CYBERCRIMINALITE

RED TEAM – BLUE TEAM

 PLANNING

I. CARRIERES DANS LA CYBERSECURITE

II. RED TEAMING
1. LES FONDAMENTAUX
2. CYBER KILL CHAIN

III. BLUE TEAMING

 CARRIERES DANS LA CYBERSECURITE

Security Analyst
Responsable du maintien de la sécurité des données d'une organisation.
Responsabilités:

• Travailler avec diverses parties prenantes pour analyser la cybersécurité dans l'ensemble de l'entreprise.

• Compiler des rapports continus sur la sécurité des réseaux, en documentant les problèmes de sécurité et
les mesures prises pour y répondre

• Élaborer des plans de sécurité, en intégrant des recherches sur les nouveaux outils et tendances
d'attaque, ainsi que les mesures nécessaires au sein des équipes pour maintenir la sécurité des données.
 CARRIERES DANS LA CYBERSECURITE

Security Engineer
Concevoir, surveiller et maintenir les contrôles de sécurité, les réseaux et les systèmes
pour aider à prévenir les cyberattaques.

Responsabilités:
•Tester et vérifier les mesures de sécurité dans les logiciels

•Surveiller les réseaux et les rapports pour mettre à jour les systèmes et atténuer les vulnérabilités

•Identifier et mettre en œuvre les systèmes nécessaires à une sécurité optimale

 CARRIERES DANS LA CYBERSECURITE

Incident Responder
Identifie et atténue les attaques alors que les opérations des attaquants
sont encore en cours.

Responsabilités:
• Élaboration et adoption d'un plan de réponse aux incidents complet et réalisable

• Maintenir de bonnes pratiques de sécurité et soutenir les mesures de réponse aux incidents.

• Établissement de rapports post-incident et préparation aux attaques futures, en tenant compte des
enseignements et des adaptations à apporter aux incidents.
 CARRIERES DANS LA CYBERSECURITE

Digital Forensics Examiner

Responsable de l'utilisation de la criminalistique numérique pour enquêter
sur les incidents et les crimes.

Responsabilités:
• Collecter des preuves numériques en respectant les procédures légales

• Analyser les preuves numériques pour trouver des réponses liées à l’incident.

• Documenter vos conclusions et rédiger un rapport d’incident

 CARRIERES DANS LA CYBERSECURITE

Malware Analyst
Analyser tous les types de logiciels malveillants afin d'en savoir plus sur leur
fonctionnement et leurs effets.

Responsabilités:
• Effectuer l'analyse statique des programmes malveillants, ce qui implique la rétro-ingénierie.

• Effectuer une analyse dynamique d'échantillons de logiciels malveillants en observant leurs activités dans
un environnement contrôlé.

• Documenter et rapporter tous les résultats

 CARRIERES DANS LA CYBERSECURITE

Penetration Tester (Pentester)

Chargé de tester les produits technologiques pour détecter les failles de sécurité.

Responsabilités:
• Effectuer des tests sur des systèmes informatiques, des réseaux et des applications Web.

• Effectuer des évaluations et des audits de sécurité et analyser les politiques

• Évaluer et rendre compte des informations recueillies, en recommandant des actions de prévention des
attaques.
 CARRIERES DANS LA CYBERSECURITE

Red Teamer
Joue le rôle d'un adversaire, attaquant une organisation et fournissant un retour
d'information du point de vue de l'ennemi.

Responsabilités:
• Imiter le rôle d'un acteur de la menace pour découvrir des vulnérabilités exploitables, conserver l'accès et
éviter la détection.

• Évaluer les contrôles de sécurité, les renseignements sur les menaces et les procédures de réponse aux
incidents des organisations.

• Évaluer et faire un rapport sur les informations recueillies, avec des données exploitables pour les
entreprises afin d'éviter les situations réelles.
 RED TEAMING

LES FONDAMENTAUX

Objectifs :
 Apprendre les bases de la mission d'une Red Team

 Identifier les principaux composants et les parties prenantes impliqués dans une mission de la Red Team.

 Comprendre les principales différences entre les Red Teamers et les autres types de missions en matière de
cybersécurité.
 RED TEAM - FONDAMENTAUX
Les missions de la Red Team
• Les missions de la Red Team consistent à émuler les tactiques, techniques et procédures (TTP) d'un
véritable cybercriminel afin de pouvoir mesurer la façon dont notre Blue Team y réagit et, en fin de
compte, améliorer les contrôles de sécurité en place.

• Ils ne remplacent pas les tests de pénétration traditionnels, mais les complètent en se concentrant sur la
détection et la réponse plutôt que sur la prévention.

• Chaque engagement de la Red Team commence par la définition d'objectifs clairs, souvent appelés
"Crown jewels (joyaux de la couronne)" ou "flags (drapeaux)", allant de la compromission d'un hôte
critique donné au vol d'informations sensibles de la cible.

• En général, la Blue Team ne sera pas informée de ces exercices pour éviter d'introduire des biais dans
leur analyse.
 RED TEAM - FONDAMENTAUX
Les missions de la Red Team
Il est important de noter que l'objectif final ne devrait jamais être de permettre à la Red Team de "battre" la
Blue Team, mais plutôt de simuler suffisamment de TTP pour que la Blue Team apprenne à réagir de manière
adéquate à une menace réelle en cours.
Si nécessaire, la Blue Team peuvent modifier ou ajouter des contrôles de sécurité qui contribuent à améliorer
leurs capacités de détection.
 RED TEAM - FONDAMENTAUX
Les missions de la Red Team
En fonction des ressources disponibles, l'exercice de la Red Team peut se dérouler de plusieurs manières :
Engagement complet :
Simulez le flux de travail complet d'un attaquant, de la compromission initiale jusqu'à la réalisation des
objectifs finaux.
Violation présumée :
Commencez par supposer que l'attaquant a déjà pris le contrôle de certains actifs, et essayez d'atteindre les
objectifs à partir de là. Par exemple, la Red Team pourrait avoir accès aux informations d'identification d'un
utilisateur ou même à un poste de travail dans le réseau interne.
Exercice sur table :
Une simulation sur table où des scénarios sont discutés entre les Red Team et Blue Team pour évaluer
comment elles répondraient théoriquement à certaines menaces. Idéal pour les situations où les simulations en
direct pourraient être compliquées.
 RED TEAM - FONDAMENTAUX
Les équipes et fonctions d’une mission
 RED TEAM - FONDAMENTAUX
Les équipes et fonctions d’une mission
 RED TEAMING

CYBER KILL CHAIN

Objectifs :
La Red Team peut utiliser diverses cyber kill chains (chaines de mise à mort) pour résumer et évaluer les
étapes et les procédures d’une mission.
La Blue Team utilise couramment les cyber kill chains pour cartographier les comportements et décomposer
le mouvement de l'adversaire.
La Red Team peut adapter cette idée afin d'associer les TTP (tactiques, techniques et procédures) de
l'adversaire aux éléments d’une mission.
 RED TEAM – CYBER KILL CHAINS
Liste de quelques Cyber Kill Chains :
 Lockheed Martin Cyber Kill Chain
 Unified Kill Chain
 Varonis Cyber Kill Chain
 Active Directory Attack Cycle
 MITRE ATT&CK Framework

Nous ferons communément référence à la " Cyber Kill Chain de Lockheed Martin ".
Il s'agit d'une Kill Chain plus standardisée que les autres et elle est très couramment utilisée par les Red Team
et les Blue Team.
 RED TEAM – CYBER KILL CHAINS
Cyber Kill Chain de Lockheed Martin :
 RED TEAM – CYBER KILL CHAINS
Cyber Kill Chain de Lockheed Martin :
 RED TEAM – CYBER KILL CHAINS
Initial Access :
Objectif : Explorer les différentes techniques pour obtenir un accès initial à un système et à un réseau cibles du
point de vue d'une Red Team.
• Regroupe les phases de Reconnaissance (Recon) et de d’armement (Weaponization) de la Kill Chain.
 RED TEAM – CYBER KILL CHAINS
Reconnaissance:
La reconnaissance (recon) peut être définie comme une enquête ou une observation préliminaire de votre cible
(client) sans l'alerter de vos activités.

Les tâches de ce cours couvrent les sujets suivants :

 Types d'activités de reconnaissance. (voir support pdf)
 Reconnaissance basée sur le WHOIS et le DNS
 Recherche avancée
 Piratage de Google
 Moteurs de recherche spécialisés
 Recon-ng
 RED TEAM – CYBER KILL CHAINS
Reconnaissance - Outils intégrés
• Whois
• nslookup, host
• traceroute/tracert

Reconnaissance – Recherches avancées

 Footholds (Points d'appui)
 Fichiers contenant des noms d'utilisateur
 Répertoires sensibles
 Détection de serveurs Web
 Fichiers vulnérables
 Serveurs vulnérables
 RED TEAM – CYBER KILL CHAINS
Reconnaissance - Médias sociaux (Social Engineering)
 LinkedIn
 Twitter
 Facebook
 Instagram
Reconnaissance – Annonces d’emploi
Les offres d'emploi peuvent également vous en apprendre beaucoup sur une entreprise.
En plus de révéler des noms et des adresses électroniques, les offres d'emploi pour des postes techniques peuvent
donner un aperçu des systèmes et de l'infrastructure de l'entreprise cible. Les offres d'emploi les plus populaires
peuvent varier d'un pays à l'autre.
Reconnaissance – Les moteurs de recherche spécialisés
• https://viewdns.info/
• https://threatintelligenceplatform.com/
• Shodan.io
 RED TEAM – CYBER KILL CHAINS
Weaponization:
À ce stade, l'attaquant génère et développe son propre code malveillant en utilisant des charges utiles livrables
telles que des documents Word, des PDF, etc. L'étape de weaponisation vise à utiliser l'arme malveillante pour
exploiter la machine cible et obtenir un accès initial.

Dans la plupart des organisations, le système d'exploitation Windows fonctionne, ce qui constitue une cible
probable.
La politique d'environnement des organisations bloque souvent le téléchargement et l'exécution des fichiers .exe
pour éviter les violations de sécurité.
Par conséquent, les Red Teamers s'appuient sur la création de charges utiles personnalisées envoyées via divers
canaux tels que les campagnes de phishing, l'ingénierie sociale, l'exploitation de navigateurs ou de logiciels, les
méthodes USB ou Web.
 RED TEAM – CYBER KILL CHAINS
Weaponization:

Cette partie se concentre sur diverses techniques de scripting populaires et efficaces, y compris :
 Une Windows Script Host (WSH)
 Une application HTML (HTA)
 Les applications Visual Basic (VBA)
 PowerShell (PSH)