🔍 Contexte

Publié le 26 mars 2026 sur GitHub par l’utilisateur Meowmycks, le projet trustme est un Beacon Object File (BOF) conçu pour s’intégrer à Cobalt Strike et permettre une élévation de privilèges avancée sur les systèmes Windows.

🎯 Objectif

L’outil élève un beacon Cobalt Strike depuis un contexte administrateur vers NT AUTHORITY\SYSTEM avec le SID NT SERVICE\TrustedInstaller dans les groupes du token. Cela permet de modifier des fichiers, clés de registre et objets protégés par TrustedInstaller, inaccessibles même avec les droits SYSTEM classiques.

⚙️ Mécanisme technique

La technique se distingue des approches classiques (via le Service Control Manager) pour éviter la détection :

  • Chargement de dismapi.dll et déclenchement d’un health check DISM via DismCheckImageHealth, ce qui provoque le démarrage de TrustedInstaller.exe en tant qu’effet secondaire
  • Énumération des processus via NtGetNextProcess et NtQueryInformationProcess(ProcessImageFileName) au lieu de OpenProcess ou CreateToolhelp32Snapshot
  • Impersonation de thread via NtGetNextThread et NtImpersonateThread pour obtenir le token TrustedInstaller
  • Enregistrement du token dans la session Beacon via BeaconUseToken
  • Nettoyage : fermeture de la session DISM, libération de dismapi.dll, relâchement des handles

📋 Prérequis

  • Beacon élevé (admin)
  • SeDebugPrivilege disponible (activé automatiquement par le BOF)
  • Beacon x64 (x86 non testé)

🛠️ Compilation et usage

Compatible MinGW (Linux/macOS) et MSVC (Windows). Le BOF s’intègre via un script CNA (trustme.cna) dans Cobalt Strike. La commande rev2self permet de révoquer l’impersonation.

📌 Type d’article

Il s’agit d’une publication d’outil offensif open source (nouveaux outils), destinée à la communauté red team, documentant une technique d’élévation de privilèges furtive sur Windows via l’API DISM.

🧠 TTPs et IOCs détectés

TTP

  • T1134 — Access Token Manipulation (Privilege Escalation)
  • T1134.001 — Access Token Manipulation: Token Impersonation/Theft (Privilege Escalation)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1055 — Process Injection (Defense Evasion)
  • T1106 — Native API (Execution)
  • T1057 — Process Discovery (Discovery)

IOC

  • URLs : https://github.com/Meowmycks/trustme
  • Fichiers : trustme.x64.o
  • Fichiers : trustme.x86.o
  • Fichiers : trustme.cna
  • Fichiers : trustme.c
  • Fichiers : dismapi.dll
  • Fichiers : TrustedInstaller.exe

Malware / Outils

  • Cobalt Strike (framework)
  • trustme (tool)

🔗 Source originale : https://github.com/Meowmycks/trustme