Temps de lecture : 5 min
Le concept de “Kill Chain” est encore une fois un concept qui vient du monde militaire.
Dans l’univers de la cyber sécurité, ce concept est rattaché au domaine de la “Cyber Threat Intelligence” (CTI), qui est le domaine où l’on recherche des renseignements sur les attaquants afin de mieux s’en protéger.
Le concept de “Kill Chain” a été mis en oeuvre dans deux référentiels différents, que nous allons découvrir dans cette leçon.
Le référentiel “Cyber Kill Chain” a été publié en 2011 par la société Lockheed Martin. Dans la “Cyber Kill Chain”, on décompose une cyber attaque en 7 étapes chronologiques :
Dans cette première phase, l’attaquant va chercher à collecter le plus d’informations possibles sur sa cible.
Si des informations techniques vont être récoltées grâce à des outils (nom des domaines, adresses IP, etc.), l’attaquant va aussi utiliser l’OpenSource Intelligence (OSINT), pour collecter des informations disponibles publiquement, par exemple sur des réseaux sociaux ou des sites d’information (adresse e-mail, noms et fonctions de salariés).
Une fois l’attaquant bien renseigné sur sa victime, il va pouvoir composer un arsenal adapté pour mettre son plan à exécution.
Il aura la possibilité de choisir parmi des outils existants (par exemple des outils non malveillants mais qui seront alors détournés de leur fonction initiale), acheter des logiciels malveillants, ou concevoir lui même ses propres outils.
Après l’arsenal bien préparé, l’attaquant va devoir trouver un moyen de transférer tout ou partie de son armement chez sa victime (payload en Anglais).
Pour cela l’attaquant dispose de plusieurs solutions, parmi les plus connues :
Dans cette phase, le payload de l’attaquant est exécuté, et va exploiter une vulnérabilité pour obtenir un accès initial (foothold) sur le système d’information de sa cible.
Après avoir obtenu un premier accès, l’attaquant doit maintenant faire en sorte d’avoir un accès durable au système d’information.
Cela signifie que s’il perd la connexion (en cas de redémarrage du système par exemple), il ne doit pas avoir à répéter les précédentes phases pour retrouver son accès.
Il existe plusieurs techniques pour garder un accès à la cible :
L’attaquant va désormais chercher à pouvoir travailler efficacement, qu’avec un accès initial parfois limité.
Il va donc utiliser un outil de command and control (abrégé C2 ou C&C), qui lui permet d’effectuer toutes ses opérations à distance, depuis une interface préparée pour son attaque.
Parmi les outils de Command and Control les plus connus :
La dernière étape pour l’attaquant est bien entendu de réaliser ses objectifs. Ayant désormais accès au système d’information de la victime, il va pouvoir atteindre son but, soit de manière indirecte :
Soit de manière directe :
L’Unified Kill Chain (abrégée UKC) est un autre référentiel de “kill chain” adapté à la cyber sécurité.
Ce référentiel, complémentaire de la “Cyber Kill Chain”, a été publié pour la première fois en 2017 et est beaucoup plus détaillé, puisqu’il comporte 18 phases.
Notons que ces 18 phases ne sont pas systématiquement toutes mises en oeuvre durant une attaque. Elles sont découpées en trois grandes étapes, que nous allons aborder maintenant.
L’étape “In” est l’étape d’accès initial, et elle contient les phases suivantes :
L’étape “Through” est l’étape ou l’attaquant va prendre le contrôle du système d’information de la cible, les phases sont les suivantes :
Tout comme dans la dernière étape de la “Cyber Kill Chian” l’attaquant a maintenant les accès nécessaire au système d’information de sa victime pour réaliser ses objectifs. Les dernières phases de la “Unified Kill Chain” sont :
Le référentiel du MITRE Att&ck est une “Kill Chain” dynamique, qui permet de visualiser les outils et techniques utilisés par des attaquants déjà connus.
Un cours complet est disponible sur Seela pour apprendre à utiliser le référentiel MITRE Att&ck.
Commencez votre formation en cybersécurité !
100% en ligne
Théorie & Pratique
Personnalisé par niveau
Commencez votre formation en cybersécurité
Formation
Carrière
Cybersécurité
100% en ligne
Donnez un nouveau souffle à votre carrière avec nos formations cybersécurité
La certification qualité a été délivrée au titre de la catégorie
« ACTIONS FORMATION »
© Seela – 24/11/2022
Organisme de formation
N°11755030075
Cet enregistrement ne vaut pas agrément de l’Etat.
Le certificat Qualiopi est disponible sur ce lien
A propos
Ressources