GitLab now enforces expiry dates on tokens that originally had no set expiration date. Those tokens were given an expiration date of one year later. Please review your personal access tokens, project access tokens, and group access tokens to ensure you are aware of upcoming expirations. Administrators of GitLab can find more information on how to identify and mitigate interruption in our documentation.
Bienvenue dans le dépôt GitLab du projet de recherche sur la détection de la latéralisation dans le cadre du cours INF 808.
# Setup Kestrel
# Organisation du dépôt
1.
- Le dossier `caldera` contient les scripts utilisés lors de la simulation de mouvements latéraux.
- Le dossier `kestrel` contient les scripts utilisés pour la détection des mouvements latéraux.
- Le dossier `sources-report` contient le code source du rapport de ce projet.
- Le dossier `state-of-the-art` contient les différents articles scientifiques étudiés pour la rédaction de l'état de l'art.
- Le positionnement dans la matrice MITRE ATT&CK du scénario proposé est disponible dans le fichier `scenario.pdf`.
- Enfin, le rapport est disponible au format pdf, dans le fichier `rapport.pdf`.
# Scénario proposé
Un scénario complet de notre attaque pourrait être :
1.**Reconnaissance :** Prise d’informations sur l’identité de la victime (T1589) et sur son organisation (T1591).
2.**Accès initial :** À partir de ces informations, un mail de harponnage (T1566.002) pourrait être rédigé afin d’obtenir un accès initial sur le poste de la première victime et y installer le premier agent Caldera.
3.**Mouvement latéral :** Harponnage interne (T1534) pour obtenir les identifiants de la deuxième victime, puis connexion via RDP (T1021.001) à son poste de travail grâce à ces derniers.
4.**Exécution :** Lancement d’un script PowerShell (T1059.001) via l’agent Caldera sur le poste compromis de la première victime pour installer l’agent Caldera sur le poste de la deuxième victime.
5.**Exfiltration :** Si l’attaquant veut exfiltrer des données depuis le deuxième poste, il peut utiliser Caldera en C2, ou bien il peut continuer sa propagation vers d’autres victimes en réitérant les étapes précédentes (T1041).
Puisque notre projet porte sur la détection de la latéralisation, nous avons simplifié le scénario en faisant comme si nous avions déjà un accès initial et les identifiants de la seconde victime. Ainsi, seules les étapes de mouvement latéral et d’exécution sont présentées dans le rapport.
![Positionnement dans la matrice MITRE ATT&CK du scénario proposé](./sources-report/imgs/scenario.svg"Positionnement dans la matrice MITRE ATT&CK du scénario proposé")
