1. Introduction
1.1 Pourquoi utiliser des privilèges administrateur ?
Les raisons sont multiples, en voici quelques exemples :
- accéder à toute la mémoire de la machine afin d'obtenir les hashes NTLM (ou encore les tickets Kerberos) afin de réaliser des pivots vers d'autres machines du réseau. Cette technique, nommée Pass-The-Hash (ou Pass-The-Ticket), est très fréquemment utilisée dans le cas d'attaques ciblées afin de se déplacer dans l'infrastructure ciblée ;
- accéder à la mémoire d'autres processus en cours d'exécution afin de s'injecter dans ceux-ci, de voler des données présentes en mémoire (cas pour les malwares ciblant les points de vente – Point-Of-Sale/POS) ;
- cacher sa présence et son activité plus efficacement, par exemple via le déploiement de modules noyau afin d'installer un rootkit ;
- infecter tous les utilisateurs qui partagent la même machine et pas seulement l'utilisateur en cours. Ceci est particulièrement vrai dans le cas de machines...
