Le mouvement latéral abuse des relations de confiance du domaine pour attaquer le système d'information: Cela passe par plusieurs étapes dont l'inventaire des ordinateurs et des utilisateurs, la prise de contrôle à distance des systèmes sans utiliser le malware initial et l'exécution de codes à distance avec le payload "charge utile" du beacon, comme nous avons vu dans…
Lire la suite
Le but principal de toute cette activité de beaconing que nous avons vue lors de la post-exploitation, consiste a obtenir l'accès à un compte à privilèges, à savoir un compte d'administration de l'annuaire (Active Directory dans la plupart des cas). Cette action, appelée "élévation des privilèges", permet de passer des droits d'utilisateur sur une machine lambda au contrôle…
Lire la suite
Le C2 et les beacons sont en place, les attaquants ont cartographié notre système d'informations. Cette phase de post-exploitation peut prendre plusieurs jours, voire plusieurs semaines, le temps pour les attaquants de trouver tous les points faibles de notre système. Grâce au beacons ils vont viser essentiellement l'exécution de programmes malicieux de manière à récupérer des…
Lire la suite
Vous vous souvenez du jeu de stratégie "Command & Conquer" ? (c) Electronic Arts Il s'agit d'une lutte entre deux (ou plusieurs) équipes pour la domination d'un lieu virtuel. Les bleus, "blue team", c'est nous, les "gentils" et les rouges, "red team", ce sont les autres, les "méchants"… C2 ou Command & Control: RED TEAM SERVER. Lors…
Lire la suite