WMI : la menace silencieuse

Magazine
Marque
MISC
Numéro
80
Mois de parution
juillet 2015
Spécialités


Résumé

Les techniques et boîtes à outils dont dispose un attaquant sont nombreuses. Nous allons voir qu’un framework d’apparence anodine dans Windows, WMI (Windows Management Instrumentation), peut se révéler être une menace redoutable et particulièrement difficile à détecter.


1. Introduction

Parmi les fondamentaux d'une APT (Advanced Persistent Threat), on trouve deux besoins essentiels à un attaquant : persister sur le système d'information et pouvoir y effectuer des mouvements latéraux (déplacements de machine en machine).

La persistance est utilisée notamment pour le RAT (Remote Administration Tool) permettant à l'attaquant d'avoir un pied dans le SI, mais pas seulement. On voit couramment des besoins du type surveiller la création de fichiers dans un répertoire ou permettre la communication entre 2 sous réseaux.

Ces fonctions ont un besoin commun, survivre à un redémarrage de la machine sur laquelle elles opèrent.

Windows ne manque pas de moyens de persistance, aussi appelé ASEPs (Auto-Start Extensibility Points) que ce soit via le registre (Clé Run, Services…) ou via le système de fichiers (remplacement de binaire, DLL preloading…). Le problème pour l'attaquant, c'est que la plupart de ces ASEPs sont bien connus des...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Présentation des EDR et cas pratiques sur de grands parcs

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

Réduire le temps de détection d'une attaque et sa remédiation est un enjeu crucial. Une technologie apportant de nouvelles solutions fait parler d'elle, son nom : EDR pour Endpoint Detection and Response. Mais qu'est-ce qu'un EDR, comment l'évaluer, le déployer ? Comment se démarque-t-il des autres solutions du marché ?

Introduction au dossier : EDR – Quel apport pour la sécurité de votre parc ?

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

La supervision de la sécurité des terminaux est souvent le parent pauvre des directions informatiques. Pendant longtemps, l’alpha et l'oméga en matière de gestion de la sécurité des terminaux se sont résumé à un antivirus, avec dans le meilleur des cas une console centralisée, l’application des patch tuesday et une authentification via contrôleur de domaine sans droits d'administration pour les usagers.

Résumé des attaques publiées sur les TPM

Magazine
Marque
MISC
Numéro
115
Mois de parution
mai 2021
Spécialités
Résumé

Les TPM, bien que protégés face aux attaques physiques, et certifiés à un bon niveau de sécurité par les Critères Communs (EAL4+ au minimum), ont subi depuis une vingtaine d’années quelques attaques, montrant qu’ils ne sont pas la contre-mesure inviolable pour garantir l’intégrité logicielle des plateformes numériques. Cet article se propose de résumer les principales vulnérabilités remontées au fil du temps sur les TPM du marché.