juillet 17th, 2018

Hack in Paris 2018 : Comspec et %% mortels en mode command

Posté on 17 Juil 2018 at 8:48

Beaucoup d’humour, beaucoup de talents cette année encore à l’occasion de Hack in Paris 2018, qui s’est tenue sous les lambris de la Maison de la Chimie fin juin. Et de l’impressionnante succession de 16 conférences organisées par Sysdream, difficile d’en faire un classement qualitatif.

L’orateur le plus applaudi a été sans conteste Daniel Bohannon (ex Mandiant, désormais Fireye), qui a littéralement hypnotisé l’assistance en expliquant comment, à grand renfort de variables d’environnement, de doubles apostrophes, de macro For %%F in (xxxx) DO formidablement vicieuses, l’on pouvait camoufler des chainages d’exécutables en mode « command » sans qu’il soit possible de détecter quoi que ce soit de lisible. En mode « command », et non en Powershell, insiste-t-il dès le début de son intervention. Et de narrer comment ce qui, aux yeux de beaucoup, peut passer pour un bel exercice intellectuel pour nostalgiques de batch sous MS-DOS est en fait activement exploité par des groupes de développement de malwares et de vecteurs d’attaques persistantes. Si les transparents de son intervention dévoilent des trésors de roublardises qui permettent de lancer n’importe quel exécutable sans qu’il soit possible d’en apercevoir le moindre indice, il faut surtout écouter son débit rapide, son déluge d’explications qui enivre littéralement l’assistance. Après 40 minutes de Daniel Bohannon, on ne regarde plus jamais une fenêtre en mode caractère comme avant. A consulter aussi la version papier de la conférence, indispensable pour revenir sur les détails de mise en application, sans oublier son dépôt Github en général et la section Invoke DOSfuscation en particulier, histoire de passer aux exercices pratiques.

Publicité

MORE_POSTS

Archives

juillet 2018
lun mar mer jeu ven sam dim
« Juin   Août »
 1
2345678
9101112131415
16171819202122
23242526272829
3031