Liens vers toutes les parties:Partie 1. Obtention de l'accès initial (accès initial)Partie 2. ExécutionPartie 3. Fixation (persistance)Partie 4. Escalade de privilègesPartie 5. Évasion de la défensePartie 6. Obtention des informations d'identification (accès aux informations d'identification)Partie 7. DécouvertePartie 8. Mouvement latéralPartie 9. Collecte de données (collecte)Partie 10 ExfiltrationPartie 11. Commandement et contrôleAvec cette publication, je commence une série d'articles consacrés à la description des principales techniques utilisées par les attaquants à différents stades des attaques de pirates.
Le matériel présenté sera une nouvelle version gratuite du contenu des matrices Adversarial Tactics, Techniques & Common Knowledge (ATT @ CK ) de The Mitre :
L'auteur n'est pas responsable des conséquences possibles de l'application des informations ci-dessus et s'excuse également des éventuelles inexactitudes faites dans certaines formulations et termes. Soit dit en passant, c'est ma première tentative de publication sur Habré, alors j'espère que mes critiques seront justes dans mon discours.L'immersion dans le sujet commencera par la matrice
ATT & CK Matrix pour entreprise la plus volumineuse, qui décrit les phases actives et les plus dangereuses d'une attaque sur un réseau d'entreprise:
- Obtention de l'accès initial (Initial Access);
- Exécution du code (Exécution);
- Fixation dans le système attaqué (Persistance);
- Augmentation des privilèges (Privilege Escalation);
- Protection bypass (Defense Evasion);
- Obtention des informations d'identification (accès aux informations d'identification);
- Aperçu (découverte);
- Avancement horizontal (mouvement latéral);
- Collecte de données (collecte);
- Fuite (Exfiltration);
- Gestion et contrôle (commandement et contrôle).
Le but de l'attaquant au stade de l'obtention de l'accès initial est de fournir du code malveillant au système attaqué et d'assurer la possibilité de son exécution ultérieure.
Système: Windows, Linux, macOS
Droits: utilisateur
Description: L'essence de la technique est la découverte par la victime dans le navigateur d'une ressource WEB sur laquelle l'attaquant a préparé à l'avance divers exploits de navigateur et de plug-in,
des trames cachées ou des fichiers Java malveillants qui, à l'insu de l'utilisateur, seront chargés dans le système attaqué.
Recommandations de protection: utilisez les derniers navigateurs et plugins et
application d'un logiciel antivirus. Microsoft suggère d'utiliser
Windows Defender Explloit Guard (WDEG) et
Enhanced Mitigation Experience Toolkit (EMET) . Il est également judicieux de considérer l'opportunité de bloquer l'exécution dans un navigateur JavaScript.
Système: Windows, Linux, macOS
Description: La technique implique l'utilisation de bogues, de pépins et de vulnérabilités connus dans des logiciels dotés de ports réseau ouverts (serveurs Web, services réseau SSH, SMB2, SGBD, etc.).
TOP 10 des vulnérabilités des applications Web publiées par OWASP.
Recommandations de protection: utiliser des pare-feu, segmenter un réseau à l'aide de DMZ, utiliser des recommandations pour un développement logiciel sûr et éviter les problèmes documentés par OWASP et CWE. Analysez le périmètre externe pour détecter les vulnérabilités. Surveillance des journaux des applications et du trafic pour détecter tout comportement anormal.
Système: Windows, Linux, macOS
Description: des modules complémentaires matériels peuvent être intégrés dans des accessoires informatiques, des équipements réseau et des ordinateurs supplémentaires pour fournir aux attaquants un accès initial. Les opportunités de connexions réseau secrètes, la mise en œuvre d'attaques homme-au-milieu pour briser les systèmes de cryptage, effectuer une injection de touches, lire la mémoire du noyau via DMA, ajouter un nouveau réseau sans fil, etc., peuvent être intégrées dans des produits commerciaux et open source.
Recommandations de protection: mise en œuvre de stratégies de contrôle d'accès au réseau, telles que l'utilisation de certificats pour les appareils et de la norme 802.1.x, restriction de l'utilisation de DHCP aux appareils enregistrés uniquement, interdiction de l'interaction réseau avec des appareils non enregistrés, blocage de l'installation d'appareils externes à l'aide d'outils de protection d'hôte (agents Endpoint Security pour limiter la connexion des appareils).
Système: Windows
Description: la technique implique l'exécution d'un programme malveillant à l'aide de la fonction d'exécution automatique dans Windows. Pour tromper l'utilisateur, un fichier «légitime» peut être pré-modifié ou remplacé, puis copié sur un périphérique amovible par un attaquant. De plus, la charge utile peut être intégrée dans le micrologiciel du périphérique amovible ou via le programme de formatage de support initial.
Recommandations de protection: désactivation des fonctionnalités d'exécution automatique dans Windows. Limitation de l'utilisation de périphériques amovibles au niveau de la stratégie de sécurité de l'organisation. Application d'un logiciel antivirus.
Description: utilisation de logiciels malveillants associés aux e-mails de phishing. Le texte de la lettre, en règle générale, contient une raison plausible pour laquelle le destinataire doit ouvrir le fichier dans la pièce jointe.
Recommandations de protection: utilisation de systèmes de prévention des intrusions sur le réseau (IDS) et d'antivirus conçus pour analyser et supprimer les pièces jointes malveillantes dans les e-mails. Configurez une stratégie pour bloquer les formats de pièce jointe inutilisés. Enseigner aux utilisateurs les règles de l'antiphishing.
Description: utilisez des liens de téléchargement de logiciels malveillants dans les e-mails.
Conseils de sécurité: la vérification des URL de vos e-mails peut vous aider à trouver des liens vers des sites malveillants connus. L'utilisation de systèmes de prévention des intrusions sur le réseau (IDS) et d'antivirus. Former les utilisateurs aux règles antiphishing.
Description: dans ce scénario, les attaquants envoient des messages via divers services de réseaux sociaux, du courrier personnel et d'autres services non contrôlés par l'entreprise.
Les attaquants peuvent utiliser de faux profils sur les réseaux sociaux. réseaux, par exemple, pour envoyer des offres d'emploi potentielles. Cela vous permet de poser des questions à l'employé victime sur les politiques et les logiciels de l'entreprise, forçant la victime à ouvrir des liens malveillants et des pièces jointes. Généralement, un attaquant établit un premier contact, puis envoie du contenu malveillant au courrier que l'employé de l'entreprise attaquée utilise sur le lieu de travail. Si la victime ne parvient pas à lancer le fichier malveillant, elle peut lui donner des instructions sur d'autres actions.
Recommandations de protection: blocage de l'accès aux réseaux sociaux, aux services de messagerie personnels, etc. Utilisation de listes blanches d'applications, de systèmes de prévention des intrusions sur le réseau (IDS) et d'antivirus. Former les utilisateurs aux règles antiphishing.
Description: Le scénario implique l'introduction de divers exploits, portes dérobées et autres outils de piratage dans les logiciels et équipements informatiques au stade de la fourniture de logiciels et d'équipements informatiques à l'entreprise attaquée. Vecteurs d'attaque possibles:
- Manipulations avec des outils et des environnements de développement logiciel;
- Travailler avec les référentiels de code source;
- Manipulations avec mise à jour logicielle et mécanismes de distribution;
- Compromis et infection des images du système d'exploitation;
- Modification de logiciels juridiques;
- Vente de produits modifiés / contrefaits par un distributeur légal;
- Interception au stade de l'expédition.
En général, les attaquants se concentrent sur l'introduction de composants malveillants dans les canaux de distribution et les mises à jour logicielles.
Recommandations de protection: Application d'un système de gestion des risques dans la chaîne d'approvisionnement (SCRM) et d'un système de gestion du cycle de vie de développement logiciel (SDLC). Utilisation de procédures de contrôle d'intégrité des fichiers binaires binaires, analyse antivirus des distributions, test des logiciels et des mises à jour avant le déploiement, examen physique de l'équipement acheté, des supports avec les distributions de logiciels et de la documentation d'accompagnement afin de détecter les fraudes.
Description: Les attaquants peuvent utiliser des organisations qui ont accès à l'infrastructure de la victime présumée. Souvent, les entreprises utilisent une connexion réseau moins sécurisée pour communiquer avec un tiers de confiance que l'accès standard à l'entreprise depuis l'extérieur. Exemples de tiers de confiance: prestataires de services informatiques, prestataires de services de sécurité, prestataires d'infrastructure. En outre, les comptes utilisés par une partie de confiance pour accéder au réseau de l'entreprise peuvent être compromis et utilisés pour l'accès initial.
Recommandations de protection: segmentation du réseau et isolation des composants d'infrastructure critiques qui ne nécessitent pas un large accès de l'extérieur. Gestion de compte
enregistrements et autorisations utilisés par les parties à une relation d'approbation. Passez en revue les politiques et procédures de sécurité des organisations sous contrat qui nécessitent un accès privilégié. Surveillance des activités menées par des fournisseurs tiers et des mandataires.
Description: les attaquants peuvent voler les informations d'identification d'un compte d'utilisateur ou de service spécifique à l'aide
des informations d'identification d'accès , capturer les informations d'identification dans le processus de renseignement à l'aide de l'ingénierie sociale. Les informations d'identification compromises peuvent être utilisées pour contourner les systèmes de contrôle d'accès et accéder aux systèmes distants et aux services externes, tels que VPN, OWA, Remote Desktop, ou pour obtenir des privilèges élevés sur des systèmes et des zones spécifiques du réseau. Si le scénario réussit, les attaquants peuvent refuser
malware pour le rendre difficile à détecter. En outre, les attaquants peuvent créer des comptes en utilisant des noms et des mots de passe prédéfinis pour maintenir l'accès à la sauvegarde en cas de tentatives infructueuses d'utiliser d'autres moyens.
Recommandations de protection: appliquez une politique de mot de passe, suivez les recommandations de conception et d'administration d'un réseau d'entreprise pour limiter l'utilisation des comptes privilégiés à tous les niveaux administratifs. Vérifications régulières des comptes de domaine et locaux et de leurs droits afin d'identifier ceux qui pourraient permettre à un attaquant d'obtenir un large accès. Suivi de l'activité du compte à l'aide des systèmes SIEM.
La partie suivante traite des tactiques utilisées dans la phase d'exécution.