Dans la tête d'un cyber-assaillant

Les tactiques, techniques et procédures (TTP) que tout spécialiste en sécurité doit connaître

Les tactiques, techniques et procédures (TTP) constituent le modèle d’attaque des hackers. Alors que le paysage des menaces ne cesse de se complexifier sous l’effet de malwares toujours plus sophistiqués, de campagnes APT menées par des États-nations et d’offres CaaS (Cybercrime-as-a-Service), les TTP demeurent une approche déterminante pour permettre aux entreprises d’anticiper ces attaques. Ainsi, les professionnels de la sécurité peuvent entrer dans la tête des cyber attaquants afin de comprendre leurs motivations et de cerner leurs objectifs malveillants.

S’interroger sur les motivations et les objectifs des cyber-assaillants

En analysant le "qui", le "pourquoi" et le "quoi" de l'attaque, il est possible de dresser le profil des attaquants. En fonction des motivations et capacités de ces derniers, on peut trouver six raisons principales pour lesquelles ils lancent des cyberattaques :

  1. Gain financier – Les cybercriminels cherchent bien souvent à dérober des données confidentielles (informations de carte bancaire ou propriété intellectuelle) pour les revendre sur le darkweb ou les utiliser dans d’autres activités criminelles. Ces attaques s’appuient sur des chevaux de Troie bancaires comme Emotet et des rançongiciels. Entre également dans cette catégorie la série d’attaques à double extorsionexécutées par des groupes RaaS (Ransomware-as-a-Service) , tels que LockBit.
  2. Espionnage – Les acteurs malveillants rattachés à des États-nations et autres groupes de menace persistante avancée (APT, Advanced Persistent Threat) mènent souvent des campagnes de cyber-espionnage pour collecter des renseignements ou voler des droits de propriété intellectuelle à des fins stratégiques. D’ordinaire financées ou parrainées directement par un pays, elles ciblent les organisations publiques, les partis politiques adverses et les grands entreprises (Ex : Stuxnet et Metador)
  3. Perturbations – Que ce soit par idéologie ou pour des raisons de « cyberactivisme », le principal objectif de ces cybermilitants consiste à sensibiliser à leur cause en divulguant des secrets et des informations névralgiques ou en mettant hors de service des organisations ou services considérés comme faisant partie de l’opposition (Ex : Anonymous, NotPetya et AcidRain)
  4. Cyberterrorisme – Le cyberterrorisme combine deux sujets de préoccupation majeurs : les attaques utilisant une technologie de pointe et le terrorisme traditionnel. En s’attaquant délibérément aux services critiques pour leur nuire, les cyberterroristes servent leurs propres desseins politiques, économiques, techniques ou militaires. Ils prennent souvent pour cibles des services publics et des secteurs d’activité essentiels pour augmenter les effets négatifs.
  5. Motifs personnels – À la différence des acteurs externes qui doivent s’introduire dans un espace de travail ciblé, les attaquants interne possèdent déjà des droits d’accès à l’environnement et peuvent œuvrer de l’intérieur pour contourner les mécanismes de cybersécurité. Des motifs personnels, comme un désir de vengeance ou une revanche, sont généralement à l’origine de ces menaces internes.
  6. Attention et notoriété – Les script kiddies, autrement dit les jeunes pirates informatiques, sont des néophytes, dépourvus de connaissances dans le domaine, qui utilisent des kits et outils développés par d’autres pour infiltrer un système ciblé. Leurs motivations sont, en général, relativement simples : ils cherchent la renommée, la notoriété et l’attention.

Dans quelle mesure les tactiques, techniques et procédures (TTP) aident les cyber-défenseurs

Les tactiques, techniques et procédures (TTP) jouent un rôle essentiel en permettant aux défenseurs de lutter efficacement contre les cybermenaces. En analysant et en comprenant les TTP, ils tirent, en effet, de précieux enseignements sur les comportements et méthodologies employées par leurs adversaires et accélère le processus d’identification des attaques potentielles, l’élaboration de stratégies de défense proactives et la mise en œuvre de mesures de sécurité spécifiques aux risques de l’entreprise

Des organismes comme le NIST (National Institute of Standards and Technology) et MITRE classent et cataloguent les comportements des auteurs de menaces en tactiques, techniques et procédures. Les tactiques font référence à des descriptions schématiques de comportements et permettent d’établir le profil du cybercriminel, les techniques donnent le contexte de la tactique et peuvent être analysées à chaque étape d’une cyberattaque, et les procédures décrivent les activités qui constituent l’attaque, notamment les outils et kits utilisés et les techniques employées.

Les TTP permettent aux professionnels de la sécurité de réagir rapidement aux menaces, d’atténuer les risques plus efficacement et facilitent une approche plus collective de la cybersécurité.

La fréquence de la cybercriminalité et son développement continuent de progresser à un rythme impressionnant. Les chercheurs estiment que 33 milliards de comptes seront piratés rien qu’en 2023 et qu’aujourd’hui, une attaque se produit toutes les 39 secondes. Quelles sont les TTP les plus couramment utilisées dans les campagnes de menaces actuelles et comment sont-elles concrètement exploitées ?

Ingénierie sociale

Cette pratique de manipulation psychologique consiste à amener des individus à divulguer des informations sensibles ou à réaliser des opérations compromettant la sécurité. Cette tactique est souvent employée dans des campagnes d’hameçonnage auxquelles sont associés des groupes APT. Ces campagnes font généralement appel à des e-mails extrêmement persuasifs qui semblent émaner d’expéditeurs légitimes, et qui incitent leurs victimes à cliquer sur des liens malveillants ou à télécharger des pièces jointes corrompues.

Exploitation de vulnérabilités

Souvent, les pirates exploitent des vulnérabilités connues, aussi bien logicielles que matérielles, pour bénéficier d’un accès non autorisé aux systèmes ou obtenir un accès par élévation des privilèges. Exemple récent, l’exploitation des vulnérabilités de Microsoft Exchange Server, qui ont permis le lancement d’une cyberattaque ProxyLogon attribuée au groupe APT HAFNIUM. Ce dernier a mis à profit ces failles pour accéder aux comptes de messagerie électronique et déployer d’autres malwares.

« Living off the Land »

Avec la tactique « Living off the Land » (LotL), les assaillants utilisent des outils et processus légitimes, déjà présents sur le système de leur victime, pour exécuter leurs attaques, compliquant ainsi la détection de leurs activités par les solutions de sécurité. Par exemple, PowerShell, puissant langage de script intégré à Windows, a été utilisé dans diverses attaques, notamment celles perpétrées avec le tristement célèbre cheval de Troie bancaire Emotet et le rançongiciel Ryuk.

Déplacement latéral

Dès lors que des attaquants parviennent à s’introduire dans un réseau, ils recourent souvent à des techniques de déplacement latéral pour passer d’un système à l’autre et élever leurs privilèges. Avec des techniques de type PTH (Pass-the-hash) ou PTT (Pass-the-ticket), un assaillant utilise des identifiants ou des jetons d’authentification volés pour se déplacer .

Ainsi, SolarWinds, caractéristique d’une attaque de la chaîne d’approvisionnement a mixé malwares personnalisés, vol d’identifiants et outils légitimes pour opérer des déplacements latéraux sur les réseaux ciblés et accéder finalement aux données et systèmes névralgiques.

Exfiltration de données et dissimulation des traces

Une fois leurs objectifs atteints, les cybercriminels exfiltrent souvent les données dérobées, en utilisant des canaux clandestins ou des communications chiffrées pour éviter d’être détectés. Dans certains cas, ils prennent également des mesures pour effacer leurs traces sans pour autant remettre en question la persistance de leur intrusion : la suppression de fichiers-journaux ou l’utilisation d’un logiciel passe-droit (rootkits) leur permet de dissimuler leur présence sur les systèmes compromis.

Mesures préventives pour les professionnels de la sécurité

Si la compréhension des TTP est indissociable de la veille sur les menaces et de l’élaboration de mécanismes de défense, la partie n’est qu’à moitié gagnée à ce stade. Les entreprises doivent également appliquer des protocoles de cyber-hygiène développés et renforcer globalement leur stratégie en matière de sécurité.

L’adoption d’un cadre de sécurité robuste, comme le dispositif de cybersécurité du NIST ou les contrôles de sécurité critiques du CIS, peut aider les entreprises à identifier systématiquement les faiblesses potentielles de leur dispositif de sécurité et à y remédier. Il est crucial de régulièrement les mettre à jour pour conserver une longueur d’avance sur des menaces en constante évolution.

L’organisation de programmes de sensibilisation et de formation des employés à la sécurité peut contribuer à limiter les risques d’attaques réussies par ingénierie sociale. Les formations peuvent aborder des thèmes comme l’hameçonnage, la sécurité des mots de passe et l’importance de signaler les activités suspectes.

La mise en œuvre d’un processus de gestion des correctifs robuste et la réalisation régulière d’analyses des vulnérabilités peuvent également aider les entreprises à repérer et à remédier plus facilement aux vulnérabilités connues présentes dans leurs systèmes, réduisant ainsi la surface d’attaque pour les cybercriminels.

La segmentation réseau et la mise en œuvre d’un modèle de sécurité « Zero Trust » peuvent contribuer à limiter les déplacements latéraux sur un réseau, compliquant ainsi l’élévation de privilèges et l’accès aux données névralgiques côté assaillants.

En instaurant un processus de réponse aux incidents parfaitement défini et en investissant dans des outils de surveillance, tels que des systèmes de gestion des informations et événements de sécurité (SIEM) ou des solutions XDR (Extended Detection and Response), les entreprises peuvent détecter les cybermenaces, y répondre et les contenir.

L’identification des vecteurs d’attaques et des nouvelles méthodes employées est essentielle pour conserver une longueur d’avance sur les cybercriminels. Les exemples concrets et les récentes campagnes APT ont montré à quel point l’analyse des TTP enrichit la base de connaissances des spécialistes en sécurité, en leur donnant les moyens de recueillir de précieuses informations sur les tactiques et les techniques qu’ils combattent. Certes, les auteurs des menaces continueront à perfectionner leurs méthodes et à user de processus innovants, mais les entreprises ont à leur disposition de nombreux moyens pour limiter les risques encourus et renforcer leurs mécanismes de défense. La mise en place d’une stratégie de réponse efficace et d’une surveillance permanente et approfondie peut contribuer à consolider les défenses d’une équipe interne au travers d’outils de détection et de réponse robustes.