Il y a "pivotement" (pivoting) lorsqu'un attaquant s'appuie sur un ordinateur qu'il a déjà piraté pour attaquer un autre ordinateur de la même entité. Ceci est la conséquence directe des capacités de "mouvement latéral" de l'article précédent qui y était consacré. Nous allons maintenant voir comment les attaquants procèdent pour naviguer d'ordinateur en ordinateur, à travers tout…
Lire la suite
Le mouvement latéral abuse des relations de confiance du domaine pour attaquer le système d'information: Cela passe par plusieurs étapes dont l'inventaire des ordinateurs et des utilisateurs, la prise de contrôle à distance des systèmes sans utiliser le malware initial et l'exécution de codes à distance avec le payload "charge utile" du beacon, comme nous avons vu dans…
Lire la suite
Le but principal de toute cette activité de beaconing que nous avons vue lors de la post-exploitation, consiste a obtenir l'accès à un compte à privilèges, à savoir un compte d'administration de l'annuaire (Active Directory dans la plupart des cas). Cette action, appelée "élévation des privilèges", permet de passer des droits d'utilisateur sur une machine lambda au contrôle…
Lire la suite
Le C2 et les beacons sont en place, les attaquants ont cartographié notre système d'informations. Cette phase de post-exploitation peut prendre plusieurs jours, voire plusieurs semaines, le temps pour les attaquants de trouver tous les points faibles de notre système. Grâce au beacons ils vont viser essentiellement l'exécution de programmes malicieux de manière à récupérer des…
Lire la suite