Comment contourner Microsoft Defender et établir une session Meterpreter avec persistence.

Home

Je vais vous démontrez comment on peut contourner Windows Defender et établir une session Meterpreter à l’aide d’un nouveau Framework appelé Africana-Framework.  Je ne suis pas le développeur de ce Framework et il est sous développement intense donc il est possible que certaine section ou application ne fonctionne pas bien.  Il est possible de signaler les erreurs sur le GitHub du Dev.

Je vais créer une série de vidéo sur ce Framework

J’ai créé une vidéo qui est à la fin de cette page pour visionnement mais il est seulement en anglais. Le guide suivant sera les étapes à suivres en français.

Pour vous mettre dans le contexte, je vais utiliser le Framework Africana pour créer un payload que lorsqu’il est exécuté par le client, établi une session TCP à notre ordinateur, qui sera Kali Linux.  Une fois la session établie, je vais élever mes privilèges au niveau Administrateur pour être en mesure de créer des exclusions dans  Windows Defender.  Ces exclusions seront crées pour être en mesure d’installer un fichier qui sera exécuté au redémarrage de l’ordinateur, de la persistence.

1- Comment installer Africana Framework

sudo apt-get update

sudo apt-get upgrade

git clone https://github.com/r0jahsm0ntar1/africana-framework

cd africana-framework

sudo python3 africana.py

2- Comment démarrer le service Apache

Pour être capable d’héberger nos fichiers que nous allons utiliser pour envoyer vers le client nous devons démarrer Apache.

sudo systemctl start apache2

3- Création du payload

Appuyez sur 4 – Generate Undetectable Backdoors

Appuyez sur 4 – Meterpreter

Entrez l’adrfesse IP de votre machine Kali ainsi que le port et ensuite appuyez sur 1 pour la création d’un .bat pour Windows.

Appuyer sur n pour non à un UAC et vous pouvez par la suite utiliser le Shorten Uri comme lien pour envoyer à votre client.

 

4- L’exécution du payload sur la machine client (Windows)

Lorsque le client appui sur le lien un fichier Update-KB5005101.zip imitant une mise à jour de sécurité Windows sera téléchargé.

Le fichier Update-KB5005101.zip doit être décompressé pour ensuite obtenir le fichier Update-KB5005101.bat.

Une fois le fichier Update-KB5005101.bat esécuté nous pouvons voir une session meterpreter.

5- élévation des privilèges

Une fois la session établie choisir postexploit et ensuite escalate, getadmin et shoisir un temps de 10 et 10 et ensuite n pour ne pas changer l’endroit du client.

Une fois les droits admin attribué vous devez quitter meterpreter en écrivant Exit et recréer le handler en appuyant sur 4- Meterpreter, Entrez la meme adresse IP et port que vous avez utilisé à la section 3- Création du Payload.  Lorsque vous avez créé le handler votre machine Kali sera encore en attente d’une session mais cette fois si Admin.

Pendant ce temps, sur le coté client un message VPN aparait et lorque le client appui sur le bouton ok, la session est créée de nouveau sur notre machine kali.

6- Création d’exclusions dans Windows Defender

Pour être en mesure d’exécuter notre script PowerShell (.ps1) ainsi que notre fichier pour la persistence (.vbs), nous devons créer des exclusions dans Windows Defender.

Écrire postexploit pour entrer dans ce menu et ensuite Exclusions, create et entrez *.ps1 comme extension.  Une fois créé répétez le processus pour l’extension .vbs.

7- Établir de la persistence avec notre session au cas ou l’ordinateur Windows redémarre.

Entrez de nouveau postexploit ensuite persist et beacon pour que le fichier de persistence soit dans le sartup de Windows.  Il est aussi possible d’utiliser les autres modules de persistences comme par example, winlogon, schtasks, etc.

Lorsque l’ordinateur client (Windows) redémarre on peut voir que nous n’avons plus de sessions.

Lorsque l’ordinateur client (Windows) est redémarré on peut voir la session est de retour dans notre machine Kali.

Nous avons maintenant une session et maintenant d’autres options s’offrent à nous comme par example trouver les mots de passe WiFi.  Je ferai une autre vidéo sur le sujet.

 

Email TNT

Home

Commentaires fermés.