Comment les cybercriminels utilisent les outils défensifs comme armes d’attaques
Exemple de Cobalt Strike et Metasploit
Cobat Strike est un outil d’émulation de menace multifonction conçu à l’origine pour les défenseurs de réseaux afin de simuler des intrusions par des cybercriminels.
Malheureusement, il est devenu un outil privilégié pour les acteurs malveillants en raison de ses capacités pour les activités post-exploitation, les canaux de communication clandestins et la surveillance avancée des réseaux.
Cet outil, ainsi que d’autres comme Metasploit, était initialement destiné aux tests d’intrusion éthiques, mais a été détourné à des fins malveillantes.
Le modus operandi des criminels utilisant Cobalt Strike implique souvent d’obtenir un accès initial à un réseau par divers moyens tels que le phishing, les attaques par force brute ou l’exploitation de vulnérabilités.
Une fois qu’un point d’appui est établi, Cobalt Strike Beacon, un composant de l’outil, est déployé sur les systèmes compromis, permettant une communication chiffrée avec un serveur de commande et de contrôle.
Cette communication facilite l’exfiltration de données, le déploiement de logiciels malveillants supplémentaires et les déplacements latéraux dans le réseau pour intensifier l’attaque.
Adaptation des outils à des fins malveillantes
Malgré son coût élevé, les criminels obtiennent Cobalt Strike par divers moyens, notamment en utilisant des versions plus anciennes ou en développant leurs propres versions modifiées adaptées à leurs besoins spécifiques.
Cela soulève des préoccupations éthiques concernant le développement et la disponibilité d’outils de test de pénétration aussi puissants.
Le dilemme réside dans le fait que les outils créés à des fins défensives contribuent involontairement aux capacités offensives entre les mains d’acteurs malveillants.
De plus, la dépendance aux tests de pénétration en tant que mesure de sécurité aggrave le problème.
Alors que les grandes entreprises déploient des équipes rouges pour les tests, le développement de nouveaux outils de test de pénétration alimente involontairement la course aux armements entre les défenseurs et les attaquants.
De plus, le coût et l’accessibilité des tests de pénétration signifient que seules certaines organisations peuvent se le permettre, laissant les autres vulnérables aux attaques utilisant ces outils avancés.
Le décalage entre le développement et l’élimination des anciens outils de test de pénétration pose un risque significatif. Alors que de nouveaux outils sont créés, les anciens peuvent être négligés, tombant éventuellement entre les mains des criminels.
Ainsi, les organisations qui emploient des testeurs de pénétration contribuent involontairement à l’arsenal des cybercriminels, tandis que ceux qui ne sont pas conscients de la menace restent vulnérables.
Une classification des risques cyber est disponible sur le corps du site : n’hésitez pas à la consulter
Vous souhaitez vérifier la maturité cyber de votre entreprise ?
Profitez dès maintenant d’un diagnostic gratuit en prenant rendez-vous ici : https://bit.ly/43Vrqgd