Sommaire

Mode opératoire en cas d’attaques ciblées persistantes (APT) APT

1. Introduction

Le mode opératoire lors d’une attaque ciblée persistante n’est pas le même que celui ciblant des personnes au hasard via des campagnes de spam massives. Sur une attaque ciblant une entité professionnelle spécifique, l’attaquant aura affaire à un environnement professionnel, avec une infrastructure complexe, une configuration d’entreprise, des systèmes de détection d’intrusion...

Cependant, la complexité du réseau de l’entité cible peut, aussi surprenant que cela puisse paraître, faciliter le travail de l’attaquant. Il ne sera pas obligé de cibler la personne à atteindre spécifiquement, mais il pourra cibler un de ses collègues ou un employé d’une tout autre équipe voire même sur un autre site. Les interconnexions entre chaque poste des employés faciliteront le travail de rebond jusqu’à atteindre la cible souhaitée.

Comprendre le mode opératoire de l’attaquant peut aider un analyste à identifier un malware. Il est plus facile d’organiser son temps de travail dédié à l’identification de machines infectées ou à l’identification d’un malware si le mode opératoire de l’attaquant est parfaitement maîtrisé.

Dans cette section seront présentées les cinq phases traditionnelles ...