Le concept de Kill Chain en cybersécurité

Temps de lecture : 5 min

Sommaire

Le concept de “Kill Chain” est encore une fois un concept qui vient du monde militaire.

Dans l’univers de la cyber sécurité, ce concept est rattaché au domaine de la “Cyber Threat Intelligence” (CTI), qui est le domaine où l’on recherche des renseignements sur les attaquants afin de mieux s’en protéger.

Le concept de “Kill Chain” a été mis en oeuvre dans deux référentiels différents, que nous allons découvrir dans cette leçon.

Cyber Kill Chain

Le référentiel “Cyber Kill Chain” a été publié en 2011 par la société Lockheed Martin. Dans la “Cyber Kill Chain”, on décompose une cyber attaque en 7 étapes chronologiques :

  • Reconnaissance
  • Weaponization (Armement)
  • Delivery (Livraison)
  • Exploitation
  • Installation
  • Command & Control (Contrôle à distance)
  • Actions on Objectives (But final)
cyber kill chain schéma cybersécurité

Reconnaissance

Dans cette première phase, l’attaquant va chercher à collecter le plus d’informations possibles sur sa cible.

Si des informations techniques vont être récoltées grâce à des outils (nom des domaines, adresses IP, etc.), l’attaquant va aussi utiliser l’OpenSource Intelligence (OSINT), pour collecter des informations disponibles publiquement, par exemple sur des réseaux sociaux ou des sites d’information (adresse e-mail, noms et fonctions de salariés).

 

Weaponization (Armement)

Une fois l’attaquant bien renseigné sur sa victime, il va pouvoir composer un arsenal adapté pour mettre son plan à exécution.

Il aura la possibilité de choisir parmi des outils existants (par exemple des outils non malveillants mais qui seront alors détournés de leur fonction initiale), acheter des logiciels malveillants, ou concevoir lui même ses propres outils.

 

Delivery (Livraison)

Après l’arsenal bien préparé, l’attaquant va devoir trouver un moyen de transférer tout ou partie de son armement chez sa victime (payload en Anglais).

Pour cela l’attaquant dispose de plusieurs solutions, parmi les plus connues :

  • e-mail de phishing (hameçonnage).
  • compromission d’un fournisseur (supply chain).
  • ingénierie sociale, par exemple déposer une clé USB piégée dans le parking de l’entreprise (social engineering).

 

Exploitation

Dans cette phase, le payload de l’attaquant est exécuté, et va exploiter une vulnérabilité pour obtenir un accès initial (foothold) sur le système d’information de sa cible.

 

Installation

Après avoir obtenu un premier accès, l’attaquant doit maintenant faire en sorte d’avoir un accès durable au système d’information.

Cela signifie que s’il perd la connexion (en cas de redémarrage du système par exemple), il ne doit pas avoir à répéter les précédentes phases pour retrouver son accès.

Il existe plusieurs techniques pour garder un accès à la cible :

  • Porte dérobée (backdoor).
  • Tâche planifiée (scheduled task).
  • Web shell pour les serveurs web.
  • Ajouter un service malveillant.

 

Command & Control (Contrôle à distance)

L’attaquant va désormais chercher à pouvoir travailler efficacement, qu’avec un accès initial parfois limité.

Il va donc utiliser un outil de command and control (abrégé C2 ou C&C), qui lui permet d’effectuer toutes ses opérations à distance, depuis une interface préparée pour son attaque.

Parmi les outils de Command and Control les plus connus :

  • Cobalt Strike
  • Empire
  • Nighthawk

 

Actions on Objectives (But final)

La dernière étape pour l’attaquant est bien entendu de réaliser ses objectifs. Ayant désormais accès au système d’information de la victime, il va pouvoir atteindre son but, soit de manière indirecte :

  • Latéralisation (lateral movement)
  • Reconnaissance interne
  • Élévation de privilèges (privilege escalation)

Soit de manière directe :

  • Espionnage
  • Rançon

Unified Kill Chain”

L’Unified Kill Chain (abrégée UKC) est un autre référentiel de “kill chain” adapté à la cyber sécurité.

Unified Kill Chain cybersécurité

Ce référentiel, complémentaire de la “Cyber Kill Chain”, a été publié pour la première fois en 2017 et est beaucoup plus détaillé, puisqu’il comporte 18 phases.

Notons que ces 18 phases ne sont pas systématiquement toutes mises en oeuvre durant une attaque. Elles sont découpées en trois grandes étapes, que nous allons aborder maintenant.

Étape “In”

L’étape “In” est l’étape d’accès initial, et elle contient les phases suivantes :

  • Reconnaissance.
  • Weaponization.
  • Social Engineering.
  • Exploitation.
  • Persistence.
  • Defense Evasion.
  • Command & Control.

 

Étape “Through”

L’étape “Through” est l’étape ou l’attaquant va prendre le contrôle du système d’information de la cible, les phases sont les suivantes :

  • Pivoting.
  • Discovery (reconnaissance interne).
  • Privilege Escalation.
  • Execution.
  • Credential Access.
  • Lateral Movement.

 

Étape “Out”

Tout comme dans la dernière étape de la “Cyber Kill Chian” l’attaquant a maintenant les accès nécessaire au système d’information de sa victime pour réaliser ses objectifs. Les dernières phases de la “Unified Kill Chain” sont :

  • Access.
  • Collection.
  • Exfiltration.
  • Impact.
  • Objectives.

Le référentiel MITRE Att&ck

Le référentiel du MITRE Att&ck est une “Kill Chain” dynamique, qui permet de visualiser les outils et techniques utilisés par des attaquants déjà connus.

Un cours complet est disponible sur Seela pour apprendre à utiliser le référentiel MITRE Att&ck.

logo cyber training

Commencez votre formation en cybersécurité !

Lancez votre carrière en cybersécurité et formez-vous au métier qui vous correspond. Notre plateforme en ligne vous permet de vous entraîner à votre rythme pour une montée en compétences rapide et efficace.

100% en ligne

Théorie & Pratique

Personnalisé par niveau

Commencez votre formation en cybersécurité

Formation

Carrière

Cybersécurité

100% en ligne

Donnez un nouveau souffle à votre carrière avec nos formations cybersécurité

Mail

information@seela.io