Exécution (tactique MITRE)
Qu'est-ce que Exécution (tactique MITRE) ?
Exécution (tactique MITRE)Tactique MITRE ATT&CK (TA0002) couvrant les techniques permettant à un adversaire d'exécuter son code sur un système local ou distant.
L'exécution (tactique MITRE ATT&CK TA0002) décrit le moment où le code contrôlé par l'adversaire s'exécute réellement sur la victime. Elle inclut des interpréteurs de scripts comme PowerShell, JavaScript, Python ou shell ; l'exécution par l'utilisateur de pièces jointes ou de raccourcis malveillants ; l'abus de binaires natifs comme rundll32 ou msbuild en mode living-off-the-land ; la création de tâches planifiées et de services ; et les mécanismes d'IPC. Les attaquants enchaînent souvent l'exécution après l'accès initial pour stabiliser leur foothold, en la combinant avec l'évasion défensive afin d'échapper aux AV et EDR. Les défenseurs s'appuient sur la télémétrie de création de processus (Sysmon EID 1, EDR), l'audit des lignes de commande, l'allowlisting d'applications, AMSI et les modes de langage contraints.
● Exemples
- 01
Une macro lance PowerShell pour télécharger et exécuter un beacon Cobalt Strike.
- 02
Abus de rundll32.exe pour charger une DLL malveillante depuis un répertoire utilisateur en écriture.
● Questions fréquentes
Qu'est-ce que Exécution (tactique MITRE) ?
Tactique MITRE ATT&CK (TA0002) couvrant les techniques permettant à un adversaire d'exécuter son code sur un système local ou distant. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Exécution (tactique MITRE) ?
Tactique MITRE ATT&CK (TA0002) couvrant les techniques permettant à un adversaire d'exécuter son code sur un système local ou distant.
Comment fonctionne Exécution (tactique MITRE) ?
L'exécution (tactique MITRE ATT&CK TA0002) décrit le moment où le code contrôlé par l'adversaire s'exécute réellement sur la victime. Elle inclut des interpréteurs de scripts comme PowerShell, JavaScript, Python ou shell ; l'exécution par l'utilisateur de pièces jointes ou de raccourcis malveillants ; l'abus de binaires natifs comme rundll32 ou msbuild en mode living-off-the-land ; la création de tâches planifiées et de services ; et les mécanismes d'IPC. Les attaquants enchaînent souvent l'exécution après l'accès initial pour stabiliser leur foothold, en la combinant avec l'évasion défensive afin d'échapper aux AV et EDR. Les défenseurs s'appuient sur la télémétrie de création de processus (Sysmon EID 1, EDR), l'audit des lignes de commande, l'allowlisting d'applications, AMSI et les modes de langage contraints.
Comment se défendre contre Exécution (tactique MITRE) ?
Les défenses contre Exécution (tactique MITRE) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Exécution (tactique MITRE) ?
Noms alternatifs courants : Tactique d'exécution, TA0002.
● Termes liés
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 535
Accès initial
Tactique MITRE ATT&CK (TA0001) regroupant les techniques par lesquelles un attaquant établit son premier point d'appui dans l'environnement cible.
- defense-ops№ 817
Persistance
Tactique MITRE ATT&CK (TA0003) regroupant les techniques permettant à un attaquant de conserver son accès au système malgré reboots, changements de mots de passe et réponse à incident.
- defense-ops№ 298
Évasion défensive
Tactique MITRE ATT&CK (TA0005) couvrant les techniques utilisées pour échapper à la détection, neutraliser les outils de sécurité et masquer l'activité de l'attaquant.
- defense-ops№ 265
Cyber Kill Chain
Modèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.