MITRE ATT&CK : les dernières techniques intégrées à la matrice principale

Comment déjouer la sécurité d'un environnement IaaS ? Par exemple en modifiant la hiérarchie des ressources.

Cette technique a récemment fait son entrée dans le framework MITRE ATT&CK. Pour l'illustrer, on nous mentionne, entre autres, l'usage de l'API LeaveOrganization pour retirer des comptes d'une organisation AWS... et ainsi potentiellement lever des restrictions. Autre scénario évoqué : le transfert d'un abonnement Azure vers un locataire hors du contrôle de la victime, de sorte qu'elle n'accédera plus aux logs.

La modification des hiérarchies de ressources cloud est la seule technique de premier niveau à avoir fait son apparition entre la v15 de MITRE ATT&CK (avril 2024) et la v16 (octobre).

Les dix-huit autres ajouts consistent en des sous-techniques. Quatre d'entre elles viennent détailler une technique jusque-là "orpheline" : le "détournement de ressources". Elles concernent respectivement le compute, la bande passante réseau, les infrastructures de messagerie (type Twilio, dans le contexte du SMS pumping) et les services cloud.

Règles udev et protocoles pub/sub

Autre technique à ne plus être "orpheline" avec la v16 de MITRE ATT&CK : la destruction de données. On lui a associé une sous-technique consistant à modifier les politiques de cycle de vie des buckets cloud.

Concernant la technique d'extraction de données à partir de référentiels d'information, les CRM et les applications de messagerie s'ajoutent à Confluence, à SharePoint et aux dépôts de code. Pour ce qui est des communications sur la couche applicative afin d'éviter la détection, les protocoles pub/sub rejoignent la liste, aux côtés des protocoles web, de messagerie, de DNS et de transfert de fichiers. Sur la partie interpréteurs de commandes et de scripts, Lua s'ajoute à une dizaine de références allant des langages AutoIT et AutoHotkey à Visual Basic en passant par les API cloud.

La plus longue liste de sous-techniques concerne l'exécution sur la base d'événements. Un élément s'y est ajouté avec la v16 de MITRE ATT&CK : les règles udev (gestionnaire de périphériques du noyau Linux). Elles rejoignent, entre autres, les événements WMI, les signaux d'interruption, l'écran de veille, les raccourcis d'accessibilité et les profils PowerShell.

Autre grande liste qui s'allonge : celle relative aux techniques d'usurpation. Elle comprenait déjà, entre autres, les fausses signatures de code, le renommage d'utilitaires système et la modification d'identifiant de processus parent. S'y ajoute maintenant l'imitation de noms de comptes légitimes.

En matière de manipulation de comptes, il était déjà question d'ajout d'authentifiants, de permissions, de rôles ou encore d'appareils. Un élément supplémentaire est apparu : l'ajout de groupes locaux ou de domaine.

ClickOnce rejoint MSBuild

Un nouvel élément également sur chacune des six techniques suivantes :

• Exécution conditionnelle
  Le recours à des mutex s'ajoute à l'usage de la cryptographie pour restreindre l'exécution de malwares.
• Fichiers ou données obscurcis
  Le code polymorphe rejoint des éléments tels que le padding des binaires, la stéganographie, la résolution dynamique d'API et l'intégration de commandes dans des raccourcis Windows.
• Suppression d'indicateurs
  Nouvelle sous-technique sur ce volet : la relocalisation de malwares (changement d'emplacement sur le système victime). Elle rejoint, par exemple, la suppression des logs, l'effacement de l'historique des connexions réseau et les modifications d'horodatage.
• Exploitation d'outils de développement légitimes
  MSBuild était jusque-là le seul outil à avoir sa sous-technique. Il en va désormais de même pour les ClickOnce. Ce dernier permet de déployer des apps .NET qui s'exécutent depuis des pages web ou des partages de fichier, avec une interaction utilisateur minimale. Elles dépendent du processus DFSVC.exe.
• AiTM (adversary-in-the-middle)
  Sur ce point, MITRE ATT&CK faisait déjà référence à l'empoisonnement des caches ARP ou au spoofing DHCP. Il y ajoute l'usage de points d'accès Wi-Fi d'apparence légitime pour forcer la connexion à un réseau malveillant.
• Vol ou contrefaçon de tickets Kerberos
  MITRE ATT&CK faisait déjà référence au golden et au silver ticket, fabriqués à partir des hashs de mots de passe (du compte krbtgt pour le premier ; d'un compte de service pour le second). Il mentionnait aussi le kerberoasting et le cracking de messages sur les comptes où la préauthentification est désactivée. Il faut désormais y ajouter l'extraction à partir des fichiers ccache, qui stockent les authentifiants d'une session active. Généralement, sur Linux, c'est dans /tmp. Sur macOS, par défaut, c'est en mémoire.

Illustration générée par IA