Database Attacks Scenario

Durée de l'examen de certification : 8 heures

Tous les cours et tous les modes sont disponibles avec formateur [Présentiel & Distanciel] et sans formateur [Autonomie].

MAIN
Le scénario Database Attacks (SDBA) couvre plusieurs techniques d’attaque reflétant des menaces réelles visant des serveurs hébergeant des données. L’objectif des attaquants est de compromettre l’intégrité et la sécurité des données et, lorsque c’est possible, d’obtenir des privilèges locaux ou Domain Administrator sur les systèmes. La mission du stagiaire est d’identifier et de corriger les vulnérabilités, en renforçant la configuration de sécurité d’un environnement de bases de données afin de les atténuer.
Durée de l'apprentissage [h] : 1
Durée de l'exercice [h] : 4
Niveau de difficulté : Avancé
Mode - Single Player : Oui
Mode - Human Blue Team vs Environment : 5 vs Auto
Mode - Human Blue Team vs Human Red Team : 5 vs 1
MITRE ATT&CK techniques :
Le scénario principal regroupe toutes les techniques MITRE listées dans les scénarios atomisés ci-dessous.
MS SQL 1
SDBA : MS SQL 1 couvre l’un des SGBD les plus répandus : Microsoft SQL. Parmi les tâches : retirer l’accès à la base Clinic pour un utilisateur de l’application web ; supprimer le fichier de configuration de l’application et corriger les erreurs liées au privilège d’Impersonation ; révoquer l’accès d’un utilisateur de domaine à l’instance MS SQL et appliquer une complexité de mot de passe appropriée pour les comptes administrateurs.
Durée de l'apprentissage [h] : 4
Durée de l'exercice [h] : 2
Niveau de difficulté : Intermédiaire
Mode - Single Player : Oui
Mode - Human Blue Team vs Environment : 5 vs Auto
Mode - Human Blue Team vs Human Red Team : 5 vs 1
MITRE ATT&CK techniques :
  • Active Scanning (Reconnaissance)
  • Search Victim-Owned Websites (Reconnaissance)
  • Gather Victim Host Information (Reconnaissance)
  • Exploit Public-Facing Application (Initial Access)
  • Valid Accounts (Initial Access)
  • Command and Scripting Interpreter (Execution)
  • Boot or Logon Autostart Execution (Persistence)
  • Server Software Component (Persistence)
  • Valid Accounts (Defense Evasion)
  • Exploitation for Credential Access (Credential Access)
  • Brute Force (Credential Access)
  • Account Discovery (Discovery)
  • File and Directory Discovery (Discovery)
  • System Owner/User Discovery (Discovery)
  • Software Discovery (Discovery)
  • Data from Local System (Collection)
  • Application Layer Protocol (Command and Control)
MySQL
SDBA : MySQL couvre le SGBD open-source MySQL. Tâches : corriger une vulnérabilité d’injection SQL ; trouver et corriger une vulnérabilité dans un script CRON ; supprimer un webshell, changer le mot de passe d’un utilisateur créé par l’attaquant et retirer sa clé SSH ; supprimer un script contenant des identifiants et mettre à jour l’application (ou réduire sa surface d’attaque) ; enfin, révoquer l’accès à la table user pour le compte attaquant et supprimer les comptes qu’il a créés.
Durée de l'apprentissage [h] : 4
Durée de l'exercice [h] : 2
Niveau de difficulté : Intermédiaire
Mode - Single Player : Oui
Mode - Human Blue Team vs Environment : 2 vs Auto
Mode - Human Blue Team vs Human Red Team : 2 vs 1
MITRE ATT&CK techniques :
  • Active Scanning (Reconnaissance)
  • Search Victim-Owned Websites (Reconnaissance)
  • Exploit Public-Facing Application (Initial Access)
  • Valid Accounts (Initial Access)
  • Command and Scripting Interpreter (Execution)
  • Software Deployment Tools (Execution)
  • Account Manipulation (Persistence)
  • Server Software Component (Persistence)
  • Create Account (Persistence)
  • Scheduled Task/Job (Privilege Escalation)
  • Valid Accounts (Privilege Escalation)
  • File and Directory Discovery (Discovery)
  • System Information Discovery (Discovery)
  • Account Discovery (Discovery)
  • Data from Local System (Collection)
  • Application Layer Protocol (Command and Control)
  • Remote Access Software (Command and Control)
  • Exfiltration Over Web Service (Exfiltration)
Oracle
SDBA : Oracle couvre le SGBD Oracle. Tâches : durcir la politique de complexité des mots de passe et de verrouillage des comptes ; trouver et révoquer les privilèges du compte utilisé par l’attaquant ; supprimer la clé SSH et le compte de l’attaquant ; révoquer les privilèges d’un analyste et imposer le changement des mots de passe des comptes utilisés lors de l’attaque ; trouver et supprimer les comptes créés par l’attaquant, retirer une sauvegarde de base laissée sur le serveur et supprimer le lien entre bases de données ; enfin, sécuriser l’accès aux certificats OpenVPN.
Durée de l'apprentissage [h] : 4
Durée de l'exercice [h] : 2
Niveau de difficulté : Avancé
Mode - Single Player : Oui
Mode - Human Blue Team vs Environment : 5 vs Auto
Mode - Human Blue Team vs Human Red Team : 5 vs 1
MITRE ATT&CK techniques :
  • Active Scanning (Reconnaissance)
  • Search Victim-Owned Websites (Reconnaissance)
  • Gather Victim Host Information (Reconnaissance)
  • Exploit Public-Facing Application (Initial Access)
  • Valid Accounts (Initial Access)
  • Command and Scripting Interpreter (Execution)
  • Create Account (Persistence)
  • Valid Accounts (Persistence)
  • Valid Accounts (Defense Evasion)
  • Abuse Elevation Control Mechanism (Privilege Escalation)
  • Brute Force (Credential Access)
  • Unsecured Credentials (Credential Access)
  • Account Discovery (Discovery)
  • Software Discovery (Discovery)
  • Remote System Discovery (Discovery)
  • Remote Services (Lateral Movement)
  • Data from Local System (Collection)
  • Data Staged: Remote Data Staging (Collection)
  • Remote Access Software (Command and Control)
  • Exfiltration Over C2 Channel (Exfiltration)