{"id":4871,"date":"2016-09-01T19:26:15","date_gmt":"2016-09-01T19:26:15","guid":{"rendered":"https:\/\/www.okiok.com\/?p=4871"},"modified":"2022-11-21T15:10:08","modified_gmt":"2022-11-21T20:10:08","slug":"magie-de-powershell-empire","status":"publish","type":"post","link":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/","title":{"rendered":"La magie de PowerShell Empire"},"content":{"rendered":"

Montr\u00e9al, le 31 ao\u00fbt 2016<\/p>\n

Avec la multiplication des cyber-attaques signal\u00e9es dans les m\u00e9dias et les populaires s\u00e9ries t\u00e9l\u00e9vis\u00e9es comme Mr. Robot, que je recommande vivement d’ailleurs, nous pouvons dire que les pirates informatiques et leurs tours de magie ont saisi l’imaginaire des gens. Mais comment font-ils? Cela peut sembler presque magique d’un point de vue ext\u00e9rieur. Eh bien, dans ce billet, nous allons bri\u00e8vement pr\u00e9senter un outil relativement nouveau et qui fait passer la magie des pirates \u00e0 la r\u00e9alit\u00e9 en quelques lignes de commande simples.<\/strong><\/p>\n

L’outil est PowerShell Empire et il ne marque rien de moins que le d\u00e9but d’une nouvelle \u00e8re. Il a fait son entr\u00e9e au grand jour il y a un peu plus d’un an, en ao\u00fbt 2015, au BSides de Las Vegas. Arm\u00e9 de cet outil, on peut g\u00e9n\u00e9rer un petit morceau de code qui, une fois ex\u00e9cut\u00e9 sur une machine cible Windows, peut accorder le contr\u00f4le complet de l’ordinateur de la victime.<\/p>\n

Il y a plusieurs aspects de PowerShell Empire qui le rend si sp\u00e9cial. C’est un \u00ab\u00a0agent de post-exploitation construit sur des communications cryptographiquement s\u00e9curis\u00e9es et une architecture flexible. Empire permet d’ex\u00e9cuter des agents PowerShell sans avoir besoin powershell.exe, de rapidement d\u00e9ployer des modules de post-exploitation allant d’enregistreurs de touches, \u00e0 Mimikatz, \u00e0 des \u00a0communications adaptables pour \u00e9chapper \u00e0 la d\u00e9tection sur le r\u00e9seau et le tout envelopp\u00e9 dans une solution ax\u00e9e sur l’employabilit\u00e9\u00a0\u00bb. \u00c9tant donn\u00e9 que PowerShell est bas\u00e9 sur \u00ab\u00a0.<\/em>NET Framework\u00a0\u00bb et qu’il est \u00e9troitement int\u00e9gr\u00e9 \u00e0 Windows, il passera inaper\u00e7u aux yeux de la plupart des Anti-virus et IDS \/ IPS. En outre, \u00ab\u00a0[…] il n’y a pas besoin de d\u00e9poser des fichiers sur le disque. Tout, \u00e0 l’exception possible du script lui-m\u00eame, est enti\u00e8rement g\u00e9r\u00e9 en m\u00e9moire\u00a0\u00bb.<\/p>\n

Pour commencer avec Empire<\/em>, l’une des premi\u00e8res choses \u00e0 faire est d’installer un listener<\/em> avec un certificat auto-sign\u00e9 qui vous permettra, comme son nom l’indique, d’\u00e9couter votre cible. Ensuite, gr\u00e2ce \u00e0 l’utilisation de divers types de \u00ab\u00a0stagers \/ launchers\u00a0\u00bb on peut alors cr\u00e9er et ex\u00e9cuter un agent. Fondamentalement, un agent est\u00a0un morceau de code encod\u00e9 en Base64 et qui doit \u00eatre transmis \u00e0 et ex\u00e9cut\u00e9 par la cible.\u00a0Ceci fait, la cible se connecte de fa\u00e7on transparente vers les listeners <\/em>via un canal encrypt\u00e9.<\/p>\n

Une fois que la connexion est \u00e9tablie, PowerShell Empire permet l’utilisation d’une large gamme de modules variant d’enregistreurs de touches \u00e0 la r\u00e9cup\u00e9ration de mots de passe, et le tout est ex\u00e9cutable au sein de la m\u00e9moire. L’un des modules les plus connus et appr\u00e9ci\u00e9s par la communaut\u00e9 des hackers est Mimikatz: \u00ab\u00a0Il permet l’extraction d’information d’identification en clair \u00e0 partir de la m\u00e9moire comme les mots de passe des bases de donn\u00e9es SAM\/NTDS.dit locales et des fonctionnalit\u00e9s avanc\u00e9es de Kerberos.\u00a0\u00bb Il peut […] \u00ab\u00a0\u00e9galement effectuer des attaques \u00ab\u00a0passe-the-hash\u00a0\u00bb et \u00ab\u00a0passe-the-ticket\u00a0\u00bb ou de construire des \u00ab\u00a0Golden tickets\u00a0\u00bb. <\/a>\u00a0\u00bb<\/p>\n

Pour toutes ces raisons, on peut\u00a0entrevoir le vaste potentiel de PowerShell Empire. Maintenant, la question est, de quelle mani\u00e8re la communaut\u00e9 de la s\u00e9curit\u00e9 informatique va-t-elle\u00a0r\u00e9agir et se d\u00e9fendre contre une telle b\u00eate? Et si vous croyez que vous \u00eates en s\u00e9curit\u00e9 parce que vous utilisez un Mac OS, r\u00e9fl\u00e9chissez \u00e0 nouveau. Empyre pour Mac est en route, mais ce sera une discussion pour une autre fois. En attendant, n’h\u00e9sitez pas \u00e0 laisser vos commentaires et discussions ci-dessous<\/p>\n

David-Alexandre Alarie<\/strong><\/p>\n

Conseiller, S\u00e9curit\u00e9 des TI<\/p>\n","protected":false},"excerpt":{"rendered":"

Montr\u00e9al, le 31 ao\u00fbt 2016 Avec la multiplication des cyber-attaques signal\u00e9es dans les m\u00e9dias et les populaires s\u00e9ries t\u00e9l\u00e9vis\u00e9es comme Mr. Robot, que je recommande vivement d’ailleurs, nous pouvons dire que les pirates informatiques et leurs tours de magie ont saisi l’imaginaire des gens. Mais comment font-ils? Cela peut sembler presque magique d’un point de […]<\/p>\n","protected":false},"author":4,"featured_media":13912,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[173],"tags":[],"class_list":["post-4871","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blogue-fr"],"yoast_head":"\nLa magie de PowerShell Empire | OKIOK - Blogue<\/title>\n<meta name=\"description\" content=\"Ce billet \u00e9vioque un outil relativement nouveau et qui fait passer la magie des pirates du web \u00e0 la r\u00e9alit\u00e9 en quelques lignes de commande simples.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"La magie de PowerShell Empire | OKIOK - Blogue\" \/>\n<meta property=\"og:description\" content=\"Ce billet \u00e9vioque un outil relativement nouveau et qui fait passer la magie des pirates du web \u00e0 la r\u00e9alit\u00e9 en quelques lignes de commande simples.\" \/>\n<meta property=\"og:site_name\" content=\"OKIOK - Securit\u00e9 dans un monde en changement\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/okiokdata\/\" \/>\n<meta property=\"article:published_time\" content=\"2016-09-01T19:26:15+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2022-11-21T20:10:08+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.okiok.com\/wp-content\/uploads\/2016\/10\/AdobeStock_107162095.jpeg\" \/>\n\t<meta property=\"og:image:width\" content=\"1928\" \/>\n\t<meta property=\"og:image:height\" content=\"1200\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"David-Alexandre Alarie\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@OKIOKdata\" \/>\n<meta name=\"twitter:site\" content=\"@OKIOKdata\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"David-Alexandre Alarie\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"3 minutes\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"La magie de PowerShell Empire | OKIOK - Blogue","description":"Ce billet \u00e9vioque un outil relativement nouveau et qui fait passer la magie des pirates du web \u00e0 la r\u00e9alit\u00e9 en quelques lignes de commande simples.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"og_locale":"fr_FR","og_type":"article","og_title":"La magie de PowerShell Empire | OKIOK - Blogue","og_description":"Ce billet \u00e9vioque un outil relativement nouveau et qui fait passer la magie des pirates du web \u00e0 la r\u00e9alit\u00e9 en quelques lignes de commande simples.","og_site_name":"OKIOK - Securit\u00e9 dans un monde en changement","article_publisher":"https:\/\/www.facebook.com\/okiokdata\/","article_published_time":"2016-09-01T19:26:15+00:00","article_modified_time":"2022-11-21T20:10:08+00:00","og_image":[{"width":1928,"height":1200,"url":"https:\/\/www.okiok.com\/wp-content\/uploads\/2016\/10\/AdobeStock_107162095.jpeg","type":"image\/jpeg"}],"author":"David-Alexandre Alarie","twitter_card":"summary_large_image","twitter_creator":"@OKIOKdata","twitter_site":"@OKIOKdata","twitter_misc":{"\u00c9crit par":"David-Alexandre Alarie","Dur\u00e9e de lecture estim\u00e9e":"3 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/#article","isPartOf":{"@id":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/"},"author":{"name":"David-Alexandre Alarie","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/person\/c87562f7404cbc196ed6558a21d6ae2b"},"headline":"La magie de PowerShell Empire","datePublished":"2016-09-01T19:26:15+00:00","dateModified":"2022-11-21T20:10:08+00:00","mainEntityOfPage":{"@id":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/"},"wordCount":632,"commentCount":0,"publisher":{"@id":"https:\/\/www.okiok.com\/fr\/#organization"},"image":{"@id":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/#primaryimage"},"thumbnailUrl":"https:\/\/www.okiok.com\/wp-content\/uploads\/2016\/10\/AdobeStock_107162095.jpeg","articleSection":["Blogue"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/","url":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/","name":"La magie de PowerShell Empire | OKIOK - Blogue","isPartOf":{"@id":"https:\/\/www.okiok.com\/fr\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/#primaryimage"},"image":{"@id":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/#primaryimage"},"thumbnailUrl":"https:\/\/www.okiok.com\/wp-content\/uploads\/2016\/10\/AdobeStock_107162095.jpeg","datePublished":"2016-09-01T19:26:15+00:00","dateModified":"2022-11-21T20:10:08+00:00","description":"Ce billet \u00e9vioque un outil relativement nouveau et qui fait passer la magie des pirates du web \u00e0 la r\u00e9alit\u00e9 en quelques lignes de commande simples.","breadcrumb":{"@id":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/#primaryimage","url":"https:\/\/www.okiok.com\/wp-content\/uploads\/2016\/10\/AdobeStock_107162095.jpeg","contentUrl":"https:\/\/www.okiok.com\/wp-content\/uploads\/2016\/10\/AdobeStock_107162095.jpeg","width":1928,"height":1200,"caption":"Background image collaborative team meeting"},{"@type":"BreadcrumbList","@id":"https:\/\/www.okiok.com\/fr\/magie-de-powershell-empire\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/prod.okiok.com\/fr\/"},{"@type":"ListItem","position":2,"name":"La magie de PowerShell Empire"}]},{"@type":"WebSite","@id":"https:\/\/www.okiok.com\/fr\/#website","url":"https:\/\/www.okiok.com\/fr\/","name":"OKIOK - Securit\u00e9 dans un monde en changement","description":"","publisher":{"@id":"https:\/\/www.okiok.com\/fr\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.okiok.com\/fr\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/www.okiok.com\/fr\/#organization","name":"Okiok","url":"https:\/\/www.okiok.com\/fr\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/logo\/image\/","url":"https:\/\/www.okiok.com\/wp-content\/uploads\/2017\/06\/logo-okiok-2.png","contentUrl":"https:\/\/www.okiok.com\/wp-content\/uploads\/2017\/06\/logo-okiok-2.png","width":300,"height":369,"caption":"Okiok"},"image":{"@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/okiokdata\/","https:\/\/x.com\/OKIOKdata","https:\/\/www.linkedin.com\/company-beta\/119436\/"]},{"@type":"Person","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/person\/c87562f7404cbc196ed6558a21d6ae2b","name":"David-Alexandre Alarie","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.okiok.com\/fr\/#\/schema\/person\/image\/","url":"https:\/\/www.okiok.com\/wp-content\/litespeed\/avatar\/e510398bae540f51f90e2afea0f444f9.jpg?ver=1774983038","contentUrl":"https:\/\/www.okiok.com\/wp-content\/litespeed\/avatar\/e510398bae540f51f90e2afea0f444f9.jpg?ver=1774983038","caption":"David-Alexandre Alarie"}}]}},"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts\/4871","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/comments?post=4871"}],"version-history":[{"count":4,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts\/4871\/revisions"}],"predecessor-version":[{"id":22806,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/posts\/4871\/revisions\/22806"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/media\/13912"}],"wp:attachment":[{"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/media?parent=4871"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/categories?post=4871"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.okiok.com\/fr\/wp-json\/wp\/v2\/tags?post=4871"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}