L’objectif de NYSM est d’offrir des solutions de contournement générique pour n’importe quel outil de post-exploitation sous Linux, en utilisant une combinaison de Namespaces et d’eBPF.
eBPF est une technologie Linux permettant d’exécuter du code noyau simplement, sans avoir à charger de modules. De plus en plus d’outils offensifs tels que TripleCross [1], boopkit [2], ebpkit [3] ou encore bad-pbf [4] s'appuient sur cette technologie comme base de rootkits afin de cacher des processus, des fichiers ou même de modifier des paquets réseaux. Mais quid des outils populaires déjà existants ? En effet, les équipes offensives ayant déjà un arsenal complet, peuvent parfois être frileuses à l’idée de réécrire leurs propres outils en utilisant de nouvelles technologies, risquant d’amener instabilité et donc visibilité auprès des équipes de défense.
Dans cet article, nous allons vous présenter un conteneur offensif développé par nos soins : nysm [5], un outil permettant d'exécuter n’importe quel programme de post-exploitation et de les rendre invisibles aux yeux des moyens de supervision.
1. Qu’est-ce qu’eBPF ?
eBPF est une...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première