Persistance

🔍 Contexte Analyse publiée le 20 mars 2026 par Xavier Mertens (ISC SANS Handler) suite à la découverte d’un script Bash malveillant installant un backdoor basé sur GSocket/gs-netcat. Le vecteur de livraison initial est inconnu. Le sample a été identifié sur VirusTotal avec seulement 17 détections antivirus. 🛠️ Fonctionnement du malware GSocket est un outil réseau légitime permettant des communications pair-à-pair via un réseau de relais global, en utilisant un secret partagé plutôt que des adresses IP. L’outil gs-netcat est détourné ici pour fournir un shell distant et un canal C2. ...

Source : Black Hills Information Security (blog) — Dans un billet daté du 4 mars 2026, Ben Bowman présente une technique de persistance Linux exploitant le framework PAM et dévoile l’outil open source « PAM Skeleton Key » destiné aux tests d’intrusion (Red Team). L’auteur explique que PAM gère l’authentification pour des services comme SSHD, recevant les identifiants en clair pour appliquer des politiques définies (ex. /etc/pam.d/sshd). En substituant un module PAM par une version malveillante, il devient possible d’implanter un mot de passe universel (skeleton key) pour tous les comptes et de capturer les identifiants avant chiffrement, puis de les exfiltrer. ...

Selon la page de présentation de MacPersistenceChecker, la version 1.8.1 propose un outil de sécurité natif macOS (13+) qui inventorie et évalue tous les mécanismes de persistance pour aider à identifier malwares et comportements indésirables. L’outil réalise un scan étendu des vecteurs de persistance (LaunchDaemons/Agents, Login Items, kexts, System Extensions, Privileged Helpers, cron, profils de configuration, Application Support, scripts périodiques, fichiers shell de démarrage, hooks legacy, plugins variés, BTM, détections DYLD, TCC/Accessibilité). Chaque item reçoit un Risk Score (0-100) avec niveaux de sévérité et des heuristiques avancées (signatures invalides, entitlements dangereux, emplacements suspects, anomalies de fréquence de lancement, mismatch plist/binaire, anomalies temporelles). Un système de Trust Levels classe les éléments (Apple, Known Vendor, Signed, Unknown, Suspicious, Unsigned). ...

Selon une analyse publiée sur zeifan.my, un pilote Windows malveillant présente une vulnérabilité d’élévation de privilèges de sévérité élevée (CVSS 8.8), avec des capacités de manipulation du registre et d’accès disque brut. L’étude décrit trois interfaces de périphérique exposées par le pilote (\Device\wogui, \Device\wowrt, \Device\wowreg001) et leurs gestionnaires IRP, qui ouvrent la voie à des actions critiques. Les vulnérabilités clés incluent la suppression arbitraire de clés de registre HKLM, la modification de l’entrée BootExecute pour la persistance, et des lectures disque non restreintes au niveau secteur, permettant potentiellement de contourner des contrôles de sécurité. ...

Cet article, rédigé par Dave Cossa, un opérateur senior en red teaming chez X-Force Adversary Services, explore les vulnérabilités potentielles d’Azure Arc, un service de Microsoft permettant la gestion de ressources hybrides. Azure Arc est conçu pour étendre les capacités de gestion natives d’Azure à des ressources non-Azure, telles que des systèmes sur site et des clusters Kubernetes. Cependant, des mauvais configurations dans son déploiement peuvent permettre une escalade de privilèges et l’utilisation d’un Service Principal surprovisionné pour exécuter du code. ...

L’article, rédigé par Grant Smith de Phantom Security Group, présente une nouvelle technique de persistance pour les applications Windows, appelée Phantom Persistence. Cette méthode utilise l’API RegisterApplicationRestart pour relancer des applications après un redémarrage du système. Cette technique a été découverte accidentellement lors de recherches sur l’exécution de payloads au moment de l’arrêt du système. Elle exploite une fonctionnalité souvent utilisée par les installateurs pour redémarrer les applications après un crash, en manipulant le processus de shutdown pour relancer une application à l’aide de l’argument EWX_RESTARTAPPS. ...