WMI : la menace silencieuse

Magazine
Marque
MISC
Numéro
80
Mois de parution
juillet 2015
Domaines


Résumé
Les techniques et boîtes à outils dont dispose un attaquant sont nombreuses. Nous allons voir qu’un framework d’apparence anodine dans Windows, WMI (Windows Management Instrumentation), peut se révéler être une menace redoutable et particulièrement difficile à détecter.

1. Introduction

Parmi les fondamentaux d'une APT (Advanced Persistent Threat), on trouve deux besoins essentiels à un attaquant : persister sur le système d'information et pouvoir y effectuer des mouvements latéraux (déplacements de machine en machine).

La persistance est utilisée notamment pour le RAT (Remote Administration Tool) permettant à l'attaquant d'avoir un pied dans le SI, mais pas seulement. On voit couramment des besoins du type surveiller la création de fichiers dans un répertoire ou permettre la communication entre 2 sous réseaux.

Ces fonctions ont un besoin commun, survivre à un redémarrage de la machine sur laquelle elles opèrent.

Windows ne manque pas de moyens de persistance, aussi appelé ASEPs (Auto-Start Extensibility Points) que ce soit via le registre (Clé Run, Services…) ou via le système de fichiers (remplacement de binaire, DLL preloading…). Le problème pour l'attaquant, c'est que la plupart de ces ASEPs sont bien connus des équipes de...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Comparaison de deux méthodes d’isolation CPU

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
111
Mois de parution
novembre 2020
Domaines
Résumé

Afin de séparer les cœurs supportant les activités temps réel et temps partagé d'applications sur une architecture SMP sous Linux, le sous-système cpuset des cgroups est désormais mis en avant, au détriment de l’ancienne méthode basée sur le paramètre isolcpus.

Sauvegardez vos données, centralisez vos logs et supervisez votre sécurité

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Nos serveurs présentent désormais une surface d’attaque réseau maîtrisée et une sécurisation système d’un niveau cohérent avec notre modèle de menaces. De même, le service SSH tournant sur ces serveurs est configuré de manière optimisée. Nous pouvons donc être relativement sereins si nos adversaires sont d’un niveau intermédiaire. Et si malgré toutes ces protections, une attaque comme un rançongiciel réussissait ? Et bien dans ce cas-là, pour l’instant, notre infrastructure serait particulièrement vulnérable. Aucune sauvegarde externalisée. Pas de centralisation des traces. Une supervision sécurité inexistante. Remédions à cette situation afin d’élever le niveau de maturité de la sécurité de notre infrastructure.

Investigation numérique de l’image disque d’un environnement Windows

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Une investigation numérique requiert de nombreuses étapes. Celles-ci varient en fonction des données disponibles. Une des plus importantes est l’analyse de la mémoire vive (voir MISC N°111 [1]). L’analyse de la mémoire de masse, constituée des événements propres au système d’exploitation apporte de nouveaux éléments. Une fois celles-ci terminées, la corrélation des deux nous permettra de confirmer d’éventuelles hypothèses.

Surveiller son système avec Monit

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

La supervision d’un système en production demeure un enjeu aussi complexe qu’essentiel. Il existe de nombreuses solutions, très complètes, de supervision, mais la plupart adoptent une approche centralisée, qui demande l’utilisation de ressources dédiées. Aujourd’hui, nous étudierons une approche alternative, une solution de supervision décentralisée, nommée Monit.