Archives du mot-clé Windows

Malwares résidents en mémoire: les différentes techniques existantes

Les articles sur les injection de code dans un process et compagnie on le vent en poupe. La plupart de ces techniques ne sont pourtant pas de la dernière fraîcheur mais on ne fera pas la fine bouche sur un bon article sur le sujet.

C’est le cas de l’article Hunting in memory de Endgame qui passe en revue les méthodes utilisées par différents malwares Windows bien connus.

Backdoorer un exécutable Windows sans rajouter un seul octet

Autre article sympa sur pentest.blog : comment backdoorer un exécutable Windows en insérant son propre code assembleur dans l’espace libre d’une section de code (à l’opposée d’ajouter une section exécutable qui risque d’être traitée comme suspicieuse), bref sans toucher à la taille du binaire.
Evidemment cette méthode fonctionne pour d’autres architectures.

L’article a l’avantage de présenter Cminer, un programme qui va recherche les code caves dans un binaire.

L0phtCrack 7

What ? L0phtCrack ?

A une époque L0phtCrack était vraiment l’outil de choix quand il s’agissait de casser des mots de passe Windows. C’était la même époque où tout le monde avait Caïn sur sa machine et on pouvait sortir un hk.exe pour péter du NT4…

Et bien voilà, L0phtCrack 7 vient de débarquer avec des performances améliorées pour le CPU mais aussi le support du GPU. Avec ça aucun mot de passe windows ne devrait vous résister 🙂

SSF : Secure Socket Funneling

Qu’est-ce que c’est que SSF ?
A première vue un nouveau forwardeur de ports dans le style de socat mais quand on regarde les différentes pages de la section howto on s’aperçoit que l’outil offre vraiment des fonctions intéressantes comme le transfert de fichier, la gestion d’UDP, les tunnels SOCKS, la création dynamique de port forwarding le tout avec un mécanisme de clés publiques/privées bref un outil bien complet pour Windows et Linux 🙂

Bypass UAC : nouvelles techniques avec eventvwr et CompMgmtLauncher

Après la récente utilisation de CleanMgr pour bypasser l’UAC de Windows, voici déjà deux nouvelles techniques découvertes.
Les deux techniques sont en fait similaire et se basent sur le fait que des process Windows avec des droits élevés vont chercher le path d’un exécutable (normalement mmc.exe) dans la ruche utilisateur (HKCU, donc contrôlable par un utilisateur non privilégié) avant de l’exécuter.

Technique avec l’Event Viewer.
Technique avec CompMgmtLauncher

Cleanmgr.exe : une nouvelle méthode de bypass de l’UAC

Deux chercheurs sécu sont récemment tombés sur une petite pépite pour bypasser l’UAC de Windows.

Une tache planifiée destinée à l’utilitaire SilentCleanup / Cleanmgr.exe est configurée pour être exécutée sous des privilèges élevés tout en pouvant être appelée par des utilisateurs peu privilégiés.

Or à son lancement l’utilitaire copie des dlls dans le dossier temporaire de l’utilisateur (donc writable) avant de les charger rendant possible un dll hijacking et par conséquent un bypass de l’UAC.