Ajouter à une liste de lectureLes équipes CTI collectent, analysent et enrichissent les IoC (Indices de compromission) techniques, tels que les adresses IP, les domaines, les empreintes de fichiers ou les signatures réseaux, pour détecter les signes d’activités malveillantes. Au fil du temps, les attaquants ont fait évoluer leurs pratiques et infrastructures, que nous vous proposons de partager, pour dissimuler leur trafic réseau aux équipes défensives.
Contrairement à un test d’intrusion classique, une opération Red Team adopte une approche globale, visant à exploiter les failles techniques, organisationnelles et humaines pour atteindre des objectifs spécifiques qui pourraient être la récupération de données bancaires ou le vol d’un secret industriel. Dans le cadre de ce type de mission, le but est également de ne pas se faire détecter par les équipes défensives. Lors de la compromission d’un serveur ou d’un poste, une connexion directe vers un serveur de contrôle malveillant peut être rapidement détectée. Nous verrons dans cet article l’évolution des techniques visant à dissimuler son trafic externe.
1. Dissimuler son trafic par le domain fronting
1.1 Que se passe-t-il quand je me connecte sur google.fr ?
Prenons l’exemple d’un employé modèle qui ne clique pas sur les mails de phishing. Lorsque ce dernier souhaite accéder à www.google.fr, deux actions se produisent :
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
