Lors d’une attaque en ransomware, un cybercriminel a réussi à obtenir un accès initial sur un poste utilisateur via une opération de spear phishing. L’attaquant souhaite maintenant établir sa persistance, effectuer un mouvement latéral et exfiltrer des données. Quelle technique est la plus adapté pour mener à bien cette mission sans être détecter par les solutions de sécurité déployées sur les systèmes de l’entreprise victime ?

[A] Living-off-the-Land (LotL)

[B] Blind command injection

[C] IP spoofing

[D] VPN


reponse linkedin

CBK6 Q09 LINK


Le living-off-the-land (LotL ou LOL) est une technique de cyber offensive utilisée par les cybercriminels mais aussi les pentesters. Elle consiste à utiliser des outils ou des ressources déjà existantes dans l’environnement cible pour réaliser des attaques. Elle est notamment utilisée pour échapper à la détection car l’utilisation malveillante d’outils légitimes et de confiance est plus difficile à détecter par les solutions de sécurité comme les antivirus ou les EDR. D’autre part, la pratique LotL complique la tâche des équipes de détection et de réponse à incident car la distinction entre les actions légitimes et les actions malicieuses devient également plus difficile.

La technique LOL permet de mener des activités malicieuses comme le déplacement latéral, l’exfiltration de données, l’établissement de persistance ou encore l’exécution de code à distance. Pour cela, les attaquants utilisent des outils intégrés au système (appelés LOLBins – Living Off The Land Binaries and Scripts) tels que PowerShell, WMI (Windows Management Instrumentation) ou encore des outils de commande en ligne tels que certutil ou schtasks.

La bonne réponse est la proposition [A]

tip

Pour en savoir plus sur les tests d’intrusion et les techniques de détection nous vous recommandons de suivre les modules n°16 et 17 de la formation CISSP de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE