Aller au contenu

Cartographie MITRE ATT&CK

HYDRA classifie automatiquement chaque commande en tactiques MITRE ATT&CK à l'aide de 20+ patterns regex/heuristiques. Le DataRouter mappe ensuite chaque tactique vers des descriptions d'entraînement défensives et offensives.

Couverture des tactiques

Tactique Événements observés Exemples de commandes
discovery 1 155 uname -a, ls, cat /etc/passwd, ip addr, ps aux, hostname
credential-access 246 cat /etc/shadow, cat ~/.aws/credentials, ls /root/.ssh, find -name *.pem
command-and-control 19 wget http://..., curl http://... \| sh
privilege-escalation 8 find / -perm -4000, sudo -l, cat /etc/sudoers
exfiltration 6 scp, tentatives de tunneling DNS

Mapping commande → tactique

Discovery

Pattern Description
cat /etc/passwd Lister les utilisateurs système
ss -tlnp / netstat Lister les services en écoute
ps aux Lister les processus
uname -a Identifier le noyau et l'OS
ifconfig / ip addr Découvrir les interfaces réseau
whoami / id Identifier l'utilisateur courant

Accès aux credentials

Pattern Description
find *.pem Chercher des clés privées
cat .aws/* Lire les credentials AWS
cat .ssh/* Lire les clés SSH
cat .bash_history Lire l'historique de commandes
cat .env Lire les variables d'environnement

Escalade de privilèges

Pattern Description
find -perm -4000 Chercher les binaires SUID
sudo -l Lister les permissions sudo
cat /etc/sudoers Lire la configuration sudo

Persistance

Pattern Description
crontab Modifier les tâches planifiées
echo >> .bashrc Injecter dans le démarrage du shell
systemctl enable Activer un service au boot

Évasion de défense

Pattern Description
history -c Effacer l'historique de commandes
rm .bash_history Supprimer le fichier d'historique
unset HISTFILE Désactiver le logging d'historique

Descriptions dual-use

Chaque tactique a une description défensive ET offensive utilisée par le DataRouter :

MITRE_DUAL_MAP = {
    "credential-access": {
        "defensive": "Détecter les tentatives d'extraction de credentials",
        "offensive": "Techniques de récolte de credentials (shadow, DPAPI, mimikatz)",
    },
    "privilege-escalation": {
        "defensive": "Détecter les tentatives d'escalade de privilèges",
        "offensive": "Techniques d'escalade : SUID, exploits noyau, misconfig sudo",
    },
    # ... (11 tactiques au total)
}

Ce mapping dual est ce qui permet au même événement brut de produire à la fois des données d'entraînement défensives et offensives.