Conclusion

Dans ce chapitre, nous avons vu comment développer un malware de type ransomware. Celui-ci peut, à partir d’un simple dropper de quelques lignes en PowerShell, télécharger et exécuter un code PowerShell hébergé sur un serveur distant. Ce deuxième étage (ou stage 2) établit un reverse shell sur un second canal de communication et donne la main à l’attaquant sur la machine de la victime presque comme si ce dernier était présent localement, tout en respectant un sens d’établissement du flux pour éviter les mécanismes de protection. Une fois son accès établi, l’attaquant réalise à la main un cryptolocker sur la machine.

À défaut d’être vraiment crédible, ce ransomware a l’intérêt d’être pédagogique. Il est en effet assez éloigné des techniques des ransomwares actuels. D’abord car, contrairement aux virus modernes, il ne bénéficie pas de multiples mécanismes d’obfuscation et de protection contre la rétro-ingénierie. Ensuite, il n’existe quasiment pas de malware 100 % PowerShell, la plupart font appel à un moment ou à un autre à un fichier exécutable, ou à un mécanisme de persistance ou d’élévation de privilèges basée sur un binaire compilé. Cette variation des techniques utilisées...

Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
L'attaque, pas à pas
Suivant
Historique et présentation