Cet article court présente la mise à jour du script créé sur la base de l’excellent article de Black Hills : les Anti-Virus « naïfs » ou configurés pour être laxistes se basent souvent sur des signatures, ce qui peut être facilement contourné comme le démontre l’article initial.
Lors d’un pentest interne récent, notre auditeur a testé de nouveau cette technique sur une version récente de Windows Defender configurée de manière trop permissive et a réussi à le contourner pour exécuter sa version modifiée du script offensif.
Le problème
Le script initial a été publié en Janvier 2017. Lorsque le pentester a essayé d’exécuter le code PowerShell ainsi modifié de Invoke-Mimikatz, une erreur de ce genre a été retournée :
Exception calling "GetMethod" with "1" argument(s): "Ambiguous match found."
Une recherche rapide a permis d’identifier une correction facile à apporter à Invoke-Mimikatz : https://github.com/mitre/caldera/issues/38#issuecomment-396055260
Par ailleurs, le script initial de Black Hills remplace les chaînes détectées par Defender par d’autres chaînes fixes. L’auditeur a donc modifié le script pour générer une suite aléatoire de caractères à chaque exécution du script.
Le script
Le script suivant est une simple mise à jour du script original afin de répondre aux problématiques rencontrées par le consultant lors de son test d’intrusion.
🛡️ DSecBypass vous accompagne sur vos tests d’intrusion internes. N’hésitez pas à nous contacter pour des informations complémentaires et/ou un devis personnalisé 📝.
