🔍 Ce billet est un résumé technique en français du rapport publié par Synacktiv le 13 mai 2025, intitulé
“Open-source toolset of an Ivanti CSA attacker”.

Il analyse en détail trois outils open-source découverts lors d’enquêtes IR sur des compromissions d’appliances Ivanti CSA, utilisés par des attaquants pour maintenir un accès, pivoter latéralement et exécuter du code à distance.

🛠️ Analyse : Outils open-source utilisés dans les compromissions Ivanti CSA

Suite à plusieurs compromissions impliquant les appliances Ivanti CSA, les équipes de réponse à incident de Synacktiv ont identifié l’utilisation d’outils open-source offensifs par les attaquants. Ce billet analyse trois d’entre eux, leurs fonctionnalités, et propose des méthodes de détection.

🔓 1. suo5 – Tunnel HTTP(S) performant

Objectif : établir un tunnel SOCKS5 via une page ASPX compromise sur un serveur Exchange.

  • Basé sur des projets comme Neo-reGeorg.
  • Utilise le protocole HTTP chunked pour encapsuler le trafic TCP.
  • Deux modes : full duplex (meilleure perf) et half duplex (plus discret, compatible proxy).
  • Exemple : accès réseau interne via proxychains ssh victim@192.168.x.x.

🕵️ Détection :

  • Webshell .NET détectable via YARA (User-Agent suspect, entêtes HTTP, XOR, TCPClient…).
  • Impossibilité de détection IDS sans interception TLS (uTLS Hello Randomized utilisé).

🔌 2. iox – Tunnel chiffré et flexible

Objectif : maintenir un accès interne persistant via tunneling réseau (port forwarding, SOCKS5).

  • Successeur moderne de Earthworm & lcx/HTran.
  • Supporte : SOCKS5, reverse SOCKS5, trafic UDP, chiffrement via XChaCha20.
  • Permet des chaînes de rebond complexes via ports autorisés (ex : 443).

🕵️ Détection :

  • Règles YARA (incluant version obfusquée) basées sur des patterns ASM uniques.
  • Fichiers PE/ELF/Mach-O détectés < 5 MB contenant les fonctions ExpandKey et shuffle.

💻 3. atexec-pro – Mouvement latéral par Task Scheduler

Objectif : exécuter des commandes à distance via le planificateur de tâches Windows.

  • Variante améliorée de atexec.py d’Impacket.
  • Utilise RPC via SMB ou TCP/135 → ports dynamiques.
  • Supporte : CMD, PowerShell, transfert de fichiers, exécution d’assemblies .NET.

🕵️ Détection :

  • Règle Sigma sur EventID 4104 (ScriptBlockLogging) ciblant :
    • Scripts PowerShell avec base64, AES, COMObject Schedule.Service.
    • Usage de iex, Get-Content, Set-Content, et chargement d’assembly .NET.

🎯 Conclusion

Ces trois outils — suo5, iox et atexec-pro — montrent un usage typique d’outils open-source pour pivoter dans un réseau ou exécuter des charges malveillantes.

👉 Les règles YARA et Sigma associées sont disponibles dans le GitHub de Synacktiv.

📞 Besoin d’assistance ? Contactez l’équipe CSIRT de Synacktiv.

🔗 Source originale : https://www.synacktiv.com/en/publications/open-source-toolset-of-an-ivanti-csa-attacker

🖴 Archive : https://web.archive.org/web/20250513202520/https://www.synacktiv.com/en/publications/open-source-toolset-of-an-ivanti-csa-attacker