Picus Security : L'interface en ligne de commande parmi les 5 techniques d'attaque les plus courantes

La recherche de Picus Security a identifié l'interface en ligne de commande (CLI) comme la cinquième technique MITRE ATT&CK la plus répandue utilisée dans les malwares. Cette conclusion découle d'une analyse approfondie de près de 50 000 échantillons de malwares réalisée en 2019, qui a cartographié plus de 445 000 tactiques, techniques et procédures (TTP) d'adversaires observées dans le cadre du framework ATT&CK.

La version 7 du framework MITRE ATT&CK a regroupé les techniques d'interface en ligne de commande et de scriptage en une seule technique, "Command and Scripting Interpreter" (T1059), soulignant ainsi son importance. Les acteurs malveillants exploitent couramment les interfaces en ligne de commande intégrées des systèmes d'exploitation pour leurs opérations, car celles-ci sont souvent moins visibles que les applications tierces.

Les techniques CLI sont considérées comme essentielles pour l'exécution, permettant aux adversaires de lancer du code contrôlé et d'interagir avec des systèmes locaux ou distants. Ces techniques sont fréquemment combinées à d'autres tactiques, telles que le mouvement latéral et l'exfiltration de données, pour atteindre des objectifs d'attaque plus larges.

L'analyse a également détaillé les sous-techniques de "Command and Scripting Interpreter", notamment PowerShell (T1059.001), AppleScript (T1059.002) et Windows Command Shell (T1059.003). PowerShell, en particulier, a été noté pour ses capacités étendues, ce qui en fait un outil privilégié tant pour les administrateurs que pour les acteurs malveillants.

Picus Security fournit des perspectives et des méthodologies de test potentielles pour aider les organisations à détecter et à se défendre contre ces techniques d'adversaires répandues, améliorant ainsi leur posture globale de cybersécurité.