Menu
Mais Encore

Security musings

MITRE ATT&CK Enterprise : des tactiques aux détections concrètes

Catégories

Tags

🔍 Licence d'Utilisation 🔍

Sauf mention contraire, le contenu de ce blog est sous licence CC BY-NC-ND 4.0.

© 2025 à 2042 Sébastien Gioria. Tous droits réservés.

⏱️
Temps de lecture estimé
~10 minutes

Cet article fait partie de la série MITRE ATT&CK en pratique. Retrouvez la vue d’ensemble et le sommaire complet sur la page d’entrée de la série.

La matrice Enterprise est la plus grande et paradoxalement la plus mal utilisée.

La bonne approche d’implémentation, c’est d’identifier les groupes d’attaquants qui ciblent votre secteur, d’extraire leur profil de techniques, et de construire une couverture ciblée sur ce profil.

Une couverture de 30% des techniques des groupes qui vous ciblent réellement est infiniment plus utile qu’une couverture de 5% de la matrice complète.

Note du PandaRedaceur: il est complétement utopiste d’essayer d’implémenter les 700 regles de la matrice… Le syndrome “on va tout couvrir” en sécurité, je l’appelle le SOC burnout. Mieux vaut 15 règles qu’on maintient vraiment que 700 qu’on ignore.

Les 14 tactiques de la matrice Enterprise

Voici les 14 tactiques dans l’ordre chronologique d’une attaque type. Chaque tactique représente l’objectif de l’attaquant à ce stade.

ID Tactique Objectif attaquant Techniques clés
TA0043 Reconnaissance Collecter des infos sur la cible Scanning actif, OSINT, phishing de reconnaissance
TA0042 Resource Development Préparer l'infrastructure d'attaque Domaines, serveurs C2, comptes compromis
TA0001 Initial Access Entrer dans le périmètre cible Phishing, supply chain, exploit public-facing app
TA0002 Execution Exécuter du code malveillant PowerShell, scripts, exploitation API
TA0003 Persistence Maintenir l'accès sur la durée Tâches planifiées, backdoors, comptes créés
TA0004 Privilege Escalation Obtenir des droits plus élevés Exploitation de vulnérabilités locales, sudo abuse
TA0005 Defense Evasion Contourner les défenses en place Obfuscation, désactivation logs, living-off-the-land
TA0006 Credential Access Voler des identifiants LSASS dump, Kerberoasting, keylogging
TA0007 Discovery Explorer l'environnement compromis Enumération réseau, AD enumeration, file discovery
TA0008 Lateral Movement Se déplacer vers d'autres systèmes Pass-the-Hash, RDP, WMI, SSH
TA0009 Collection Rassembler les données d'intérêt Capture d'écrans, keylogging, staging data
TA0011 Command & Control Maintenir un canal de communication DNS tunneling, HTTPS C2, web shells
TA0010 Exfiltration Extraire les données collectées Exfil via cloud, compression, chiffrement
TA0040 Impact Perturber, détruire ou manipuler Ransomware, destruction de données, défiguration

Quelques Vecteurs d’attaque illustrés

T1003 : OS Credential Dumping, la porte d’entrée du mouvement latéral

Je commence par cette technique parce qu’elle est au cœur de 80% des attaques de type APT q. L’idée est simple : récupérer les hashes ou les mots de passe en clair depuis la mémoire du système, puis les rejouer sur d’autres machines du réseau.

La sous-technique la plus connue est T1003.001 : vider la mémoire du processus LSASS (Local Security Authority Subsystem Service). LSASS stocke les credentials des sessions actives, y compris les hashes NTLM et parfois les mots de passe en clair (protocoles legacy).

Scénario d’attaque observé :

  1. L’attaquant compromet un poste de travail via un document Office malveillant (T1566.001 - Spearphishing Attachment)
  2. Un reverse shell PowerShell s’établit vers un serveur C2 externe (T1059.001)
  3. L’attaquant demande l’élévation de privilèges en exploitant une CVE locale (T1068)
  4. Mimikatz ou un équivalent est exécuté pour extraire les hashes depuis LSASS (T1003.001)
  5. Les hashes sont utilisés en Pass-the-Hash (T1550.002) pour accéder au contrôleur de domaine
  6. Résultat : accès complet au domaine Active Directory en moins de 2 heures

Pour détecter T1003 : il faut surveiller l’accès à lsass.exe par des processus non légitimes, les appels à MiniDumpWriteDump, et l’utilisation de SeDebugPrivilege.

Credential Guard (Windows) empêche l’extraction des hashes depuis LSASS en isolant le processus dans un conteneur Hyper-V.

Note du PandaRedacteur: ohohoh pourquoi on ne parle que d’un poste Windows ici ? Est-ce que c’est valable sur d’autres systemes ? ….

T1053 : Scheduled Task/Job, la persistance silencieuse

Cette technique reste sous-détectée. Un attaquant qui a un accès administrateur crée une tâche planifiée qui exécute son payload à chaque démarrage, à chaque connexion, ou toutes les heures. Sans surveillance du journal d’événements Windows 4698 (création de tâche planifiée), cette persistance passe totalement inaperçue.

# Commande observée dans des attaques réelles
schtasks /create /tn "WindowsUpdate" /tr "powershell -enc <payload_base64>" /sc onlogon /ru SYSTEM

Le nom “WindowsUpdate” est délibéré : il se fond dans le bruit des tâches système légitimes. La détection passe par le monitoring des Event IDs 4698/4702 et une baseline des tâches planifiées légitimes sur chaque classe de machines.

T1078 : Valid Accounts, l’attaque qui ne ressemble à rien

Cette technique est l’une de mes préférées à expliquer, parce qu’elle illustre parfaitement pourquoi les solutions de sécurité périmétrique ne suffisent pas.

Note du PandaRedacteur : T1078 avec des credentials volés via un leak tiers, c’est le scénario qui dit “mais on a un bon antivirus et un bon firewall”. Oui, et l’attaquant s’est connecté avec le vrai mot de passe de Bob du service RH qui utilisait le même sur HaveIBeenPwned depuis 2019.

Un attaquant qui utilise des credentials légitimes ne déclenche aucune alerte par défaut. Pas de signature antivirus, pas de comportement “hacker-like”, juste un utilisateur qui se connecte avec son mot de passe. La détection requiert de l’analyse comportementale : connexion depuis un pays inhabituel, heure anormale, …

T1078 est la technique favorite des groupes ciblant le cloud : voler des credentials via phishing, se connecter à AWS console ou Azure portal, et opérer depuis l’intérieur de l’infrastructure avec des permissions légitimes.

Exemple concret : mapping d’une attaque ransomware

Je vais prendre l’exemple d’une attaque Cl0p (groupe documenté dans ATT&CK) telle qu’elle s’est déroulée sur plusieurs victimes en 2023 :

  1. Reconnaissance (T1590) : OSINT sur l’infrastructure exposée, identification d’un serveur MOVEit Transfer
  2. Initial Access (T1190) : exploitation de la CVE-2023-34362 sur MOVEit Transfer
  3. Execution (T1059.003) : exécution de commandes via Windows Command Shell
  4. Defense Evasion (T1070.001) : suppression des logs système
  5. Collection (T1560) : compression et archivage des données sensibles
  6. Exfiltration (T1048) : transfert vers des serveurs contrôlés par l’attaquant
  7. Impact (T1657) : extorsion financière sans chiffrement (vol seul)

Ce mapping permet à une équipe de réponse à incident de savoir exactement où chercher les traces, quels artefacts forensics collecter, et comment contenir l’attaque à chaque étape.

Impact potentiel

Tactique Impact SI Niveau Délai de détection moyen
Credential Access Compromission complète du domaine AD critique 207 jours (IBM 2023)
Lateral Movement Propagation à tout le réseau critique Quelques heures à quelques jours
Impact (Ransomware) Arrêt complet de l'activité critique Détecté à l'impact (trop tard)
Exfiltration Fuite de données confidentielles élevé Rarement détecté avant publication
Persistence Accès durable, réinfection après nettoyage élevé Souvent ignoré lors de la remédiation

Construire une couverture SIEM orientée ATT&CK

Une couverture de détection se fait en trois étapes :

Étape 1 : identifier les groupes de menace pertinents. Pour une entreprise industrielle française, les groupes à surveiller incluent APT28 (Fancy Bear), Sandworm, et les groupes ransomware actifs en Europe. ATT&CK documente leurs techniques préférentielles.

Étape 2 : extraire l’union des techniques de ces groupes. L’ATT&CK Navigator permet de superposer les profils de plusieurs groupes pour obtenir une heatmap de priorité. Les techniques présentes chez 3 groupes sur 5 sont prioritaires.

Étape 3 : écrire des règles de détection pour les techniques prioritaires. Pour chaque technique, ATT&CK documente les sources de logs pertinentes (Windows Event Logs, Sysmon, network traffic) et les indicateurs comportementaux. La communauté maintient des bases de règles Sigma (format portable) directement alignées sur ATT&CK.

À retenir 📌
  • Cibler les groupes actifs dans votre secteur plutôt que de couvrir toute la matrice ; la profondeur de couverture prime sur l'étendue.
  • T1003 (Credential Dumping) est au cœur de 80% des APT : Credential Guard + surveillance LSASS sont les contrôles prioritaires.
  • T1078 (Valid Accounts) ne génère aucune alerte signature ; sa détection passe obligatoirement par l'analyse comportementale (UEBA).
  • Les règles Sigma offrent un format portable aligné sur ATT&CK, réutilisable dans Splunk, Elastic, Microsoft Sentinel sans réécriture.
  • ATT&CK Navigator permet de visualiser et mesurer la couverture de détection ; un indicateur concret pour les revues de sécurité.
LinkedIn Reddit Substack