La "kill chain", également connue sous le nom de "chaîne de destruction", est un concept utilisé dans le domaine de la cybersécurité pour décrire les différentes étapes d'une attaque informatique. Cette approche est largement utilisée pour comprendre et analyser les tactiques employées par les cybercriminels et pour développer des stratégies de défense efficaces
📝 Unified Kill Chain
Le concept de "Unified Kill Chain" est apparu pour répondre aux lacunes perçues dans les approches traditionnelles de la "kill chain". Alors que la "kill chain" traditionnelle se concentre souvent sur les phases externes à un réseau cible, la "Unified Kill Chain" vise à fournir une vue d'ensemble plus complète et intégrée des cyberattaques. Cette approche unifiée combine et étend les modèles existants, tels que la Cyber Kill Chain® de Lockheed Martin et l'ATT&CK™ de MITRE, afin de mieux représenter les tactiques utilisées par les cybercriminels à la fois à l'intérieur et à l'extérieur du réseau cible.
La "Unified Kill Chain" permet aux professionnels de la cybersécurité de mieux comprendre les attaques cybernétiques, de protéger leurs actifs critiques et de prioriser les risques et les efforts de défense de manière plus efficace. En unifiant les modèles existants et en intégrant une variété de tactiques et de techniques utilisées par les cybercriminels, la "Unified Kill Chain" offre une approche plus complète et holistique de la modélisation des menaces et de la défense en cybersécurité.
L'UKC déclare qu'une attaque comporte 18 phases : de la reconnaissance à l'exfiltration de données et à la compréhension des motivations de l'attaquant.
Cette phase du UKC décrit les techniques qu'un adversaire utilise pour recueillir des informations relatives à sa cible. Cela peut être réalisé par des moyens de reconnaissance passifs et actifs. Les informations recueillies au cours de cette phase sont utilisées tout au long des étapes ultérieures du UKC (telles que la prise de pied initiale).
Les informations recueillies peuvent inclure :
Découverte des systèmes et services en cours d'exécution sur la cible, informations bénéfiques dans les phases d'armement et d'exploitation de cette section.
Recherche de listes de contacts ou de listes d'employés pouvant être usurpées ou utilisées dans le cadre d'une attaque d'ingénierie sociale ou de phishing.
Recherche d'identifiants potentiels pouvant être utilisés dans des phases ultérieures, telles que le pivotement ou l'accès initial.
Compréhension de la topologie du réseau et d'autres systèmes en réseau pouvant être utilisés pour pivoter.
Cette phase du UKC décrit l'adversaire mettant en place l'infrastructure nécessaire pour effectuer l'attaque. Par exemple, cela pourrait être la configuration d'un serveur de commandement et de contrôle, ou d'un système capable de capturer des shells inversés et de délivrer des charges utiles au système.
🛠️ En savoir plus sur la phase de Armement !
Livraison
L'objectif de la phase de "Delivery" est de réussir à amener la charge utile malveillante sur le système cible sans être détectée, afin de pouvoir poursuivre les étapes suivantes de l'attaque, telles que l'exploitation, l'installation et la persistance.
Ingénierie sociale (Tactique MITRE TA0001)
Cette phase du UKC décrit les techniques qu'un adversaire peut utiliser pour manipuler les employés afin qu'ils effectuent des actions qui aideront dans l'attaque de l'adversaire. Par exemple, une attaque d'ingénierie sociale pourrait inclure :
Amener un utilisateur à ouvrir une pièce jointe malveillante
Usurper une page web et faire entrer les identifiants de l'utilisateur.
Appeler ou visiter la cible et usurper un utilisateur (par exemple, demander une réinitialisation de mot de passe) ou être en mesure d'accéder à des zones d'un site auxquelles l'attaquant n'aurait pas précédemment pu accéder (par exemple, usurper un ingénieur en utilités).
Exploitation (Tactique MITRE TA0002)
Cette phase du UKC décrit comment un attaquant profite des faiblesses ou des vulnérabilités présentes dans un système. Le UKC définit "Exploitation" comme l'abus de vulnérabilités pour exécuter du code. Par exemple :
Télécharger et exécuter un shell inversé sur une application web.
Perturber un script automatisé sur le système pour exécuter du code.
Abuser d'une vulnérabilité d'application web pour exécuter du code sur le système sur lequel elle s'exécute.
Persistance (Tactique MITRE TA0003)
Cette phase du UKC est plutôt courte et simple. Plus précisément, cette phase du UKC décrit les techniques qu'un adversaire utilise pour maintenir l'accès à un système sur lequel il a obtenu une première prise de pied. Par exemple :
Création d'un service sur le système cible qui permettra à l'attaquant de retrouver l'accès.
Ajout du système cible à un serveur de commandement et de contrôle où des commandes peuvent être exécutées à distance à tout moment.
Laisser d'autres formes de portes dérobées qui s'exécutent lorsqu'une certaine action se produit sur le système (par exemple, un shell inversé s'exécutera lorsqu'un administrateur système se connecte).
Évasion de la défense (Tactique MITRE TA0005)
La section "Évasion de la défense" du UKC est l'une des phases les plus précieuses du UKC. Cette phase est spécifiquement utilisée pour comprendre les techniques qu'un adversaire utilise pour contourner les mesures défensives mises en place dans le système ou le réseau. Par exemple, cela pourrait être :
Pare-feu d'application web.
Pare-feu réseau.
command and control
ContenuLa phase de "Command and Control" (commande et contrôle) est une étape cruciale dans la "kill chain" des cyberattaques. Cette phase intervient généralement après que l'attaquant a réussi à accéder au système cible et à y installer une porte dérobée ou un logiciel malveillant. Voici ce que cette phase implique typiquement :
Établissement de la connexion : Une fois que l'attaquant a réussi à accéder au système cible, il établit une connexion avec celui-ci à l'aide de la porte dérobée ou du logiciel malveillant qu'il a précédemment installé. Cette connexion permet à l'attaquant de contrôler à distance le système compromis.
Communication avec le système compromis : À travers cette connexion, l'attaquant peut envoyer des instructions au système compromis, telles que l'exécution de commandes, le téléchargement de fichiers supplémentaires, la modification de paramètres du système, etc.
Maintien de l'accès : L'objectif principal de la phase de Command and Control est de maintenir l'accès continu au système compromis. Pour ce faire, l'attaquant peut utiliser diverses techniques pour éviter la détection, telles que l'utilisation de protocoles de communication chiffrés, la dissimulation des activités malveillantes parmi le trafic réseau légitime, ou la modification régulière des stratégies de commande et de contrôle pour éviter les signatures de détection.
Exfiltration des données : Dans certains cas, la phase de Command and Control peut également inclure l'exfiltration des données sensibles du système compromis vers des serveurs contrôlés par l'attaquant. Cela peut inclure des données telles que des informations d'identification, des données personnelles, des secrets commerciaux, etc.
Les défenses contre la phase de Command and Control comprennent la surveillance du trafic réseau pour détecter les communications suspectes, l'utilisation de solutions de détection d'intrusion pour repérer les activités malveillantes, la mise en place de pare-feu et de politiques de sécurité réseau strictes pour limiter les communications sortantes, et la formation des utilisateurs pour reconnaître les signes d'une activité malveillante sur leur système. associé au titre déroulant.
Pivotement (Tactique MITRE TA0008):
Une fois que l'attaquant a accès au système, il l'utilisera comme site de préparation et un tunnel entre ses opérations de commandement et le réseau de la victime. Le système servira également de point de distribution pour tous les logiciels malveillants et portes dérobées aux étapes ultérieures.
Découverte (Tactique MITRE TA0007):
L'adversaire découvrira des informations sur le système et le réseau auquel il est connecté. Au cours de cette étape, la base de connaissances sera construite à partir des comptes d'utilisateurs actifs, des autorisations accordées, des applications et logiciels utilisés, de l'activité du navigateur web, des fichiers, répertoires et partages réseau, ainsi que des configurations système.
Élévation de privilèges (Tactique MITRE TA0004):
Après avoir recueilli des informations, l'adversaire cherchera à obtenir des autorisations plus importantes au sein du système pivot. Il exploitera les informations sur les comptes présentant des vulnérabilités et des configurations erronées pour élever son accès à l'un des niveaux supérieurs suivants :
SYSTEM/ROOT.
Administrateur local.
Un compte utilisateur avec des droits d'administrateur.
Un compte utilisateur avec un accès ou des fonctions spécifiques.
Exécution (Tactique MITRE TA0002):
Rappelez-vous lorsque l'adversaire a configuré son infrastructure d'attaque. Une fois l'accès au système obtenu, il l'utilisera comme site de préparation et un tunnel entre ses opérations de commandement et le réseau de la victime. Le système servira également de point de distribution pour tous les logiciels malveillants et portes dérobées aux étapes ultérieures. C'est à ce moment qu'ils déploient leur code malveillant en utilisant le système pivot comme hôte. Des chevaux de Troie à distance, des scripts de commandement et contrôle, des liens malveillants et des tâches planifiées sont déployés et créés pour faciliter une présence récurrente sur le système et maintenir leur persistance.
Accès aux identifiants (Tactique MITRE TA0006)
Travaillant de concert avec l'étape d'élévation de privilèges, l'adversaire tentera de voler des noms de compte et des mots de passe par divers moyens, notamment le keylogging et le vidage d'identifiants. Cela les rend plus difficiles à détecter pendant leur attaque, car ils utiliseraient des identifiants légitimes.
Mouvement latéral (Tactique MITRE TA0008)
Avec les identifiants et les privilèges élevés, l'adversaire cherchera à se déplacer à travers le réseau et à sauter sur d'autres systèmes ciblés pour atteindre son objectif principal. Plus la technique utilisée est furtive, mieux c'est.
Collecte (Tactique MITRE TA0009)
Après avoir exploré l'accès et les actifs, l'adversaire cherchera à rassembler toutes les données précieuses d'intérêt. Cela compromet la confidentialité des données et conduit à la prochaine étape de l'attaque - l'Exfiltration. Les principales sources ciblées incluent les lecteurs, les navigateurs, l'audio, la vidéo et les e-mails
Exfiltration (Tactique MITRE TA0010):
Pour intensifier leur compromission, l'adversaire cherchera à voler des données, qui seront emballées en utilisant des mesures d'encryption et de compression pour éviter toute détection. Le canal de commande et de contrôle (C2) et le tunnel déployés dans les phases précédentes seront utiles pendant ce processus.
Impact (Tactique MITRE TA0040)
Si l'adversaire cherche à compromettre l'intégrité et la disponibilité des ressources de données, ils manipuleront, interrompront ou détruiront ces ressources. L'objectif sera de perturber les processus opérationnels et commerciaux et peut impliquer la suppression de l'accès aux comptes, des effacements de disque et des actions de cryptage des données telles que les attaques de ransomware, le défigement et les attaques de déni de service (DoS).
