🔍 Contexte
Publié le 19 avril 2026 sur GitHub par DylanDavis1, DSCourier est un outil de preuve de concept (PoC) accompagné d’un article de blog technique détaillé. Il s’inscrit dans une démarche de recherche offensive sur les techniques de contournement d’EDR.
⚙️ Technique exploitée
DSCourier exploite l’API COM WinGet Configuration (Microsoft.Management.Configuration) pour appliquer des configurations DSC (Desired State Configuration) en passant par des binaires signés Microsoft. Cette approche permet de masquer l’activité malveillante derrière des processus légitimes et de confiance.
🛡️ EDR contournés
La technique a été testée et a contourné avec succès les solutions suivantes :
- CrowdStrike Falcon
- Microsoft Defender for Endpoint (MDE)
- Elastic Security EDR
Une vidéo de démonstration (CrowdStrike_Bypass.mp4) est fournie.
🛠️ Prérequis techniques
Machine de build :
- Windows 10, 11 ou Server 2025
- .NET 8 SDK
- Windows SDK 10.0.22621
- Git, WinGet, PowerShell
Machine cible :
- Windows 10, 11 ou Server 2025
- WinGet installé et fonctionnel
- Feature flag
winget configureactivé - Module PowerShell
PSDscResources
📁 Composants livrés
- Binaire compilé
DSCourier.exeet fichiers de support - Script
build.ps1pour automatiser la compilation - Fichiers de configuration DSC personnalisables
📌 Nature de l’article
Il s’agit d’une publication de recherche offensive sous forme de PoC open-source, destinée aux opérateurs souhaitant expérimenter, modifier et étendre la technique pour leurs propres usages.
🧠 TTPs et IOCs détectés
TTP
- T1218 — System Binary Proxy Execution (Defense Evasion)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
IOC
- Fichiers :
DSCourier.exe - Fichiers :
build.ps1
Malware / Outils
- DSCourier (tool)
🔴 Indice de vérification factuelle : 31/100 (basse)
- ⬜ github.com — source non référencée (0pts)
- ✅ 1616 chars — texte partiel (10pts)
- ✅ 2 IOC(s) (6pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 3 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://github.com/DylanDavis1/DSCourier