Persistance
Qu'est-ce que Persistance ?
PersistanceTactique MITRE ATT&CK (TA0003) regroupant les techniques permettant à un attaquant de conserver son accès au système malgré reboots, changements de mots de passe et réponse à incident.
La persistance (tactique MITRE ATT&CK TA0003) regroupe les techniques qui permettent à un adversaire de conserver son point d'appui malgré les redémarrages, les changements de mots de passe ou les efforts de remédiation. On y trouve des clés de registre d'autostart, des tâches planifiées, des services Windows, des abonnements WMI, des jobs BITS, des login items macOS, des cron Linux, des extensions de navigateur malveillantes, des jetons OAuth et des comptes Active Directory backdoorés. Les attaquants empilent souvent plusieurs mécanismes au cas où l'un tomberait. Les défenseurs détectent la persistance via les logs de création de processus, les inventaires d'autoruns (Sysinternals Autoruns, EDR), des règles Sigma et la chasse aux tâches, services ou fournisseurs LSA anormaux, et l'éradiquent généralement en réinstallant intégralement les hôtes compromis.
● Exemples
- 01
Une porte dérobée installée comme service Windows avec un nom GUID aléatoire.
- 02
Une application OAuth malveillante disposant d'un accès permanent à une boîte Microsoft 365.
● Questions fréquentes
Qu'est-ce que Persistance ?
Tactique MITRE ATT&CK (TA0003) regroupant les techniques permettant à un attaquant de conserver son accès au système malgré reboots, changements de mots de passe et réponse à incident. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Persistance ?
Tactique MITRE ATT&CK (TA0003) regroupant les techniques permettant à un attaquant de conserver son accès au système malgré reboots, changements de mots de passe et réponse à incident.
Comment fonctionne Persistance ?
La persistance (tactique MITRE ATT&CK TA0003) regroupe les techniques qui permettent à un adversaire de conserver son point d'appui malgré les redémarrages, les changements de mots de passe ou les efforts de remédiation. On y trouve des clés de registre d'autostart, des tâches planifiées, des services Windows, des abonnements WMI, des jobs BITS, des login items macOS, des cron Linux, des extensions de navigateur malveillantes, des jetons OAuth et des comptes Active Directory backdoorés. Les attaquants empilent souvent plusieurs mécanismes au cas où l'un tomberait. Les défenseurs détectent la persistance via les logs de création de processus, les inventaires d'autoruns (Sysinternals Autoruns, EDR), des règles Sigma et la chasse aux tâches, services ou fournisseurs LSA anormaux, et l'éradiquent généralement en réinstallant intégralement les hôtes compromis.
Comment se défendre contre Persistance ?
Les défenses contre Persistance combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Persistance ?
Noms alternatifs courants : Persistance d'accès, TA0003.
● Termes liés
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- malware№ 080
Porte dérobée
Mécanisme caché qui contourne l'authentification ou les contrôles d'accès normaux afin de donner à un attaquant un accès futur au système.
- defense-ops№ 397
Exécution (tactique MITRE)
Tactique MITRE ATT&CK (TA0002) couvrant les techniques permettant à un adversaire d'exécuter son code sur un système local ou distant.
- defense-ops№ 298
Évasion défensive
Tactique MITRE ATT&CK (TA0005) couvrant les techniques utilisées pour échapper à la détection, neutraliser les outils de sécurité et masquer l'activité de l'attaquant.
- defense-ops№ 265
Cyber Kill Chain
Modèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.
- forensics-ir№ 524
Réponse à incident
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.
● Voir aussi
- № 535Accès initial
- № 447Golden Ticket