La création de services à distance permet de se déplacer latéralement au sein d'un environnement Windows. Les notions techniques associées à la gestion des services Windows seront présentées dans l'article, ainsi que les traces et journaux en résultant.
La compromission d’une première ressource Windows implique généralement la récupération du secret d’un compte à privilège (mot de passe en texte clair, condensat cryptographique d’un compte local ou inclus dans d’un domaine Windows Active Directory).
Dans le but d’atteindre ses objectifs (exfiltration de données, chiffrement de ressources, etc.), un attaquant exploitera généralement cette première identité compromise pour se propager au sein du SI ciblé.
Différentes techniques et outils associés sont aujourd’hui à disposition des attaquants pour se propager dans d’un environnement Windows. Toutefois, les prérequis d’exploitation ainsi que les traces générées par ces différents outils varient fortement en fonction de la technique utilisée.
Ainsi, il est important pour un auditeur souhaitant simuler une attaque de maîtriser les tenants et aboutissants de chacune de ces techniques de propagation dans le but de minimiser ses probabilités...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première