Utilisation de ce site

Veuillez vous assurer que vous comprenez et acceptez notre politique de protection des données avant d'utiliser ce site. Voir la politique

Analyse de Cobalt Strike 2024

Cobalt Strike est un kit complet pour la diffusion et le contrôle de logiciels malveillants, initialement conçu comme un outil pour les testeurs de pénétration de l'équipe rouge. Les pirates l'ont également acquis, appréciant son potentiel étendu.

Télécharger Anti-Malware

Vous pourriez être intéressé par nos autres outils antivirus:
Trojan Killer, Trojan Scanner and Online Virus Scanner.

» Cobalt Strike
Explication de Cobalt Strike | Gridinsoft 2024

Cobalt Strike

June 20, 2023

Les outils qui révèlent la possibilité d'exploitation de vulnérabilités ou offrent les fonctionnalités nécessaires aux tests de pénétration sont souvent difficiles à déterminer comme malveillants. Cobalt Strike est davantage connu comme une utilisation malveillante plutôt que comme un outil de pentesting.

Cobalt Strike (également abrégé en CS) est une boîte à outils de test de pénétration développée et distribuée dans un but légitime - fournir aux hackers de l'équipe rouge un ensemble d'outils pratiques. Il représente en réalité l'ensemble des outils pour la diffusion de logiciels malveillants et l'expansion au sein de l'environnement attaqué. Par sa conception, il inclut toutes les fonctionnalités nécessaires pour pirater le réseau, la communication C2, la diffusion des charges initiales et supplémentaires, et la gestion de l'environnement attaqué - on peut dire, tout ce dont les hackers ont généralement besoin. Souvent, les mises à jour de ce programme lui permettent de conserver la capacité d'éviter la détection et de rester efficace contre les mesures de sécurité préventives.

Échantillons de Cobalt Strike reçus au cours des 2 derniers mois

Comme vous pouvez le deviner, les pirates n'utilisent pas la version payante de cet outil. Le plus souvent, ils optent pour une version crackée - basée sur la version d'essai. Ses fonctions sont attrayantes à la fois pour les attaques massives, comme la diffusion de ransomware, et le déploiement de menaces persistantes avancées. Cependant, la plupart du temps, les pirates l'utilisent pour gagner une présence dans le réseau ciblé. Certaines gangs n'utilisent Cobalt Strike que pour sa fonctionnalité d'établissement de C&C, préférant utiliser un logiciel différent pour d'autres fonctions.

Aperçu

Cobalt Strike est une boîte à outils de piratage utilisée pour fournir un accès initial à l'environnement attaqué et gérer la ou les charges utiles. À l'origine, il est vendu uniquement à des spécialistes de confiance - ceux qui sont employés dans les tests de pénétration. La boîte à outils fonctionne à la fois sous licence d'essai et payante; cette dernière coûte une somme considérable de $5900. La version d'essai contient la plupart des fonctionnalités de la version complète, mais ajoute une grande variété de "marqueurs" - des morceaux de code malveillant qui peuvent être facilement détectés. La version complète, cependant, n'est pas exempte de ceux-ci, mais ils sont beaucoup moins visibles et agissent davantage comme un identifiant pour l'équipe bleue.

Le langage de programmation choisi pour Cobalt Strike est Java - une solution peu répandue pour ce type de programmes. Le package logiciel exact est divisé en 2 parties: le serveur d'équipe et le client. D'après leur nom, vous pouvez déjà deviner leur but, mais en réalité, il y a des différences plus étendues. L'architecture de Cobalt Strike est la suivante:

  • Le serveur d'équipe est une partie qui forme un serveur de commandes et de contrôle. Il est utilisé comme point de connexion entre les attaquants (équipe rouge ou vrais pirates) et les systèmes cibles. Pour fonctionner, il nécessite des distributions Linux Debian - Ubuntu, Kali ou Debian lui-même.
  • Le client est une partie hébergée côté pirate et est utilisée pour gérer le flux d'attaque. Il peut fonctionner sur presque n'importe quel système d'exploitation - Windows 7-11, macOS X 10.13 et ultérieur, et à peu près n'importe quelle distribution Linux avec une interface graphique. L'autre exigence est la présence d'Oracle Java 11 et de la version correspondante du kit de développement.
  • Les victimes dans ce schéma sont connectées au serveur d'équipe en utilisant la charge utile initiale, connue sous le nom de Beacon. Ce dernier est en fait l'un des éléments les plus reconnaissables de Cobalt Strike, car ses fonctions sont principalement utilisées par les pirates. Les méthodes de diffusion des beacons dépendent entièrement du choix d'un maître, car Cobalt Strike n'offre pas de méthode de livraison.
Cobalt Strike

Fonctionnalités de Cobalt Strike

Les fonctions globales de Cobalt Strike sont étroitement liées à ses éléments, c'est pourquoi nous les examinerons ensemble. Nous avons déjà mentionné l'architecture de son infrastructure, mais cela ne représente qu'un dixième de la liste complète des éléments.

Beacon

Le beacon est probablement l'élément le plus connu de l'ensemble du package Cobalt Strike. Sa fonctionnalité tourne généralement autour de la capacité de se connecter au serveur de commandes et de contrôle, d'obtenir la charge utile et de l'exécuter. Cependant, les développeurs ont apporté une large gamme de modifications possibles, à la fois en tant qu'extensions et au niveau central.

Stager

Le stager est le nom d'une charge utile partielle qui ne contient pas l'intégralité du beacon, mais seulement une petite partie de son code. Ce code va vérifier l'environnement ou effectuer certaines actions dans le système (comme désactiver ou tromper le système de sécurité). Seulement après cela, il contactera le C2 pour recevoir une charge utile complète. Cela peut être utile pour s'assurer que la charge utile est envoyée vers un système réel plutôt que vers un environnement de bac à sable ou un honeypot.

Backdoor complet

Le backdoor complet est ce qui est généralement désigné par le terme de beacon, car la forme complète est la plus répandue. Il peut être livré avec un chargeur ou un stager tel que décrit ci-dessus. La méthode de lancement du backdoor est généralement une technique d'injection de DLL. Le logiciel malveillant réside entièrement en mémoire, il n'est donc pas visible pour l'utilisateur et la plupart des antivirus classiques. Le but principal du backdoor est d'établir une connexion avec le serveur d'équipe et de recevoir d'autres commandes.

Capture d'écran du client Cobalt Strike
La vue sur Cobalt Strike du point de vue de l'opérateur

Chargeurs

Le chargeur est ce qui livre un beacon sous n'importe quelle forme vers le système cible. Il peut être configuré à l'aide des fonctions intégrées de CS, ainsi que par des solutions personnalisées ou commandées à des tiers. Tout langage de programmation peut convenir tant qu'il prend en charge l'exécution de shellcode.

Connectivité

Les éléments de connectivité dans Cobalt Strike sont appelés des écouteurs (listeners). Comme son nom l'indique, leur objectif principal est d'assurer la connexion à un serveur d'équipe. Par conception, la boîte à outils prend en charge une grande variété de types de connexion, et chacun d'entre eux comprend encore plus d'options. Elle dispose également de fonctionnalités qui aident les acteurs de la menace à rester discrets.

Écouteurs HTTP/HTTPS

Alpha et oméga de toutes les connexions Internet, les protocoles HTTP/HTTPS constituent également une voie de connectivité clé dans Cobalt Strike. Les requêtes HTTP GET/POST servent de jeu par défaut pour obtenir ou envoyer des données vers et depuis le serveur de commandes. La boîte à outils comprend des certificats TLS qui peuvent être utilisés pour établir des connexions, et est régulièrement mise à jour par les développeurs de CS. Il s'agit d'une option pratique lors de l'utilisation de CS dans les tests de pénétration.

Requête HTTP GET envoyée par Cobalt Strike, déguisée en une requête vers le site web d'Amazon
Requête HTTP GET envoyée par Cobalt Strike, déguisée en une requête vers le site web d'Amazon

Comme vous pouvez le supposer, les certificats TLS authentiques sont assez faciles à reconnaître, à énumérer, puis à bloquer ou à suivre. C'est pourquoi les opérateurs de l'équipe rouge et les pirates qui utilisent cette boîte à outils préfèrent émettre leurs propres certificats en utilisant des services gratuits. De plus, les opérateurs sont en mesure de configurer les paramètres du proxy pour les requêtes mentionnées ci-dessus. Par défaut, CS applique une configuration de proxy similaire à celle d'Internet Explorer. En utilisant des profils malléables, ils peuvent également modifier le routage des requêtes pour les rendre aussi légitimes que possible.

Serveurs SMB et TCP bruts

Ces deux types de serveurs sont généralement utilisés pour étendre la présence au sein du réseau. La propagation dans ce cas est effectuée en utilisant des connexions peer-to-peer via SMB. En utilisant le protocole Server Message Block, les criminels peuvent faire communiquer les balises avec ces machines et y déployer une porte dérobée. Bien qu'il soit utile pour les déplacements latéraux, il est préférable de l'utiliser pour accéder aux segments du réseau isolés d'Internet. Ainsi, les serveurs SMB servent de base pour le chaînage des balises.

La configuration des serveurs TCP bruts est une fonctionnalité plus récente qui surpasse les serveurs SMB par sa discrétion. SMB est parfois bloqué, et là où il ne l'est pas, il est suivi par la plupart des solutions de sécurité d'entreprise. Le TCP brut via le port 445 est une option prolifique qui peut contourner facilement ces obstacles.

Serveurs DNS

Le nom de ce type de serveur parle de lui-même. Il agit comme un moyen alternatif de communication avec le serveur de l'équipe, en utilisant des requêtes DNS. Ces dernières appellent des domaines qui sont subordonnés au TS. Cobalt Strike permet de choisir entre un mode hybride et uniquement DNS. Le premier suppose l'utilisation d'une requête DNS pour établir une connexion avec la balise, mais la transition des données est toujours effectuée via HTTP/HTTPS. En revanche, le DNS pur effectue toutes les opérations via des requêtes DNS. Cela rend la connexion plus discrète mais plus lente.

Chaînage des balises

Les mesures de sécurité mises en place dans les entreprises visent non seulement à prévenir la diffusion de logiciels malveillants, mais également à empêcher leur propagation ultérieure. Des choses comme la segmentation du réseau ou l'interdiction à certaines parties d'un réseau d'accéder à Internet obligent les criminels à faire preuve d'inventivité dans les méthodes de propagation des logiciels malveillants. Cobalt Strike offre la possibilité de créer un accès chaîné depuis le réseau vers ses parties qui ne sont pas initialement accessibles. Après avoir obtenu un accès initial, les criminels peuvent utiliser la fonction susmentionnée de serveur SMB/TCP brut pour ouvrir des ports sur d'autres machines. Ils déploient ensuite simplement la porte dérobée sur ces machines. Cependant, ils ne se connectent pas directement au TS, mais forment plutôt un réseau peer-to-peer qui transmet les commandes d'un système à un autre.

Chaînage des balises

Grâce à cette approche, ils se frayent un chemin vers les contrôleurs de domaine ou les éléments isolés du réseau. Tout au long de cette voie, ils peuvent déployer la charge utile principale sur toutes les machines impliquées. Cependant, perdre la machine qui servait de point d'accès entraînera la perte de tous les systèmes infectés.

Redirection du trafic

Le masquage du trafic C2 a toujours été une tâche difficile, car il est facile de détecter un trafic malveillant qui se rend vers une adresse IP inconnue. C'est pourquoi Cobalt Strike dispose de plusieurs mécanismes qui lui permettent de masquer ce trafic. Toutes ces approches reposent sur la redirection du trafic selon différents modèles, tels que le passage du trafic par une chaîne de domaines ou son mélange avec le trafic qui se rend vers un domaine de confiance. Cela aide non seulement à éviter la détection et le blocage du trafic provenant d'une balise, mais aussi à éliminer les tentatives de suivi de l'équipe défensive ou des analystes en cybersécurité qui tentent de bloquer la connexion au TS.

Chaînage des balises

Le "domain fronting" est une autre approche prise en charge par Cobalt Strike, mais elle nécessite davantage d'actions de la part des pirates informatiques. Il s'agit de rediriger le trafic via un réseau de diffusion de contenu (CDN). Cette méthode découle en fait des moyens de contourner la censure sur Internet. En apparence, les paquets de données sont envoyés vers un CDN totalement légitime, avec son certificat SSL/TLS et ses attributs. Mais après leur arrivée et leur déchiffrement, les paquets sont transférés vers le véritable serveur de l'équipe. Grâce à cette astuce, le TS parvient à rester invisible pour la partie défensive.

Personnalisation de la charge utile

Par conception, Cobalt Strike ne contient pas de logiciels malveillants supplémentaires - il ne fournit que des outils de livraison et de gestion, en fait, une fonctionnalité de porte dérobée. Nous avons déjà décrit les façons dont CS peut modifier ses connexions, mais la flexibilité des balises est peut-être encore plus grande que cela. Les pirates peuvent ajouter différents modules au complément initial ainsi qu'après la connexion au TS. Dans certains cas, on peut parler d'une charge utile intégrée, car elle comprend des outils de piratage ou des parties de code malveillant qui vont au-delà de la fonctionnalité initiale de porte dérobée attribuée à une balise. Dans l'ensemble, les capacités de personnalisation peuvent être divisées en 5 parties distinctes.

Kits d'arsenal

Le Kit d'arsenal est un terme désignant un ensemble de modules liés à la modification ou à l'amélioration de la fonctionnalité de la ou des balises. Ils sont tous disponibles après l'achat de la licence, c'est-à-dire que la version d'essai ne les inclut pas. Ils peuvent être appliqués indépendamment les uns des autres.

Sleep Mask Kit

La plupart des fournisseurs de sécurité connaissent et apprécient Cobalt Strike. La nécessité d'élaborer des contre-mesures actives efficaces était évidente, surtout compte tenu des techniques de masquage avancées utilisées par CS. De nos jours, il n'est pas difficile de détecter une balise qui fonctionne de manière furtive en mémoire, surtout si les défenseurs utilisent des mesures de sécurité avancées comme EDR ou XDR.

Le Sleep Mask Kit permet de contourner la détection d'une balise qui s'exécute en mémoire en mettant en œuvre un chiffrement XOR de 13 octets. Cela suffit pour tromper les solutions qui analysent la mémoire à la recherche d'un échantillon de balise non chiffré. Ce type de chiffrement est possible pour les balises qui utilisent toutes sortes de modifications de connexion - HTTP, SMB ou TCP. Cependant, certains systèmes de sécurité sont encore capables de détecter l'échantillon qui est obfusqué de cette manière. Ce kit a été nommé ainsi principalement en raison de son objectif - masquer l'échantillon pendant les périodes d'inactivité ("sommeil").

Elevate Kit

L'escalade des privilèges est une tactique courante pour procéder à un mouvement latéral dans le réseau, ainsi que pour exécuter la charge utile quelles que soient les circonstances. Le kit Elevate aide les acteurs de la menace dans cette tâche. Il permet d'intégrer l'ensemble de commandes qui lanceront l'escalade des privilèges du choix des pirates informatiques. Le contrôle de ces scripts se fait à partir du système client CS.

Artifact Kit

Nous avons décrit précédemment une tactique assez nouvelle visant à rendre les balises CS moins visibles pour les outils de sécurité. Le kit Artifact est ce qui servait à cette fin avant la présentation du Sleep Mask (vers 2021). Apparu en 2014, il offrait la possibilité d'apporter de lourdes modifications à la charge utile de la balise. Il touche à la fois les parties exécutables, les DLL qu'elle utilise et divers applets ajoutés par l'opérateur. Malgré l'existence d'un concurrent plus moderne et prolifique, il est toujours utilisé activement.

Mimikatz Kit

Un outil tristement célèbre pour pirater le mécanisme de hachage de mot de passe dans Windows est intégré dans Cobalt Strike. En utilisant ce kit, les acteurs de la menace peuvent extraire les mots de passe du système cible. Cela peut ensuite être utilisé pour se déplacer latéralement et obtenir des privilèges plus élevés dans le réseau. Mimikatz est l'un des outils les plus populaires utilisés par les pirates informatiques et est régulièrement mis à jour pour contourner les mesures de sécurité.

Payload Development Kit

Le kit Payload Development permet de créer des charges utiles personnalisées pour les balises. Les pirates informatiques peuvent ajouter de nouvelles fonctionnalités à la balise ou créer des variantes de charge utile pour s'adapter aux besoins spécifiques de leur opération. Cela ouvre des possibilités presque illimitées pour les attaquants, car ils peuvent ajouter des fonctionnalités telles que le vol d'informations sensibles, le déploiement de ransomwares ou d'autres types de logiciels malveillants, et bien plus encore.

Implantation du pilote

Lorsqu'il s'agit de masquer des activités malveillantes, il est souvent nécessaire de contourner la détection par les outils de sécurité qui surveillent les activités des pilotes. Les pilotes sont des composants du système d'exploitation qui sont responsables de l'interaction avec le matériel et peuvent fournir un accès bas niveau aux ressources du système. Cobalt Strike offre la possibilité d'implanter un pilote personnalisé pour masquer ses activités.

Lorsque l'opérateur le décide, Cobalt Strike génère un pilote personnalisé qui peut être utilisé pour exécuter la charge utile de la balise dans le contexte du système d'exploitation. Cela rend la détection par les outils de sécurité plus difficile, car le pilote peut cacher les fichiers, les processus et les connexions réseau liés à la balise. L'implantation du pilote nécessite des privilèges d'administrateur sur le système cible.

Intégration de modules tiers

Cobalt Strike permet également d'intégrer des modules tiers pour étendre ses fonctionnalités. Ces modules tiers peuvent être développés par la communauté ou par des tiers, et ils ajoutent de nouvelles capacités et techniques à Cobalt Strike. Par exemple, certains modules tiers permettent de contourner des systèmes de sécurité spécifiques, d'exploiter des vulnérabilités spécifiques ou de manipuler des logiciels tiers pour atteindre les objectifs de l'attaque.

Scripts et personnalisations

En plus des kits d'arsenal et des modules tiers, Cobalt Strike permet également aux utilisateurs de personnaliser les scripts et les commandes pour répondre à leurs besoins spécifiques. Les utilisateurs peuvent écrire des scripts en utilisant le langage de script Beacon, qui est basé sur le langage de script PowerShell. Ces scripts peuvent être utilisés pour effectuer des tâches spécifiques, exécuter des commandes personnalisées ou automatiser des actions dans le cadre de l'attaque.

En résumé, Cobalt Strike offre de nombreuses possibilités de personnalisation de la charge utile, notamment à travers les kits d'arsenal, l'implantation du pilote, l'intégration de modules tiers et la personnalisation des scripts. Ces fonctionnalités permettent aux acteurs de la menace d'adapter Cobalt Strike à leurs besoins spécifiques et de rendre leurs attaques plus sophistiquées et plus efficaces.

Profils malléables

Les profils malléables permettent de reconstruire la manière dont la balise et les systèmes auxiliaires agissent au sein de l'environnement pénétré. Cobalt Strike offre une large gamme de paramètres à modifier, et les paramètres de l'"end product" après ces changements peuvent être enregistrés en tant que profils. Dans le cadre de cette démarche, l'opérateur peut modifier la fréquence des vérifications auprès du serveur d'équipe, l'aspect du trafic entrant/sortant, voire même modifier la manière dont la balise se connecte au système. Cette dernière modification altère l'empreinte même de la porte dérobée, rendant une fois de plus sa détection plus difficile. Toutefois, de telles modifications en profondeur nécessitent de redémarrer le serveur d'équipe après leur mise en œuvre.

Execute-Assembly

L'utilisation de PowerShell pour exécuter les commandes nécessaires au raccordement d'une DLL pour exécuter la balise est assez facile à tracer. Dans la mise à jour de 2018, les développeurs de Cobalt Strike ont présenté une nouvelle méthode de lancement dans le système qui suscite beaucoup moins d'alertes. Cette méthode a reçu son nom en raison de la commande de console utilisée pour son lancement, et est appelée Execute-Assembly. Elle crée un processus temporaire qui s'exécute à l'aide de .NET et connecte une balise, lui permettant de s'exécuter.

Scripts Aggressor

L'automatisation est très importante dans presque tous les aspects liés aux actions organisées. Le script Aggressor est un langage de script qui étend les capacités d'un seul membre de l'équipe. Ils peuvent être configurés pour s'exécuter dans certaines circonstances, ainsi que pour être utilisés comme une duplication des actions effectuées par l'opérateur qui les utilise. Le script Aggressor est une fonctionnalité exclusive au client, car les scripts s'exécutent uniquement sur un client de l'opérateur qui a créé le script.

Fichiers d'objet de balise

Les modules dont nous avons parlé ci-dessus concernent une fonctionnalité de balise CS "classique" qui nécessite une injection de DLL. Cette fonctionnalité est devenue bien connue à la fois des analystes en cybersécurité et des logiciels anti-malware. Chaque branchement de ces modules nécessite de répéter l'opération de bifurcation et d'exécution, ce qui rend l'intrusion beaucoup moins furtive. Les fichiers d'objet de balise, ou BOF, résolvent ce problème de manière assez élégante.

Étant écrits en C, ils sont beaucoup moins volumineux qu'une charge utile de balise classique, et que l'un de ses kits - environ 3 Ko comparés à ~100 Ko. Cela est parfois déjà suffisant pour éviter la détection des logiciels anti-malware en raison de leur taille trop petite pour attirer leur attention. La capacité de se lancer dans le processus de la balise Cobalt Strike réduit l'empreinte qu'elle laisse dans le système, par rapport à une injection de DLL classique.

Cobalt Strike est-il un logiciel malveillant?

À partir de la description que nous avons faite ci-dessus, vous connaissez probablement déjà la réponse. Cobalt Strike est plus qu'un simple logiciel malveillant, c'est une boîte à outils complexe qui permet de gérer un vaste botnet. La capacité de modifier la balise peut en faire plus qu'une simple porte dérobée/distributeur. Et associée à son objectif naturel - la diffusion de logiciels malveillants et la gestion des mouvements latéraux - elle se révèle presque omnipotente. Une telle fonctionnalité étendue est ce dont son public cible a vraiment besoin, mais malheureusement, les hackers l'ont également entre leurs mains. Avoir un tel ennemi puissant est un sérieux défi, même pour des équipes de défenseurs qualifiées, sans parler des entreprises qui n'en ont même pas.

Groupes de cybercriminalité utilisant Cobalt Strike

Il est assez difficile d'énumérer les attaques réalisées avec Cobalt Strike, tant en raison de leur nombre que du fait que CS est souvent utilisé dans une version modifiée. Nous allons donc lister les groupes de cybercriminels qui utilisent apparemment Cobalt Strike.
Nom du groupe Description
FIN7 Groupe de cybercriminels russes actif depuis le début de 2015. Utilisait la fonctionnalité de maintien de la C2 de Cobalt Strike, notamment avec sa fonctionnalité DNS Listener.
Leviathan alias APT40 Groupe APT chinois, présumé parrainé par le gouvernement. Utilisait la version non modifiée de Cobalt Strike. Actif depuis 2009, il vise principalement l'espionnage de haut niveau.
APT29 alias Cozy Bear Gang de cybercriminels associé au Service de renseignement extérieur russe. Les premières mentions sont apparues vers 2008, mais certains analystes considèrent 2010 comme leur année de début. Utilisait à la fois des variantes modifiées et authentiques de Cobalt Strike tout au long de la chronologie.
TA800 Gang de cybercriminels relativement récent, apparu en 2019. Remarquable en raison de leur utilisation de solutions inhabituelles dans leurs logiciels malve illants. Utilisait Cobalt Strike pour diffuser leurs charges utiles, principalement des logiciels malveillants bancaires.
TA415 alias Barium Gang APT originaire de Chine, associé à l'État et agissant dans son intérêt. Utilisait la fonctionnalité de Cobalt Strike comme méthode de diffusion de logiciels malveillants.
TA547 Gang de cybercriminels apparu en 2017. A commencé à utiliser Cobalt Strike pour ses capacités de communication C&C en février 2021, en le reliant à ZLoader.
TA577 Apparu à l'été 2020, TA577 a coopéré avec de nombreux gangs de rançongiciels. Cobalt Strike a été utilisé pour la diffusion de logiciels malveillants en conjonction avec SmokeLoader.

Comment se protéger contre les attaques Cobalt Strike?

Les menaces avancées nécessitent toujours une réponse avancée, surtout lorsque votre entreprise est la cible de cybercriminels. Néanmoins, certaines règles de base en matière de cybersécurité peuvent sérieusement faciliter votre vie et réduire les chances de succès des pirates. Commençons par des conseils plus généraux et passons ensuite à des mesures spécifiques contre Cobalt Strike.

  • Instruisez vos employés sur l'hygiène de la cybersécurité. Depuis que les courriers électroniques sont devenus le principal moyen de communication en entreprise, les hackers ont commencé à les utiliser pour propager des logiciels malveillants. Au fil du temps, la part des spams malveillants est devenue le principal moyen de diffusion de logiciels malveillants. Il n'est donc pas du tout recommandé d'ouvrir des liens et des pièces jointes de tous les e-mails reçus.
  • Un autre point avec un problème assez similaire est les réseaux sociaux. Dans le cadre d'opérations à long terme, les criminels peuvent essayer de gagner la confiance de vos employés en les contactant sur les réseaux sociaux. Cette méthode est beaucoup plus complexe que le spam par courrier électronique, mais les chances de réussite sont extrêmement élevées. Un lien ou un fichier apparemment dangereux que votre employé exécute pendant qu'il est au travail peut entraîner des conséquences terribles. Expliquer tous ces aspects et les moyens de s'assurer qu'ils ne traitent pas quelque chose de malveillant est une formation tout aussi essentielle que celle pour les qualifications principales.
  • Utilisez des outils puissants de surveillance du réseau. Comme vous avez pu le voir dans la description de Cobalt Strike, il communique assez activement avec les ordinateurs infectés. Si vous avez des outils de surveillance du réseau déployés sur votre infrastructure, les signes d'infection doivent être détectés assez rapidement. Un avantage encore plus grand serait d'utiliser un SIEM (Security Information and Event Management) ou une solution de détection des intrusions, qui seront capables d'analyser les événements du réseau pour des actions suspectes.
  • Utilisez un logiciel anti-malware performant sur tous les postes de travail et serveurs. De cette façon, vous réduirez considérablement les chances que les pirates réussissent.
  • Effectuez des mises à jour régulières des systèmes d'exploitation et des applications. Si l'attaque est basée sur une vulnérabilité logicielle qui a déjà été corrigée, vous avez de grandes chances de bloquer l'infection.
  • Mettez en place des politiques de gestion des privilèges. Limitez l'accès administratif aux systèmes aux utilisateurs qui en ont réellement besoin. Cela empêchera les attaquants d'accéder à des informations ou à des ressources critiques en cas de compromission d'un compte utilisateur.
  • Effectuez des audits de sécurité réguliers pour détecter les éventuelles vulnérabilités et faiblesses dans votre infrastructure. Cela permettra d'identifier et de corriger les problèmes de sécurité avant qu'ils ne soient exploités par des pirates.
  • Surveillez de près vos journaux d'événements pour détecter les activités suspectes et les tentatives d'intrusion. Les logs peuvent fournir des indications précieuses sur les attaques en cours ou les tentatives d'accès non autorisées.