Bravo Proc, Excellente vidéo comme d'habitude, j'ai bien apprécié cette notion d'entropie..;) Seulement je retrouve pas le Program.cs dans la liste des références.. ou j'ai pas bien vérifié !
vidéo très interessante comme d'habitude ! :) ça serait interessant pour la prochaine fois de mettre l'accent sur ta façon de délivrer la charge malveillante par mail, des techniques de contournement permettant de s'assurer que le mail arrive bien dans l'inbox par exemple, lors de mes missions RedTeam Azure bloque les mails au bout de 10 mails envoyés, je serai curieux de savoir si t'as des techniques de ce côté là.
Yes ! Clairement les mails sont souvent stoppés par l’antispam dès que ton client a un minimum d’hygiène, ce qui donne les meilleurs résultats c’est de l’ingénierie sociale par téléphone (tu mets 2/3 infos internes « je vous appelle de la part de » et tu mets un peu la pression « on a des connexions suspectes sur votre poste depuis 30 min il faut agir vite svp » et en général ça passe 😊)
J'ai une petite question, surement bête, les commandes exécutées à la fin sur le pc de la victime via powershell qui permettent d'invoquer le shellcode, dans la vraie vie je suppose qu'il faut arriver à trouver un moyen pour que la victime exécute un script contenant ces commandes ? Merci ! En tout cas la vidéo est vraiment bien expliquée !
Très bonne video merci ! Une question cependant, tu parles ici de la mise en place d'un accès initial, mais comment tu executes tes commandes Powershell pour charger la DLL sur la victime au départ ? Si l'accès initial nécessite l'execution de commandes powershell sur la victime pour être activé, il n'est plus très initial non ? 😅Merci.
Yes, justement j'en parle dans la vidéo, ici c'est uniquement un partage des ressources que j'utilise, l'accès initial en tant que tel tu devras le faire par toi-même (phishing par mail avec un lnk par exemple, appel téléphonique pour obtenir un accès teamviewer sur le poste... etc)
Sympa l’idée des front doors et de montrer la reflexion dotnet ! En revanche t’as définition de l’entropie est un peu « spéciale » 😅. L’idée n’est pas d’observer le nombre de calculs nécessaires mais plutôt d’analyser le « désordre » des données. Avec des données chiffrées, on va par définition vouloir les mélanger le plus possible et les rendre méconnaissables ce qui augmente l’entropie. A l’inverse les mots anglais sont bien ordonnés à tel point qu’on les reconnaît aisément et ont donc une entropie très faible. Le fait d’en mettre en masse dans un binaire vise donc à diminuer l’entropie globale plus qu’à faire croire à l’edr que le binaire a du vécu.
J'ai répondu à un autre commentaire identique : Yes, justement j'en parle dans la vidéo, ici c'est uniquement un partage des ressources que j'utilise, l'accès initial en tant que tel tu devras le faire par toi-même (phishing par mail avec un lnk par exemple, appel téléphonique pour obtenir un accès teamviewer sur le poste... etc) retex 2 : les appels téléphoniques en se faisant passer pour le support IT de la boite, ça fonctionne souvent trèèèèèès bien 😁
j'en avais parlé dans une vidéo il y a longtemps (mais de mémoire youtube l'a supprimé pour non respect de CGU ^^) mais je voulais gagner ma vie rapidement pour prendre mon indépendance et c'est pour ça que je suis parti sur une filière en alternance 😉 et à l'époque il n'y avait pas autant d'écoles de cyber comme aujourd'hui !
y a toujours un truc qui m etonne ,le ne doute evidemment pas de ton gros niveau en ce domaine ,mais les gars de chez kaspersky par exemple sont au moins aussi doué que toi alors pourquoi ils ne prennent pas de "precautions" contre ce genre d attaques??
C'est toujours compliqué de jauger le curseur de détection car si tu détecte trop de faux positifs ton produit devient mauvais, si tu fais trop de scan et que ça impacte les performances c'est pareil... Les éditeurs d'antivirus font du bon boulot, ils détectent peut-être 90% des menaces et c'est déjà largement suffisant pour la plupart de leurs clients, mais des attaques plus sophistiquées comme celle-ci (obfuscation de shellcode, exécution entièrement en mémoire, communication usurpant des services légitimes) passeront forcément entre les mailles 😉
Kaspersky, je l'utilisais sur mon pc ... Il n'a pas fait bouclier longtemps à l'intrusion.. pas moins de 4pc portables ont grillés, mais j'imagine qu'on ne voit pas cela partout... Bref, ce monde de gens cachés derrière des écrans pour filtrer la vie d'autrui me dépasse... J'imagine que cela doit être très éreintant ..
@processusthief ok tu préfères bitdefender ou Kaspersky ?quelle la différence entre les AV et est sachant que les av utilisés déjà l'analyse heuristique ? Les dernières utilisent le cloud , et c'est tout ?
Bravo bro, belle vidéo comme toujours, explication lucide, limpide. Et c’est un bon poc.
C’est grave cool que tu fasses des vidéos plus technique il y a aucun youtubeur fr qui fais ça
Hostname: JACOUILLE 😂
Sinon comme d'habitude, très bonne vidéo 😁
C’est toujours un dilemme pour trouver des noms d’hôtes pertinents 😂
Sympa le T-shirt du hack ;), très bonne vidéo et intéressante avec le dictionnaire de mot anglais :D
Oh wow c'est malin comme usage de Azure front door :o trop bien !
Tu assures toujours toi!!
Toujours au top le poto 👌
Super vidéo merci, plus qu'a s'y mettre pour refaire l'exo.
Très belle vidéo
Mais tu régale frangin!
Bravo Proc, Excellente vidéo comme d'habitude, j'ai bien apprécié cette notion d'entropie..;) Seulement je retrouve pas le Program.cs dans la liste des références.. ou j'ai pas bien vérifié !
Et voilà : github.com/ProcessusT/Dictofuscation/blob/main/Program.cs :)
Merci pour tes vidéos
vidéo très interessante comme d'habitude ! :) ça serait interessant pour la prochaine fois de mettre l'accent sur ta façon de délivrer la charge malveillante par mail, des techniques de contournement permettant de s'assurer que le mail arrive bien dans l'inbox par exemple, lors de mes missions RedTeam Azure bloque les mails au bout de 10 mails envoyés, je serai curieux de savoir si t'as des techniques de ce côté là.
Yes ! Clairement les mails sont souvent stoppés par l’antispam dès que ton client a un minimum d’hygiène, ce qui donne les meilleurs résultats c’est de l’ingénierie sociale par téléphone (tu mets 2/3 infos internes « je vous appelle de la part de » et tu mets un peu la pression « on a des connexions suspectes sur votre poste depuis 30 min il faut agir vite svp » et en général ça passe 😊)
@@processusthief merci pour ton retour effectivement les campagnes de phoning, on a un fort taux de succès :)
t'es un boss Processus Thief
Nouvelle video du boss 😎
Tu me tues comment tu prononces "Front Door" 🤣
mon accent british a toujours été incroyable ^^ haha
ça m'a tué aussi, j'avais lu le commentaire mais je m'attendais pas à ça :D
Old ze dour, old ze dour... odour 😆
Salut, je voulais savoir comment tu as acquéris un tel niveau de compétence via quel formation ou école ?
bien vu !!!
S'il te plaît peux tu faire une vidéo entière sur comment utiliser Havoc dans le RedTeam.
J'ai une petite question, surement bête, les commandes exécutées à la fin sur le pc de la victime via powershell qui permettent d'invoquer le shellcode, dans la vraie vie je suppose qu'il faut arriver à trouver un moyen pour que la victime exécute un script contenant ces commandes ? Merci ! En tout cas la vidéo est vraiment bien expliquée !
Yes tout à fait !!
Très bonne vidéo, merci ! Il faut s'attendre à quel coût mensuel pour la création et l'utilisation des deux serveurs sur Azure ?
Salut svp comment faire pour exécuter un fichier .hta en ouvrant un fichier pdf sans se faire remarquer? Merci d’avance.
Merci Proc
Très bonne video merci ! Une question cependant, tu parles ici de la mise en place d'un accès initial, mais comment tu executes tes commandes Powershell pour charger la DLL sur la victime au départ ? Si l'accès initial nécessite l'execution de commandes powershell sur la victime pour être activé, il n'est plus très initial non ? 😅Merci.
Yes, justement j'en parle dans la vidéo, ici c'est uniquement un partage des ressources que j'utilise, l'accès initial en tant que tel tu devras le faire par toi-même (phishing par mail avec un lnk par exemple, appel téléphonique pour obtenir un accès teamviewer sur le poste... etc)
retex 2 : les appels téléphoniques en se faisant passer pour le support IT de la boite, ça fonctionne souvent trèèèèèès bien 😁
@@processusthief Merci pour ta réponse Christopher. En effet l'appel pour avoir un TeamViewer c'est pas mal 👍
Sympa l’idée des front doors et de montrer la reflexion dotnet !
En revanche t’as définition de l’entropie est un peu « spéciale » 😅. L’idée n’est pas d’observer le nombre de calculs nécessaires mais plutôt d’analyser le « désordre » des données. Avec des données chiffrées, on va par définition vouloir les mélanger le plus possible et les rendre méconnaissables ce qui augmente l’entropie. A l’inverse les mots anglais sont bien ordonnés à tel point qu’on les reconnaît aisément et ont donc une entropie très faible. Le fait d’en mettre en masse dans un binaire vise donc à diminuer l’entropie globale plus qu’à faire croire à l’edr que le binaire a du vécu.
Oh merci beaucoup pour l'explication !
Je n'avais effectivement pas du tout compris ça 😅❤
trés intéréssant
et comment tu fais executer le script powershell sur la cible ? j'ai pas compris cette partie
J'ai répondu à un autre commentaire identique : Yes, justement j'en parle dans la vidéo, ici c'est uniquement un partage des ressources que j'utilise, l'accès initial en tant que tel tu devras le faire par toi-même (phishing par mail avec un lnk par exemple, appel téléphonique pour obtenir un accès teamviewer sur le poste... etc)
retex 2 : les appels téléphoniques en se faisant passer pour le support IT de la boite, ça fonctionne souvent trèèèèèès bien 😁
tu as fait un DUT info et appris la cybersécurité en autodidacte ?
Yes tout à fait :) plus précisément : dut info sur 2 ans + 1 an de licence pro réseau
@@processusthief ok quelle était le nom de ta licence pro ?
C'était une licence pro ASUR : www.iut-rt.net/lp-asur
@@processusthief Simple question, pourquoi n'avoir pas choisie une voie plus traditionnelle comme l'université ?
j'en avais parlé dans une vidéo il y a longtemps (mais de mémoire youtube l'a supprimé pour non respect de CGU ^^) mais je voulais gagner ma vie rapidement pour prendre mon indépendance et c'est pour ça que je suis parti sur une filière en alternance 😉 et à l'époque il n'y avait pas autant d'écoles de cyber comme aujourd'hui !
y a toujours un truc qui m etonne ,le ne doute evidemment pas de ton gros niveau en ce domaine ,mais les gars de chez kaspersky par exemple sont au moins aussi doué que toi alors pourquoi ils ne prennent pas de "precautions" contre ce genre d attaques??
C'est toujours compliqué de jauger le curseur de détection car si tu détecte trop de faux positifs ton produit devient mauvais, si tu fais trop de scan et que ça impacte les performances c'est pareil...
Les éditeurs d'antivirus font du bon boulot, ils détectent peut-être 90% des menaces et c'est déjà largement suffisant pour la plupart de leurs clients, mais des attaques plus sophistiquées comme celle-ci (obfuscation de shellcode, exécution entièrement en mémoire, communication usurpant des services légitimes) passeront forcément entre les mailles 😉
@@processusthiefc'est plus tôt parceque tu es un génie 👊
@@processusthiefmerci pour tes précisions, tjr aussi pro, merci pour ta vidéo !
Kaspersky, je l'utilisais sur mon pc ... Il n'a pas fait bouclier longtemps à l'intrusion.. pas moins de 4pc portables ont grillés, mais j'imagine qu'on ne voit pas cela partout... Bref, ce monde de gens cachés derrière des écrans pour filtrer la vie d'autrui me dépasse... J'imagine que cela doit être très éreintant ..
c'est quoi etw ?
des journaux beaucoup utilisés par les EDR ;)
learn.microsoft.com/fr-fr/windows-hardware/drivers/devtest/event-tracing-for-windows--etw-
@processusthief ok tu préfères bitdefender ou Kaspersky ?quelle la différence entre les AV et est sachant que les av utilisés déjà l'analyse heuristique ? Les dernières utilisent le cloud , et c'est tout ?
Je préfère ESET ^^
Le composant anti-botnet est vraiment sympa, ça offre une protection supplémentaire 😉 mais ça n'engage que moi
@@processusthief ok
@@processusthief ok mais ça ne répond pas à la question de la différence entre AV et EDR
Domain Fronting - j'ai bien compris l'autre là
Ce qui me fais mal c'est de te voir passer à utiliser C# pour tes payloads 💔
arf, mais la réflexion c'est cool un peu quand même 😅 promis je fais toujours un peu de C++ de temps en temps !
😅 Mais proc à toujours fait du C#
Je ne vois absolument pas où est le souci
Automatiser avec un script python? Pourquoi pas du bash mdr?
Il y a une api aussi pour bash il me semble 😊
i wish your videos were in english :)
if that were the case your ears would be bleeding xD
Je sais pas si ça va marcher mais
$sudo pin comment