Évasion défensive
Qu'est-ce que Évasion défensive ?
Évasion défensiveTactique MITRE ATT&CK (TA0005) couvrant les techniques utilisées pour échapper à la détection, neutraliser les outils de sécurité et masquer l'activité de l'attaquant.
L'évasion défensive (tactique MITRE ATT&CK TA0005) regroupe les techniques conçues pour contourner, aveugler ou tromper les contrôles de sécurité. C'est l'une des tactiques les plus vastes de la matrice : payloads obfusqués ou chiffrés, injection de processus, DLL side-loading, exécution via binaires signés (LOLBins), désactivation ou désinstallation d'EDR/AV, effacement des journaux d'événements, masquerading en processus légitime, abus de répertoires de confiance, rootkits, attaques BYOVD (Bring Your Own Vulnerable Driver). Elle s'entremêle aux autres tactiques tout au long de l'intrusion. Les défenseurs la contrent par une télémétrie en mode kernel, la protection anti-tamper des EDR, des journaux immuables, l'inventaire des binaires signés et des détections comportementales centrées sur les chaînes d'activité.
● Exemples
- 01
Apporter un pilote signé vulnérable pour neutraliser un EDR en mode kernel.
- 02
Renommer un exécutable malveillant en svchost.exe et le placer dans C:\Windows\.
● Questions fréquentes
Qu'est-ce que Évasion défensive ?
Tactique MITRE ATT&CK (TA0005) couvrant les techniques utilisées pour échapper à la détection, neutraliser les outils de sécurité et masquer l'activité de l'attaquant. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Évasion défensive ?
Tactique MITRE ATT&CK (TA0005) couvrant les techniques utilisées pour échapper à la détection, neutraliser les outils de sécurité et masquer l'activité de l'attaquant.
Comment fonctionne Évasion défensive ?
L'évasion défensive (tactique MITRE ATT&CK TA0005) regroupe les techniques conçues pour contourner, aveugler ou tromper les contrôles de sécurité. C'est l'une des tactiques les plus vastes de la matrice : payloads obfusqués ou chiffrés, injection de processus, DLL side-loading, exécution via binaires signés (LOLBins), désactivation ou désinstallation d'EDR/AV, effacement des journaux d'événements, masquerading en processus légitime, abus de répertoires de confiance, rootkits, attaques BYOVD (Bring Your Own Vulnerable Driver). Elle s'entremêle aux autres tactiques tout au long de l'intrusion. Les défenseurs la contrent par une télémétrie en mode kernel, la protection anti-tamper des EDR, des journaux immuables, l'inventaire des binaires signés et des détections comportementales centrées sur les chaînes d'activité.
Comment se défendre contre Évasion défensive ?
Les défenses contre Évasion défensive combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Évasion défensive ?
Noms alternatifs courants : Évasion des défenses, TA0005.
● Termes liés
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
- malware№ 949
Rootkit
Logiciel malveillant furtif qui octroie et masque un accès privilégié au système d'exploitation ou au matériel, en échappant aux outils de détection courants.
- malware№ 417
Malware sans fichier
Logiciel malveillant qui s'exécute principalement en mémoire et exploite des outils système légitimes, en évitant les exécutables traditionnels sur disque.
- forensics-ir№ 049
Anti-forensique
Techniques employées par des attaquants ou des acteurs soucieux de leur vie privée pour entraver, retarder ou faire échouer les investigations numériques.
- defense-ops№ 265
Cyber Kill Chain
Modèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.