Dans la sécurité de l'information, le piratage fait référence à l'exploitation des vulnérabilités dans un système et à compromettre sa sécurité pour obtenir un accès ou un contrôle non autorisé. Les pirates éthiques sont utilisés par des organisations pour reproduire les effets d'une cyberattaque sur leurs systèmes et réseaux.

quand se termine le premier trimestre

Le but de cette attaque simulée est de découvrir les points faibles de l'organisation et de suggérer des moyens de les renforcer. Voici les cinq phases du piratage:

1. Reconnaissance
2. Balayage
3. Accéder à
4. Maintenir l'accès
5. Effacer les pistes

1. Reconnaissance (phase d'empreinte)

La reconnaissance est la première phase du piratage éthique également connu sous le nom d'empreinte ou de collecte d'informations. Il s'agit de l'étape préparatoire où les pirates visent à collecter autant de données que possible sur la cible avant de lancer une attaque réelle. L'objectif principal est de comprendre l'infrastructure de l'environnement cible et les points faibles potentiels, comme découvrir les enregistrements DNS de la plage d'adresses IP de la cible, etc.

Les pirates recueillent généralement des informations sur trois catégories:

• Réseau
• Hôte
• Personnes impliquées

En 2013 Target Corporation est devenu victime d'une violation de données massive affectant plus de 40 millions de clients. Les pirates ont commencé avec reconnaissance Rassembler les informations des vendeurs externes de la société. Ils ont identifié un entrepreneur HVAC avec un accès à distance au réseau de Target. L'utilisation de sources publiques comme LinkedIn et des assuresseurs divulgués a construit une carte de qui avait accès et comment.

2. Analyse

Une fois qu'ils avaient les détails initiaux, les attaquants cibles ont déplacé balayage - Identification des systèmes en direct des ports ouverts et des services vulnérables. Utilisation d'outils comme Nmap ou nessus, ils ont identifié un point d'entrée via la connexion distante du fournisseur.

Ils rassemblent des données techniques telles que les adresses IP ouvertes en cours d'exécution des services et des vulnérabilités en direct. Il aide les pirates éthiques à cartographier le réseau de détection des machines en direct à comprendre la topologie identifier les points faibles et le plan des attaques simulées pour tester les défenses.

3. Avoir accès

Après avoir collecté et analysé les données des étapes de reconnaissance et de numérisation, les pirates tentent d'exploitation. Dans le cas cible, les informations d'identification des fournisseurs volées leur ont donné un pied. Ils ont utilisé des logiciels malveillants pour saisir les systèmes de point de vente (POS) et des détails de la carte de récolte.

Le but ici est de simuler ce qu'un véritable attaquant pourrait faire en utilisant différentes techniques d'exploitation, notamment:

• Attaques d'injection (par exemple entité externe XML injection SQL)
• Déborde pour injecter des charges utiles malveillantes
• Détournement de session Pour prendre les séances utilisateur valides
• Crackage de mot de passe et déni de service
• Attaques d'homme au milieu Pour intercepter la communication

Dans le Sony Pictures Hack (2014) Les attaquants ont eu accès par le biais d'une campagne de phishing ciblant les employés, puis ont augmenté les privilèges pour contrôler les serveurs et exfiltrer les données d'entreprise sensibles.

4. Maintenir l'accès

Une fois que les pirates ont accédé à un système cible, ils entrent dans le Quatrième phase - Maintenir l'accès . À ce stade, la focalisation passe de la violation du système à rester à l'intérieur non détecté aussi longtemps que possible. Dans le cas où les logiciels malveillants de Target (BlackPos) ont été installés pour capturer en continu les données de paiement. Cela a persisté non détecté pendant des semaines avec des données exfiltrées aux serveurs externes.

Des techniques telles que l'installation de rootkits ou de bornes de chevaux de Troie permettent un contrôle continu même après le redémarrage du système de mot de passe ou d'autres mesures défensives. Au cours de cette phase, l'attaquant peut également intensifier les privilèges, créer de nouveaux comptes d'administrateur ou utiliser des systèmes zombies pour lancer d'autres intrusions.

5. Couvrant des pistes

Après avoir atteint des objectifs, le piratage entre dans la phase finale. En cela, ils effacent les signes de leur intrusion. Dans la violation cible, les attaquants ont supprimé les logiciels malveillants des appareils infectés après avoir exfiltrant des données dans l'espoir de masquer leur sentier.

Le processus implique:

supprimer le dernier commit git

• Suppression des fichiers journaux qui enregistrent les événements d'intrusion
• Modification ou corruption des journaux du système et des applications
• Scripts ou outils désinstallés utilisés pendant l'exploitation
• Modification des valeurs de registre pour supprimer les modifications
• Suppression de dossiers ou d'annuaires créés pendant l'attaque
• Supprimer toute trace de l'attaque ou de la présence de l'attaquant

Dans la violation de Capital One (2019), l'attaquant a tenté de cacher leurs journaux d'activité AWS mais a finalement été suivi via des enregistrements de service cloud.

Une fois cette étape terminée, cela signifie que le pirate éthique a eu avec succès l'accès au système ou au réseau exploité des vulnérabilités et sorti sans détection.

Après avoir terminé les cinq phases, le pirate éthique prépare un rapport complet détaillant toutes les vulnérabilités découvertes et fournit des recommandations pour les résoudre pour aider l'organisation à améliorer sa posture de sécurité globale.