Malware et UAC

Magazine
Marque
MISC
Numéro
78
Mois de parution
mars 2015
Domaines


Résumé
Lors de l'exécution d'un malware sur une machine cible, il est généralement intéressant d'obtenir les droits administrateur. Dans le cas de machines utilisées par des particuliers, l'utilisateur est très fréquemment déjà administrateur, mais ses processus sont exécutés avec des droits limités. C'est à ce moment que l'UAC (User Account Control) entre en jeu. Nous allons voir comment les malwares manipulent l'UAC afin de s'exécuter avec les droits administrateur.Nous ne parlerons (presque) pas d'élévation de privilèges, cet article étant basé sur le fait que l'utilisateur ciblé est dans le groupe administrateur de son poste de travail !

1. Introduction

1.1 Pourquoi utiliser des privilèges administrateur ?

Les raisons sont multiples, en voici quelques exemples :

- accéder à toute la mémoire de la machine afin d'obtenir les hashes NTLM (ou encore les tickets Kerberos) afin de réaliser des pivots vers d'autres machines du réseau. Cette technique, nommée Pass-The-Hash (ou Pass-The-Ticket), est très fréquemment utilisée dans le cas d'attaques ciblées afin de se déplacer dans l'infrastructure ciblée ;

- accéder à la mémoire d'autres processus en cours d'exécution afin de s'injecter dans ceux-ci, de voler des données présentes en mémoire (cas pour les malwares ciblant les points de vente – Point-Of-Sale/POS) ;

- cacher sa présence et son activité plus efficacement, par exemple via le déploiement de modules noyau afin d'installer un rootkit ;

- infecter tous les utilisateurs qui partagent la même machine et pas seulement l'utilisateur en cours. Ceci est particulièrement vrai dans le cas de machines...

Cet article est réservé aux abonnés. Il vous reste 93% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Identification automatique de signaux grâce à la fonction d’autocorrélation

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Vous connaissiez la chasse au trésor… Initiez-vous maintenant à la chasse au signal (signal hunting en anglais). La chasse au signal consiste à rechercher les signaux qui nous entourent dans l’espace invisible du spectre électromagnétique. Mais plus besoin de rester l’oreille collée sur un haut-parleur à tourner le bouton pour régler la fréquence. La SDR (Software Defined Radio) a révolutionné tout cela : une radio numérique et un PC est vous voilà armé pour découvrir ce monde que les professionnels dénomment le SIGINT (SIGnal INTelligence).

Avec le Spanning Tree Protocol, suis-je en sécurité dans mon réseau ?

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Dans le cadre des hors-séries sur les retours aux fondamentaux, cet article aura comme sujet le protocole STP (Spanning Tree Protocol). Inventé en 1985 par Radia Perlman, il permet principalement d’assurer une liaison réseau redondante et sans boucle. Ce protocole étant primordial au sein d’un réseau de moyenne à grande envergure, s’il n’est pas correctement configuré, cela pourra alors permettre à des attaquants de compromettre le réseau.

Return oriented programming 101

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Le Returned Oriented Programming (ou ROP) est une technique permettant d'exploiter des programmes disposant de la protection NX (No eXecute) ou DEP (Data Execution Prevention). L'objectif de cet article est de vous présenter les bases du ROP, ainsi que l’exploitation pas-à-pas d’un programme d’entraînement via l'utilisation de la bibliothèque python pwntools [1]. Dans un souci de simplicité, la démonstration sera réalisée sur un programme s'exécutant sur un système Linux 64 bits. Bien entendu, cette démonstration reste applicable sur d'autres architectures (ARM, MIPS, etc.).

Use-After-Free dans le noyau Linux

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Pièce logicielle qui a accompagné les deux dernières décennies, le noyau Linux est un système relativement complet qui dispose d’un allocateur de mémoire dynamique. Comme tous les logiciels classiques, le noyau est ainsi régulièrement sujet à des vulnérabilités de type Use-After-Free via cet allocateur.

Introduction au dossier : Sécurité système & logiciel - Exploitation & contre-mesures

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

La thématique de ce hors-série, comme vous avez d’ores et déjà pu le remarquer, est dédiée à la sécurité système et logiciel. Derrière cette terminologie qui couvre un large spectre de ce que peut être la sécurité, l’idée est de continuer les hors-séries qui traitent des fondamentaux de sous-domaines de la sécurité informatique.