Barjole Matthieu

Les EDR sont une étape cruciale à gérer lors d’une intrusion, car ils représentent souvent une barrière majeure. En tant que red teamers, il est donc essentiel d’innover constamment pour les contourner. Dans cet article, nous explorons un nouvel angle d’attaque en ciblant directement l’EDR, ici SentinelOne, et en exploitant ses défauts d’implémentation.

Les politiques d'accès conditionnel d’Azure fournissent un puissant dispositif de protection des accès. Néanmoins, leur complexité et opacité entraînent bien souvent une mauvaise compréhension des mécanismes sous-jacents, offrant ainsi des opportunités aux attaquants pour contourner des protections comme l’authentification multifacteur. Dans cet article, nous étudierons l'implémentation de ces politiques en l'illustrant par des défauts de configuration fréquemment rencontrés.

Avec Windows 10, Microsoft a introduit l’Antimalware Scan Interface (AMSI) dont l’objectif est de faciliter l’interaction entre les langages de scripting et les solutions antivirus. Ce mécanisme permet notamment de déjouer certaines techniques d’obfuscation visant à échapper aux signatures antivirus.