Cyber kill chain: un modèle pour mieux comprendre la structure d’une cyberattaque

Une mission de reconnaissance conditionne le succès d’une cyberattaque. Plus les hackers ont des informations sur une organisation, plus leurs attaques sont mieux organisées. Cette étape peut prendre deux formes :

Les hackers trouvent les informations dont ils ont besoin, sur des sources accessibles au public. Ils scrutent le site internet et la page LinkedIn de l’organisation, les réseaux sociaux des collaborateurs, les offres d’emploi, etc. Dans cette forme de reconnaissance, il n’existe aucune interaction avec les organisations cibles.

Les pirates obtiennent des informations qualitatives et précises. Ils peuvent usurper l’identité d’un prestataire ou d’une institution pour prendre contact avec l’organisation. Ils peuvent envoyer des e-mails ou appeler directement les employés.

À ce stade, une forte sensibilisation à travers des formations est importante pour bloquer la kill chain. Des employés mieux informés sont moins susceptibles de partager des informations confidentielles sur les réseaux sociaux. À chaque appel, ils demandent à leur interlocuteur de s’identifier. Ils sont plus prudents lors de la communication des informations sensibles.

Maintenant qu’ils ont toutes les informations en main, les hackers définissent le moyen utilisé pour pénétrer dans le système d’information de l’organisation. Ce moyen est appelé un vecteur d’attaque.

Les hackers choisissent le vecteur en fonction de plusieurs critères comme le coût, le délai de rentabilisation, le retour sur investissement, la puissance de traitement, etc. Pour contrer l’attaque à cette étape, l’organisation doit faire un inventaire de tous les points d’entrées possibles.

Les vecteurs d’attaque les plus exploités par les hackers sont les identifiants et mots de passe volés. Cela est dû à une mauvaise hygiène des mots de passe. Ils peuvent aussi se servir du phishing, des chevaux de Troie, des attaques par déni de service, etc. Il est à noter que l’imprudence des employés constitue aussi un vecteur d’attaque.

Un seul vecteur suffit pour réussir une attaque. Une fois entré dans le système, le hacker parcourt le réseau à la recherche de données. Il cherche également les moyens pour élever ses privilèges et accéder à des données plus précieuses.

L’organisation peut déjà mettre en place des mesures pour stopper les attaquants à ce stade. L’installation d’un antivirus sur les terminaux représente la première étape. Les messageries doivent également être équipées d’un filtre anti-spam pour bloquer les attaques de phishing. De leur côté, les salariés doivent utiliser l’authentification à deux facteurs pour renforcer l’accès aux comptes. Enfin, des audits réguliers sont indispensables pour détecter les mouvements suspects sur le réseau.  

Cette étape porte sur la transmission de la menace à la cible. Maintenant que les pirates ont accès au réseau de l’organisation, ils peuvent libérer des malwares à tout moment. La livraison de la charge utile peut avoir un effet immédiat ou différé. Dans certains cas, la libération du logiciel malveillant exige une action spécifique de la cible.

La livraison de la charge utile peut se faire par la distribution de clés USB infectées dans un lieu public, les attaques de phishing, les liens infectés sur les sites internet ou les réseaux sociaux. Sachant l’essor du cloud computing, de nombreuses attaques sont menées depuis le cloud. Selon les statistiques, 68 % des malwares reposent sur le cloud.

L’organisation s’appuie sur des solutions technologiques pour neutraliser ces menaces. L’antivirus et antimalware de nouvelle génération sont capables d’identifier ces charges utiles. Il existe également des solutions de filtrage DNS, l’équipe informatique peut procéder à la désactivation des ports USB, etc. Néanmoins, la formation des employés reste la meilleure défense contre ces vecteurs d’attaque.

Une fois la livraison réalisée, l’exploitation peut commencer. Elle peut prendre différentes formes en fonction de la nature de l’attaque. Certains programmes requièrent une action spécifique de la cible pour se déclencher. D’autres agissent dans l’ombre pendant des mois avant d’être détectés.

Une menace se transforme en incident de sécurité dans cette étape. La phase d’exploitation se traduit par un accès au réseau de l’organisation. Le logiciel malveillant exploite les vulnérabilités du système. À ce stade, l’entreprise possède peu de marge pour se protéger.

Dès la phase d’exploitation, les attaquants évaluent les opportunités pour de futures attaques. Ils installent une porte dérobée pour avoir un accès sans contrainte au système à l’avenir. Cela leur permet d’entrer et sortir du réseau de la cible sans être repérés par l’équipe de sécurité. C’est pourquoi cette étape est aussi appelée élévation des privilèges.

Les pirates peuvent utiliser un autre vecteur d’attaque à leur retour. Les portes dérobées peuvent être obtenues grâce à un compte à faible authentification ou un rootkits. Sachant que l’intrusion est difficile à détecter, ils peuvent collecter un volume important de données sur les appareils, les activités de l’organisation, les utilisations, etc.

Pendant la phase d’installation, les pirates opèrent généralement le détournement de DLL, la modification du registre, l’installation d’un cheval de Troie.

À ce stade de l’attaque, l’organisation a peu de marge de manœuvre pour assurer la sécurité de son réseau. Ce dernier est déjà infecté. Les solutions comme l’antivirus ne sont plus pertinentes. Les EDR (endpoint detection and response) sont plus pertinents. Par ailleurs, l’entreprise doit se préparer au lancement d’une réponse à une cyberattaque.

Dans cette étape, le cybercriminel détient le contrôle d’un ordinateur ou d’un réseau infecté grâce à un système de commande et de contrôle (C&C). Il peut désormais envoyer des commandes à distance, télécharger des données, installer un ransomware, etc.

Pour brouiller la piste de leur présence, les attaquants peuvent lancer une attaque de déni de service. L’équipe de sécurité se concentre ainsi sur ce problème.

Le temps que la cible constate l’intrusion, les pirates informatiques détiennent déjà le contrôle du système. C’est pourquoi il est important de s’équiper d’outils comme EDR qui sont capables d’identifier les activités suspectes et les comportements malveillants. Ce type de solution garantit une surveillance constante en temps réel.

Les étapes précédentes mènent à cette phase d’action continue. Les hackers mettent leur plan à exécution. Les conséquences pour la victime dépendent de leur motivation. Une attaque peut être motivée par des raisons politiques, militaires ou encore financières.

Le cyber kill chain a subi des modifications au fil des ans. Certains experts ajoutent par exemple une dernière étape, à savoir la monétisation. L’objectif ultime des hackers est de monétiser leur attaque. Dans le cas d’un ransomware, la victime doit payer une rançon pour récupérer ses données. Dans d’autres cas, les données volées sont ensuite vendues aux plus offrants sur le dark web.

Le cyber kill chain a permis à de nombreuses entreprises d’établir leur stratégie de cybersécurité. Cependant, beaucoup d’experts pointent du doigt des failles qui méritent d’être connues.

Les experts reprochent à ce cadre de se concentrer uniquement à la prévention contre les logiciels malveillants. En effet, le kill chain s’intéresse davantage à la sécurité du périmètre. Pourtant, les entreprises ont amorcé leur transition vers le cloud. La surface d’attaque devient plus large à cause de l’adoption d’applications avancées et l’usage de terminaux personnels. Pourtant, il n’est pas évident d’assurer la sécurité de chaque endpoint.

Le kill chain ne permet pas d’identifier tous les types de menaces. Les menaces internes sont impossibles à détecter si l’on s’appuie sur le cadre d’origine. Pourtant, 60 % des cyberattaques proviennent d’une menace interne, selon IBM.

Il en est de même pour les attaques menées depuis le web à l’instar des attaques DDos, les injections SQL ou encore les exécutions de scripts intersites.