Sommaire

Garder un accès aux machines

La multiplication de frameworks d’attaque ainsi que la mise à disposition d’exploits permettent aux attaquants de se mettre en ordre de marche rapidement pour réaliser de l’exploitation massive.

Outre la guerre attaquant contre défenseur, une autre guerre existe : attaquant contre attaquant. En effet, la compromission des serveurs permet aux attaquants de disposer de nouvelles machines au sein de leurs victimes. Ces machines peuvent ainsi être utilisées comme des machines zombies pour réaliser des attaques de masse (DoS, DDoS, etc.).

L’objectif d’un attaquant est donc de garder l’emprise sur les machines compromises en se défendant des défenseurs, mais aussi des autres attaquants. Dès lors, il n’est pas rare que certains attaquants corrigent la vulnérabilité par laquelle ils ont réussi à s’introduire dans le système tout en se laissant la possibilité d’y accéder à nouveau. Ce concept est celui de la porte dérobée, aussi connu sous le nom de backdoor.

1. metsvc (Meterpreter service)

a. Mise en place de la backdoor

Suite à la compromission de la machine à l’aide d’un Meterpreter, il est alors nécessaire d’afficher l’ensemble des processus actifs :

meterpreter> ps  
 
Process list  
============  
 
   PID   Name           ...