NYSM : un conteneur offensif basé sur eBPF

MISC

n°

131

janvier 2024

Par

Tag(s)

eBPF

namespaces

L’objectif de NYSM est d’offrir des solutions de contournement générique pour n’importe quel outil de post-exploitation sous Linux, en utilisant une combinaison de Namespaces et d’eBPF.

eBPF est une technologie Linux permettant d’exécuter du code noyau simplement, sans avoir à charger de modules. De plus en plus d’outils offensifs tels que TripleCross [1], boopkit [2], ebpkit [3] ou encore bad-pbf [4] s'appuient sur cette technologie comme base de rootkits afin de cacher des processus, des fichiers ou même de modifier des paquets réseaux. Mais quid des outils populaires déjà existants ? En effet, les équipes offensives ayant déjà un arsenal complet, peuvent parfois être frileuses à l’idée de réécrire leurs propres outils en utilisant de nouvelles technologies, risquant d’amener instabilité et donc visibilité auprès des équipes de défense.

Dans cet article, nous allons vous présenter un conteneur offensif développé par nos soins : nysm [5], un outil permettant d'exécuter n’importe quel programme de post-exploitation et de les rendre invisibles aux yeux des…

La suite est réservée aux abonnés. Il vous reste 95% à découvrir.

Déjà abonné ? Se connecter

Accédez à tous les contenus de Connect en illimité
Découvrez des listes de lecture et des contenus Premium
Consultez les nouveaux articles en avant-première

Envie de lire la suite ? Rejoignez Connect

Je m'abonne maintenant

Article rédigé par

Granier Thomas

2 articles

Peyrefitte Sylvain

8 articles

Par le(s) même(s) auteur(s)

Plus d'article de cet auteur

La face cachée d’eBPF

MISC

n°

125

janvier 2023

Par

Granier Thomas

Peyrefitte Sylvain

Pentest

Dans cet article, nous allons découvrir comment tirer parti d’eBPF dans le but d’innover les modèles d’attaques sous Linux en se focalisant sur trois étapes essentielles : Persistance, Latéralisation et Anti forensics !

Lire l'article

Comment détourner un programme de son chemin d’exécution ?

GNU/Linux Magazine

n°

260

novembre 2022

Par

Peyrefitte Sylvain

Code

Hacks

Il est parfois indispensable de modifier l'exécution d’un programme, sans en modifier le code source, pour l’adapter à des besoins spécifiques. Quels sont les moyens que nous offre Linux ?

Lire l'article

L’attaque des logs

MISC

n°

122

juillet 2022

Par

Ce sont les logs qui ont le plus de valeur pour pouvoir analyser une attaque. Comment les sauver de toutes les attaques qu’ils subissent ?

Lire l'article

Doper votre SIEM pour la réponse sur incident

MISC

HS n°

février 2021

Par

Peyrefitte Sylvain

Roudé Luc

Forensic

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.

Lire l'article

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020

Sécurité réseau

Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020

Mobilité Sécurité système

Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020

Crypto

Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.

Plus de listes de lecture