PowerShell : des pirates de plus en plus fans

Empire est une boîte à outils pour attaquants basée sur PowerShell. Présentée début août dernier, elle « implémente la possibilité d’exécuter des agents PowerShell sans avoir besoin de powershell.exe », mais également des « modules rapidement déployables post-exploitation », comme des enregistreurs de saisie au clavier, notamment, ou encore le célèbre Mimikatz, dédié à l’extraction de mots de passe en mémoire. Trois modules dédiés à l’élévation de privilèges sont également proposés, ainsi que quatre méthodes de déplacement latéral sur le réseau compromis, et cinq méthodes et options de persistence.

Jouant des échanges chiffrés utilisant le protocole HTTPS, Empire revendique donc une « architecture flexible » et des « communications sécurisées ». De quoi, au passage, lui permettre d’augmenter sa furtivité sur les réseaux.

Empire rappelle donc PowerSploit, une autre boîte à outils pour attaquant basée sur PowerShell. Fin avril dernier, pour Ben Turner et Dave Hardy, consultants au sein du cabinet de conseil britannique Nettitude, relevaient que PowerShell est en train de devenir rapidement l’outil de choix pour les attaquants, après l’infiltration initiale, grâce « à une pléthore d’outils PowerShell remarquables tels que PowerSploit, PowerUp, PowerView, et Nishang, pour n’en citer que quelques uns ». Autant d’outils « entièrement écrits en PowerShell et qui ne touchent quasiment pas au disque » et passent ainsi au travers des mailles des anti-virus.

Mais Empire n’est pas totalement furtif. Les capacités d’enregistrement de traces étendues de PowerShell 3.0 permettent de détecter les activités d’Empire dans son infrastructure. Mais encore faut-il les activer et, surtout, disposer de cette version de PowerShell.

Se référant à PowerShell 3.0, déjà plus sûr que ses prédécesseurs, Gérôme Billois, responsable de la practice sécurité de Solucom, soulignait dans nos colonnes, fin avril, la difficulté de son adoption, « comme avec toutes les montées de version. Ce n’est pas qu’un changement technique et cela demande de valider des scripts qui sont assez largement utilisés en production aujourd’hui. Le risque d’impact est évident. D’autant plus que, souvent, il n’y a pas de cartographie des endroits où sont utilisés les scripts ». Et il faut également tenir compte des différences de jeux de commandes accessibles d’une version de Windows à l’autre…

Plus récemment, Microsoft faisait quant à lui la promotion de la version 5.0 de son outil d’administration, arrivée avec Windows 10, et multipliant les apports de sécurité.