Source : NCSC (UK) — Dans un contenu dédié aux opérations de sécurité, l’accent est mis sur les limites des IOCs (adresses IP, domaines, hachages) et sur la nécessité de privilégier des détections fondées sur les TTPs (tactiques, techniques et procédures) pour mieux capter les comportements adverses et soutenir la chasse aux menaces.
Le texte explique que les IOCs sont facilement contournés via des tactiques comme le Fast Flux, l’usage d’infrastructures cloud et les approches LOLBAS (Living off the Land), alors que les TTPs offrent une compréhension plus profonde des comportements attaquants et une meilleure résilience face à l’évasion. Il s’appuie sur la Pyramid of Pain pour illustrer la difficulté croissante imposée aux attaquants lorsqu’on s’éloigne des IOCs pour aller vers des détections comportementales. 🔍
Côté mise en œuvre, le contenu propose des patrons de détection comportementale en alternative aux règles centrées IOCs, en soulignant l’importance de la corrélation multi-sources et des analystes capables d’investigations hypothèse‑driven.
Exemples de TTPs et patrons techniques évoqués :
- SSH vers des ports TCP élevés avec volumes de trafic inversés.
- Exécution de commandes avec paramètres spécifiques et processus parent particulier.
- Outil → service accédant à des types de fichiers spécifiques.
- Exploitation de CVE avec écritures de fichiers dans des chemins déterminés.
- Connexions réseau filtrées par protocole et fenêtres temporelles.
- Chargements de modules depuis des chemins via des protocoles donnés.
- Réponses hôte contenant des séquences d’octets spécifiques.
- Appels d’API aboutissant à des modifications de configuration. 🧩
Conditions techniques requises pour réussir cette approche : visibilité complète sur les systèmes, infrastructure de recherche/corrélation, et compétences analystes pour formuler et tester des hypothèses de détection. L’article se positionne comme une analyse technique visant à orienter les pratiques vers des détections TTP‑centric et à préciser les prérequis opérationnels.
IOCs et TTPs mentionnés :
- IOCs (types évoqués) : adresses IP, noms de domaine, hachages de fichiers (aucune valeur spécifique citée).
- TTPs (patrons de détection) : voir la liste d’exemples ci‑dessus.
🧠 TTPs et IOCs détectés
TTPs
SSH vers des ports TCP élevés avec volumes de trafic inversés, Exécution de commandes avec paramètres spécifiques et processus parent particulier, Outil → service accédant à des types de fichiers spécifiques, Exploitation de CVE avec écritures de fichiers dans des chemins déterminés, Connexions réseau filtrées par protocole et fenêtres temporelles, Chargements de modules depuis des chemins via des protocoles donnés, Réponses hôte contenant des séquences d’octets spécifiques, Appels d’API aboutissant à des modifications de configuration
IOCs
adresses IP, noms de domaine, hachages de fichiers
🔗 Source originale : https://www.ncsc.gov.uk/blog-post/strengthening-national-cyber-resilience-through-observability-threat-hunting