La course perpétuelle à la protection et à la sécurisation de nos infrastructures a donné naissance à des mécanismes de défense robustes, tels que les antivirus (AV), les systèmes de détection et de réponse aux points d'extrémité (EDR) et les systèmes de détection et de réponse étendus (XDR), pour n'en citer que quelques-uns. Au fil des ans, les méthodologies de détection employées ont évolué. Des techniques basiques de correspondance de chaînes et de hachages, les mécanismes de défense ont amélioré leurs capacités grâce à l'apprentissage automatique, à l'analyse en mémoire et à d'autres techniques sophistiquées. Du point de vue d'un développeur de logiciels malveillants, développer un logiciel malveillant est considérablement plus facile que de l'éviter.
Dans cette présentation, nous aborderons les différentes techniques employées par les développeurs de logiciels malveillants pour contourner les mesures de détection des antivirus et des EDR modernes. Cette présentation se concentrera exclusivement sur l'écosystème Windows. Nous aborderons les détails du système d'exploitation Windows, puis les différentes techniques de détection mises en œuvre par les antivirus et les EDR. Après avoir compris les méthodes de détection, nous nous concentrerons sur les différentes techniques permettant de contourner les techniques de détection susmentionnées. Parmi les techniques incluses, citons le décrochage, le blocage de DLL, le repatching, le hachage d'API, les correctifs ETW et AMSI, etc.
Afin de mieux comprendre les concepts abordés, nous présentons des démonstrations de faisabilité (PoC) réelles. Ces démonstrations illustreront les techniques d'évasion évoquées sur un outil de red teaming populaire (Juicy Potato). Les techniques mises en œuvre seront testées contre « Windows Defender », une solution antivirus intégrée largement utilisée par Microsoft. De plus, ces démonstrations présenteront les méthodes de détection exactes et la manière dont nous avons pu les contourner pour accéder à l'ordinateur.