Défense Évasion

Dans une publication de recherche, l’auteur explore et étend la technique d’obfuscation par caractères Unicode invisibles popularisée par GlassWorm, en l’appliquant à de nouveaux contextes comme les lignes de commande et les journaux de sécurité, avec POC, simulations et détection. L’étude part d’observations sur des « faux » répertoires Windows utilisant des espaces intégrés, puis se penche sur GlassWorm, qui dissimule des charges utiles dans le code via des caractères Unicode ressemblant à des espaces. L’auteur élargit l’inventaire des caractères invisibles/près-invisibles, teste leur rendu dans PowerShell et les journaux Windows Defender, et constate que certains restent totalement invisibles en télémétrie, compliquant la détection. ...

Selon Seqrite (blog sécurité de Quick Heal), cette analyse décrit des campagnes de rançongiciel qui abusent d’outils d’accès à distance légitimes afin de s’infiltrer, rester furtifs et déployer la charge utile au sein d’environnements d’entreprise. • Les acteurs exploitent des RAT légitimes (AnyDesk, UltraViewer, RustDesk, Splashtop) souvent signés et whitelistés, ce qui leur permet de se fondre dans les opérations IT. L’étude retrace une kill chain en 7 étapes: (1) Accès initial via compromission d’identifiants avec séquence d’événements Windows 4625→4624; (2) Déploiement silencieux des outils (flags comme /VERYSILENT et /S); (3) Persistance via clés de registre (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), tâches planifiées, et élévation SYSTEM (ex. PowerRun); (4) Neutralisation de l’antivirus par arrêt de services (sc stop, net stop), manipulation de politiques et purge de logs (wevtutil cl); (5) Livraison de la charge utile via les canaux RAT; (6) Mouvement latéral par réutilisation d’identifiants et propagation des RAT; (7) Impact par chiffrement et verrouillage des systèmes. ...