Recueil d'informations sur les menaces via des tiers

Après avoir obtenu l'accès via le formulaire de connexion caché, l'étape suivante de l'attaquant consistera probablement à reconnaître l'environnement compromis. WSO-NG permet à l'attaquant de recueillir des informations sur les menaces qui affectent le système, en utilisant des tactiques et des outils similaires à ceux utilisés par les organisations qui se défendent contre les cybermenaces.

WSO-NG s'intègre de manière fluide à un service d'informations sur les menaces appelé VirusTotal, qui permet d'analyser la réputation IP du serveur compromis afin de déterminer s'il a été signalé pour des activités malveillantes. Si l'attaquant envisage d'utiliser ce serveur pour d'autres attaques en ligne, cette intégration devient essentielle pour évaluer la probabilité que l'attaque soit bloquée par des cibles potentielles, en particulier si l'adresse IP est déjà répertoriée dans leurs enregistrements de déni (Figure 5).

Un autre aspect essentiel de cette fonctionnalité est qu'elle permet de découvrir si le serveur a déjà été compromis par d'autres acteurs malveillants, ce qui incitera l'attaquant à procéder avec prudence.

De plus, l'intégration de WSO-NG au service SecurityTrails aide les attaquants à identifier d'autres domaines hébergés via le serveur compromis, et permet ainsi un profilage plus poussé de la cible.