Étape 3 : le C&C et le reverse shell

Le C&C (Control and Command) est l’infrastructure de contrôle d’un malware, c’est lui qui attend que les clients se connectent et il leur fournit des instructions. Dans cette section, il y a donc deux objets à étudier : le C&C d’une part et d’autre part le code exécuté sur la machine de la victime qui se connecte au C&C le reverse shell. Avant de les développer, il faut comprendre ce qu’est un reverse shell et revenir pour cela au chapitre Les attaquants et PowerShell dans la section qui définit un scan réseau. Celle-ci a abordé la manière dont s’établit un flux TCP, mais sans aborder une notion fondamentale en sécurité des systèmes d’information : le sens d’établissement de ces flux TCP. Reverse shell

En effet, quand bien même un flux TCP établi permet d’échanger des données dans les deux directions (c’est-à-dire du client vers le serveur, mais également du serveur vers le client), il n’y a bien qu’une seule des deux machines qui envoie le paquet SYN au départ ; on considère qu’elle est émettrice du flux TCP et donne ainsi aux flux une direction.

Au niveau des firewalls, ce sont bien souvent ces paquets SYN initiaux qui sont bloqués ou autorisés pour imposer la politique de sécurité sur le réseau. Pour tout...

Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Étape 2 : le serveur de contenu
Suivant
Étape 4 : le ransomware