\nal-khaser<\/a>
\net je vous assure qu\u2019il va vous faire d\u00e9chanter, car ce truc, c\u2019est le d\u00e9tecteur de mensonges des solutions de cybers\u00e9curit\u00e9.<\/p>\n
Al-khaser est outil qui ne fait rien de m\u00e9chant en soi\u2026 C\u2019est ce qu\u2019on appelle un PoC, un \u201cproof of concept\u201d avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la d\u00e9tection de machines virtuelles, le contournement des d\u00e9bogueurs, l\u2019\u00e9chappement aux sandbox, et j\u2019en passe.<\/p>\n
Comme \u00e7a, si votre antivirus ne d\u00e9tecte pas al-khaser, il y a de bonnes chances qu\u2019il rate aussi les vraies menaces qui utilisent les m\u00eames techniques.<\/p>\n
\n![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/al-khaser-testeur-antivirus-poc-malware\/al-khaser-testeur-antivirus-poc-malware-2.png\")
\n<\/p>\n
Faut dire que les \u00e9diteurs d\u2019antivirus et d\u2019EDR adorent nous vendre leurs nouvelles fonctionnalit\u00e9s IA de fou alors que certaines de leurs solutions ne d\u00e9tectent m\u00eame pas des techniques pourtant connues depuis longtemps.<\/p>\n
Al-khaser met donc tout \u00e7a en lumi\u00e8re de fa\u00e7on assez brutale en encha\u00eenant des dizaines de v\u00e9rifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de c\u0153urs ou si c\u2019est une simulation. Il va checker l\u2019adresse MAC de votre carte r\u00e9seau pour voir si elle correspond \u00e0 un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d\u2019ex\u00e9cution de certaines op\u00e9rations pour d\u00e9tecter si le syst\u00e8me est acc\u00e9l\u00e9r\u00e9 artificiellement, comme dans une sandbox d\u2019analyse. Il va m\u00eame tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu\u2019un espionne son ex\u00e9cution.<\/p>\n
Maintenant si vous voulez tester les protections anti-debug de votre syst\u00e8me, vous tapez :<\/p>\n
al-khaser.exe \u2013check DEBUG \u2013sleep 30<\/p>\n
Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masqu\u00e9e :<\/p>\n
al-khaser.exe \u2013check VMWARE \u2013check QEMU<\/p>\n
Bien s\u00fbr, ces techniques ne sortent pas de nulle part car elles sont document\u00e9es depuis des ann\u00e9es notamment Les \u00e9quipes de pentest et les red teams adorent al-khaser car \u00e7a leur permet de montrer aux d\u00e9cideurs que leur gros investissement en cybers\u00e9curit\u00e9 n\u2019est peut-\u00eatre pas aussi solide qu\u2019ils le pensaient. Vous lancez l\u2019outil un vendredi apr\u00e8s-midi dans un environnement de test, et vous voyez instantan\u00e9ment ce que votre EDR d\u00e9tecte ou pas.<\/p>\n Voil\u00e0, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant\u2026 Il ne vole pas de donn\u00e9es, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire \u201ch\u00e9 ho, je suis l\u00e0, regardez moi, je fais plein de des trucs louches !!<\/em>\u201d.<\/p>\n Bien s\u00fbr, ne lancez pas al-khaser sur n\u2019importe quelle machine car c\u2019est un outil de test qui doit rester dans un environnement contr\u00f4l\u00e9. Si vous le lancez sur le r\u00e9seau de prod sans pr\u00e9venir votre \u00e9quipe s\u00e9cu, vous allez d\u00e9clencher des alertes partout et recevoir des appels pas tr\u00e8s sympathiques. Et surtout, juridiquement, vous devez avoir l\u2019autorisation du propri\u00e9taire de l\u2019infrastructure, sinon, vous risquez de gros ennuis.<\/p>\n
\ndans ce r\u00e9f\u00e9rentiel<\/a>
\ndont je vous
\nd\u00e9j\u00e0 parl\u00e9<\/a>
\n.<\/p>\n