Hack in Paris 2018 : Comspec et %% mortels en mode command

Actualités - Conférence - Posté on 17 Juil 2018 at 8:48 par cnis-mag

Peter Blaise

Beaucoup d’humour, beaucoup de talents cette année encore à l’occasion de Hack in Paris 2018, qui s’est tenue sous les lambris de la Maison de la Chimie fin juin. Et de l’impressionnante succession de 16 conférences organisées par Sysdream, difficile d’en faire un classement qualitatif.

L’orateur le plus applaudi a été sans conteste Daniel Bohannon (ex Mandiant, désormais Fireye), qui a littéralement hypnotisé l’assistance en expliquant comment, à grand renfort de variables d’environnement, de doubles apostrophes, de macro For %%F in (xxxx) DO formidablement vicieuses, l’on pouvait camoufler des chainages d’exécutables en mode « command » sans qu’il soit possible de détecter quoi que ce soit de lisible. En mode « command », et non en Powershell, insiste-t-il dès le début de son intervention. Et de narrer comment ce qui, aux yeux de beaucoup, peut passer pour un bel exercice intellectuel pour nostalgiques de batch sous MS-DOS est en fait activement exploité par des groupes de développement de malwares et de vecteurs d’attaques persistantes. Si les transparents de son intervention dévoilent des trésors de roublardises qui permettent de lancer n’importe quel exécutable sans qu’il soit possible d’en apercevoir le moindre indice, il faut surtout écouter son débit rapide, son déluge d’explications qui enivre littéralement l’assistance. Après 40 minutes de Daniel Bohannon, on ne regarde plus jamais une fenêtre en mode caractère comme avant. A consulter aussi la version papier de la conférence, indispensable pour revenir sur les détails de mise en application, sans oublier son dépôt Github en général et la section Invoke DOSfuscation en particulier, histoire de passer aux exercices pratiques.

Laisser une réponse