Durée: 12 mois
Rubrique: Architecte cybersécurité
Leçon 2.1.4 : Postexploitation et maintien de l'accès
La phase postexploitation survient après l'exploitation réussie d'une faille. L'objectif de cette phase est de maintenir l'accès pour pouvoir revenir ultérieurement tout en évitant d'être détecté par les systèmes de défense. Plusieurs méthodes peuvent être utilisées pour y parvenir.
Tout d'abord, l'attaquant peut installer une porte dérobée (ou backdoor) dans le système. Les portes dérobées sont des logiciels spécialement conçus pour éviter la détection et permettre un accès ultérieur au système. Cela permet à l'attaquant de revenir même si la vulnérabilité exploitée initialement a été corrigée.
Ensuite, l'attaquant peut chercher à obtenir un niveau d'accès plus élevé sur le système ciblé, souvent appelé escalade de privilèges. Cela peut être réalisé en tirant parti d'autres vulnérabilités du système, en récupérant les mots de passe des utilisateurs ou en forçant le système à exécuter des commandes avec des privilèges élevés.
L'attaquant peut également utiliser différents mécanismes pour se cacher et éviter d'être détecté. Cela peut inclure des techniques de dissimulation, comme changer les horodatages des fichiers, utiliser des noms de fichiers trompeurs ou masquer les processus. L'attaquant peut également utiliser des techniques de désactivation de logs pour éviter que ses actions ne soient enregistrées par le système.
Enfin, pour maintenir l'accès à long terme, l'attaquant peut mettre en place des mécanismes de persistance. Cela signifie que le logiciel malveillant est configuré pour démarrer automatiquement chaque fois que le système démarre, assurant ainsi que l'attaquant aura un accès continu.