- \n
- De camoufler des fichiers\/processus dans un r\u00e9pertoire difficile d’acc\u00e8s<\/li>\n
- L’acc\u00e8s au r\u00e9pertoire est grandement restreint via l’explorer.exe et m\u00eame via la console<\/li>\n
- Les processus ex\u00e9cut\u00e9s dans cette arborescence disposent d’un chemin d’acc\u00e8s obfusqu\u00e9, les rendant difficile \u00e0 supprimer.<\/li>\n<\/ul>\n
La technique est nouvelle et proviens d’un article de PaulDotCom par Mark Baggett<\/a>.<\/p>\n
L’id\u00e9e est d’exploiter des r\u00e9pertoires cr\u00e9\u00e9s et nomm\u00e9s de mani\u00e8re similaire au r\u00e9pertoire courant, not\u00e9 “.” et r\u00e9pertoire parent, not\u00e9 “..”. De tels r\u00e9pertoires permettent le stockage de donn\u00e9es (fichier\/ex\u00e9cutable), ainsi que leur ex\u00e9cution. Toutefois, l’interpr\u00e9teur de commande ou m\u00eame l’explorateur graphique auront de grandes difficult\u00e9s \u00e0 y acc\u00e9der.<\/p>\n
Cr\u00e9ation de l’arborescence<\/h3>\n
Cr\u00e9ation d’une\u00a0arborescence\u00a0\u00e0 base de r\u00e9pertoire “. ” et “.. ” sous C:\\test\\ :<\/p>\n
[bash]<br \/>
\nc:\\&gt;md test<\/p>
\n<p>c:\\&gt;cd test<\/p>
\n<p>c:\\test&gt;md &quot;. \\.. \\&quot;<\/p>
\n<p>c:\\test&gt;dir<br \/>
\n Le volume dans le lecteur C s’appelle OS<br \/>
\n Le num\u00e9ro de s\u00e9rie du volume est CE03-DF19<\/p>
\n<p>R\u00e9pertoire de c:\\test<\/p>
\n<p>25\/02\/2013 15:00 &lt;REP&gt; .<br \/>
\n25\/02\/2013 15:00 &lt;REP&gt; ..<br \/>
\n25\/02\/2013 15:00 &lt;REP&gt; .<br \/>
\n 0 fichier(s) 0 octets<br \/>
\n 3 R\u00e9p(s) 34\u00a0137\u00a0341\u00a0952 octets libres<br \/>
\n[\/bash]<\/p>\nLe r\u00e9pertoire C:\\test\\ contient donc un r\u00e9pertoire “. ” (avec un espace \u00e0 la suite du point) qui lui m\u00eame contient un r\u00e9pertoire “.. ” (avec un espace \u00e0 la suite des deux points). Au niveau de l’affichage du contenu du r\u00e9pertoire C:\\test\\, on note le r\u00e9pertoire courant “.”, le r\u00e9pertoire parent “..” et notre r\u00e9pertoire “. ” qui vient d’\u00eatre cr\u00e9\u00e9.<\/p>\n
Acc\u00e8s aux r\u00e9pertoires de nom “. “<\/h3>\n
Pour d\u00e9placer son prompt en ligne de commande dans le r\u00e9pertoire “C:\\test\\. “, les syntaxes suivantes sembleraient l\u00e9gitimes.<\/p>\n
- \n
- Essai 1 [infructueux]<\/strong><\/span> – Interpr\u00e9t\u00e9 comme un d\u00e9placement dans le r\u00e9pertoire courant :<\/li>\n<\/ul>\n
[bash]c:\\test&gt;cd .<br \/>
\nc:\\test&gt;echo %cd%<br \/>
\nc:\\test[\/bash]<\/p>\n- \n
- Essai 2 [infructueux]<\/span><\/strong> –\u00a0Utilisation du nom complet du r\u00e9pertoire entre double-quotes<\/em>, d\u00e9placement dans le r\u00e9pertoire courant :<\/li>\n<\/ul>\n
[bash]<br \/>
\nc:\\test&gt;cd &quot;. &quot;<br \/>
\nc:\\test&gt;echo %cd%<br \/>
\nc:\\test<br \/>
\n[\/bash]<\/p>\n- \n
- Essai 3 [infructueux]<\/span><\/strong> –\u00a0Forcer l’interpr\u00e9tation en tant que r\u00e9pertoire, d\u00e9placement dans le r\u00e9pertoire courant :<\/li>\n<\/ul>\n
[bash]<br \/>
\nc:\\test&gt;cd &quot;. \\&quot;<br \/>
\nc:\\test&gt;echo %cd%<br \/>
\nc:\\test<br \/>
\n[\/bash]<\/p>\n- \n
- Essai 4 [fonctionnel]<\/strong><\/span> – Acc\u00e8s au premier sous-r\u00e9pertoire de “. ” :<\/li>\n<\/ul>\n
[bash]<br \/>
\nc:\\test&gt;cd &quot;. \\.. \\&quot;<br \/>
\nc:\\test\\. &gt;echo %cd%<br \/>
\nc:\\test\\.<br \/>
\nc:\\test\\. &gt;dir<br \/>
\n Le volume dans le lecteur C s’appelle OS<br \/>
\n Le num\u00e9ro de s\u00e9rie du volume est CE03-DF19<\/p>
\n<p>R\u00e9pertoire de c:\\test\\.<\/p>
\n<p>25\/02\/2013 15:00 &lt;REP&gt; .<br \/>
\n25\/02\/2013 15:00 &lt;REP&gt; ..<br \/>
\n25\/02\/2013 15:14 &lt;REP&gt; ..<br \/>
\n 0 fichier(s) 0 octets<br \/>
\n 3 R\u00e9p(s) 34\u00a0136\u00a0424\u00a0448 octets libres<br \/>
\n[\/bash]<\/p>\nLa syntaxe du changement de r\u00e9pertoire indique la volont\u00e9 d’acc\u00e9der au r\u00e9pertoire “. \\.. “, pourtant il en r\u00e9sulte un acc\u00e8s \u00e0 “. ” uniquement. Le nom du r\u00e9pertoire “.. ” est interpr\u00e9t\u00e9 par l’invit\u00e9 de commande et non pas comme un v\u00e9ritable nom de dossier.<\/p>\n
Acc\u00e8s aux r\u00e9pertoires de nom “.. “<\/h3>\n
Placer son prompt dans un r\u00e9pertoire nomm\u00e9 “.. ” ne semble pas \u00eatre faisable. Il est possible de lister le contenu d’un tel r\u00e9pertoire, mais pas d’y acc\u00e9der directement. Comme vu dans le dernier essai fructueux ci-dessus, l’acc\u00e8s \u00e0 “. \\.. ” renvoi vers “. ” et non pas “. \\.. ” bien que demand\u00e9. Pour tenter d’acc\u00e9der \u00e0 “. \\.. “, on peut tester via un nouveau sous-sous-r\u00e9pertoire :<\/p>\n
- \n
- Essai 5 [infructueux]<\/strong><\/span>\u00a0–\u00a0Tentative d’acc\u00e8s \u00e0 “. \\.. ” \u00e0 partir d’un sous-sous-r\u00e9pertoire :<\/li>\n<\/ul>\n
[bash]<br \/>
\nc:\\test&gt;md &quot;. \\.. \\test2&quot;<br \/>
\nc:\\test&gt;cd &quot;. \\.. \\test2&quot;<br \/>
\nc:\\test\\. \\.. \\test2&gt;echo %cd%<br \/>
\nc:\\test\\. \\.. \\test2<br \/>
\nc:\\test\\. \\.. \\test2&gt;cd ..<br \/>
\nc:\\test&gt;echo %cd%<br \/>
\nc:\\test<br \/>
\n[\/bash]<\/p>\nDans cet exemple il est possible de placer son prompt dans un sous-r\u00e9pertoire avec un nom\u00a0lambda\u00a0derri\u00e8re\u00a0une arborescence de “. ” et “.. “. Toutefois, en tentant de remonter d’un r\u00e9pertoire, un retour \u00e0 la racine est effectu\u00e9.<\/p>\n
Le r\u00e9pertoire “.. ” semble d\u00e9finitivement inaccessible.<\/p>\n
Liste de sous-r\u00e9pertoires “. ” et “.. “<\/h3>\n
Un “dir \/s” suffit pour lister l’ensemble des donn\u00e9es de ces r\u00e9pertoires magiques :<\/p>\n
[bash]<br \/>
\nc:\\test&gt;cd &quot;. \\.. \\&quot;<br \/>
\nc:\\test\\. &gt;dir \/S<br \/>
\n Le volume dans le lecteur C s’appelle OS<br \/>
\n Le num\u00e9ro de s\u00e9rie du volume est CE03-DF19<\/p>
\n<p>R\u00e9pertoire de c:\\test\\.<\/p>
\n<p>25\/02\/2013 15:00 &lt;REP&gt; .<br \/>
\n25\/02\/2013 15:00 &lt;REP&gt; ..<br \/>
\n25\/02\/2013 15:26 &lt;REP&gt; ..<br \/>
\n 0 fichier(s) 0 octets<\/p>
\n<p>R\u00e9pertoire de c:\\test\\. \\..<\/p>
\n<p>25\/02\/2013 15:26 &lt;REP&gt; .<br \/>
\n25\/02\/2013 15:26 &lt;REP&gt; ..<br \/>
\n25\/02\/2013 15:23 &lt;REP&gt; test2<br \/>
\n 0 fichier(s) 0 octets<\/p>
\n<p>R\u00e9pertoire de c:\\test\\. \\.. \\test2<\/p>
\n<p>25\/02\/2013 15:23 &lt;REP&gt; .<br \/>
\n25\/02\/2013 15:23 &lt;REP&gt; ..<br \/>
\n 0 fichier(s) 0 octets<\/p>
\n<p>Total des fichiers list\u00e9s\u00a0:<br \/>
\n 0 fichier(s) 0 octets<br \/>
\n 8 R\u00e9p(s) 34\u00a0104\u00a0004\u00a0608 octets libres<br \/>
\n[\/bash]<\/p>\nStockage prot\u00e9g\u00e9 de fichier et ex\u00e9cution<\/h3>\n
Au travers de ce r\u00e9pertoire “.. ” difficile d’acc\u00e8s, il est possible de stocker des fichiers et d’ex\u00e9cuter ceux-ci.<\/p>\n
[bash]<br \/>
\nc:\\test&gt;copy nc.exe &quot;. \\.. \\nc.exe&quot;<br \/>
\n 1 fichier(s) copi\u00e9(s).<br \/>
\n[\/bash]<\/p>\nPour l’ex\u00e9cution, la cr\u00e9ation d’un lien symbolique permet ais\u00e9ment d’acc\u00e9der \u00e0 l’ex\u00e9cutable camoufl\u00e9 :<\/p>\n
[bash]<br \/>
\nc:\\test&gt;mklink nc.exe c:\\test\\&quot;. \\.. \\nc.exe&quot;<br \/>
\nLien symbolique cr\u00e9\u00e9 pour nc.exe &lt;&lt;===&gt;&gt; c:\\test\\. \\.. \\nc.exe<\/p>
\n<p>c:\\test&gt;dir<br \/>
\n Le volume dans le lecteur C s’appelle OS<br \/>
\n Le num\u00e9ro de s\u00e9rie du volume est CE03-DF19<\/p>
\n<p>R\u00e9pertoire de c:\\test<\/p>
\n<p>25\/02\/2013 15:51 &lt;REP&gt; .<br \/>
\n25\/02\/2013 15:51 &lt;REP&gt; ..<br \/>
\n25\/02\/2013 15:00 &lt;REP&gt; .<br \/>
\n25\/02\/2013 15:51 &lt;SYMLINK&gt; nc.exe [c:\\test\\. \\.. \\nc.exe]<br \/>
\n 1 fichier(s) 0 octets<br \/>
\n 3 R\u00e9p(s) 34\u00a0105\u00a0311\u00a0232 octets libres<\/p>
\n<p>c:\\test&gt;nc.exe<br \/>
\nCmd line:<br \/>
\n[\/bash]<\/p>\nProcessus camoufl\u00e9 de wmic<\/h3>\n
Une fois un ex\u00e9cutable de plac\u00e9 dans le r\u00e9pertoire sp\u00e9cial “.. ” et lanc\u00e9 via un lien symbolique \u00e0 partir d’un autre r\u00e9pertoire, le chemin d’acc\u00e8s de l’ex\u00e9cutable et li\u00e9 \u00e0 son instance en tant que processus s’av\u00e8re camoufl\u00e9 (via l’utilitaire wmic en ligne de commande) :<\/p>\n
[bash]<br \/>
\nc:\\test&gt;wmic process where name=&quot;nc.exe&quot; list full<\/p>
\n<p>CommandLine=nc.exe<br \/>
\nCSName=X<br \/>
\nDescription=nc.exe<br \/>
\nExecutablePath=c:\\test\\nc.exe<br \/>
\nExecutionState=<br \/>
\nHandle=5336<br \/>
\nHandleCount=83<br \/>
\nInstallDate=<br \/>
\nKernelModeTime=468003<br \/>
\nMaximumWorkingSetSize=1380<br \/>
\nMinimumWorkingSetSize=200<br \/>
\nName=putty.exe<br \/>
\nOSName=Microsoft Windows 7 Professionnel |C:\\Windows|\\Device\\Harddisk1\\Partition3<br \/>
\nOtherOperationCount=380<br \/>
\nOtherTransferCount=11312<br \/>
\nPageFaults=2172<br \/>
\nPageFileUsage=2336<br \/>
\nParentProcessId=8648<br \/>
\nPeakPageFileUsage=2336<br \/>
\nPeakVirtualSize=95428608<br \/>
\nPeakWorkingSetSize=8472<br \/>
\nPriority=8<br \/>
\nPrivatePageCount=2392064<br \/>
\nProcessId=5336<br \/>
\nQuotaNonPagedPoolUsage=11<br \/>
\nQuotaPagedPoolUsage=174<br \/>
\nQuotaPeakNonPagedPoolUsage=11<br \/>
\nQuotaPeakPagedPoolUsage=176<br \/>
\nReadOperationCount=15<br \/>
\nReadTransferCount=284<br \/>
\nSessionId=1<br \/>
\nStatus=<br \/>
\nTerminationDate=<br \/>
\nThreadCount=1<br \/>
\nUserModeTime=0<br \/>
\nVirtualSize=95424512<br \/>
\nWindowsVersion=6.1.7601<br \/>
\nWorkingSetSize=8675328<br \/>
\nWriteOperationCount=0<br \/>
\nWriteTransferCount=0<br \/>
\n[\/bash]<\/p>\nLe chemin indiqu\u00e9 pour l’ex\u00e9cutable est prot\u00e9g\u00e9 via le lien symbolique :<\/p>\n
[bash]ExecutablePath=c:\\test\\nc.exe[\/bash]<\/p>\n
Le lien symbolique peut donc \u00eatre effac\u00e9 en toute s\u00e9curit\u00e9.<\/p>\n
Le\u00a0gestionnaire\u00a0de t\u00e2ches affiche cependant bien le bon chemin d’acc\u00e8s :<\/p>\n
![\"Gestionnaire](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/taskman-300x197.png\")
<\/a>Gestionnaire de t\u00e2che avec chemin complet<\/p><\/div>\n
Acc\u00e8s r\u00e9seau et partage de r\u00e9pertoires sp\u00e9ciaux “. ” et “.. “<\/h3>\n
De tels r\u00e9pertoires peuvent \u00eatre cr\u00e9\u00e9s via la syntaxe d’acc\u00e8s r\u00e9seau de Windows (SMB-like). Toutefois, ils ne semblent pas \u00eatre accessibles et ne peuvent \u00eatre associ\u00e9s \u00e0 un quelconque point de montage.<\/p>\n
[bash]<br \/>
\nc:\\test&gt;md \\\\?\\c:\\test\\&quot;. \\.. \\&quot;<br \/>
\nc:\\test&gt;net share testx=&quot;c:\\test\\. \\.. \\&quot; # ERROR<br \/>
\nc:\\test&gt;net use x: \\\\?\\c:\\test\\&quot;. \\.. \\&quot; # ERROR<br \/>
\n[\/bash]<\/p>\nIdem via l’interface graphique de connexion \u00e0 un lecteur r\u00e9seau.<\/p>\n
Acc\u00e8s aux r\u00e9pertoires “. ” et “.. ” via l’explorateur graphique<\/span><\/h4>\n
Tout comme pour l’interpr\u00e9teur de commande, le r\u00e9pertoire “.. ” ne semble pas \u00eatre accessible via l’explorer.exe.<\/p>\n
Si l’on se dirige dans C:\\test\\ avec l’explorateur, on visualise bien le r\u00e9pertoire “. ” :<\/p>\n
![\"R\u00e9pertoire](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/dir1-300x61.png\")
<\/a>R\u00e9pertoire “. ” racine<\/p><\/div>\n
A l’ouverture de celui-ci, un dr\u00f4le de comportement survient puisque l’explorateur redirige vers le m\u00eame r\u00e9pertoire, tout en modifiant la barre d’adresse :<\/p>\n
![\"Deuxi\u00e8me](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/dir2-300x54.png\")
<\/a>Deuxi\u00e8me r\u00e9pertoire “. ” racine<\/p><\/div>\n
En ouvrant \u00e0 nouveau ce second r\u00e9pertoire “. “, le r\u00e9pertoire “.. ” devient alors visible, mais s’av\u00e8re inaccessible :<\/p>\n
![\"R\u00e9pertoire](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/dir3-300x178.png\")
<\/a>R\u00e9pertoire “.. ” inaccessible<\/p><\/div>\n
En plus d’\u00eatre inaccessible, celui-ci ne peut \u00eatre supprim\u00e9 via l’explorateur. Comme celui-ci est prot\u00e9g\u00e9 contre la suppression, il en d\u00e9coule que toute l’arborescence est \u00e9galement prot\u00e9g\u00e9e :<\/p>\n
![\"Protection](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/dir4-300x194.png\")
<\/a>Protection \u00e0 la suppression<\/p><\/div>\n
La m\u00e9thode pour supprimer une telle arborescence consiste \u00e0 passer par l’interpr\u00e9teur de commande :<\/p>\n
[bash]<\/p>
\n<p>c:\\test&gt;del &quot;. \\.. &quot;\\*<br \/>
\nc:\\test\\. \\.. \\*, \u00eates-vous s\u00fbr (O\/N)\u00a0? O<\/p>
\n<p>c:\\test&gt;rmdir &quot;. \\.. \\&quot;<\/p>
\n<p>c:\\test&gt;rmdir &quot;. \\&quot;<\/p>
\n<p>c:\\test&gt; # Ou un &quot;rmdir \/s&quot;<\/p>
\n<p>[\/bash]<\/p>\nVid\u00e9o de d\u00e9monstration<\/h3>\n
Au sein de son article sur PaulDotCom, Mark Baggett illustre cette technique au travers d’une vid\u00e9o\/PoC de d\u00e9monstration :<\/p>\n
[youtube]https:\/\/www.youtube.com\/watch?v=SKfhL2EWaio[\/youtube]<\/p>\n
Conclusion<\/h3>\n
Cette technique de camouflage de donn\u00e9es au sein d’une structure de r\u00e9pertoire atypique permet \u00e0 un assaillant\u00a0d\u2019accro\u00eetre\u00a0son emprise sur le syst\u00e8me tout en restant le moins rep\u00e9rable possible. Coupl\u00e9e aux autres techniques d\u00e9j\u00e0 pr\u00e9sent\u00e9es<\/a>, cette m\u00e9thode qu’offre Windows nativement peut vite se retourner contre des administrateurs syst\u00e8mes ; d’o\u00f9 cette sensibilisation.<\/p>\n
Il convient que dans cet article, seule deux r\u00e9pertoires et sous-r\u00e9pertoires avec “. ” et “.. ” ont \u00e9t\u00e9 cr\u00e9\u00e9s. Toutefois ce proc\u00e9d\u00e9 peut \u00eatre r\u00e9p\u00e9t\u00e9 sur une profondeur bien plus grande, toujours pour complexifier l’acc\u00e8s \u00e0 des donn\u00e9es\/binaires \u00e0 cacher.<\/p>\n
Sources & ressources<\/h3>\n
- Essai 5 [infructueux]<\/strong><\/span>\u00a0–\u00a0Tentative d’acc\u00e8s \u00e0 “. \\.. ” \u00e0 partir d’un sous-sous-r\u00e9pertoire :<\/li>\n<\/ul>\n
- Essai 4 [fonctionnel]<\/strong><\/span> – Acc\u00e8s au premier sous-r\u00e9pertoire de “. ” :<\/li>\n<\/ul>\n
- Essai 3 [infructueux]<\/span><\/strong> –\u00a0Forcer l’interpr\u00e9tation en tant que r\u00e9pertoire, d\u00e9placement dans le r\u00e9pertoire courant :<\/li>\n<\/ul>\n
- Essai 2 [infructueux]<\/span><\/strong> –\u00a0Utilisation du nom complet du r\u00e9pertoire entre double-quotes<\/em>, d\u00e9placement dans le r\u00e9pertoire courant :<\/li>\n<\/ul>\n
- Essai 1 [infructueux]<\/strong><\/span> – Interpr\u00e9t\u00e9 comme un d\u00e9placement dans le r\u00e9pertoire courant :<\/li>\n<\/ul>\n