CONTOURNER L'ANTIVIRUS LORS D'UN RED TEAM

Поділитися
Вставка
  • Опубліковано 23 гру 2024

КОМЕНТАРІ • 65

  • @jeanlucbisimwa1289
    @jeanlucbisimwa1289 4 місяці тому +2

    Bravo bro, belle vidéo comme toujours, explication lucide, limpide. Et c’est un bon poc.

  • @hk416ak-47
    @hk416ak-47 4 місяці тому

    C’est grave cool que tu fasses des vidéos plus technique il y a aucun youtubeur fr qui fais ça

  • @StrikeTrack_
    @StrikeTrack_ 20 днів тому

    Hostname: JACOUILLE 😂
    Sinon comme d'habitude, très bonne vidéo 😁

    • @processusthief
      @processusthief  18 днів тому +1

      C’est toujours un dilemme pour trouver des noms d’hôtes pertinents 😂

  • @pierrejaunasse6984
    @pierrejaunasse6984 4 місяці тому

    Sympa le T-shirt du hack ;), très bonne vidéo et intéressante avec le dictionnaire de mot anglais :D

  • @lp1_offsec
    @lp1_offsec 4 місяці тому

    Oh wow c'est malin comme usage de Azure front door :o trop bien !

  • @sympainformatique2775
    @sympainformatique2775 4 місяці тому

    Tu assures toujours toi!!

  • @FrozenKwa
    @FrozenKwa 4 місяці тому

    Toujours au top le poto 👌

  • @allanchapuis
    @allanchapuis 3 місяці тому

    Super vidéo merci, plus qu'a s'y mettre pour refaire l'exo.

  • @claudebernard3442
    @claudebernard3442 3 місяці тому

    Très belle vidéo

  • @psknhegem0n593
    @psknhegem0n593 4 місяці тому

    Mais tu régale frangin!

  • @op002cld
    @op002cld 4 місяці тому

    Bravo Proc, Excellente vidéo comme d'habitude, j'ai bien apprécié cette notion d'entropie..;) Seulement je retrouve pas le Program.cs dans la liste des références.. ou j'ai pas bien vérifié !

    • @processusthief
      @processusthief  4 місяці тому

      Et voilà : github.com/ProcessusT/Dictofuscation/blob/main/Program.cs :)

  • @pentest-lq5sl
    @pentest-lq5sl 4 місяці тому

    Merci pour tes vidéos

  • @johnatan5313
    @johnatan5313 4 місяці тому +1

    vidéo très interessante comme d'habitude ! :) ça serait interessant pour la prochaine fois de mettre l'accent sur ta façon de délivrer la charge malveillante par mail, des techniques de contournement permettant de s'assurer que le mail arrive bien dans l'inbox par exemple, lors de mes missions RedTeam Azure bloque les mails au bout de 10 mails envoyés, je serai curieux de savoir si t'as des techniques de ce côté là.

    • @processusthief
      @processusthief  4 місяці тому +2

      Yes ! Clairement les mails sont souvent stoppés par l’antispam dès que ton client a un minimum d’hygiène, ce qui donne les meilleurs résultats c’est de l’ingénierie sociale par téléphone (tu mets 2/3 infos internes « je vous appelle de la part de » et tu mets un peu la pression « on a des connexions suspectes sur votre poste depuis 30 min il faut agir vite svp » et en général ça passe 😊)

    • @johnatan5313
      @johnatan5313 4 місяці тому

      @@processusthief merci pour ton retour effectivement les campagnes de phoning, on a un fort taux de succès :)

  • @cyber-w4p
    @cyber-w4p 4 місяці тому

    t'es un boss Processus Thief

  • @eternalblue_
    @eternalblue_ 4 місяці тому +3

    Nouvelle video du boss 😎
    Tu me tues comment tu prononces "Front Door" 🤣

    • @processusthief
      @processusthief  4 місяці тому +3

      mon accent british a toujours été incroyable ^^ haha

    • @flrn84791
      @flrn84791 4 місяці тому

      ça m'a tué aussi, j'avais lu le commentaire mais je m'attendais pas à ça :D
      Old ze dour, old ze dour... odour 😆

  • @LinuxCyberProfessional
    @LinuxCyberProfessional 2 місяці тому

    Salut, je voulais savoir comment tu as acquéris un tel niveau de compétence via quel formation ou école ?

  • @DUBOINPascal
    @DUBOINPascal 4 місяці тому

    bien vu !!!

  • @lordhacking
    @lordhacking 4 місяці тому +1

    S'il te plaît peux tu faire une vidéo entière sur comment utiliser Havoc dans le RedTeam.

  • @stephanetacussel4048
    @stephanetacussel4048 3 місяці тому +1

    J'ai une petite question, surement bête, les commandes exécutées à la fin sur le pc de la victime via powershell qui permettent d'invoquer le shellcode, dans la vraie vie je suppose qu'il faut arriver à trouver un moyen pour que la victime exécute un script contenant ces commandes ? Merci ! En tout cas la vidéo est vraiment bien expliquée !

  • @dany3310
    @dany3310 4 місяці тому

    Très bonne vidéo, merci ! Il faut s'attendre à quel coût mensuel pour la création et l'utilisation des deux serveurs sur Azure ?

  • @weswinging
    @weswinging 4 місяці тому

    Salut svp comment faire pour exécuter un fichier .hta en ouvrant un fichier pdf sans se faire remarquer? Merci d’avance.

  • @algorithme13
    @algorithme13 4 місяці тому

    Merci Proc

  • @MsThedarkblood
    @MsThedarkblood 4 місяці тому +1

    Très bonne video merci ! Une question cependant, tu parles ici de la mise en place d'un accès initial, mais comment tu executes tes commandes Powershell pour charger la DLL sur la victime au départ ? Si l'accès initial nécessite l'execution de commandes powershell sur la victime pour être activé, il n'est plus très initial non ? 😅Merci.

    • @processusthief
      @processusthief  4 місяці тому +1

      Yes, justement j'en parle dans la vidéo, ici c'est uniquement un partage des ressources que j'utilise, l'accès initial en tant que tel tu devras le faire par toi-même (phishing par mail avec un lnk par exemple, appel téléphonique pour obtenir un accès teamviewer sur le poste... etc)

    • @processusthief
      @processusthief  4 місяці тому +2

      retex 2 : les appels téléphoniques en se faisant passer pour le support IT de la boite, ça fonctionne souvent trèèèèèès bien 😁

    • @MsThedarkblood
      @MsThedarkblood 4 місяці тому

      @@processusthief Merci pour ta réponse Christopher. En effet l'appel pour avoir un TeamViewer c'est pas mal 👍

  • @skyn3t-838
    @skyn3t-838 4 місяці тому +1

    Sympa l’idée des front doors et de montrer la reflexion dotnet !
    En revanche t’as définition de l’entropie est un peu « spéciale » 😅. L’idée n’est pas d’observer le nombre de calculs nécessaires mais plutôt d’analyser le « désordre » des données. Avec des données chiffrées, on va par définition vouloir les mélanger le plus possible et les rendre méconnaissables ce qui augmente l’entropie. A l’inverse les mots anglais sont bien ordonnés à tel point qu’on les reconnaît aisément et ont donc une entropie très faible. Le fait d’en mettre en masse dans un binaire vise donc à diminuer l’entropie globale plus qu’à faire croire à l’edr que le binaire a du vécu.

    • @processusthief
      @processusthief  4 місяці тому +1

      Oh merci beaucoup pour l'explication !
      Je n'avais effectivement pas du tout compris ça 😅❤

  • @_frhaktal_4099
    @_frhaktal_4099 4 місяці тому

    trés intéréssant

  • @ccx9682
    @ccx9682 4 місяці тому +1

    et comment tu fais executer le script powershell sur la cible ? j'ai pas compris cette partie

    • @processusthief
      @processusthief  4 місяці тому

      J'ai répondu à un autre commentaire identique : Yes, justement j'en parle dans la vidéo, ici c'est uniquement un partage des ressources que j'utilise, l'accès initial en tant que tel tu devras le faire par toi-même (phishing par mail avec un lnk par exemple, appel téléphonique pour obtenir un accès teamviewer sur le poste... etc)
      retex 2 : les appels téléphoniques en se faisant passer pour le support IT de la boite, ça fonctionne souvent trèèèèèès bien 😁

  • @aragon5956
    @aragon5956 4 місяці тому +1

    tu as fait un DUT info et appris la cybersécurité en autodidacte ?

    • @processusthief
      @processusthief  4 місяці тому

      Yes tout à fait :) plus précisément : dut info sur 2 ans + 1 an de licence pro réseau

    • @aragon5956
      @aragon5956 4 місяці тому

      @@processusthief ok quelle était le nom de ta licence pro ?

    • @processusthief
      @processusthief  4 місяці тому +1

      C'était une licence pro ASUR : www.iut-rt.net/lp-asur

    • @mwlulud2995
      @mwlulud2995 4 місяці тому +2

      ​@@processusthief Simple question, pourquoi n'avoir pas choisie une voie plus traditionnelle comme l'université ?

    • @processusthief
      @processusthief  4 місяці тому

      j'en avais parlé dans une vidéo il y a longtemps (mais de mémoire youtube l'a supprimé pour non respect de CGU ^^) mais je voulais gagner ma vie rapidement pour prendre mon indépendance et c'est pour ça que je suis parti sur une filière en alternance 😉 et à l'époque il n'y avait pas autant d'écoles de cyber comme aujourd'hui !

  • @fifidurand7421
    @fifidurand7421 4 місяці тому +4

    y a toujours un truc qui m etonne ,le ne doute evidemment pas de ton gros niveau en ce domaine ,mais les gars de chez kaspersky par exemple sont au moins aussi doué que toi alors pourquoi ils ne prennent pas de "precautions" contre ce genre d attaques??

    • @processusthief
      @processusthief  4 місяці тому +7

      C'est toujours compliqué de jauger le curseur de détection car si tu détecte trop de faux positifs ton produit devient mauvais, si tu fais trop de scan et que ça impacte les performances c'est pareil...
      Les éditeurs d'antivirus font du bon boulot, ils détectent peut-être 90% des menaces et c'est déjà largement suffisant pour la plupart de leurs clients, mais des attaques plus sophistiquées comme celle-ci (obfuscation de shellcode, exécution entièrement en mémoire, communication usurpant des services légitimes) passeront forcément entre les mailles 😉

    • @Romaric14k
      @Romaric14k 4 місяці тому +1

      ​@@processusthiefc'est plus tôt parceque tu es un génie 👊

    • @SpinzyTV
      @SpinzyTV 4 місяці тому

      ​@@processusthiefmerci pour tes précisions, tjr aussi pro, merci pour ta vidéo !

    • @BilyBen-h8c
      @BilyBen-h8c Місяць тому

      Kaspersky, je l'utilisais sur mon pc ... Il n'a pas fait bouclier longtemps à l'intrusion.. pas moins de 4pc portables ont grillés, mais j'imagine qu'on ne voit pas cela partout... Bref, ce monde de gens cachés derrière des écrans pour filtrer la vie d'autrui me dépasse... J'imagine que cela doit être très éreintant ..

  • @aragon5956
    @aragon5956 4 місяці тому +1

    c'est quoi etw ?

    • @processusthief
      @processusthief  4 місяці тому

      des journaux beaucoup utilisés par les EDR ;)
      learn.microsoft.com/fr-fr/windows-hardware/drivers/devtest/event-tracing-for-windows--etw-

    • @aragon5956
      @aragon5956 4 місяці тому

      @processusthief ok tu préfères bitdefender ou Kaspersky ?quelle la différence entre les AV et est sachant que les av utilisés déjà l'analyse heuristique ? Les dernières utilisent le cloud , et c'est tout ?

    • @processusthief
      @processusthief  4 місяці тому +1

      Je préfère ESET ^^
      Le composant anti-botnet est vraiment sympa, ça offre une protection supplémentaire 😉 mais ça n'engage que moi

    • @aragon5956
      @aragon5956 4 місяці тому

      @@processusthief ok

    • @aragon5956
      @aragon5956 4 місяці тому

      @@processusthief ok mais ça ne répond pas à la question de la différence entre AV et EDR

  • @berthold9582
    @berthold9582 4 місяці тому +1

    Domain Fronting - j'ai bien compris l'autre là

  • @ph3n1x-sec
    @ph3n1x-sec 4 місяці тому

    Ce qui me fais mal c'est de te voir passer à utiliser C# pour tes payloads 💔

    • @processusthief
      @processusthief  4 місяці тому

      arf, mais la réflexion c'est cool un peu quand même 😅 promis je fais toujours un peu de C++ de temps en temps !

    • @berthold9582
      @berthold9582 4 місяці тому

      😅 Mais proc à toujours fait du C#

    • @flrn84791
      @flrn84791 4 місяці тому

      Je ne vois absolument pas où est le souci

  • @mwlulud2995
    @mwlulud2995 4 місяці тому

    Automatiser avec un script python? Pourquoi pas du bash mdr?

    • @processusthief
      @processusthief  4 місяці тому

      Il y a une api aussi pour bash il me semble 😊

  • @SolitaryElite
    @SolitaryElite 4 місяці тому +1

    i wish your videos were in english :)

    • @processusthief
      @processusthief  4 місяці тому +3

      if that were the case your ears would be bleeding xD

  • @laelvlog
    @laelvlog 3 місяці тому

    Je sais pas si ça va marcher mais
    $sudo pin comment