Malware et UAC

Magazine
Marque
MISC
Numéro
78
Mois de parution
mars 2015
Domaines


Résumé
Lors de l'exécution d'un malware sur une machine cible, il est généralement intéressant d'obtenir les droits administrateur. Dans le cas de machines utilisées par des particuliers, l'utilisateur est très fréquemment déjà administrateur, mais ses processus sont exécutés avec des droits limités. C'est à ce moment que l'UAC (User Account Control) entre en jeu. Nous allons voir comment les malwares manipulent l'UAC afin de s'exécuter avec les droits administrateur.Nous ne parlerons (presque) pas d'élévation de privilèges, cet article étant basé sur le fait que l'utilisateur ciblé est dans le groupe administrateur de son poste de travail !

1. Introduction

1.1 Pourquoi utiliser des privilèges administrateur ?

Les raisons sont multiples, en voici quelques exemples :

- accéder à toute la mémoire de la machine afin d'obtenir les hashes NTLM (ou encore les tickets Kerberos) afin de réaliser des pivots vers d'autres machines du réseau. Cette technique, nommée Pass-The-Hash (ou Pass-The-Ticket), est très fréquemment utilisée dans le cas d'attaques ciblées afin de se déplacer dans l'infrastructure ciblée ;

- accéder à la mémoire d'autres processus en cours d'exécution afin de s'injecter dans ceux-ci, de voler des données présentes en mémoire (cas pour les malwares ciblant les points de vente – Point-Of-Sale/POS) ;

- cacher sa présence et son activité plus efficacement, par exemple via le déploiement de modules noyau afin d'installer un rootkit ;

- infecter tous les utilisateurs qui partagent la même machine et pas seulement l'utilisateur en cours. Ceci est particulièrement vrai dans le cas de machines...

Cet article est réservé aux abonnés. Il vous reste 93% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Jenkins, Docker et Kubernetes pour déployer en CI/CD

Magazine
Marque
Linux Pratique
Numéro
123
Mois de parution
janvier 2021
Domaines
Résumé

La mise en place d'un processus d'intégration continue et de déploiement continu nécessite une réflexion sérieuse avant de la concrétiser dans la vraie vie d'une organisation. La diversité des méthodes agiles, la panoplie des outils DevOps disponible sur le marché et le choix de l'infrastructure sous-jacente pour créer vos projets nécessitent de prendre du recul avant de se lancer. Découvrez dans cet article comment créer un CI/CD.

Zerologon pour les (mots de passe) nuls

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

ZeroLogon est LA vulnérabilité de septembre 2020 qui expose de nombreux domaines Windows à une compromission totale via un scénario d’exploitation réaliste et fiable. Mais ce qui donne à Zerologon ses lettres de noblesse c’est qu’elle repose essentiellement sur la mauvaise utilisation d’un algorithme cryptographique permettant de réaliser une attaque à clair choisi particulièrement astucieuse. Zoom sur la vulnérabilité la plus passionnante de la rentrée 2020 !