Dernières évolutions de MITRE ATT&CK
Les équipes de MITRE ATT&CK continuent de faire évoluer régulièrement leur impressionnante base de connaissances cartographiant les modes opératoires des groupes d’attaquants informatiques, devenue une référence et un standard international.
Pour en savoir plus sur MITRE ATT&CK et sur ses différentes applications en matière de Threat Intelligence, n’hésitez pas à lire ou re-lire ces deux billets (part 1 & 2) de Barbara Louis-Sidney.
La dernière mise à jour du framework ATT&CK date d’avril 2019 et apporte son lot de nouveautés. Elle intègre notamment 7 nouvelles techniques, la mise à jour de 11 techniques existantes, un nouveau concept de « sous-techniques » mais également et surtout une nouvelle « tactique ».
Les pages « Group » et « Software » recensant et décrivant de nombreux groupes d’attaquants informatiques et des malwares sont également enrichies de nouvelles données.
La tactique “Impact”
La douzième et nouvelle tactique « Impact » corrige un grand manque d’ATT&CK qui se limitait auparavant aux atteintes à la confidentialité dans la phase finale de sa Kill Chain (la tactique Exfiltration). Elle ajoute en effet 14 nouvelles techniques qui vont également permettre de décrire les attaques causant des atteintes à la disponibilité et à l’intégrité d’un système d’information.
Cette mise à jour tombe à pic, vu la recrudescence des attaques ciblées par ransomware qui paralysent de nombreuses entreprises ces derniers mois ou encore les attaques de type cryptojacking, détournant les ressources informatiques des organisations pour miner de la cryptomonnaie.
Les 14 nouvelles techniques de la tactique « Impact » :
- T1486 : Data Encrypted for Impact
- T1496 : Resource Hijacking
- T1498 : Network Denial of Service
- T1499 : Endpoint Denial of Service
- T1485 : Data Destruction
- T1491 : Defacement
- T1488 : Disk Content Wipe
- T1487 : Disk Structure Wipe
- T1495 : Firmware Corruption
- T1490 : Inhibit System Recovery
- T1496: Resource Hijacking
- T1494 : Runtime Data Manipulation
- T1489 : Service Stop
- T1492 : Stored Data Manipulation
- T1493 : Transmitted Data Manipulation