Picus Security détaille la technique d'attaque T1018 de découverte de services distants
L'analyse de Picus Security détaille la technique T1018 de découverte de services distants, utilisée par les attaquants pour cartographier les réseaux avant d'effectuer des déplacements latéraux pour atteindre leurs objectifs.
La société de cybersécurité Picus Security a publié une analyse détaillant la technique T1018 de découverte de services distants, une méthode courante employée par les acteurs de menaces avancés pour cartographier les réseaux d'entreprise. Cette technique est cruciale pour les attaquants cherchant à identifier et exploiter les services distants pour des déplacements latéraux au sein d'un environnement compromis.
Le cadre MITRE ATT&CK classe T1018 comme une technique de découverte. Les attaquants exploitent fréquemment les commandes natives du système d'exploitation, telles que l'utilitaire net de Windows, pour énumérer les ressources réseau et identifier les cibles potentielles pour une exploitation ultérieure. Cette méthode leur permet de mieux comprendre l'infrastructure de la victime avant de procéder à des attaques plus complexes.
Le rapport souligne l'utilisation des commandes net par des chargeurs de logiciels malveillants comme QAKBOT et IcedID pour la collecte d'informations environnementales après un accès initial. De plus, il aborde l'utilisation d'outils de test d'intrusion, tels que le module PowerView de PowerSploit, par des acteurs de menaces comme les opérateurs de ransomware Ryuk pour découvrir des systèmes distants. Des commandes utilisant le protocole de résolution d'adresses (ARP), comme arp -a, sont également mentionnées dans le cadre de ces efforts de reconnaissance.
Le travail de Picus Security vise à éclairer cette phase souvent négligée des cyberattaques. En comprenant comment les attaquants utilisent ces méthodes de découverte, les organisations peuvent mieux mettre en œuvre des défenses pour détecter et atténuer de telles activités. L'analyse souligne l'importance de l'intelligence proactive sur les menaces et de mesures de sécurité robustes.
L'entreprise fournit des informations sur la manière dont les organisations peuvent identifier et se défendre contre ces vecteurs d'attaque, en mettant l'accent sur l'évaluation continue des menaces et la préparation face à l'évolution des cybermenaces.