CyberKillChains la Puissance du Piratage


 CYBERKILLCHAINS

INTRO

Le terme "Cyberkillchains" est un concept militaire lié à la structure d'une attaque. Il comprend l'identification de la cible, la décision et l'ordre d'attaque de la cible, et enfin la destruction de la cible, ce poste est un deep dive de l'article sur cyberkillchains dans la cybersec que vous pouvez retouvez ici.

Grâce à Lockheed Martin, une société mondiale de sécurité et d'aérospatiale, qui a établi le framework Cyber Kill Chain pour l'industrie de la cybersécurité en 2011 en se basant sur le concept militaire. Le framework définit les étapes utilisées par les adversaires ou les acteurs malveillants dans le cyberespace. Pour réussir, un adversaire doit passer par toutes les phases de la chaîne d'attaque. Nous passerons en revue les phases d'attaque pour mieux comprendre les adversaires et leurs techniques utilisées dans l'attaque pour vous défendre.

Alors, pourquoi est-il important de comprendre le fonctionnement de la Cyber Kill Chain ?

La Cyber Kill Chain vous aidera à comprendre et à vous protéger contre les attaques par ransomware, les failles de sécurité ainsi que les menaces persistantes avancées (APT). Vous pouvez utiliser la Cyber Kill Chain pour évaluer la sécurité de votre réseau et de vos systèmes en identifiant les contrôles de sécurité manquants et en comblant certaines lacunes de sécurité en fonction de l'infrastructure de votre entreprise.

Nous explorerons les phases d'attaque suivantes dans cette Article :

  • Reconnaissance
  • Weaponization
  • Delivery
  • Exploitation
  • Installation
  • Command & Control
  • Actions on Objectives

Pour comprendre ce qu'est la reconnaissance du point de vue de l'attaquant, commençons par définir le terme.

La reconnaissance

consiste à découvrir et à collecter des informations sur le système et la victime. La phase de reconnaissance est la phase de planification pour les adversaires.

Le renseignement d'origine ouverte (OSINT) fait également partie de la reconnaissance. L'OSINT est la première étape qu'un attaquant doit accomplir pour mener à bien les phases suivantes d'une attaque. L'attaquant doit étudier la victime en collectant toutes les informations disponibles sur l'entreprise et ses employés, telles que la taille de l'entreprise, les adresses e-mail, les numéros de téléphone à partir de sources accessibles au public afin de déterminer la meilleure cible pour l'attaque.

Voyons les choses du point de vue de l'attaquant, qui, au départ, ne sait pas quelle entreprise il veut attaquer.

Scénario : Un attaquant malveillant qui se fait appeler "Megatron" décide de mener une attaque très sophistiquée qu'il planifie depuis des années ; il a étudié et recherché différents outils et techniques qui pourraient l'aider à atteindre la dernière phase de la Cyber Kill Chain. Mais il doit d'abord commencer par la phase de reconnaissance.

Pour opérer dans cette phase, l'attaquant devra réaliser de l'OSINT en faisnt la collecte des addresses. Voyons maintenant la collecte d'adresses e-mail.

La collecte d'adresses e-mail est le processus d'obtention d'adresses e-mail à partir de services publics, payants ou gratuits. Un attaquant peut utiliser la collecte d'adresses e-mail pour une attaque de phishing (un type d'attaque d'ingénierie sociale utilisée pour voler des données sensibles, y compris des identifiants de connexion et des numéros de carte de crédit).

L'attaquant dispose d'un large arsenal d'outils à des fins de reconnaissance. En voici quelques-uns :

  • theHarvester - en plus de collecter des e-mails, cet outil est également capable de collecter des noms, des sous-domaines, des adresses IP et des URL en utilisant plusieurs sources de données publiques.
  • Hunter.io - il s'agit d'un outil de recherche d'e-mails qui vous permet d'obtenir les coordonnées associées au domaine.
  • OSINT Framework - OSINT Framework fournit une collection d'outils OSINT basés sur différentes catégories.

Un attaquant peut également utiliser des sites de médias sociaux tels que LinkedIn, Facebook, Twitter et Instagram pour collecter des informations sur une victime spécifique qu'il souhaite attaquer ou sur l'entreprise. Les informations trouvées sur les médias sociaux peuvent être utiles à l'attaquant pour mener une attaque de phishing.

Après une phase de reconnaissance réussie, "Megatron" s'emploierait à fabriquer une "arme de destruction". Il préférerait ne pas interagir directement avec la victime et, à la place, il créera un "armeur" qui, selon Lockheed Martin, combine un malware et un exploit en un payload exploitable. La plupart des attaquants utilisent généralement des outils automatisés pour générer le malware ou se réfèrent au DarkWeb pour l'acheter. Les acteurs plus sophistiqués ou les APT (Advanced Persistent Threat Groups) parrainés par des États écrivent leurs propres logiciels malveillants personnalisés pour que l'échantillon de malware soit unique et échappe à la détection sur la cible.

Weaponize

Avant d'analyser la phase d'armement Weaponize, Nous allond définire quelques termes :

  • Logiciel malveillant (malware) : programme ou logiciel conçu pour endommager, perturber ou obtenir un accès non autorisé à un ordinateur.
  • Exploit : programme ou code qui tire parti d'une vulnérabilité ou d'une faille dans l'application ou le système.
  • Payload : code malveillant que l'attaquant exécute sur le système.

Poursuivant avec notre adversaire,"Megatron" choisit d'acheter un payload déjà écrit à quelqu'un d'autre sur le DarkWeb, afin de pouvoir consacrer plus de temps aux autres phases.

Dans la phase d'armement, l'attaquant peut :

  • Créer un document Microsoft Office infecté contenant une macro malveillante ou des scripts VBA (Visual Basic for Applications). Si vous voulez en savoir plus sur les macros et VBA, veuillez consulter l'article "Intro to Macros and VBA For Script Kiddies" de TrustedSec.

  • Un attaquant peut créer un payload malveillant ou un ver très sophistiqué, l'implanter sur des clés USB, puis les distribuer dans des lieux publics. Un exemple de virus.

  • Un attaquant choisit des techniques de Command and Control (C2) pour exécuter les commandes sur la machine de la victime ou distribuer d'autres payloads. Vous pouvez en savoir plus sur les techniques C2 sur MITRE ATT&CK.

  • Un attaquant choisirait un implant de backdoor (le moyen d'accéder au système informatique, qui comprend le contournement des mécanismes de sécurité).


DELIVERY

La phase de livraison est celle où "Megatron" décide de choisir la méthode de transmission du payload ou du malware. Il a de nombreuses options parmi lesquelles choisir :

  • Email de phishing : après avoir mené la reconnaissance et déterminé les cibles de l'attaque, l'acteur malveillant va créer un email malveillant qui ciblera soit une personne spécifique (attaque de spearphishing) soit plusieurs personnes dans l'entreprise. L'e-mail contiendra un payload ou un malware. Par exemple, "Megatron" apprendrait que Nancy du service commercial de la société A aime constamment les publications sur LinkedIn de Scott, un responsable de la prestation de services de la société B. Il se douterait qu'ils communiquent tous deux par e-mail professionnel. "Megatron" créerait un e-mail en utilisant le prénom et le nom de famille de Scott, en faisant en sorte que le domaine ressemble à celui de la société où Scott travaille. Un attaquant enverrait ensuite un faux email de "facture" à Nancy, contenant le payload.

  • Distribution de clés USB infectées dans des lieux publics tels que les cafés, les parkings ou dans la rue. Un attaquant pourrait décider de mener une attaque sophistiquée par USB Drop Attack en imprimant le logo de l'entreprise sur les clés USB et en les envoyant par courrier à l'entreprise en se faisant passer pour un client envoyant les clés USB en cadeau. Vous pouvez lire sur l'une de ces attaques similaires sur CSO Online "Cybercriminal group mails malicious USB dongles to targeted companies."

  • Attaque par point d'eau. Une attaque par point d'eau est une attaque ciblée visant à s'en prendre à un groupe spécifique de personnes en compromettant le site web qu'elles visitent habituellement et en les redirigeant ensuite vers le site web malveillant choisi par l'attaquant. L'attaquant recherche une vulnérabilité connue du site web et essaie de l'exploiter. L'attaquant encourage les victimes à visiter le site


EXPLOITATION

La phase d'exploitation dans Cyber Kill Chain est l'étape où l'attaquant tire parti d'une vulnérabilité du système pour exécuter son code malveillant et prendre le contrôle de la machine. C'est après avoir réussi la phase de livraison que l'attaquant peut exploiter la faille et installer son payload.

Objectifs de l'attaquant :

  • Obtenir l'accès initial au système de la victime.
  • Élever ses privilèges pour obtenir un contrôle total de la machine.
  • Installer des logiciels malveillants et des outils de persistance.
  • Exécuter des actions malveillantes, telles que le vol de données ou le sabotage du système.

Méthodes d'exploitation courantes :

  • Exploitation de vulnérabilités logicielles : L'attaquant peut rechercher des vulnérabilités connues dans le système d'exploitation, les applications ou les logiciels installés sur la machine. Il peut ensuite utiliser des exploits connus pour exploiter ces vulnérabilités et exécuter son code malveillant.
  • Attaques par ingénierie sociale : L'attaquant peut utiliser des techniques d'ingénierie sociale pour manipuler la victime et l'amener à exécuter le code malveillant par elle-même. Cela peut se faire par le biais d'e-mails de phishing, de liens malveillants ou de pièces jointes infectées.
  • Attaques par force brute : L'attaquant peut tenter de deviner les mots de passe des utilisateurs ou d'utiliser des attaques par force brute pour cracker les mots de passe faibles.

Exemples d'exploitation :

  • Un attaquant utilise un exploit pour exploiter une vulnérabilité dans un logiciel serveur et obtient un accès non autorisé au serveur. L'attaquant installe ensuite un logiciel malveillant sur le serveur pour voler des données sensibles.

La phase d'installation dans Cyber Kill Chain

Souvent considérée comme la suite logique de la phase d'exploitation. Après avoir exploité une vulnérabilité et obtenu un accès initial au système cible, l'attaquant doit installer des outils et des logiciels malveillants persistants pour maintenir son contrôle et accomplir ses objectifs malveillants.

Objectifs de l'installation :

  • Établir une présence durable sur le système: L'attaquant veut maintenir son accès au système même si la victime redémarre l'ordinateur ou applique des corrections de sécurité.
  • Exécuter des actions malveillantes: L'attaquant peut installer des outils supplémentaires tels que des keyloggers, des voleurs de mots de passe, des outils de capture d'écran ou des ransomwares pour mener à bien ses actions malveillantes.
  • Obtenir des privilèges élevés: Dans de nombreux cas, l'accès initial obtenu par l'attaquant est limité. L'installation de logiciels malveillants peut permettre d'élever ses privilèges et d'obtenir un contrôle plus important sur le système.

Méthodes d'installation courantes :

  • Installation manuelle: L'attaquant peut installer manuellement des logiciels malveillants en utilisant des outils d'accès à distance ou des scripts d'exécution automatique.
  • Téléchargement automatique: L'attaquant peut exploiter des vulnérabilités pour forcer le système de la victime à télécharger et installer automatiquement des logiciels malveillants à partir d'un serveur distant.
  • Exploitation des mécanismes d'exécution automatique: L'attaquant peut placer des logiciels malveillants dans des emplacements où le système les exécute automatiquement au démarrage, par exemple dans le dossier de démarrage de l'utilisateur ou dans le registre Windows.
  • Injection de code: L'attaquant peut injecter du code malveillant dans des processus légitimes en cours d'exécution sur le système.

Exemples d'installation :

  • Un attaquant exploite une vulnérabilité dans un plugin de navigateur web pour télécharger et installer silencieusement un keylogger sur l'ordinateur de la victime.
  • Un attaquant utilise un script d'exécution automatique pour installer un ransomware sur un serveur après avoir obtenu un accès initial en exploitant une vulnérabilité.
  • Un attaquant modifie le registre Windows pour exécuter un cheval de Troie chaque fois que la victime se connecte à l'ordinateur.

Points importants à retenir :

  • La phase d'installation est un élément essentiel pour que l'attaquant conserve son accès au système et puisse exécuter ses actions malveillantes.
  • Il est important de mettre en place des contrôles de sécurité tels que des logiciels antivirus et anti-malware, ainsi que des systèmes de détection des intrusions (IDS) pour détecter et bloquer les tentatives d'installation de logiciels malveillants.

La phase de Commande et Contrôle (C2) dans Cyber Kill Chain

La phase de Commande et Contrôle (C2) est l'étape du Cyber Kill Chain où l'attaquant prend le contrôle à distance du système de la victime et lui donne des instructions pour accomplir ses objectifs malveillants. C'est une phase cruciale car elle permet à l'attaquant de maintenir son accès au système et de poursuivre son attaque.

Objectifs de la phase C2 :

  • Exécuter des actions malveillantes: L'attaquant peut utiliser le canal C2 pour exécuter des commandes sur le système infecté, telles que le vol de données, l'installation de logiciels malveillants supplémentaires, le sabotage du système ou le lancement d'attaques contre d'autres systèmes.
  • Exfiltrer des données: L'attaquant peut utiliser le canal C2 pour exfiltrer les données sensibles volées du système de la victime vers un serveur distant sous son contrôle.
  • Mettre à jour les logiciels malveillants: L'attaquant peut utiliser le canal C2 pour mettre à jour les logiciels malveillants présents sur le système de la victime afin de les rendre plus furtifs ou pour ajouter de nouvelles fonctionnalités.
  • Maintenir la persistance: L'attaquant peut utiliser le canal C2 pour maintenir sa présence sur le système de la victime même si la victime redémarre l'ordinateur ou applique des correctifs de sécurité.

Méthodes C2 courantes :

  • Protocoles HTTP et HTTPS: L'attaquant peut utiliser les protocoles HTTP et HTTPS pour communiquer avec le système infecté en utilisant des ports standard, ce qui rend la communication plus difficile à détecter.
  • DNS Tunneling: L'attaquant peut utiliser le système de noms de domaine (DNS) pour encapsuler les communications C2 dans des requêtes DNS légitimes, ce qui rend la communication plus discrète.
  • IRC (Internet Relay Chat): L'attaquant peut utiliser des serveurs IRC pour communiquer avec le système infecté, une méthode traditionnelle mais toujours utilisée par certains attaquants.

Exemples de C2 :

  • Un attaquant utilise un botnet contrôlé à distance pour lancer une attaque par déni de service (DDoS) contre un site web.
  • Un attaquant utilise un cheval de Troie pour exfiltrer des données sensibles d'un système d'entreprise vers un serveur distant.
  • Un attaquant utilise un ransomware pour chiffrer les données d'un système et exiger une rançon en échange de la clé de déchiffrement.

La phase "Actions sur les Objectifs" dans le Cyber Kill Chain

La phase "Actions sur les Objectifs" est la dernière étape du Cyber Kill Chain. C'est à ce moment que l'attaquant atteint son objectif final et accomplit l'activité malveillante pour laquelle il a lancé l'attaque.

Objectifs des Actions sur les Objectifs :

Les objectifs de cette phase varient en fonction du type d'attaque et des motivations de l'attaquant. Voici quelques exemples courants :

  • Vol de données : L'attaquant peut voler des données sensibles telles que des informations financières, des informations personnelles identifiables (PII), des secrets commerciaux ou des informations sur la propriété intellectuelle.
  • Déploiement de ransomware : L'attaquant peut chiffrer les données de la victime et exiger une rançon en échange de la clé de déchiffrement.
  • Destruction de données : L'attaquant peut supprimer ou endommager des données critiques pour perturber les opérations de la victime.
  • Espionnage : L'attaquant peut installer des logiciels espions pour surveiller les activités de la victime et collecter des informations sensibles.
  • Détournement de ressources informatiques : L'attaquant peut utiliser les ressources informatiques de la victime pour lancer des attaques contre d'autres systèmes, comme dans le cas d'un botnet.

Actions courantes pendant la phase "Actions sur les Objectifs" :

Les actions spécifiques entreprises par l'attaquant à ce stade dépendent de l'objectif de l'attaque. Néanmoins, voici quelques actions courantes :

  • Exfiltration des données volées: L'attaquant transfère les données volées vers un emplacement sous son contrôle.
  • Déploiement des outils de sabotage: L'attaquant lance des outils ou des scripts pour endommager ou supprimer des données.
  • Maintien de l'accès: L'attaquant peut prendre des mesures pour maintenir son accès au système et poursuivre son activité malveillante à long terme.


#hacking #tryhackme #crackintelligence #hacker 

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Inversehacker Le systeme des Hackeurs

Image
Un toolkit bugbounty concis pour le hackeur Le bug bounty est une pratique qui consiste à rémunérer des personnes pour la découverte et la divulgation de vulnérabilités de sécurité dans des logiciels ou des services. Le pentest, ou test d'intrusion, est une activité similaire qui consiste à tester la sécurité d'un système informatique ou d'un réseau. Pour mener à bien ces activités, les pentesters et les bug bounty hunters ont besoin d'outils et de ressources adaptés. Une image Docker, appelée Inversehacker, peut être un excellent moyen de se lancer dans ces domaines. Inversehacker : un toolkit complet Inversehacker est une image Docker qui contient un ensemble d'outils et de ressources pour le bug bounty et le pentest. Elle comprend notamment : Un ensemble de scanners de vulnérabilités, tels que Dnsenum, Nmap et Recon-ng. Un ensemble d'outils d'analyse de vulnérabilités, tels que Commix et Burp Suite. Un ensemble d'outils de fuzzing, tels que Gobuster e
Lire la suite

Pirater Git avec GitGraber part1

Image
 GITGRABER   GitGraber est un outil d'extraction de données Git. Il permet aux attaquants de télécharger des référentiels Git à partir de serveurs distants. GitGraber est un outil puissant qui peut être utilisé pour voler des données sensibles, telles que des codes source, des bases de données et des informations personnelles. Comment fonctionne GitGraber ? GitGraber utilise une variété de techniques pour télécharger des référentiels Git, notamment : Force brute   : GitGraber essaie de deviner le mot de passe de l'utilisateur Git en générant un nombre important de combinaisons. Reconnaissance   : GitGraber utilise des techniques de reconnaissance pour identifier les vulnérabilités dans la configuration Git du serveur. Ingénierie sociale   : GitGraber peut être utilisé pour tromper un utilisateur Git afin qu'il divulgue son mot de passe. Comment se protéger contre GitGraber ? Il existe plusieurs façons de se protéger contre GitGraber, notamment : Utiliser un mot de passe fo
Lire la suite

Tout sur APT29

Image
  L'APT29, également connu sous le nom de Cozy Bear ou The Dukes, est un groupe de pirates informatiques russes qui est actif depuis au moins 2008. Ce groupe est responsable d'une série d'attaques contre des agences gouvernementales, des entreprises et des organisations non gouvernementales dans le monde entier. L'APT29 est considéré comme un acteur étatique, ce qui signifie qu'il est soutenu par le gouvernement russe. Ce groupe est connu pour son utilisation de techniques et d'outils sophistiqués pour mener ses attaques. Les principales activités de l'APT29 comprennent : L'espionnage : L'APT29 utilise ses attaques pour collecter des informations sensibles sur ses victimes. Ces informations peuvent inclure des informations financières, des secrets commerciaux ou des informations sensibles sur la défense nationale. Le sabotage : L'APT29 peut également utiliser ses attaques pour saboter les systèmes de ses victimes. Cela peut inclure la suppressi
Lire la suite