Je pense qu'aujourd'hui tout le monde a déjà entendu au moins une des citations de l'art de la guerre de Sun Tzu. Pour ma part, je pense que celle-ci résume bien une opération Cyber. Le message est plutôt clair, pour mener à bien sa mission, il est nécessaire de bien se préparer.

Dans les opérations de cybersécurité, ce concept est matérialisé par ce qu'on appelle la Cyber Kill Chain qui résume les étapes à parcourir ou du moins les étapes qu'un attaquant doit parcourir afin de compromettre une organisation.

Les 7 étapes de la Cyber Kill Chain

Selon la littérature, cette méthodologie a été décrite par Lockheed Martin, une compagnie américaine qui touche à pas mal de choses autour de l'armement, l'aérospatial et à la cybersécurité. Ce modèle décrit initialement 7 étapes qui sont parcourues par les menaces persistantes avancées (APT). La bonne connaissance de ce modèle permet aux défenseurs d'identifier les faiblesses et se faisant, de palier à ces faiblesses pour bloquer le cheminement des attaquants vers leur cible.

Reconnaissance

La première étape consiste à effectuer une reconnaissance de sa cible. Pour mener à bien cette phase, il s'agira d'utiliser toutes les ressources à disposition pouvant dévoiler des informations sur celle-ci.

Dans les faits, l'attaquant se concentre au cours de cette phase principalement sur la partie émergée avec le site Web de la cible, les profils LinkedIn des employés, des emplacements physiques, les technologies utilisées par sa cible et tout autre informations pertinentes qui pourraient lui donner des indices sur les failles éventuelles ou sur des identifiants potentiels.

Du mieux possible, l'attaquant va chercher à ne pas interagir directement avec la cible pendant cette phase pour ne pas laisser de traces et alerter celle-ci. On appelle cette phase, la phase de reconnaissance passive. Il va au contraire utiliser des techniques d'OSINT pour faire un repérage de sa cible et de ses employés à travers des outils comme Google ou les réseaux sociaux.

D'autres outils existent pour interagir indirectement ou non avec des biens qui appartiennent à sa cible. Chaque outil aura un rôle spécifique en fonction des informations que l'on recherche sur la cible.

Dans le cas où l'interaction est directe avec la cible, il s'agit cette fois de reconnaissance active. Les outils comme Nmap qui est utilisé pour faire du scan de port est un outil de reconnaissance active car il va directement interroger la ressource pour identifier quels sont les ports et services ouverts sur la cible, ce qui entraine le fait de laisser des traces au niveau de la cible.

• Validation de la cible : Whois, nslookup, dnsrecon

• Recherche de sous-domaines : google Fu, dig, nmap, Sublist3r, ...

• Prise d'empreintes : Wappalyzer, WhatWeb, Nmap

• Brèche de données : HaveIBeenPwned, Breach-Parse, …

Ces étapes sont d'autant plus importantes dans le cas où il s'agit d'un test d'intrusion ciblé il est nécessaire de cibler les bonnes cibles et pas d'autres sites qui n'auraient pas de liens avec le client.

Weaponization

Deuxième étape de la Cyber Kill Chain, l'armement est la phase pendant laquelle l'attaquant va préparer ses outils en vue d'attaquer sa cible. Il s'agira pour lui de mettre en place un moyen d'entrer dans le système d'information de sa cible.

Les méthodes les plus courantes sont les suivantes :

• Préparation d'un mail de phishing avec du code malveillant

• Préparation d'un exploit d'une vulnérabilité sur un équipement exposé

• Préparation d'un ransomware visant à être déployer sur sa cible

Les différents outils qu'il va préparer seront forgés spécifiquement pour sa cible. Par exemple, si il décide de mettre en place une campagne de phishing celle-ci sera ciblée et visera des personnes précises au sein de l'organisation. Les mails employés se voudront spécifiques et utiliseront des références familières à la cible du phishing. Par exemple, un CV destiné aux RH pour un poste qui existe bel et bien au sein de l'organisation.

Distribution

Cette phase consiste tout simplement à l'exécution du plan de l'attaquant pour entrer dans le système de sa cible. C'est au cours de cette phase qu'il va utiliser les outils qu'il a préparé pour entrer.

Exemple : Début de la campagne de phishing ayant pour but à ce qu'une des cibles clique sur un lien ou ouvre une pièce jointe vérolée qui ouvrira l'accès à l'attaquant.

Exploitation

Phase d'exécution effective du code malveillant et accès de l'attaquant au système d'information.

Installation

L'attaquant a pris la main sur un des systèmes de sa cible. Au cours de cette phase, il s'attachera à prendre complétement la main sur le système en récupérant des accès d'administrateurs locaux au mieux.

Il mettra en place ses outils pour garantir la persistance sur le système. Les méthodes les plus courantes étant la mise en place de script par le biais de tâches planifiées ou d'exécution de code à l'ouverture de la session de l'utilisateur.

Commande & Contrôle

A partir de là, l'attaquant est bien installé sur un des systèmes de sa cible. En revanche, ce système ne permet par forcément d'accomplir les objectifs qu'il s'est fixés.

La phase de commande et contrôle permet à l'attaquant d'établir un lien avec son point de contrôle distant pour exécuter des commandes sur le système compromis. C'est aussi à partir de là qu'il va chercher à effectuer ce qu'on appelle de la Latéralisation. A partir d'un point d'accès déjà compromis et donc sous son contrôle, il va chercher à récupérer des accès, scanner le système avec pour objectif d'obtenir la possibilité de se déplacer au sein du système d'information et de compromettre d'autres systèmes.

Actions sur l'objectif

Une fois qu'il a tous les accès dont il a besoin, l'attaquant va alors mener les actions qu'il est venu accomplir dans le système.

Les motifs peuvent être nombreux et sont ce qui motive les attaquants à corrompre un système :

• Espionnage industriel / étatique -> Exfiltration de données

• Ransomware -> Chiffrement et demande de rançon

• Déstabilisation -> Défacement d'un site web

• Ludique / challenge -> Rien de particulier si ce n'est la "gloire" et la "popularité"

Les actions menées sont elles aussi tout aussi variées. Si une cible a de la chance, il peut s'agir d'un hacker dit éthique qui l'avertira de la faille pour qu'elle puisse y remédier, dans le pire des cas, il pourra s'agir d'un groupe de Ransomware qui aura pour but le chiffrement des données en vue de la demande d'une rançon pour le déchiffrement.

La Cyber Kill Chain selon le PNPT

Du point de vue du PNPT, la Cyber Kill Chain a été simplifiée et est constituée de 5 étapes qui décrivent le déroulement qu'un hacker éthique doit suivre pendant un engagement auprès d'un client.

On retrouve néanmoins des points communs avec la Cyber Kill Chain originel dans la logique de déroulement des opérations.

Reconnaissance

La première étape reste la même, on va mêler reconnaissance active et passive en vue d'obtenir le maximum d'informations sur la cible et sur les utilisateurs/technologies potentielles employées par celle-ci.

Scan & Enumération

On voit en revanche cette phase qui est détachée de la reconnaissance.

• Scan : Découverte des adresses IP, services et ports exposés de la cible.

• Enumération : En se basant sur les ports et les services exposés, il s'agit d'utiliser ces services pour découvrir plus d'informations sur la cible.
  

La phase d'énumération permet de rechercher les vulnérabilités liées aux services exposées, d'établir les versions des services, les plug-ins et add-ons éventuelles qui sont utilisés et toute autres informations liées aux services.

Par exemple, dans le cas de l'énumération du service HTTP, il s'agira d'établir quel est la version du serveur web, les pages qui sont servies par ce serveur, la recherche de page d'administration non sécurisées, de fuites d'informations et tout autre éléments préjudiciable pour la cible qui pourrait amener à la compromission du service web.

Exploitation

La phase d'exploitation va rester la même, l'attaquant exécute son code malveillant pour compromettre sa cible et tenter de gagner un accès au système d'information de la cible.

Maintien de l'accès

L'attaquant cherche des méthodes pour garder la main sur le système d'information de la cible et qui lui permettra de se reconnecter quand il en aura besoin.

Couvrir ses traces

Le fait de couvrir ses traces consiste à supprimer toute trace qui indiquerait à la cible que son système a été compromis.

Cela passe par exemple par la suppression des journaux de logs, ou du moins, des entrées de logs qui attestent de la présence non voulu d'un attaquant dans le système. Ou encore, des méthodes d'évasion pour éviter de déclencher les éléments de sécurité comme les anti-virus, EDR et tout autre programme visant à garder les intrus en dehors du système.

Conclusion

Par cet article on a pu voir la Cyber Kill Chain et ainsi appréhender une méthodologie d'attaque d'un système d'information. En revanche, dans les deux modèles exposés, on peut remarquer certaines différences qui font diverger les deux modèles.

Pourquoi la différence ? Parce que le point de vue est différent.

Là où la Cyber Kill Chain de Lockheed Martin s'oriente sur le comportement d'un attaquant externe et est destinée aux équipes de sécurité afin de bloquer les attaques, la Cyber Kill Chain du PNPT se place du côté d'un Pentester devant mener un test d'intrusion auprès d'une cible.

En dehors de ceux-là, plusieurs autres modèles existent avec par exemple le MITRE ATT&CK qui va encore plus loin et propose un modèle en 14 étapes tout en décomposant les différents vecteurs d'attaques existants pour chaque étape.