maitre est devenu très populaire en cybersécurité, car c'est un framework qui donne une vision de bout en bout d'une attaque en se basant sur des informations collectées dans le monde entier. Si vous souhaitez aller plus loin dans la compréhension de ce framework, je ne peux que vous encourager à consulter le site web de Maitre, dont je mettrai bien évidemment le lien en commentaire de cet épisode. et aussi l'écoute de l'épisode 343 de l'excellent podcast No Limits Sécu qui est consacré à ce sujet. Encore merci d'avoir écouté cet épisode, n'hésitez pas à le liker et à le partager avec d'autres. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certaines personnes, la cybersécurité est un enjeu de vie de mort, c'est bien plus sérieux que ça.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)
Description
Episode dédié à la découverte de "Kill chain" et de MITRE.
Site web de MITR : https://attack.mitre.org
Site web qui regroupe des outils d'OSINT : https://osintframework.com
Episode de "No Limit Secu" dédié à MITR : https://www.nolimitsecu.fr/mitre-attck/
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Lors de l'épisode Pour une poignée de dollars nous avons détaillé une attaque point par point. Et vous l'avez peut-être compris, même s'il existe des centaines d'attaques différentes, il y en a en fait autant qu'il existe de groupes de cyberattaquants. Elles ont toutes plus ou moins la même forme. D'une certaine manière, on peut les modéliser, c'est-à-dire disséquer l'attaque en différentes étapes. Cette modélisation peut avoir beaucoup d'intérêt en matière de cybersécurité, car comme toujours, mieux connaître le mécanisme d'une attaque, c'est-à-dire qui la lance, avec quelle technique et dans quel but, permet d'adapter et de contrôler sa ligne de défense. Il y a principalement trois méthodologies de modélisation d'une attaque qui sont les modèles Kill Chain de Lucky de Martine, le modèle Diamond et le modèle Maitre Attack. Ces modèles ont tous des points communs et des différences. Je ne parlerai ici que des modèles Kill Chain et Maitre. Commençons par le modèle Kill Chain. La méthode Kill Chain est un modèle conceptuel développé pour analyser et comprendre les différentes étapes d'une cyberattaque. Ce modèle a été initialement développé par LookinMartin, une entreprise de défense et de sécurité, et largement utilisée dans le domaine de la cybersécurité pour évaluer les menaces et les attaques. On parle d'ailleurs assez souvent de la Kill Chain pour définir l'ensemble des éléments mis en œuvre lors d'une attaque. C'est devenu un terme générique qui décrit l'attaque dans son intégralité. La Kill Chain se décompose en 7 étapes distinctes qui représentent les processus typiques suivis par les cyberattaquants pour compromettre un système ou un réseau. Première étape, la reconnaissance. L'attaquant cherche des informations sur les victimes, telles que les vulnérabilités potentielles, les systèmes utilisés, les employés et d'autres informations qui peuvent être utiles pour planifier et exécuter l'attaque. Pour ceci, il va utiliser principalement deux catégories de méthodes pour obtenir des informations sur sa cible. D'une part, il va collecter des informations de manière passive, c'est-à-dire récupérer des informations qui sont disponibles directement sur Internet. Wizz, par exemple, est un service qui permet de récupérer des informations sur le domaine de votre organisation, quand le domaine a été créé et qui est son propriétaire si cette information n'a pas été anonymisée. Google peut être aussi un excellent moyen de récupérer des informations utiles. Souvent, les cyberattaquants lancent des requêtes très spécifiques en ciblant particulièrement un domaine, cherchant des informations potentiellement utiles pour une attaque. Ces requêtes, qu'on appelle Google d'orque dans le jargon, permettent de récupérer des informations mal protégées et indexées par Google par erreur. Il n'est pas rare que des fichiers de configuration se trouvent ainsi exploités dans ce contexte. Il existe aussi des sites bien plus spécialisés dans l'acquisition des données liées à une organisation. C'est le cas du site Shodan qui permet en quelques clics de récupérer des informations liées à une infrastructure ciblée. Le dernier exemple, mais qui est certainement le plus évident, c'est le site web de l'organisation lui-même. Bien souvent, ce site web est utilisé pour fabriquer des dictionnaires qui seront par la suite utilisés pour tenter de craquer des mots de passe. Sachant que bien souvent, les utilisateurs font référence au nom de l'organisation dans leur mot de passe, la probabilité est assez grande de craquer un mot de passe en utilisant ce type d'informations. Si vous souhaitez avoir une liste un peu plus exhaustive des outils disponibles, vous pouvez consulter le site web osinframework.com, dont bien évidemment, je mettrai le lien en commentaire. Par ailleurs, l'attaquant va effectuer des recherches actives. au sens où il va délibérément questionner votre système d'information pour récupérer des informations. On trouvera par exemple l'utilisation de l'outil Nmap, qui a pour but de contacter un serveur et de déterminer quels ports sont ouverts ou cachés derrière un firewall. Il pourra aussi dans certains cas déterminer quel système d'exploitation fait tourner la machine. Ces informations sont très utiles pour un attaquant, car il pourra s'en servir pour mieux connaître les faiblesses de la cible. Il pourra d'ailleurs tout simplement lancer un scan de vulnérabilité, c'est-à-dire un outil ayant pour but de trouver automatiquement des failles de sécurité. Rappelez-vous qu'un port est un peu comme un service que vous cherchez à joindre dans une entreprise. Chaque service a son propre numéro de téléphone qui est lié à l'entreprise. Eh bien, Nmap va essayer de joindre tous les postes de l'entreprise. Si le numéro ne répond pas, c'est que le service n'est pas actif. Alors que si le numéro répond, c'est qu'il l'est. Comme par exemple le service des pièces détachées. Grâce à cette information, Nmap... est capable de cartographier très rapidement les services qui tournent sur une machine, mais aussi quelle est la nature de ce service et éventuellement les versions du logiciel qui tournent derrière. Il y a un orange dans le bin-bon ?
Oui, bonjour, je voudrais résilier l'abonnement de ma box.
Alors dans ce cas-là, il me faudrait votre numéro de client, s'il vous plaît, c'est sur votre facture. Oui,
donc c'est le 81267B. En fait, je voudrais résilier l'abonnement de ma box.
Ah oui, mais là, vous n'êtes pas au bon service.
Et bien, pourquoi vous m'avez demandé mon numéro de client ? Parce que c'est la procédure.
Allez, je vous transfère. Au revoir, votre temps d'attente. Le 7,
petit café ? Votre temps d'attente est estimé à 20 minutes. Bon, il est 12. Donc, on va venir à l'accueil. T'as péré, toi.
Vous pouvez constater que la première méthode se base sur des informations que vous avez communiquées, volontairement ou involontairement. Ce sont généralement des informations en source ouverte. Alors que la deuxième méthode est basée sur des informations que le cyberattaquant va chercher lui-même. C'est la raison pour laquelle on parle de récupération d'informations passives. dans le premier cas, et active dans le second. Mais comment se prémunir de ce genre de problème ? Comment faire pour ne pas trop laisser d'informations fuiter ? Eh bien la solution la plus simple est d'essayer d'en donner le minimum possible. Vous devez vous restreindre à divulguer uniquement ce qui est nécessaire et surtout vérifier par vous-même s'il n'y a pas des données dans la nature. Seconde étape, la transformation en arme. C'est ce qu'on appelle en anglais weaponization L'attaquant crée un vecteur d'attaque en combinant une charge utile, généralement un logiciel malveillant, avec une méthode de livraison, comme un courrier de phishing par exemple. Le cyberattaquant va dans ce cas transformer l'exploitation de la feuille de sécurité en arme, c'est-à-dire industrialiser l'exploit de cette feuille. Il s'agit ici de la rendre facilement utilisable contre une cible. Une attaque nécessite souvent une mise au point assez fine et des adaptations par rapport à la cible. Il peut y avoir quelques variations techniques d'une cible à une autre qui rend l'attaque inopérante sans adaptation. Certaines attaques peuvent parfaitement fonctionner dans certaines circonstances, mais peuvent nécessiter des adaptations dans d'autres cas. Il va sans dire que pour être efficace, le cyberattaquant a besoin que son attaque s'adapte automatiquement aux différents cas de figure. Sans ça, il devra faire du sur-mesure pour chacune des cibles attaquées et perdre énormément de temps. Le temps joue souvent contre les attaquants car les systèmes de défense vont tôt ou tard se mettre à jour et vont bloquer les attaques. Plus l'attaque sera automatisée et plus elle pourra cibler un large nombre de victimes potentielles, et plus elle aura de chances d'être un succès. Il existe de multiples outils qui permettent de coder son attaque dans un framework connu. L'un des plus connus est Metasploit. Metasploit est une plateforme très connue dans le monde de la cybersécurité car elle permet de lancer l'exploitation de feuilles de sécurité déjà écrites. Dans la plupart des cas, il ne reste qu'à préciser quelques paramètres sur la cible, comme par exemple l'adresse IP et le port. Cette plateforme a été conçue pour permettre aisément l'ajout de nouveaux cas d'exploitation de vulnérabilité. Cet outil permet aussi de générer du code malveillant à la demande. Là encore, la possibilité qu'a un attaquant d'automatiser cette étape permet de lui faire gagner un temps précieux. Pour compléter la panoplie, il existe aussi des outils qui permettent de camoufler son attaque. Comme par exemple l'outil Veil, qui permet d'éviter de se faire repérer trop rapidement par les antivirus. Il y a plusieurs intérêts à faire cela. D'une part, et comme nous l'avons expliqué, cela permet aux cyberattaquants d'utiliser de manière industrielle une attaque et donc d'être plus efficaces. Et d'autre part, s'ils ne souhaitent pas aller plus loin, ils peuvent facilement revendre son exploit prêt à l'emploi à un autre groupe de cyberattaquants. Vous allez faire sauter le pont ?
Je vais essayer.
Vous branchez le fil rouge sur le bouton rouge, le fil vert sur le bouton vert.
Vous appuyez et plaf ! Le fil vert sur le bouton vert, le fil rouge sur le bouton vert. Fil vert sur le bouton vert, le fil rouge sur le bouton vert.
Comment éviter ce genre de situation ? La première règle est d'appliquer des règles strictes en matière de patching d'infrastructures. Comme on le dit souvent en cybersécurité, il n'y a que trois choses à faire. Patcher, patcher et encore patcher, c'est-à-dire appliquer les correctifs en temps et en heure. Deuxième chose à faire, beaucoup de failles de sécurité sont exploitables car il est possible d'exécuter du code. C'est souvent le cas pour les macros dans la suite Office, particulièrement pour les fichiers Excel. Mais il y a aussi les browsers qui acceptent d'exécuter du code JavaScript. Bref, il faut réduire au maximum sa surface d'attaque, c'est-à-dire laisser le moins de possibilités au cyberattaquant d'exécuter du code sur votre machine. Mais n'oublions pas aussi quelques règles basiques, comme avoir un antivirus actif et à jour, un système de sécurité sur vos mails ou encore renforcer l'utilisation du multifactor authentication. Troisième étape, la livraison. L'attaquant utilise le vecteur d'attaque pour transmettre la charge utile à la victime. Concrètement, le cyberattaquant va essayer de délivrer le code malveillant qu'il a soigneusement préparé à l'étape précédente. Et là, tous les coups sont permis. Il y a les sites web malveillants ou encore les clés USB. A noter que les clés USB sont de moins en moins utilisées, mais cela reste un moyen extrêmement efficace de délivrer du code malveillant. Mis à part bloquer les ports USB, il n'y a que très peu de moyens de se prévenir de ce genre de problème. Quatrième étape, l'exploitation. L'exploitation fait référence à l'utilisation d'un logiciel, des données ou à une commande qui amène le système visé à opérer de manière non intentionnelle. Autrement dit, l'attaquant utilise une faille ou une vulnérabilité dans le système ou dans une application pour exécuter des commandes arbitraires. lire des données sensibles ou altérer des données. Il s'agit de l'étape où l'attaquant commence à exploiter activement les vulnérabilités qu'il a découvertes lors des étapes précédentes. Cela peut se produire de différentes manières. Par exemple, exploiter une faille de sécurité dans un logiciel pour obtenir un accès non autorisé, envoyer un mail de phishing contenant un lien vers un site web malveillant qui exploite une faille du navigateur, ou utiliser un exploit 0D. Un exploit 0D est une vulnérabilité encore inconnue des défenseurs et des étudiants de logiciels. Sachant qu'en plus, les failles 0D peuvent être acquises auprès d'un autre groupe de cyberattaquants. Une fois que l'exploitation est réussie, l'attaquant a généralement un certain niveau d'accès à l'environnement de la cible. Cela peut aller d'un accès limité à un seul système ou un accès complet au réseau. Et ce, en fonction de la vulnérabilité exploitée. Ici, la sandbox dont nous avions parlé dans l'épisode précédent peut jouer un rôle mitigant très important au niveau de ce risque. Cinquième étape, l'installation. Durant cette phase, l'attaquant tente d'installer un logiciel malveillant, généralement un malware, sur le système de la victime. Ce malware peut prendre plusieurs formes, notamment un ransomware. Ce type de malware chiffre les fichiers de l'utilisateur et exige une rançon pour les déchiffrer. Un logiciel espion, un spyware. Il surveille et collecte les activités de l'utilisateur sur son système sans son consentement. Il y a aussi les botnets. Il s'agit d'un réseau d'ordinateurs infectés contrôlés par un attaquant. Ces orniétards peuvent être utilisés pour lancer des attaques de grande envergure, comme des attaques par déni de service, ce qu'on appelle le DDoS. L'objectif de l'installation varie en fonction des intentions de l'attaquant. Il peut chercher à maintenir un accès à long terme au système, c'est ce qu'on appelle la persistance, ou à exfiltrer des données sensibles, mais encore à utiliser le système infecté pour lancer d'autres attaques, ou plus simplement à provoquer des dommages. Il est à noter que l'installation ne se limite pas à l'implantation de logiciels malveillants. Elle peut également impliquer la création de compte utilisateur malveillant ou l'altération de paramètres du système pour faciliter les actions ultérieures de l'attaquant. Il arrive assez fréquemment qu'une fois cette étape atteinte, les cyberattaquants laissent mijoter, c'est-à-dire qu'ils vont maintenir cet accès mais ne sont pas très actifs. Et parfois c'est simplement pour des raisons commerciales, car ils vont revendre ce point d'accès à un autre groupe d'attaquants. 6ème étape, le command and control ou le C2 pour les intimes. Après l'installation d'un logiciel malveillant ou d'un outil d'accès à distance sur le système ciblé, l'attaquant passe à la phase de contrôle de votre infrastructure. Dans cette phase, l'attaquant établit une connexion à distance avec le système compromis. Le serveur de command and control, le C2, est généralement un système informatique contrôlé par l'attaquant. Il est utilisé pour envoyer des commandes au système compromis et pour recevoir des données en retour. Cette connexion permet à l'attaquant de contrôler à distance les systèmes compromis et de lui donner des instructions précises.
Oui, monsieur le directeur. Gardez tout votre calme, Dubreuil. Et si vous ne dites plus qu'un seul mot ? Oui, vous avez compris ? Mais je ne comprends pas, monsieur le directeur. Mais qu'est-ce que je viens de vous dire ? Vous voulez être viré ? Mais... Oui, monsieur le directeur. Vous avez compris. Bon. Le plombier est toujours là. Oui, il est en train de... Oui, oui, oui.
Oui.
Détendez-vous, souris. Faites comme si je vous annonçais une grosse augmentation. Ah, merci, monsieur le directeur. Ça fait... Alors, vous allez très décontracté sortir du bureau et y laisser le plombier. Voilà, et vous venez nous rejoindre. Oui, monsieur le directeur. Maintenant, répétez ce que je vais vous dire. Un apéritif à l'atelier de gravure, j'arrive tout de suite, monsieur le directeur. Un apéritif à l'atelier de gravure, j'arrive tout de suite, monsieur le directeur. Je vous attends. Andouille. Bon, rassemblez tout le monde, on va le...
Voici quelques exemples de ce que l'attaquant peut faire lors de cette phase. Envoyer des commandes pour exécuter des actions spécifiques, comme la suppression de fichiers, la modification de paramètres du système ou le lancement d'attaques supplémentaires. Ou collecter des données sensibles à partir du système compromis. Les types de données collectées peuvent varier, mais elles incluent souvent les informations d'identification, des données financières, des données personnelles ou des informations commerciales sensibles. On peut aussi utiliser le système compromis comme point de lancement pour une autre attaque. Par exemple, l'attaquant peut utiliser le système compromis pour attaquer d'autres systèmes sur le même réseau ou pour lancer des attaques par déni de service contre une autre cible. Il peut aussi mettre à jour ou modifier le logiciel malveillant installé sur le système compromis. Et bien évidemment, il va essayer de dissimuler son activité en utilisant des techniques d'évasion et de persistance pour éviter la détection par les outils de sécurité. Septième et dernière étape, l'action sur l'objectif. Après avoir réussi les étapes précédentes, c'est-à-dire accéder au système ou au réseau cible, Après avoir installé des outils malveillants et établi un canal avec le Command Control, l'attaquant est maintenant prêt à réaliser son objectif final. L'objectif précis de l'attaquant dépend de ses motivations, qui peuvent être financières, politiques ou idéologiques. Voici quelques exemples de ce que l'attaquant pourrait faire lors de cette dernière étape. L'extraction de données. L'attaquant peut collecter des données sensibles du système ou du réseau compromis et les transférer vers un emplacement qu'il contrôle. Ces données peuvent inclure des informations d'identification, des informations financières ou des données personnelles, mais aussi des informations commerciales sensibles ou des secrets de l'entreprise. Il peut aussi essayer de détruire les données. L'attaquant, dans ce cas, peut effacer des données du système compromis soit pour causer des dommages, soit pour dissimuler ses activités. Il y a par ailleurs le déni de service. L'attaquant peut surcharger le système ou le réseau avec du trafic ou des requêtes inutiles, le rendant inaccessible aux utilisateurs légitimes. Il peut aussi tenter de modifier ou d'altérer les données. L'attaquant peut chercher à modifier des données sur les systèmes compromis pour atteindre certains objectifs. Par exemple, il pourrait modifier les transactions financières, falsifier des informations ou induire des erreurs dans certaines données. Sans oublier l'espionnage. L'objectif de l'attaquant peut être de surveiller les activités sur le système ou le réseau compromis, de collecter des informations sur une longue période ou d'intercepter des communications. Le modèle Kill Chain aide les organisations à identifier les points faibles de leur sécurité à chacune des étapes du processus d'attaque, mais aussi à mettre en place des contre-mesures et à renforcer leur posture en matière de cybersécurité. C'est un modèle très pragmatique qui colle dans la grande majorité des cas à une attaque typique. En comprenant les différentes étapes de la Kill Chain, les équipes de cybersécurité peuvent mieux anticiper les tactiques des attaquants et déployer des défenses appropriées pour réduire les risques et les impacts d'une cyberattaque. C'est une approche très pragmatique et très efficace, mais qui ne prend pas en compte les spécificités des groupes d'attaquants, ni même le mode opératoire. Un autre modèle existe qui, lui, prend en compte ces spécificités. C'est le modèle MITRE. Le modèle reprend en détail les étapes présentes dans le modèle Kill Chain, mais comme nous allons le voir, est aussi beaucoup plus collaboratif. Le MITRE ATTACK, pour Adversarial Tactics, Techniques and Common Knowledge, est un cadre de référence développé par le MITRE Corporation. Ce framework décrit des classes de TTP. TTP pour Tactics, Techniques et Procédures. Ce sont les tactiques, techniques et procédures utilisées par les cyberattaquants pour pénétrer et compromettre les systèmes d'information. Les TTP sont un peu comme une signature qui décrivent le style de chaque groupe de cyberattaquants. Le cadre MITRE est organisé en différentes matrices qui représentent différentes phases de l'attaque. Vous allez voir que cela reprend en détail les étapes de la killchain. Je ne fais ici que traduire ce que vous pouvez trouver sur le site web de MITRE. Étape numéro 1, la reconnaissance. La reconnaissance consiste en des techniques qui impliquent que les adversaires recueillent activement ou passivement des informations qui peuvent être utilisées pour cibler. Ces informations peuvent inclure des détails sur l'organisation victime, l'infrastructure ou le personnel. Ces informations peuvent être exploitées par l'adversaire pour aider dans d'autres phases du cycle de vie, comme l'utilisation des informations recueillies pour planifier et exécuter l'accès initial. Pour délimiter aussi et prioriser les objectifs après compromission. Ou pour orienter et diriger davantage d'efforts et de reconnaissance. Étape numéro 2, développement des ressources. Le développement de ressources constituant des techniques qui impliquent que les adversaires créent, achètent ou compromettent, ou souhaitent vol, des ressources qui peuvent être utilisées pour soutenir le ciblage. Ces ressources comprennent l'infrastructure, les comptes et les services. Ces ressources peuvent être exploitées par l'adversaire pour aider dans d'autres phases du cycle de vie de l'attaque, comme l'utilisation de domaines achetés pour soutenir le command and control, des comptes de courrier électronique pour le phishing dans le cadre de l'accès initial, ou le vol de certificat pour la signature du code peut aider aussi à l'évaluation ou au camouflage. Étape numéro 3, l'accès initial. L'accès initial consiste en des techniques qui utilisent divers vecteurs d'entrée pour obtenir leur première emprise dans le réseau. Les techniques utilisées pour obtenir une emprise comprennent le hameçonnage ciblé, le spear phishing et l'exploitation de faiblesse sur les serveurs web accessibles au public. Les points d'ancrage obtenus grâce à l'accès initial peuvent permettre un accès continu. comme des comptes valides par exemple ou l'utilisation de services distants externes. Mais généralement, son usage est relativement limité à cause de la modification des mots de passe. Étape numéro 4, l'exécution. L'exécution consiste en des techniques qui aboutissent à l'exécution de codes contrôlés par l'adversaire sur un système local ou distant. Par exemple, un adversaire pourrait utiliser un outil d'accès à distance pour exécuter un script PowerShell qui effectue une découverte du système à distance. Étape numéro 5, la persistance. La persistance consiste en des techniques que les adversaires utilisent pour maintenir l'accès au système malgré les redémarrages, les changements de mot de passe et autres interruptions qui pourraient couper leurs accès. Les techniques utilisées pour la persistance comprennent les accès, les actions ou les modifications de configuration qui permettent de maintenir leur emprise sur le système, comme le remplacement ou la prise de contrôle de codes légitimes ou l'ajout de codes au redémarrage. Étape numéro 6, élévation de privilèges. L'élévation de privilèges consiste en des techniques que les adversaires utilisent pour obtenir des permissions de niveau supérieur sur un système ou un réseau. Les adversaires peuvent souvent entrer et explorer un réseau avec un accès non privilégié. Mais il est nécessaire d'obtenir des permissions élevées pour réaliser leur objectif. Les approches courantes consistent à tirer parti des faiblesses du système, les mauvaises configurations, les vulnérabilités, etc. Les exemples d'accès élevés comprennent généralement le compte administrateur local, ou un compte utilisateur avec un accès semblable à celui d'un administrateur, mais encore un compte utilisateur ayant un accès spécifique au système et qui est capable d'exécuter une fonction spécifique. Septième étape, les techniques de furtivité. Les techniques de furtivité consistent en des techniques que les adversaires utilisent pour éviter la détection tout au long de leur compromission. Les techniques utilisées pour assurer la furtivité comprennent la désinstallation ou la désactivation de logiciels de sécurité, ou l'obscurcissement ou le chiffrement des données et des scripts. Les adversaires exploitent également et abusent des processus de confiance pour cacher et masquer leurs logiciels malveillants. Huitième étape. accès aux informations d'identification. L'accès aux informations d'identification consiste en des techniques de vol de référence telles que le nom de compte et les mots de passe. Les techniques utilisées pour obtenir ces informations d'identification incluent l'enregistrement de frappe, ce qu'on appelle le keylogging, ou la capture d'informations d'identification, ce qu'on appelle le credential damping. L'utilisation de références légitimes peut donner aux adversaires un accès au système, ce qui rend la détection plus difficile à détecter et offrent la possibilité de créer davantage de comptes pour aider à atteindre leurs objectifs. Étape 9, la découverte. La découverte consiste en des techniques qu'un adversaire peut utiliser pour acquérir des connaissances sur le système et leur réseau interne. Ces techniques aident les adversaires à observer l'environnement et à s'orienter avant de décider comment agir. Elles permettent également aux adversaires d'explorer ce qu'ils peuvent contrôler et qui se trouve autour de leur point d'entrée, afin de découvrir comment cela pourrait bénéficier à leur objectif actuel. Les outils natifs du système d'exploitation sont souvent utilisés pour atteindre cet objectif de collecte d'informations après compromission. L'étape numéro 10, le mouvement latéral. Le mouvement latéral consiste en des techniques que les adversaires utilisent pour entrer et contrôler des systèmes à distance sur le réseau. Pour atteindre leur objectif principal, ils doivent souvent explorer le réseau pour trouver leur cible et par la suite obtenir l'accès à celle-ci. Atteindre leur objectif implique souvent de pivoter à travers plusieurs systèmes et de comptes. Les adversaires pourraient installer leurs propres outils d'accès à distance pour réaliser un mouvement littéral ou utiliser des informations d'identification légitimes avec des outils natifs du réseau ou du système d'exploitation, ce qui est plus discret. Étape numéro 11, la collecte. La collecte consiste en des techniques que les adversaires peuvent utiliser pour rassembler des informations pertinentes pour la réalisation de leurs objectifs. Souvent, le prochain but après la collecte de données est de voler, c'est-à-dire d'exfiltrer les données. Étape numéro 12, le common hand control. Le common hand control consiste en des techniques que les adversaires peuvent utiliser pour communiquer avec les systèmes sous leur contrôle au sein du réseau de la victime. Les adversaires tentent généralement d'imiter le trafic normal pour éviter la détection. Il existe de nombreuses façons pour un adversaire d'établir un common hand control avec différents niveaux de discrétion, selon la structure de réseau de la victime et ses défenses. Étape numéro 13, l'exfiltration. L'exfiltration consiste en des techniques. que les adversaires peuvent utiliser pour voler des données sur votre réseau. Une fois les données collectées, les adversaires les regroupent et les traitent souvent pour éviter la détection lors de leur retrait. Cela peut inclure la compression et le chiffrement. Les techniques pour extraire des données d'un réseau cible incluent généralement les transferts via le canal du command and control ou aussi un canal alternatif. Étape numéro 14, l'impact. L'impact consiste en des techniques que les adversaires utilisent pour perturber la disponibilité ou pour compromettre l'intégrité du système d'information en manipulant les processus opérationnels de l'entreprise. Les techniques utilisées pour l'impact peuvent inclure de la destruction ou la falsification de données. Dans certains cas, les processus commerciaux peuvent sembler être corrects, mais peuvent avoir été modifiés pour favoriser les objectifs de l'adversaire. Ces techniques peuvent être utilisées par les adversaires pour réaliser leur objectif final ou pour fournir une couverture pour une relation de confidentialité. On comprend assez facilement qu'il y a des similitudes entre le modèle Kill Chain. Mais d'une certaine manière, Maitre va un cran plus loin. Le framework Maitre et le modèle Killchain sont tous les deux des outils précieux pour comprendre et contrer les menaces de cybersécurité, mais ils ont des approches différentes et peuvent être utilisés de manière complémentaire. L'un des aspects qui rend le framework Maitre particulièrement collaboratif est son caractère ouvert et évolutif. Maitre est une base de connaissances globale en constante évolution qui utilise des sources d'informations en provenance de communautés cyber du monde entier, qui mettent à jour le framework avec les dernières tactiques, techniques et procédures, les fameux TTP utilisés par les cyberattaquants. Maitre utilise un format ouvert, il est d'ailleurs disponible gratuitement pour toutes les personnes intéressées, ce qui facilite la collaboration et le partage d'informations entre les chercheurs en cybersécurité. On peut aussi parler, pour finir, de l'interopérabilité avec les autres outils et frameworks. Le framework Maitre est conçu pour être utilisé avec d'autres outils et des frameworks de cybersécurité, ce qui facilite l'intégration du framework dans d'autres systèmes de gestion de menaces et des incidents. On trouvera par exemple dans Azure, le cloud de Microsoft, une représentation de la matrice Maitre et des contrôles sous-jacents mis en place dans le cloud. Grâce à toutes ces caractéristiques, Maitre est devenu très populaire en cybersécurité, car c'est un framework qui donne une vision de bout en bout d'une attaque en se basant sur des informations collectées dans le monde entier. Si vous souhaitez aller plus loin dans la compréhension de ce framework, je ne peux que vous encourager à consulter le site web de Maitre, dont je mettrai bien évidemment le lien en commentaire de cet épisode. et aussi l'écoute de l'épisode 343 de l'excellent podcast No Limits Sécu qui est consacré à ce sujet. Encore merci d'avoir écouté cet épisode, n'hésitez pas à le liker et à le partager avec d'autres. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certaines personnes, la cybersécurité est un enjeu de vie de mort, c'est bien plus sérieux que ça.
Description
Episode dédié à la découverte de "Kill chain" et de MITRE.
Site web de MITR : https://attack.mitre.org
Site web qui regroupe des outils d'OSINT : https://osintframework.com
Episode de "No Limit Secu" dédié à MITR : https://www.nolimitsecu.fr/mitre-attck/
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Lors de l'épisode Pour une poignée de dollars nous avons détaillé une attaque point par point. Et vous l'avez peut-être compris, même s'il existe des centaines d'attaques différentes, il y en a en fait autant qu'il existe de groupes de cyberattaquants. Elles ont toutes plus ou moins la même forme. D'une certaine manière, on peut les modéliser, c'est-à-dire disséquer l'attaque en différentes étapes. Cette modélisation peut avoir beaucoup d'intérêt en matière de cybersécurité, car comme toujours, mieux connaître le mécanisme d'une attaque, c'est-à-dire qui la lance, avec quelle technique et dans quel but, permet d'adapter et de contrôler sa ligne de défense. Il y a principalement trois méthodologies de modélisation d'une attaque qui sont les modèles Kill Chain de Lucky de Martine, le modèle Diamond et le modèle Maitre Attack. Ces modèles ont tous des points communs et des différences. Je ne parlerai ici que des modèles Kill Chain et Maitre. Commençons par le modèle Kill Chain. La méthode Kill Chain est un modèle conceptuel développé pour analyser et comprendre les différentes étapes d'une cyberattaque. Ce modèle a été initialement développé par LookinMartin, une entreprise de défense et de sécurité, et largement utilisée dans le domaine de la cybersécurité pour évaluer les menaces et les attaques. On parle d'ailleurs assez souvent de la Kill Chain pour définir l'ensemble des éléments mis en œuvre lors d'une attaque. C'est devenu un terme générique qui décrit l'attaque dans son intégralité. La Kill Chain se décompose en 7 étapes distinctes qui représentent les processus typiques suivis par les cyberattaquants pour compromettre un système ou un réseau. Première étape, la reconnaissance. L'attaquant cherche des informations sur les victimes, telles que les vulnérabilités potentielles, les systèmes utilisés, les employés et d'autres informations qui peuvent être utiles pour planifier et exécuter l'attaque. Pour ceci, il va utiliser principalement deux catégories de méthodes pour obtenir des informations sur sa cible. D'une part, il va collecter des informations de manière passive, c'est-à-dire récupérer des informations qui sont disponibles directement sur Internet. Wizz, par exemple, est un service qui permet de récupérer des informations sur le domaine de votre organisation, quand le domaine a été créé et qui est son propriétaire si cette information n'a pas été anonymisée. Google peut être aussi un excellent moyen de récupérer des informations utiles. Souvent, les cyberattaquants lancent des requêtes très spécifiques en ciblant particulièrement un domaine, cherchant des informations potentiellement utiles pour une attaque. Ces requêtes, qu'on appelle Google d'orque dans le jargon, permettent de récupérer des informations mal protégées et indexées par Google par erreur. Il n'est pas rare que des fichiers de configuration se trouvent ainsi exploités dans ce contexte. Il existe aussi des sites bien plus spécialisés dans l'acquisition des données liées à une organisation. C'est le cas du site Shodan qui permet en quelques clics de récupérer des informations liées à une infrastructure ciblée. Le dernier exemple, mais qui est certainement le plus évident, c'est le site web de l'organisation lui-même. Bien souvent, ce site web est utilisé pour fabriquer des dictionnaires qui seront par la suite utilisés pour tenter de craquer des mots de passe. Sachant que bien souvent, les utilisateurs font référence au nom de l'organisation dans leur mot de passe, la probabilité est assez grande de craquer un mot de passe en utilisant ce type d'informations. Si vous souhaitez avoir une liste un peu plus exhaustive des outils disponibles, vous pouvez consulter le site web osinframework.com, dont bien évidemment, je mettrai le lien en commentaire. Par ailleurs, l'attaquant va effectuer des recherches actives. au sens où il va délibérément questionner votre système d'information pour récupérer des informations. On trouvera par exemple l'utilisation de l'outil Nmap, qui a pour but de contacter un serveur et de déterminer quels ports sont ouverts ou cachés derrière un firewall. Il pourra aussi dans certains cas déterminer quel système d'exploitation fait tourner la machine. Ces informations sont très utiles pour un attaquant, car il pourra s'en servir pour mieux connaître les faiblesses de la cible. Il pourra d'ailleurs tout simplement lancer un scan de vulnérabilité, c'est-à-dire un outil ayant pour but de trouver automatiquement des failles de sécurité. Rappelez-vous qu'un port est un peu comme un service que vous cherchez à joindre dans une entreprise. Chaque service a son propre numéro de téléphone qui est lié à l'entreprise. Eh bien, Nmap va essayer de joindre tous les postes de l'entreprise. Si le numéro ne répond pas, c'est que le service n'est pas actif. Alors que si le numéro répond, c'est qu'il l'est. Comme par exemple le service des pièces détachées. Grâce à cette information, Nmap... est capable de cartographier très rapidement les services qui tournent sur une machine, mais aussi quelle est la nature de ce service et éventuellement les versions du logiciel qui tournent derrière. Il y a un orange dans le bin-bon ?
Oui, bonjour, je voudrais résilier l'abonnement de ma box.
Alors dans ce cas-là, il me faudrait votre numéro de client, s'il vous plaît, c'est sur votre facture. Oui,
donc c'est le 81267B. En fait, je voudrais résilier l'abonnement de ma box.
Ah oui, mais là, vous n'êtes pas au bon service.
Et bien, pourquoi vous m'avez demandé mon numéro de client ? Parce que c'est la procédure.
Allez, je vous transfère. Au revoir, votre temps d'attente. Le 7,
petit café ? Votre temps d'attente est estimé à 20 minutes. Bon, il est 12. Donc, on va venir à l'accueil. T'as péré, toi.
Vous pouvez constater que la première méthode se base sur des informations que vous avez communiquées, volontairement ou involontairement. Ce sont généralement des informations en source ouverte. Alors que la deuxième méthode est basée sur des informations que le cyberattaquant va chercher lui-même. C'est la raison pour laquelle on parle de récupération d'informations passives. dans le premier cas, et active dans le second. Mais comment se prémunir de ce genre de problème ? Comment faire pour ne pas trop laisser d'informations fuiter ? Eh bien la solution la plus simple est d'essayer d'en donner le minimum possible. Vous devez vous restreindre à divulguer uniquement ce qui est nécessaire et surtout vérifier par vous-même s'il n'y a pas des données dans la nature. Seconde étape, la transformation en arme. C'est ce qu'on appelle en anglais weaponization L'attaquant crée un vecteur d'attaque en combinant une charge utile, généralement un logiciel malveillant, avec une méthode de livraison, comme un courrier de phishing par exemple. Le cyberattaquant va dans ce cas transformer l'exploitation de la feuille de sécurité en arme, c'est-à-dire industrialiser l'exploit de cette feuille. Il s'agit ici de la rendre facilement utilisable contre une cible. Une attaque nécessite souvent une mise au point assez fine et des adaptations par rapport à la cible. Il peut y avoir quelques variations techniques d'une cible à une autre qui rend l'attaque inopérante sans adaptation. Certaines attaques peuvent parfaitement fonctionner dans certaines circonstances, mais peuvent nécessiter des adaptations dans d'autres cas. Il va sans dire que pour être efficace, le cyberattaquant a besoin que son attaque s'adapte automatiquement aux différents cas de figure. Sans ça, il devra faire du sur-mesure pour chacune des cibles attaquées et perdre énormément de temps. Le temps joue souvent contre les attaquants car les systèmes de défense vont tôt ou tard se mettre à jour et vont bloquer les attaques. Plus l'attaque sera automatisée et plus elle pourra cibler un large nombre de victimes potentielles, et plus elle aura de chances d'être un succès. Il existe de multiples outils qui permettent de coder son attaque dans un framework connu. L'un des plus connus est Metasploit. Metasploit est une plateforme très connue dans le monde de la cybersécurité car elle permet de lancer l'exploitation de feuilles de sécurité déjà écrites. Dans la plupart des cas, il ne reste qu'à préciser quelques paramètres sur la cible, comme par exemple l'adresse IP et le port. Cette plateforme a été conçue pour permettre aisément l'ajout de nouveaux cas d'exploitation de vulnérabilité. Cet outil permet aussi de générer du code malveillant à la demande. Là encore, la possibilité qu'a un attaquant d'automatiser cette étape permet de lui faire gagner un temps précieux. Pour compléter la panoplie, il existe aussi des outils qui permettent de camoufler son attaque. Comme par exemple l'outil Veil, qui permet d'éviter de se faire repérer trop rapidement par les antivirus. Il y a plusieurs intérêts à faire cela. D'une part, et comme nous l'avons expliqué, cela permet aux cyberattaquants d'utiliser de manière industrielle une attaque et donc d'être plus efficaces. Et d'autre part, s'ils ne souhaitent pas aller plus loin, ils peuvent facilement revendre son exploit prêt à l'emploi à un autre groupe de cyberattaquants. Vous allez faire sauter le pont ?
Je vais essayer.
Vous branchez le fil rouge sur le bouton rouge, le fil vert sur le bouton vert.
Vous appuyez et plaf ! Le fil vert sur le bouton vert, le fil rouge sur le bouton vert. Fil vert sur le bouton vert, le fil rouge sur le bouton vert.
Comment éviter ce genre de situation ? La première règle est d'appliquer des règles strictes en matière de patching d'infrastructures. Comme on le dit souvent en cybersécurité, il n'y a que trois choses à faire. Patcher, patcher et encore patcher, c'est-à-dire appliquer les correctifs en temps et en heure. Deuxième chose à faire, beaucoup de failles de sécurité sont exploitables car il est possible d'exécuter du code. C'est souvent le cas pour les macros dans la suite Office, particulièrement pour les fichiers Excel. Mais il y a aussi les browsers qui acceptent d'exécuter du code JavaScript. Bref, il faut réduire au maximum sa surface d'attaque, c'est-à-dire laisser le moins de possibilités au cyberattaquant d'exécuter du code sur votre machine. Mais n'oublions pas aussi quelques règles basiques, comme avoir un antivirus actif et à jour, un système de sécurité sur vos mails ou encore renforcer l'utilisation du multifactor authentication. Troisième étape, la livraison. L'attaquant utilise le vecteur d'attaque pour transmettre la charge utile à la victime. Concrètement, le cyberattaquant va essayer de délivrer le code malveillant qu'il a soigneusement préparé à l'étape précédente. Et là, tous les coups sont permis. Il y a les sites web malveillants ou encore les clés USB. A noter que les clés USB sont de moins en moins utilisées, mais cela reste un moyen extrêmement efficace de délivrer du code malveillant. Mis à part bloquer les ports USB, il n'y a que très peu de moyens de se prévenir de ce genre de problème. Quatrième étape, l'exploitation. L'exploitation fait référence à l'utilisation d'un logiciel, des données ou à une commande qui amène le système visé à opérer de manière non intentionnelle. Autrement dit, l'attaquant utilise une faille ou une vulnérabilité dans le système ou dans une application pour exécuter des commandes arbitraires. lire des données sensibles ou altérer des données. Il s'agit de l'étape où l'attaquant commence à exploiter activement les vulnérabilités qu'il a découvertes lors des étapes précédentes. Cela peut se produire de différentes manières. Par exemple, exploiter une faille de sécurité dans un logiciel pour obtenir un accès non autorisé, envoyer un mail de phishing contenant un lien vers un site web malveillant qui exploite une faille du navigateur, ou utiliser un exploit 0D. Un exploit 0D est une vulnérabilité encore inconnue des défenseurs et des étudiants de logiciels. Sachant qu'en plus, les failles 0D peuvent être acquises auprès d'un autre groupe de cyberattaquants. Une fois que l'exploitation est réussie, l'attaquant a généralement un certain niveau d'accès à l'environnement de la cible. Cela peut aller d'un accès limité à un seul système ou un accès complet au réseau. Et ce, en fonction de la vulnérabilité exploitée. Ici, la sandbox dont nous avions parlé dans l'épisode précédent peut jouer un rôle mitigant très important au niveau de ce risque. Cinquième étape, l'installation. Durant cette phase, l'attaquant tente d'installer un logiciel malveillant, généralement un malware, sur le système de la victime. Ce malware peut prendre plusieurs formes, notamment un ransomware. Ce type de malware chiffre les fichiers de l'utilisateur et exige une rançon pour les déchiffrer. Un logiciel espion, un spyware. Il surveille et collecte les activités de l'utilisateur sur son système sans son consentement. Il y a aussi les botnets. Il s'agit d'un réseau d'ordinateurs infectés contrôlés par un attaquant. Ces orniétards peuvent être utilisés pour lancer des attaques de grande envergure, comme des attaques par déni de service, ce qu'on appelle le DDoS. L'objectif de l'installation varie en fonction des intentions de l'attaquant. Il peut chercher à maintenir un accès à long terme au système, c'est ce qu'on appelle la persistance, ou à exfiltrer des données sensibles, mais encore à utiliser le système infecté pour lancer d'autres attaques, ou plus simplement à provoquer des dommages. Il est à noter que l'installation ne se limite pas à l'implantation de logiciels malveillants. Elle peut également impliquer la création de compte utilisateur malveillant ou l'altération de paramètres du système pour faciliter les actions ultérieures de l'attaquant. Il arrive assez fréquemment qu'une fois cette étape atteinte, les cyberattaquants laissent mijoter, c'est-à-dire qu'ils vont maintenir cet accès mais ne sont pas très actifs. Et parfois c'est simplement pour des raisons commerciales, car ils vont revendre ce point d'accès à un autre groupe d'attaquants. 6ème étape, le command and control ou le C2 pour les intimes. Après l'installation d'un logiciel malveillant ou d'un outil d'accès à distance sur le système ciblé, l'attaquant passe à la phase de contrôle de votre infrastructure. Dans cette phase, l'attaquant établit une connexion à distance avec le système compromis. Le serveur de command and control, le C2, est généralement un système informatique contrôlé par l'attaquant. Il est utilisé pour envoyer des commandes au système compromis et pour recevoir des données en retour. Cette connexion permet à l'attaquant de contrôler à distance les systèmes compromis et de lui donner des instructions précises.
Oui, monsieur le directeur. Gardez tout votre calme, Dubreuil. Et si vous ne dites plus qu'un seul mot ? Oui, vous avez compris ? Mais je ne comprends pas, monsieur le directeur. Mais qu'est-ce que je viens de vous dire ? Vous voulez être viré ? Mais... Oui, monsieur le directeur. Vous avez compris. Bon. Le plombier est toujours là. Oui, il est en train de... Oui, oui, oui.
Oui.
Détendez-vous, souris. Faites comme si je vous annonçais une grosse augmentation. Ah, merci, monsieur le directeur. Ça fait... Alors, vous allez très décontracté sortir du bureau et y laisser le plombier. Voilà, et vous venez nous rejoindre. Oui, monsieur le directeur. Maintenant, répétez ce que je vais vous dire. Un apéritif à l'atelier de gravure, j'arrive tout de suite, monsieur le directeur. Un apéritif à l'atelier de gravure, j'arrive tout de suite, monsieur le directeur. Je vous attends. Andouille. Bon, rassemblez tout le monde, on va le...
Voici quelques exemples de ce que l'attaquant peut faire lors de cette phase. Envoyer des commandes pour exécuter des actions spécifiques, comme la suppression de fichiers, la modification de paramètres du système ou le lancement d'attaques supplémentaires. Ou collecter des données sensibles à partir du système compromis. Les types de données collectées peuvent varier, mais elles incluent souvent les informations d'identification, des données financières, des données personnelles ou des informations commerciales sensibles. On peut aussi utiliser le système compromis comme point de lancement pour une autre attaque. Par exemple, l'attaquant peut utiliser le système compromis pour attaquer d'autres systèmes sur le même réseau ou pour lancer des attaques par déni de service contre une autre cible. Il peut aussi mettre à jour ou modifier le logiciel malveillant installé sur le système compromis. Et bien évidemment, il va essayer de dissimuler son activité en utilisant des techniques d'évasion et de persistance pour éviter la détection par les outils de sécurité. Septième et dernière étape, l'action sur l'objectif. Après avoir réussi les étapes précédentes, c'est-à-dire accéder au système ou au réseau cible, Après avoir installé des outils malveillants et établi un canal avec le Command Control, l'attaquant est maintenant prêt à réaliser son objectif final. L'objectif précis de l'attaquant dépend de ses motivations, qui peuvent être financières, politiques ou idéologiques. Voici quelques exemples de ce que l'attaquant pourrait faire lors de cette dernière étape. L'extraction de données. L'attaquant peut collecter des données sensibles du système ou du réseau compromis et les transférer vers un emplacement qu'il contrôle. Ces données peuvent inclure des informations d'identification, des informations financières ou des données personnelles, mais aussi des informations commerciales sensibles ou des secrets de l'entreprise. Il peut aussi essayer de détruire les données. L'attaquant, dans ce cas, peut effacer des données du système compromis soit pour causer des dommages, soit pour dissimuler ses activités. Il y a par ailleurs le déni de service. L'attaquant peut surcharger le système ou le réseau avec du trafic ou des requêtes inutiles, le rendant inaccessible aux utilisateurs légitimes. Il peut aussi tenter de modifier ou d'altérer les données. L'attaquant peut chercher à modifier des données sur les systèmes compromis pour atteindre certains objectifs. Par exemple, il pourrait modifier les transactions financières, falsifier des informations ou induire des erreurs dans certaines données. Sans oublier l'espionnage. L'objectif de l'attaquant peut être de surveiller les activités sur le système ou le réseau compromis, de collecter des informations sur une longue période ou d'intercepter des communications. Le modèle Kill Chain aide les organisations à identifier les points faibles de leur sécurité à chacune des étapes du processus d'attaque, mais aussi à mettre en place des contre-mesures et à renforcer leur posture en matière de cybersécurité. C'est un modèle très pragmatique qui colle dans la grande majorité des cas à une attaque typique. En comprenant les différentes étapes de la Kill Chain, les équipes de cybersécurité peuvent mieux anticiper les tactiques des attaquants et déployer des défenses appropriées pour réduire les risques et les impacts d'une cyberattaque. C'est une approche très pragmatique et très efficace, mais qui ne prend pas en compte les spécificités des groupes d'attaquants, ni même le mode opératoire. Un autre modèle existe qui, lui, prend en compte ces spécificités. C'est le modèle MITRE. Le modèle reprend en détail les étapes présentes dans le modèle Kill Chain, mais comme nous allons le voir, est aussi beaucoup plus collaboratif. Le MITRE ATTACK, pour Adversarial Tactics, Techniques and Common Knowledge, est un cadre de référence développé par le MITRE Corporation. Ce framework décrit des classes de TTP. TTP pour Tactics, Techniques et Procédures. Ce sont les tactiques, techniques et procédures utilisées par les cyberattaquants pour pénétrer et compromettre les systèmes d'information. Les TTP sont un peu comme une signature qui décrivent le style de chaque groupe de cyberattaquants. Le cadre MITRE est organisé en différentes matrices qui représentent différentes phases de l'attaque. Vous allez voir que cela reprend en détail les étapes de la killchain. Je ne fais ici que traduire ce que vous pouvez trouver sur le site web de MITRE. Étape numéro 1, la reconnaissance. La reconnaissance consiste en des techniques qui impliquent que les adversaires recueillent activement ou passivement des informations qui peuvent être utilisées pour cibler. Ces informations peuvent inclure des détails sur l'organisation victime, l'infrastructure ou le personnel. Ces informations peuvent être exploitées par l'adversaire pour aider dans d'autres phases du cycle de vie, comme l'utilisation des informations recueillies pour planifier et exécuter l'accès initial. Pour délimiter aussi et prioriser les objectifs après compromission. Ou pour orienter et diriger davantage d'efforts et de reconnaissance. Étape numéro 2, développement des ressources. Le développement de ressources constituant des techniques qui impliquent que les adversaires créent, achètent ou compromettent, ou souhaitent vol, des ressources qui peuvent être utilisées pour soutenir le ciblage. Ces ressources comprennent l'infrastructure, les comptes et les services. Ces ressources peuvent être exploitées par l'adversaire pour aider dans d'autres phases du cycle de vie de l'attaque, comme l'utilisation de domaines achetés pour soutenir le command and control, des comptes de courrier électronique pour le phishing dans le cadre de l'accès initial, ou le vol de certificat pour la signature du code peut aider aussi à l'évaluation ou au camouflage. Étape numéro 3, l'accès initial. L'accès initial consiste en des techniques qui utilisent divers vecteurs d'entrée pour obtenir leur première emprise dans le réseau. Les techniques utilisées pour obtenir une emprise comprennent le hameçonnage ciblé, le spear phishing et l'exploitation de faiblesse sur les serveurs web accessibles au public. Les points d'ancrage obtenus grâce à l'accès initial peuvent permettre un accès continu. comme des comptes valides par exemple ou l'utilisation de services distants externes. Mais généralement, son usage est relativement limité à cause de la modification des mots de passe. Étape numéro 4, l'exécution. L'exécution consiste en des techniques qui aboutissent à l'exécution de codes contrôlés par l'adversaire sur un système local ou distant. Par exemple, un adversaire pourrait utiliser un outil d'accès à distance pour exécuter un script PowerShell qui effectue une découverte du système à distance. Étape numéro 5, la persistance. La persistance consiste en des techniques que les adversaires utilisent pour maintenir l'accès au système malgré les redémarrages, les changements de mot de passe et autres interruptions qui pourraient couper leurs accès. Les techniques utilisées pour la persistance comprennent les accès, les actions ou les modifications de configuration qui permettent de maintenir leur emprise sur le système, comme le remplacement ou la prise de contrôle de codes légitimes ou l'ajout de codes au redémarrage. Étape numéro 6, élévation de privilèges. L'élévation de privilèges consiste en des techniques que les adversaires utilisent pour obtenir des permissions de niveau supérieur sur un système ou un réseau. Les adversaires peuvent souvent entrer et explorer un réseau avec un accès non privilégié. Mais il est nécessaire d'obtenir des permissions élevées pour réaliser leur objectif. Les approches courantes consistent à tirer parti des faiblesses du système, les mauvaises configurations, les vulnérabilités, etc. Les exemples d'accès élevés comprennent généralement le compte administrateur local, ou un compte utilisateur avec un accès semblable à celui d'un administrateur, mais encore un compte utilisateur ayant un accès spécifique au système et qui est capable d'exécuter une fonction spécifique. Septième étape, les techniques de furtivité. Les techniques de furtivité consistent en des techniques que les adversaires utilisent pour éviter la détection tout au long de leur compromission. Les techniques utilisées pour assurer la furtivité comprennent la désinstallation ou la désactivation de logiciels de sécurité, ou l'obscurcissement ou le chiffrement des données et des scripts. Les adversaires exploitent également et abusent des processus de confiance pour cacher et masquer leurs logiciels malveillants. Huitième étape. accès aux informations d'identification. L'accès aux informations d'identification consiste en des techniques de vol de référence telles que le nom de compte et les mots de passe. Les techniques utilisées pour obtenir ces informations d'identification incluent l'enregistrement de frappe, ce qu'on appelle le keylogging, ou la capture d'informations d'identification, ce qu'on appelle le credential damping. L'utilisation de références légitimes peut donner aux adversaires un accès au système, ce qui rend la détection plus difficile à détecter et offrent la possibilité de créer davantage de comptes pour aider à atteindre leurs objectifs. Étape 9, la découverte. La découverte consiste en des techniques qu'un adversaire peut utiliser pour acquérir des connaissances sur le système et leur réseau interne. Ces techniques aident les adversaires à observer l'environnement et à s'orienter avant de décider comment agir. Elles permettent également aux adversaires d'explorer ce qu'ils peuvent contrôler et qui se trouve autour de leur point d'entrée, afin de découvrir comment cela pourrait bénéficier à leur objectif actuel. Les outils natifs du système d'exploitation sont souvent utilisés pour atteindre cet objectif de collecte d'informations après compromission. L'étape numéro 10, le mouvement latéral. Le mouvement latéral consiste en des techniques que les adversaires utilisent pour entrer et contrôler des systèmes à distance sur le réseau. Pour atteindre leur objectif principal, ils doivent souvent explorer le réseau pour trouver leur cible et par la suite obtenir l'accès à celle-ci. Atteindre leur objectif implique souvent de pivoter à travers plusieurs systèmes et de comptes. Les adversaires pourraient installer leurs propres outils d'accès à distance pour réaliser un mouvement littéral ou utiliser des informations d'identification légitimes avec des outils natifs du réseau ou du système d'exploitation, ce qui est plus discret. Étape numéro 11, la collecte. La collecte consiste en des techniques que les adversaires peuvent utiliser pour rassembler des informations pertinentes pour la réalisation de leurs objectifs. Souvent, le prochain but après la collecte de données est de voler, c'est-à-dire d'exfiltrer les données. Étape numéro 12, le common hand control. Le common hand control consiste en des techniques que les adversaires peuvent utiliser pour communiquer avec les systèmes sous leur contrôle au sein du réseau de la victime. Les adversaires tentent généralement d'imiter le trafic normal pour éviter la détection. Il existe de nombreuses façons pour un adversaire d'établir un common hand control avec différents niveaux de discrétion, selon la structure de réseau de la victime et ses défenses. Étape numéro 13, l'exfiltration. L'exfiltration consiste en des techniques. que les adversaires peuvent utiliser pour voler des données sur votre réseau. Une fois les données collectées, les adversaires les regroupent et les traitent souvent pour éviter la détection lors de leur retrait. Cela peut inclure la compression et le chiffrement. Les techniques pour extraire des données d'un réseau cible incluent généralement les transferts via le canal du command and control ou aussi un canal alternatif. Étape numéro 14, l'impact. L'impact consiste en des techniques que les adversaires utilisent pour perturber la disponibilité ou pour compromettre l'intégrité du système d'information en manipulant les processus opérationnels de l'entreprise. Les techniques utilisées pour l'impact peuvent inclure de la destruction ou la falsification de données. Dans certains cas, les processus commerciaux peuvent sembler être corrects, mais peuvent avoir été modifiés pour favoriser les objectifs de l'adversaire. Ces techniques peuvent être utilisées par les adversaires pour réaliser leur objectif final ou pour fournir une couverture pour une relation de confidentialité. On comprend assez facilement qu'il y a des similitudes entre le modèle Kill Chain. Mais d'une certaine manière, Maitre va un cran plus loin. Le framework Maitre et le modèle Killchain sont tous les deux des outils précieux pour comprendre et contrer les menaces de cybersécurité, mais ils ont des approches différentes et peuvent être utilisés de manière complémentaire. L'un des aspects qui rend le framework Maitre particulièrement collaboratif est son caractère ouvert et évolutif. Maitre est une base de connaissances globale en constante évolution qui utilise des sources d'informations en provenance de communautés cyber du monde entier, qui mettent à jour le framework avec les dernières tactiques, techniques et procédures, les fameux TTP utilisés par les cyberattaquants. Maitre utilise un format ouvert, il est d'ailleurs disponible gratuitement pour toutes les personnes intéressées, ce qui facilite la collaboration et le partage d'informations entre les chercheurs en cybersécurité. On peut aussi parler, pour finir, de l'interopérabilité avec les autres outils et frameworks. Le framework Maitre est conçu pour être utilisé avec d'autres outils et des frameworks de cybersécurité, ce qui facilite l'intégration du framework dans d'autres systèmes de gestion de menaces et des incidents. On trouvera par exemple dans Azure, le cloud de Microsoft, une représentation de la matrice Maitre et des contrôles sous-jacents mis en place dans le cloud. Grâce à toutes ces caractéristiques, Maitre est devenu très populaire en cybersécurité, car c'est un framework qui donne une vision de bout en bout d'une attaque en se basant sur des informations collectées dans le monde entier. Si vous souhaitez aller plus loin dans la compréhension de ce framework, je ne peux que vous encourager à consulter le site web de Maitre, dont je mettrai bien évidemment le lien en commentaire de cet épisode. et aussi l'écoute de l'épisode 343 de l'excellent podcast No Limits Sécu qui est consacré à ce sujet. Encore merci d'avoir écouté cet épisode, n'hésitez pas à le liker et à le partager avec d'autres. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout n'oubliez pas, pour certaines personnes, la cybersécurité est un enjeu de vie de mort, c'est bien plus sérieux que ça.
Share
Embed
You may also like
#39 : La carte de Piri REIS (NIST CSF, ISO 27001, CIS Controls, MITRE ATT&CK, etc)
HS 27 : Présentation du CLUSIL avec Line LAURET, Cédric MAUNY et Mathieu VAJOU
#38 : Le silence des agneaux (A propos de l'anonymisation et la pseudo-anonymisation des données)
#37 : Les sous-doués (L'importance de la formation en cybersécurité)