Vous adorez la cybersécurité ? Moi aussi. Alors venez partager votre passion sur la chaîne !
Je n'ai pas la prétention de tout connaître, mais j'essaye de partager au mieux mes connaissances ! Contournement d'antivirus, Passage de certifications, Exploitation de vulnérabilités, on s'attaque à tous les sujets !!
J'ai une petite question, surement bête, les commandes exécutées à la fin sur le pc de la victime via powershell qui permettent d'invoquer le shellcode, dans la vraie vie je suppose qu'il faut arriver à trouver un moyen pour que la victime exécute un script contenant ces commandes ? Merci ! En tout cas la vidéo est vraiment bien expliquée !
Bonjour, je viens de suivre votre vidéo et j'ai une question : j'ai mis un mot de passe sur un document Word, mais j'ai oublié ce mot de passe. Savez-vous comment je peux faire pour, soit récupérer le mot de passe, soit le supprimer, enfin réussir à ouvrir mon document word ? je suis sur OFFICE 2016 - En vous remerciant de votre aide. Bonne journée,
il faut forcement avoir windows pour obfusqué le payload ? parce que je ne vois pas comment executer l'executable généré avec cette commande sous Linux ? ni comment executer cette commande : dotnet publish -p:PublishSingleFile=true -r win-x64 -c Release --self-contained true -p:PublishTrimmed=true sous linux.
Bonjour. Sur un de mes PC, j'ai essayé de faire sans cette partition et ça marche. Je créerais d'abord un lecteur (partition) principale actif et une seconde partition, les deux en NTFS. J'utilise pour cela un live-CD avec un software de partitionnage et gestion de disque dur. En suite, j'installe Win 10 ou Win 11 sur la première partition. J'imagine que cela créait un MBR. En tout cas, ça marche. Et ensuite par précaution, je fais une image GHOST de la partition ou se trouve l'OS vers un autre disque dur du système afin de revenir à l'état v0 en cas de besoin pour récupération/restauration du PC en cas d'infection ou de grosse plantade. Que pensez-vous de cette méthode? Perso et à l'usage, je ne vois pas d'inconvénient, le démarrage est rapide, le PC est stable à l'usage et ça évite les erreurs comme celle que vous décrivez dans votre vidéo. je suis curieux d'avoir votre opinion. J'aime cette méthode car j'utilise GHOST depuis très longtemps (parfait outil pour faire des "points de sauvegarde") et ainsi je suis sur de ce que je back-up. Aussi j'aimerais connaitre ses inconvénients pour mon apprentissage et pour appréhender les avantages de la partition EFI. D'avance merci pour votre temps.
Sympa l’idée des front doors et de montrer la reflexion dotnet ! En revanche t’as définition de l’entropie est un peu « spéciale » 😅. L’idée n’est pas d’observer le nombre de calculs nécessaires mais plutôt d’analyser le « désordre » des données. Avec des données chiffrées, on va par définition vouloir les mélanger le plus possible et les rendre méconnaissables ce qui augmente l’entropie. A l’inverse les mots anglais sont bien ordonnés à tel point qu’on les reconnaît aisément et ont donc une entropie très faible. Le fait d’en mettre en masse dans un binaire vise donc à diminuer l’entropie globale plus qu’à faire croire à l’edr que le binaire a du vécu.
Bravo Proc, Excellente vidéo comme d'habitude, j'ai bien apprécié cette notion d'entropie..;) Seulement je retrouve pas le Program.cs dans la liste des références.. ou j'ai pas bien vérifié !
vidéo très interessante comme d'habitude ! :) ça serait interessant pour la prochaine fois de mettre l'accent sur ta façon de délivrer la charge malveillante par mail, des techniques de contournement permettant de s'assurer que le mail arrive bien dans l'inbox par exemple, lors de mes missions RedTeam Azure bloque les mails au bout de 10 mails envoyés, je serai curieux de savoir si t'as des techniques de ce côté là.
Yes ! Clairement les mails sont souvent stoppés par l’antispam dès que ton client a un minimum d’hygiène, ce qui donne les meilleurs résultats c’est de l’ingénierie sociale par téléphone (tu mets 2/3 infos internes « je vous appelle de la part de <Nom et Prénom du DSI> » et tu mets un peu la pression « on a des connexions suspectes sur votre poste depuis 30 min il faut agir vite svp » et en général ça passe 😊)
y a toujours un truc qui m etonne ,le ne doute evidemment pas de ton gros niveau en ce domaine ,mais les gars de chez kaspersky par exemple sont au moins aussi doué que toi alors pourquoi ils ne prennent pas de "precautions" contre ce genre d attaques??
C'est toujours compliqué de jauger le curseur de détection car si tu détecte trop de faux positifs ton produit devient mauvais, si tu fais trop de scan et que ça impacte les performances c'est pareil... Les éditeurs d'antivirus font du bon boulot, ils détectent peut-être 90% des menaces et c'est déjà largement suffisant pour la plupart de leurs clients, mais des attaques plus sophistiquées comme celle-ci (obfuscation de shellcode, exécution entièrement en mémoire, communication usurpant des services légitimes) passeront forcément entre les mailles 😉
J'ai répondu à un autre commentaire identique : Yes, justement j'en parle dans la vidéo, ici c'est uniquement un partage des ressources que j'utilise, l'accès initial en tant que tel tu devras le faire par toi-même (phishing par mail avec un lnk par exemple, appel téléphonique pour obtenir un accès teamviewer sur le poste... etc) retex 2 : les appels téléphoniques en se faisant passer pour le support IT de la boite, ça fonctionne souvent trèèèèèès bien 😁
@processusthief ok tu préfères bitdefender ou Kaspersky ?quelle la différence entre les AV et est sachant que les av utilisés déjà l'analyse heuristique ? Les dernières utilisent le cloud , et c'est tout ?
Très bonne video merci ! Une question cependant, tu parles ici de la mise en place d'un accès initial, mais comment tu executes tes commandes Powershell pour charger la DLL sur la victime au départ ? Si l'accès initial nécessite l'execution de commandes powershell sur la victime pour être activé, il n'est plus très initial non ? 😅Merci.
Yes, justement j'en parle dans la vidéo, ici c'est uniquement un partage des ressources que j'utilise, l'accès initial en tant que tel tu devras le faire par toi-même (phishing par mail avec un lnk par exemple, appel téléphonique pour obtenir un accès teamviewer sur le poste... etc)
j'en avais parlé dans une vidéo il y a longtemps (mais de mémoire youtube l'a supprimé pour non respect de CGU ^^) mais je voulais gagner ma vie rapidement pour prendre mon indépendance et c'est pour ça que je suis parti sur une filière en alternance 😉 et à l'époque il n'y avait pas autant d'écoles de cyber comme aujourd'hui !
Bonjour,le premier lien de la description n’est pas fonctionnel et je serais intéressé d’aller le visiter, et je ne trouve pas non plus cette vidéo sur votre site, serait-il possible de me partager les liens ?