Durée: 12 mois
Rubrique: Architecte cybersécurité
Dans cette leçon, nous allons nous concentrer sur les outils de postexploitation, en particulier ceux nommés Empire et Cobalt Strike.
La postexploitation fait référence aux activités effectuées après qu'une intrusion a été réussie. Ces activités peuvent inclure la collecte d'informations supplémentaires, le maintien de l'accès, l'escalade de privilèges et d'autres actions pour atteindre des objectifs spécifiques.
Empire est un outil de postexploitation qui utilise des agents PowerShell et Python pour exécuter des activités sur le système compromis. L'outil offre une gamme complète de capacités, y compris la récolte de données d'identification, l'exfiltration de données, le dumping de hachage, le keylogging et bien d'autres.
D'autre part, Cobalt Strike est un framework commercial de tests d'intrusion qui fournit une multitude de fonctionnalités de postexploitation. Cobalt Strike excelle dans la simulation de menaces persistantes avancées (APT), avec des fonctionnalités telles que la livraison de charges utiles, la manipulation de sessions, le gestionnaire de package, le navigateur Web en tant que système (p. ex., l'exploitation basée sur le navigateur) et bien plus encore.
Il est important de noter que l'utilisation de ces outils nécessite une connaissance appropriée et une autorisation légale. Les tester sur des systèmes non autorisés est illégal et non éthique.