⚓Persistance / Downloaders
Mindmap
Downloader Powershell
Si l'utilisation de IEX est bloqué, il est également possible de stocker son payload dans un enregistrement TXT d'un serveur DNS.
Lolbins
Les lolbins sont des exécutables natifs dans Windows dont l'usage peut être contournés à des fins malveillantes.
Pour plus d'infos: https://lolbas-project.github.io/
BITSAdmin
Background Intelligent Transfer Service (BITS) est un service Windows permettant le transfert de fichiers en arrière-plan de façon intelligente depuis ou vers un serveur.
Certutil
Certutil est un programme en ligne de commande, installé dans le cadre des services de certificats. Vous pouvez l'utiliser pour vider et afficher les informations de configuration de l’autorité de certification, configurer les services de certificat, sauvegarder et restaurer les composants de l’autorité de certification, et vérifier les certificats, les paires de clés et les chaînes de certificats.
Il est possible de contourner son usage légitime pour télécharger des programmes malveillants de cette manière.
Tâches planifiées
Exemple de création d'une tâche planifiée qui lance "shell.exe" toutes les minutes:
Service
Exemple de création d'un service malveillant avec netcat:
Créer un utilisateur
Outils
Villain
Villain est un outil permettant de créer des portes dérobées obfusqué "indetectable" par les anti-virus.
Exemple d'utilisation:
ressource: https://github.com/t3l3machus/Villain
Suborner
Suborner permet de créer des utilisateurs windows discret sans utilisation de "net user" ou de "netapi32::netuseradd".
Dernière mise à jour