La méthodologie utilisée par le laboratoire NSS pour tester les solutions de détection des APT offre une vision intéressante des étapes cruciales d’un cycle d’infection et d’exploitation, et donc des points à surveiller afin de le contrer.

Cette énumération peut se lire comme une check-list générique afin de déterminer si, au sein de votre organisation, à chacune de ces étapes correspond une capacité de détection ou une contre-mesure adéquate.

Les cinq étapes d’une attaque APT :

1. Exécution réussie de l’exploit
2. Appel « à la maison » (callback) au serveur de commandes et contrôle (C&C)
3. Téléchargement du malware, installation et exécution
4. Exfiltration de données vers le C&C
5. Tentatives de mouvements latéraux (attaquer d’autres PC sur le réseau, notamment via SMB2)

On voit clairement qu’une stratégie efficace de lutte contre les APT passe nécessairement par une approche à la fois client (détecter les codes malveillants et les comportements suspects) et réseau (détecter les tentatives de connexion vers l’extérieur et l’exfiltration de données).