Module 12 — Attaques & Monitoring

Attackers & Their Tools

Qui sont les attaquants ? Quelles sont leurs motivations, leurs methodes et leurs outils ? Decouvre la Cyber Kill Chain et le framework MITRE ATT&CK.

Identifier les differents types d'attaquants et leurs motivations
Comprendre les 7 etapes de la Cyber Kill Chain
Decouvrir le framework MITRE ATT&CK
Connaitre les outils offensifs courants et leurs usages

👤 12.1 — Types d'attaquants (Threat Actors)

Tous les attaquants ne se ressemblent pas. Pour se defendre efficacement, il faut comprendre qui nous attaque, pourquoi et avec quelles capacites.

Imagine la securite d'un musee. Les menaces ne sont pas les memes selon qu'il s'agit d'un adolescent qui veut se prouver quelque chose, d'un voleur professionnel ou d'une organisation criminelle internationale. La reponse securitaire doit etre adaptee a chaque profil.

Type d'attaquant	Motivations	Niveau de competence	Ressources	Exemples
Script Kiddies	Amusement, defi, reputation	Faible — utilise des outils pre-faits	Outils publics gratuits, tutoriels en ligne	Utilisation de LOIC pour DDoS, telechargement de malware kits, defacement basique
Hacktivistes	Ideologie, cause politique ou sociale	Faible a moyen	Coordination de groupe, outils open source	Anonymous, LulzSec, GhostSec, defacement de sites gouvernementaux
Cybercriminels organises	Gain financier	Moyen a eleve	Infrastructure dediee, RaaS, mules financieres	DarkSide (Colonial Pipeline), REvil (Kaseya), Conti (Costa Rica), LockBit
State-Sponsored (APT)	Espionnage, sabotage, avantage strategique	Tres eleve — ressources quasi illimitees	Budget etatique, zero-days, infrastructure mondiale	APT28/Fancy Bear (Russie/GRU), APT41/Double Dragon (Chine), Lazarus Group (Coree du Nord)
Insider Threats	Vengeance, gain financier, negligence	Variable — mais acces privilegie	Acces legitime aux systemes internes	Employe mecontent, sous-traitant negligent, compte compromis, espion industriel
Cyber terroristes	Terreur, destabilisation, propagande	Variable — souvent soutenu par des etats	Financement ideologique, recrutement en ligne	Attaques sur infrastructures critiques (eau, energie, transports)

A retenir

Les Advanced Persistent Threats (APT) sont les plus dangereux car ils disposent de ressources considerables, sont patients et ciblent des objectifs strategiques sur le long terme.

Groupes APT notoires

Attribution : Unite 26165 du GRU (renseignement militaire russe)

Actif depuis : ~2004

Cibles : Gouvernements occidentaux, OTAN, organisations politiques, medias, secteur de la defense

Attaques notoires :

Piratage du Comite National Democrate (DNC) en 2016
Attaque contre le Bundestag allemand (2015)
Tentative de piratage de l'OIAC (Organisation pour l'Interdiction des Armes Chimiques)

TTP favorites : Spear phishing avec documents pieges, exploitation de zero-days (Flash, Windows), utilisation de X-Agent et X-Tunnel pour le C2

MITRE ATT&CK : T1566.001 (Spear Phishing Attachment), T1059 (Command and Scripting Interpreter), T1027 (Obfuscated Files)

Attribution : Groupe chinois menant a la fois de l'espionnage etatique et du cybercrime a but financier

Actif depuis : ~2012

Cibles : Sante, telecoms, jeux video, haute technologie, education (plus de 14 pays)

Particularite : Unique parmi les APT car mene simultanement des operations d'espionnage pour l'Etat et des activites criminelles a but lucratif (vol de monnaie virtuelle, ransomware)

TTP favorites : Supply chain attacks, exploitation de vulnerabilites dans les logiciels de gestion, rootkits bootkits, deploiement de ShadowPad et Winnti

MITRE ATT&CK : T1195 (Supply Chain Compromise), T1190 (Exploit Public-Facing Application), T1055 (Process Injection)

Attribution : Reconnaissance General Bureau (RGB) de la Coree du Nord

Actif depuis : ~2009

Cibles : Institutions financieres, crypto-monnaies, industrie de la defense, medias

Attaques notoires :

Sony Pictures Entertainment (2014) — destruction de donnees, leak de films
Vol de 81 millions $ a la Banque Centrale du Bangladesh via SWIFT (2016)
WannaCry ransomware (2017) — 200 000+ systemes dans 150 pays
Vols de crypto-monnaie totalisant plus de 1,7 milliard $ (Ronin Network, Harmony Bridge)

Particularite : Motivation financiere pour financer le programme nucleaire nord-coreen

MITRE ATT&CK : T1566.002 (Spear Phishing Link), T1486 (Data Encrypted for Impact), T1071 (Application Layer Protocol)

Ces groupes representent l'evolution du cybercrime vers un modele professionnel :

Groupe	Attaque majeure	Impact	Modele
DarkSide	Colonial Pipeline (2021)	Coupure d'approvisionnement en carburant sur la cote est des USA, rancon de 4,4M $	RaaS (Ransomware-as-a-Service)
REvil/Sodinokibi	Kaseya VSA (2021)	Supply chain attack, 1500+ entreprises touchees, demande de 70M $	RaaS avec programme d'affiliation
Conti	Gouvernement du Costa Rica (2022)	Etat d'urgence nationale declare, 27 organismes gouvernementaux touches	Operation structuree avec RH, dev, negociateurs

Modele RaaS : Les developpeurs creent le ransomware, les affilies le deploient, les benefices sont partages (70-80% affilie, 20-30% developpeur).

🎯 12.2 — Motivations des attaquants

Comprendre les motivations permet d'anticiper les cibles et les methodes d'attaque.

La motivation la plus repandue. Les cybercriminels cherchent a monetiser leurs attaques :

Ransomware : chiffrer les donnees et exiger une rancon
Vol de donnees bancaires : cartes de credit, identifiants de comptes
Fraude : usurpation d'identite, fausses transactions
Vente de donnees : revente sur le dark web

Le cybercrime est desormais plus rentable que le trafic de drogue mondial.

Voler des informations strategiques sans etre detecte :

Espionnage industriel : brevets, R&D, strategies commerciales
Espionnage etatique : secrets militaires, diplomatiques
Surveillance de masse : collecte de renseignements sur des populations

Les attaquants state-sponsored excellent dans ce domaine avec des campagnes de plusieurs mois ou annees.

Attaquer pour defendre une cause :

Defacement : modifier un site web pour afficher un message politique
Fuites de donnees : rendre publiques des informations embarrassantes
DDoS de protestation : rendre un service indisponible pour attirer l'attention

Certains attaquants sont motives par la curiosite et le defi intellectuel :

Prouver qu'un systeme est vulnerable
Gagner en reputation dans la communaute underground
Tester ses competences techniques

Cette motivation est souvent celle des script kiddies et des jeunes hackers.

Un employe licencie, un partenaire mecontent ou un client frustre peut :

Supprimer ou corrompre des donnees avant de partir
Voler des informations confidentielles
Saboter des systemes critiques
Diffuser des informations sensibles publiquement

Cas reel

En 2020, un ancien employe de Cisco a supprime 456 machines virtuelles apres son depart, causant 2,4 millions $ de degats et affectant 16 000 comptes utilisateurs.

⛓️ 12.3 — Cyber Kill Chain (Lockheed Martin)

La Cyber Kill Chain est un modele developpe par Lockheed Martin qui decrit les 7 etapes d'une cyberattaque. Comprendre ces etapes permet de detecter et stopper une attaque le plus tot possible.

Imagine un cambriolage planifie. Le voleur repere d'abord la maison (Reconnaissance), prepare ses outils (Weaponization), s'approche de la porte (Delivery), crochete la serrure (Exploitation), desactive l'alarme (Installation), communique avec son complice a l'exterieur (C2), puis vole les bijoux (Actions on Objectives). Si tu le reperes a n'importe quelle etape, tu peux l'arreter.

Les 7 etapes de la Cyber Kill Chain (avec mapping MITRE ATT&CK)

1. 🔍 Reconnaissance

Objectif : Collecter des informations sur la cible.

Passive (OSINT) : Reseaux sociaux (LinkedIn, Twitter), DNS lookups (whois, dig), Google Dorking, Shodan, archives web (Wayback Machine), fuites de donnees publiques, registres d'entreprises.

Active : Scan de ports (Nmap), scan de vulnerabilites (Nessus, OpenVAS), banner grabbing, fingerprinting de services.

Outils : Nmap, Maltego, theHarvester, Recon-ng, SpiderFoot, Shodan, Censys

MITRE ATT&CK Tactics : TA0043 Reconnaissance — Techniques : T1595 (Active Scanning), T1592 (Gather Victim Host Information), T1589 (Gather Victim Identity Information), T1593 (Search Open Websites/Domains)

Analogie : Le cambrioleur observe la maison, note les horaires, identifie les entrees.

Defense : Limiter les informations publiques, detecter les scans (IDS/IPS), honeypots, gestion des metadonnees.

2. 🔧 Weaponization

Objectif : Creer l'arme d'attaque (exploit + payload).

Techniques :

Couplage exploit + malware dans un document (macro Word/Excel, PDF piege)
Creation de payloads avec msfvenom (Metasploit)
Obfuscation et packing pour eviter la detection AV
Achat ou location d'outils sur le dark web (exploit kits : RIG, Magnitude)
Infrastructure C2 : enregistrement de domaines, achat de VPS, certificats SSL

MITRE ATT&CK Tactics : TA0042 Resource Development — Techniques : T1587 (Develop Capabilities), T1588 (Obtain Capabilities), T1583 (Acquire Infrastructure), T1585 (Establish Accounts)

Analogie : Le cambrioleur prepare son kit : pied-de-biche, passe-partout, sac.

Defense : Threat intelligence, analyse de malware, sandbox detonation, monitoring du dark web.

3. 📧 Delivery

Objectif : Livrer l'arme a la cible.

Vecteurs courants :

Email : Spear phishing avec piece jointe (T1566.001) ou lien (T1566.002) — vecteur #1 (91% des attaques)
Web : Drive-by download, watering hole, sites compromis
Physique : Cle USB infectee (USB drop attack), supply chain compromise
Exploitation directe : Services exposes sur Internet (RDP, VPN, applications web)

MITRE ATT&CK Tactics : TA0001 Initial Access — Techniques : T1566 (Phishing), T1189 (Drive-by Compromise), T1195 (Supply Chain Compromise), T1190 (Exploit Public-Facing Application)

Analogie : Le cambrioleur s'approche de la porte d'entree.

Defense : Filtrage email (SPF, DKIM, DMARC), proxy web, sandboxing des pieces jointes, sensibilisation des utilisateurs, segmentation reseau.

4. 💥 Exploitation

Objectif : Exploiter une vulnerabilite pour executer du code.

Types d'exploitation :

Failles logicielles : Buffer overflow, use-after-free, RCE (Remote Code Execution)
Failles web : SQLi, XSS, SSRF, deserialization
Mauvaises configurations : Credentials par defaut, services non securises
Erreur humaine : Clic sur un lien, activation de macros, execution d'un fichier
Zero-days : Vulnerabilites non connues du vendeur (les plus dangereuses)

MITRE ATT&CK Tactics : TA0002 Execution — Techniques : T1059 (Command and Scripting Interpreter), T1203 (Exploitation for Client Execution), T1204 (User Execution)

Analogie : Le cambrioleur crochete la serrure ou exploite une fenetre mal fermee.

Defense : Patching rapide, hardening, EDR, sandboxing, application whitelisting, ASLR/DEP.

5. 📦 Installation

Objectif : Installer un acces persistant (backdoor, RAT, web shell).

Techniques de persistence :

Backdoors : RAT (Remote Access Trojan), web shells (China Chopper, WSO)
Registry Run Keys : Cles de registre Windows pour execution au demarrage
Scheduled Tasks / Cron Jobs : Taches planifiees
DLL Hijacking / Side-loading : Remplacement ou injection de DLL
Bootkit : Infection du MBR/UEFI pour persistance pre-OS
Compte utilisateur cache : Creation d'un compte administrateur discret

MITRE ATT&CK Tactics : TA0003 Persistence + TA0004 Privilege Escalation — Techniques : T1547 (Boot or Logon Autostart Execution), T1053 (Scheduled Task/Job), T1136 (Create Account), T1574 (Hijack Execution Flow)

Analogie : Le cambrioleur desactive l'alarme et fait une copie de la cle.

Defense : Detection de malware, FIM (File Integrity Monitoring), application whitelisting, monitoring des comptes, EDR.

6. 📡 Command & Control (C2)

Objectif : Etablir un canal de communication avec le systeme compromis.

Protocoles et techniques C2 :

HTTP/HTTPS : Se fond dans le trafic web normal (le plus courant)
DNS tunneling : Exfiltration de donnees via des requetes DNS
Reseaux sociaux / Cloud : Twitter, Dropbox, Google Drive comme canaux C2
Domain fronting : Utiliser des CDN legitimes pour masquer le trafic C2
Beaconing : Communications periodiques a intervalles reguliers (ou avec jitter)

Frameworks C2 connus : Cobalt Strike, Covenant, Sliver, Empire, PoshC2

MITRE ATT&CK Tactics : TA0011 Command and Control — Techniques : T1071 (Application Layer Protocol), T1572 (Protocol Tunneling), T1573 (Encrypted Channel), T1102 (Web Service)

Analogie : Le cambrioleur communique par talkie-walkie avec son complice a l'exterieur.

Defense : Analyse du trafic reseau (NTA), detection de beaconing, blocage de domaines suspects (threat intel feeds), inspection SSL/TLS, DNS monitoring.

7. 🎯 Actions on Objectives

Objectif : Accomplir la mission finale de l'attaque.

Actions possibles :

Exfiltration : Vol de donnees sensibles (propriete intellectuelle, PII, credentials)
Ransomware : Chiffrement des donnees + double extorsion (chiffrement + menace de publication)
Destruction : Wiper malware (NotPetya, Shamoon), suppression de backups
Lateral Movement : Propagation vers d'autres systemes (PtH, PsExec, WMI, RDP)
Credential Harvesting : Mimikatz, DCSync, Kerberoasting
Manipulation : Modification de donnees (fraude, sabotage)

MITRE ATT&CK Tactics : TA0009 Collection, TA0010 Exfiltration, TA0040 Impact, TA0008 Lateral Movement — Techniques : T1005 (Data from Local System), T1041 (Exfiltration Over C2 Channel), T1486 (Data Encrypted for Impact), T1021 (Remote Services)

Analogie : Le cambrioleur ouvre le coffre-fort et emporte les bijoux.

Defense : DLP, segmentation reseau, monitoring des acces privilegies, backups immutables, detection de mouvements lateraux.

Principe fondamental

Plus on detecte l'attaque tot dans la kill chain, plus il est facile de la stopper et moins les degats sont importants. L'objectif est de "break the chain" le plus a gauche possible.

Mapping Kill Chain vers MITRE ATT&CK

Kill Chain	MITRE ATT&CK Tactics	Objectif defensif
1. Reconnaissance	TA0043 Reconnaissance	Reduire la surface d'exposition publique
2. Weaponization	TA0042 Resource Development	Threat intelligence proactive
3. Delivery	TA0001 Initial Access	Filtrage, sandboxing, sensibilisation
4. Exploitation	TA0002 Execution	Patching, hardening, EDR
5. Installation	TA0003 Persistence, TA0004 Privilege Escalation, TA0005 Defense Evasion	FIM, whitelisting, monitoring
6. C2	TA0011 Command and Control	NTA, DNS monitoring, SSL inspection
7. Actions	TA0006-TA0010, TA0040 (Credential Access, Discovery, Lateral Movement, Collection, Exfiltration, Impact)	DLP, segmentation, UEBA

🗂️ 12.4 — MITRE ATT&CK Framework

Le framework MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) est une base de connaissances publique qui catalogue les comportements reels des attaquants.

Si la Kill Chain est une carte routiere (le chemin global d'une attaque), MITRE ATT&CK est un GPS detaille qui repertorie chaque rue, chaque raccourci et chaque manoeuvre possible a chaque etape du trajet.

Organisation du framework

Concept	Definition	Exemple
Tactique (Tactic)	Le pourquoi — l'objectif de l'attaquant	Initial Access, Persistence, Exfiltration
Technique	Le comment — la methode utilisee	Phishing (T1566), Valid Accounts (T1078)
Sous-technique	Variante specifique d'une technique	Spear Phishing Attachment (T1566.001)
Procedure	Implementation concrete par un groupe	APT28 utilise des documents Word pieges

Les 14 tactiques de la matrice Enterprise

#	ID	Tactique	Objectif	Techniques exemples
1	TA0043	Reconnaissance	Collecter des informations sur la cible	T1595 Active Scanning, T1592 Gather Victim Host Info, T1589 Gather Victim Identity Info, T1593 Search Open Websites
2	TA0042	Resource Development	Preparer les ressources pour l'attaque	T1583 Acquire Infrastructure, T1587 Develop Capabilities, T1588 Obtain Capabilities (exploits, malware), T1585 Establish Accounts
3	TA0001	Initial Access	Penetrer dans le reseau cible	T1566 Phishing, T1190 Exploit Public-Facing Application, T1195 Supply Chain Compromise, T1078 Valid Accounts, T1189 Drive-by Compromise
4	TA0002	Execution	Executer du code malveillant	T1059 Command and Scripting Interpreter (PowerShell, Bash, Python), T1204 User Execution, T1203 Exploitation for Client Execution
5	TA0003	Persistence	Maintenir l'acces sur le long terme	T1547 Boot/Logon Autostart, T1053 Scheduled Task/Job, T1136 Create Account, T1543 Create/Modify System Process, T1546 Event Triggered Execution
6	TA0004	Privilege Escalation	Obtenir des droits superieurs	T1068 Exploitation for Privilege Escalation, T1548 Abuse Elevation Control (UAC bypass), T1134 Access Token Manipulation, T1574 Hijack Execution Flow
7	TA0005	Defense Evasion	Eviter la detection	T1027 Obfuscated Files, T1070 Indicator Removal (log clearing), T1055 Process Injection, T1036 Masquerading, T1562 Impair Defenses (disable AV)
8	TA0006	Credential Access	Voler des identifiants	T1003 OS Credential Dumping (Mimikatz, LSASS), T1110 Brute Force, T1558 Steal/Forge Kerberos Tickets (Kerberoasting), T1557 LLMNR/NBT-NS Poisoning
9	TA0007	Discovery	Cartographier l'environnement interne	T1018 Remote System Discovery, T1069 Permission Groups Discovery, T1082 System Information Discovery, T1083 File and Directory Discovery
10	TA0008	Lateral Movement	Se deplacer dans le reseau	T1021 Remote Services (RDP, SSH, SMB, WinRM), T1550 Use Alternate Authentication (Pass-the-Hash, Pass-the-Ticket), T1570 Lateral Tool Transfer
11	TA0009	Collection	Rassembler les donnees d'interet	T1005 Data from Local System, T1039 Data from Network Shared Drive, T1113 Screen Capture, T1056 Input Capture (keylogging)
12	TA0011	Command & Control	Communiquer avec les systemes compromis	T1071 Application Layer Protocol (HTTP/S, DNS), T1573 Encrypted Channel, T1572 Protocol Tunneling, T1102 Web Service (Dropbox, GitHub)
13	TA0010	Exfiltration	Voler et sortir les donnees	T1041 Exfiltration Over C2 Channel, T1048 Exfiltration Over Alternative Protocol (DNS, ICMP), T1567 Exfiltration Over Web Service (cloud storage)
14	TA0040	Impact	Perturber, detruire ou manipuler	T1486 Data Encrypted for Impact (ransomware), T1485 Data Destruction, T1489 Service Stop, T1498 Network Denial of Service, T1491 Defacement

Comment utiliser ATT&CK pour la defense ?

Detection engineering : creer des regles de detection (Sigma, YARA, Snort) basees sur les techniques connues
Threat intelligence : comprendre les TTP (Tactics, Techniques & Procedures) des groupes qui ciblent votre secteur
Red teaming : simuler des attaques reelles en suivant les techniques du framework (Atomic Red Team, CALDERA)
Gap analysis : identifier les techniques pour lesquelles vous n'avez aucune detection
SOC maturity : mesurer la couverture de detection de votre SOC avec ATT&CK Navigator
Incident response : classifier les actions observees lors d'un incident avec un vocabulaire commun
Purple teaming : collaboration red/blue team pour ameliorer les detections technique par technique

Ressources

attack.mitre.org — Matrice complete avec exemples reels pour chaque technique
ATT&CK Navigator — Outil de visualisation pour mapper votre couverture defensive
D3FEND (d3fend.mitre.org) — Framework complementaire cote defensif
Atomic Red Team — Tests unitaires pour chaque technique ATT&CK

🛠️ 12.5 — Outils offensifs courants

Ces outils sont utilises aussi bien par les attaquants que par les professionnels de la securite (pentesters, red teamers). Connaitre ces outils est essentiel pour un analyste SOC.

Attention

Ces outils ont des usages legitimes (audit de securite, pentesting). Leur utilisation sans autorisation est illegale. Toujours obtenir une autorisation ecrite avant de tester un systeme.

Description : Scanner de reseau open source #1 mondial. Decouvre les hotes actifs, les ports ouverts, les services, les versions et les systemes d'exploitation.

Types de scan Nmap

Option	Type de scan	Description	Avantage
`-sS`	SYN Scan (Half-open)	Envoie un SYN, attend SYN-ACK, puis RST (ne complete pas le handshake)	Rapide, discret, scan par defaut (root)
`-sT`	TCP Connect	Complete le three-way handshake complet	Ne necessite pas de privileges root, mais plus lent et plus visible
`-sU`	UDP Scan	Envoie des paquets UDP pour decouvrir les services UDP	Detecte DNS (53), SNMP (161), DHCP (67), TFTP (69)
`-sP` / `-sn`	Ping Scan	Decouvre les hotes actifs sans scanner les ports	Inventaire rapide du reseau
`-O`	OS Detection	Fingerprinting du systeme d'exploitation via le stack TCP/IP	Identifie Windows, Linux, macOS, versions
`-sV`	Version Detection	Interroge les services pour determiner leur version	Apache 2.4.41, OpenSSH 8.2, etc.
`-A`	Aggressive Scan	Combine -O, -sV, scripts et traceroute	Scan complet mais bruyant
`-sN/-sF/-sX`	Null/FIN/Xmas	Scans furtifs manipulant les flags TCP	Evitent certains firewalls et IDS
`--script`	NSE Scripts	Nmap Scripting Engine (600+ scripts)	Vulnerability scanning, brute force, discovery

Exemples de commandes :

nmap -sS -sV -O -p 1-1000 192.168.1.0/24 — SYN scan + version + OS sur les 1000 premiers ports
nmap -sU -p 53,161,500 target — Scan UDP cible sur DNS, SNMP, IKE
nmap --script vuln target — Scan de vulnerabilites avec NSE
nmap -sS -T4 -Pn -p- target — SYN scan rapide sur tous les 65535 ports

Etape Kill Chain : Reconnaissance | MITRE ATT&CK : T1595 Active Scanning

Description : Plateforme de test de penetration la plus utilisee au monde. Contient des milliers d'exploits, payloads et modules auxiliaires.

Architecture de Metasploit

Module	Role	Exemples
Exploits	Code qui exploite une vulnerabilite specifique	EternalBlue (MS17-010), BlueKeep (CVE-2019-0708), Log4Shell
Payloads	Code execute apres exploitation reussie	`windows/meterpreter/reverse_tcp`, `linux/x64/shell_reverse_tcp`
Encoders	Obfuscation du payload pour eviter la detection AV	`x86/shikata_ga_nai` (encodeur polymorphique)
Auxiliary	Modules de scan, fuzzing, sniffing, brute force	Scanner SSH, FTP anonymous check, SMB enumeration
Post-exploitation	Actions apres compromission initiale	Dump credentials, keylogging, pivot, screenshot, persistence
Evasion	Generation de payloads evasifs	Techniques anti-sandbox, anti-AV, obfuscation

Composants cles :

msfconsole : Interface en ligne de commande principale
msfvenom : Generateur de payloads standalone (msfvenom -p windows/meterpreter/reverse_tcp LHOST=... LPORT=4444 -f exe > shell.exe)
Meterpreter : Shell avance en memoire — capture ecran, keylogger, pivot, migration de processus
Armitage : Interface graphique pour Metasploit

Etape Kill Chain : Weaponization, Exploitation, Installation | MITRE ATT&CK : T1203 Exploitation for Client Execution

Description : Analyseur de protocoles reseau (packet sniffer). Capture et inspecte le trafic reseau en temps reel ou a partir de fichiers PCAP.

Capture Filters vs Display Filters

Type	Syntaxe	Quand	Exemples
Capture Filters (BPF)	Berkeley Packet Filter	Avant la capture — filtre ce qui est enregistre	`host 192.168.1.1`, `port 80`, `tcp port 443`, `not arp`
Display Filters	Syntaxe Wireshark	Apres la capture — filtre l'affichage	`http.request.method == "POST"`, `dns.qry.name contains "evil"`, `tcp.flags.syn == 1`

Display Filters utiles pour un analyste SOC :

http.request.method == "POST" — Requetes POST (souvent exfiltration ou login)
dns.qry.name contains "evil" — Requetes DNS suspectes
tcp.flags.syn == 1 && tcp.flags.ack == 0 — Scan SYN
ip.addr == 10.0.0.0/8 && !dns — Trafic interne non-DNS
frame contains "password" — Credentials en clair
tls.handshake.type == 1 — Client Hello TLS (decouverte de connexions chiffrees)
http.response.code >= 400 — Erreurs HTTP (bruteforce, scanning)

Fonctionnalites avancees : Follow TCP Stream, Export Objects, IO Graphs, Protocol Hierarchy, Expert Information, tshark (CLI)

Etape Kill Chain : Reconnaissance, C2, Actions | MITRE ATT&CK : T1040 Network Sniffing

Description : Plateforme integree #1 pour tester la securite des applications web. Fonctionne comme un proxy d'interception HTTP/HTTPS.

Modules principaux de Burp Suite

Module	Fonction	Usage
Proxy	Intercepte et modifie les requetes/reponses HTTP en transit	Modifier des parametres, cookies, headers a la volee
Scanner	Detecte automatiquement les vulnerabilites web	XSS, SQLi, CSRF, SSRF, XXE, path traversal, injection
Intruder	Automatise des attaques parametrees (fuzzing)	Brute force de formulaires, enumeration de parametres, fuzzing de valeurs
Repeater	Renvoie et modifie manuellement des requetes individuelles	Test iteratif de payloads, verification de vulns
Decoder	Encode/decode des donnees	Base64, URL encoding, HTML entities, hex
Comparer	Compare deux requetes ou reponses	Identifier les differences entre requetes valides et invalides
Sequencer	Analyse la qualite de l'aleatoire des tokens	Tester l'entropie des tokens de session

Etape Kill Chain : Reconnaissance, Exploitation | MITRE ATT&CK : T1190 Exploit Public-Facing Application

Trois outils complementaires pour differents scenarios d'attaque sur les mots de passe :

Outil	Type	Specialite	Vitesse
John the Ripper	Offline (hash cracking)	Polyvalent, 300+ formats de hash, regles de mutation, open source	CPU-based (GPU avec jumbo)
Hashcat	Offline (hash cracking)	Le plus rapide, exploitation massive du GPU, 350+ types de hash	GPU-based — des milliards de hash/sec
Hydra (THC-Hydra)	Online (brute force reseau)	Brute force de services en ligne (SSH, FTP, HTTP, RDP, SMB, MySQL, etc.)	Limite par le reseau et les lockouts

Modes d'attaque Hashcat

Mode	Flag	Description
Dictionary	`-a 0`	Teste chaque mot d'une wordlist (rockyou.txt, SecLists)
Combination	`-a 1`	Combine deux wordlists (mot1 + mot2)
Brute Force / Mask	`-a 3`	Masque de caracteres (`?u?l?l?l?d?d` = Majuscule + 3 minuscules + 2 chiffres)
Hybrid	`-a 6/-a 7`	Wordlist + masque ou masque + wordlist
Rule-based	`-r rules.rule`	Mutations : capitalisation, substitution (a->@), ajout de chiffres

Exemples de commandes :

hashcat -m 0 -a 0 hashes.txt rockyou.txt — Crack MD5 avec dictionnaire
hashcat -m 1000 -a 3 hashes.txt ?a?a?a?a?a?a?a?a — Brute force NTLM 8 chars
john --wordlist=rockyou.txt --rules shadow.txt — John avec wordlist + regles
hydra -l admin -P wordlist.txt ssh://192.168.1.1 — Brute force SSH en ligne
hydra -L users.txt -P pass.txt 192.168.1.1 http-post-form "/login:user=^USER^&pass=^PASS^:Invalid" — Brute force formulaire web

Etape Kill Chain : Exploitation, Actions | MITRE ATT&CK : T1110 Brute Force, T1003 OS Credential Dumping

📚 12.5b — Bases de donnees de vulnerabilites

Les bases de donnees de vulnerabilites sont essentielles pour les analystes SOC et les pentesters pour identifier et prioriser les failles de securite.

Base de donnees	Description	Format d'identifiant	Usage
CVE (Common Vulnerabilities and Exposures)	Catalogue d'identifiants uniques pour les vulnerabilites publiquement connues, maintenu par MITRE	`CVE-YYYY-NNNNN` (ex: CVE-2021-44228 = Log4Shell)	Reference universelle pour identifier une vulnerabilite
NVD (National Vulnerability Database)	Base du NIST qui enrichit les CVE avec des scores CVSS, des references et des metriques	Meme CVE + score CVSS (0.0 a 10.0)	Evaluation de la severite, priorisation du patching
Exploit-DB	Archive publique d'exploits fonctionnels et de proof-of-concept (PoC)	EDB-ID (ex: EDB-49757)	Verification si un exploit public existe pour une CVE

Score CVSS (Common Vulnerability Scoring System)

Score	Severite	Exemple
0.0	None	Pas d'impact
0.1 - 3.9	Low	Information disclosure mineure
4.0 - 6.9	Medium	XSS stocke, CSRF
7.0 - 8.9	High	SQLi authentifie, privilege escalation locale
9.0 - 10.0	Critical	RCE non authentifie (Log4Shell: 10.0, EternalBlue: 9.8)

Workflow d'un analyste

1. Decouverte d'un service vulnerable (ex: Apache 2.4.49) → 2. Recherche CVE (CVE-2021-41773 Path Traversal) → 3. Score CVSS sur NVD (9.8 Critical) → 4. Existence d'exploit sur Exploit-DB → 5. Decision de patching urgent

🎯 12.5c — Phases du Penetration Testing (PTES)

Le PTES (Penetration Testing Execution Standard) definit une methodologie en 7 phases pour mener un test de penetration professionnel et structure.

Les 7 phases du PTES

1. Pre-engagement Interactions

Definition du perimetre (scope), des regles d'engagement (RoE), des objectifs, du calendrier et des aspects juridiques. Signature du contrat et de l'autorisation ecrite (Get Out of Jail Letter).

2. Intelligence Gathering

Collecte d'informations (OSINT + active recon). Enumeration des domaines, sous-domaines, emails, employes, technologies, infrastructure reseau.

3. Threat Modeling

Identifier les assets critiques, modeliser les menaces pertinentes, determiner les vecteurs d'attaque les plus probables et a fort impact.

4. Vulnerability Analysis

Scan de vulnerabilites (Nessus, OpenVAS, Nikto), analyse manuelle, identification de failles, correlation avec CVE/NVD, validation des faux positifs.

5. Exploitation

Exploitation des vulnerabilites confirmees pour obtenir un acces initial. Utilisation de Metasploit, exploits manuels, social engineering. Preuve de compromission (PoC).

6. Post-Exploitation

Escalade de privileges, mouvement lateral, persistence, exfiltration de donnees (demontrer l'impact). Evaluer la valeur reelle de la machine compromise et l'acces qu'elle permet.

7. Reporting

Rapport detaille : resume executif (pour la direction) + rapport technique (pour les equipes IT). Vulnerabilites trouvees, impact, preuves, recommandations de remediation, priorisation.

Legal

Un test de penetration sans autorisation ecrite est un delit penal. Le document d'autorisation (scope, RoE) doit etre signe avant toute action technique.

🔬 12.6 — Exercice : Associe les etapes de la Kill Chain

Pour chaque action decrite, fais-la glisser vers l'etape correspondante de la Cyber Kill Chain :

Scanner les ports ouverts d'un serveur

Creer un document Word contenant un macro malveillant

Envoyer un email de phishing avec piece jointe

Exploiter une faille dans Adobe Reader

Installer une backdoor sur le systeme

Etablir un canal HTTPS vers un serveur de commande

Exfiltrer la base de donnees clients

Chercher des employes sur LinkedIn

🔍 Reconnaissance

Depose ici

🔧 Weaponization

Depose ici

📧 Delivery

Depose ici

💥 Exploitation

Depose ici

📦 Installation

Depose ici

📡 Command & Control

Depose ici

🎯 Actions on Objectives

Depose ici

📝 12.7 — Quiz de revision

Points cles du Module 12

Les threat actors vont du script kiddie aux groupes APT state-sponsored (APT28, APT41, Lazarus Group) et aux cybercriminels organises (DarkSide, REvil, Conti)
Les motivations principales sont le gain financier, l'espionnage, l'ideologie, le defi et la vengeance
La Cyber Kill Chain decrit 7 etapes mappees vers les 14 tactiques MITRE ATT&CK
L'objectif defensif est de "break the chain" le plus tot possible (shift left)
MITRE ATT&CK : 14 tactiques (Reconnaissance a Impact), des centaines de techniques, utilisable pour detection, threat intel, red teaming et gap analysis
Nmap : scans SYN (-sS), TCP Connect (-sT), UDP (-sU), OS detection (-O), version (-sV), aggressive (-A)
Metasploit : exploits, payloads (Meterpreter), encoders (shikata_ga_nai), modules auxiliaires et post-exploitation
Wireshark : capture filters (BPF) vs display filters, analyse de trafic reseau pour SOC
Burp Suite : proxy, scanner, intruder, repeater pour la securite applicative web
Password crackers : John (CPU), Hashcat (GPU, 350+ hash types), Hydra (brute force en ligne)
Bases de vulnerabilites : CVE (identifiant), NVD (score CVSS), Exploit-DB (PoC publics)
Methodologie PTES en 7 phases : du pre-engagement au reporting