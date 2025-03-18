Windows Defender Application Control (WDAC) est une solution de sécurité qui limite l’exécution à des logiciels de confiance. Dans la mesure où elle est classée comme limite de sécurité, Microsoft offre des paiements de bug bounty pour les contournements éligibles, ce qui en fait un domaine de recherche actif et concurrentiel.
Résultats typiques d’une soumission à un bug bounty pour contourner le WDAC :
En regardant la liste de blocage recommandée de Microsoft pour WDAC, on voit que des légendes comme Jimmy Bayne (@bohops) et Casey Smith (@subTee) ont découvert des contournements WDAC qui restent non corrigés mais ont reçu des mentions honorifiques. Au-delà de cette liste, le projet LOLBAS contient d'autres contournements non corrigés qui n'ont pas été reconnus dans la liste de blocage de Microsoft. Un exemple est l'application Microsoft Teams, qui reste un contournement viable de la WDAC bien qu'elle soit documentée dans LOLBAS.
Lorsque nous avons rencontré le WDAC pendant les opérations Red Team, nous l’avons contourné avec succès et avons exécuté notre charge utile de commandement et de contrôle (C2) de niveau 2 en utilisant les techniques suivantes :
1. Utilisez un LOLBIN connu tel que MSBuild.exe
2. Effectuer un chargement latéral de DLL (side-load) sur une application de confiance avec une DLL non fiable
3. Exploitez la règle d’exclusion personnalisée de la politique WDAC du client
4. Trouver une nouvelle chaîne d’exécution dans une application de confiance qui permet le déploiement C2
Comme Ruben Boonen (@FuzzySec) l’a expliqué dans sa conférence Wild West Hackin’ Fest Statikk Shiv : Leveraging Electron Applications for Post-Exploitation, les applications Electron fonctionnent comme des navigateurs Web qui affichent des applications de bureau à l’aide de technologies Web standard comme HTML, JavaScript et CSS. Le moteur JavaScript d’Electron est Node.js, qui fournit de puissantes API capables d’interagir avec le système d’exploitation hôte. Ces API permettent des actions telles que la lecture et l’écriture de fichiers, l’exécution de programmes et d’autres opérations typiques des applications natives.
À l’exécution, une application Electron lit des fichiers JavaScript, interprète leur code et les exécute dans le processus Electron. L’animation ci-dessous montre comment l’application Microsoft Teams Electron lit un fichier JavaScript à l’exécution, puis utilise le module child_process pour lancer whoami.exe.
Dans cet exemple, le processus Teams Electron lit le fichier JavaScript, qui lance ensuite whoami.exe via le module child_process. Ce module déclenche le processus Electron pour exécuter son API exportée uv_spawn, responsable d’interagir avec le système d’exploitation pour créer un nouveau processus.
L’architecture traditionnelle d’une application Windows est composée des éléments suivants :
Le fichier EXE fait appel à des fonctions exportées depuis des DLL pour étendre ses fonctionnalités. Cependant, les applications Electron inversent cette architecture. Au lieu que l’EXE appelle des API depuis des DLL, l’EXE Electron lui-même expose des API exportées, qui sont appelées par :
Cette structure permet au code JavaScript Node.js et aux modules Node d’interagir avec le système d’exploitation d’une manière que le JavaScript traditionnel d’un navigateur ne peut pas.
Dans l’image ci-dessous, nous examinons l’application Teams Electron à l’aide de PE Bear, un outil génial créé par @hasherezade, qui révèle que l’exécutable Teams Electron contient 2 977 API exportées. Cette vaste surface d’API offre des fonctionnalités étendues qui peuvent être exploitées par les fichiers JavaScript Node.js et les modules Node pour interagir avec le système d’exploitation.
Comme les applications Electron exécutent JavaScript au moment de l’exécution, la modification de ces fichiers JavaScript permet aux attaquants d’injecter du code Node.js arbitraire dans le processus Electron. En exploitant les API Node.js et Chromium, le code JavaScript peut interagir avec le système d’exploitation.
Je n’ai pas découvert la capacité de modifier les fichiers JavaScript d’applications Electron de confiance pour exécuter un code Node.js JavaScript arbitraire. Les premières références que j’ai pu trouver remontent à 2022.
Début 2022, Andrew Kisliakov a publié le blog « Microsoft Teams and other Electron Apps as LOLbins ». Andrew et @mrd0x ont contribué leurs découvertes au projet LOLBAS.
Plus tard en 2022, Valentina Palmiotti (@chompie1337), Ellis Springe (@knavesec) et Ruben ont approfondi cette approche, ce qui a mené au développement d’un outil de persistance interne qui est depuis utilisé dans les opérations Red Team.
Toujours en 2022, Michael Taggart a lancé le projet quASAR, un outil conçu pour modifier les applications Electron afin de permettre l’exécution de commandes. Dans son blog « Quasar : Compromising Electron Apps », il a partagé qu’en septembre 2022, un membre du projet Electron l’a contacté, affirmant que la vérification de l’intégrité était une fonctionnalité expérimentale et qu’il espérait qu’elle serait pleinement prise en charge à l’avenir.
Après avoir personnellement expérimenté les nouvelles applications Electron comme Signal, j’ai confirmé que des contrôles d’intégrité sont désormais en place pour certaines applications Electron qui empêchent la modification de leurs fichiers JavaScript. Néanmoins, de nombreuses applications Electron distribuées activement restent vulnérables.
Cette technique a également été observée dans des attaques réelles. En 2022, un acteur de la menace a installé une porte dérobée dans l’application de chat MiMi en modifiant les fichiers JavaScript qu’elle contient sur le serveur de distribution. Trend Micro a identifié cette attaque comme une attaque de la chaîne d’approvisionnement, où l’application Electron compromise a été distribuée aux utilisateurs finaux, permettant l’exécution d’un code JavaScript malveillant qui a téléchargé et exécuté une charge utile C2 de deuxième niveau.
En avril 2024, j’étais – moi, Bobby Cooke (@0xBoku) – à la recherche d’une nouvelle chaîne d’exécution à utiliser en vue d’une opération Red Team pour un client du secteur financier. Ce secteur applique des normes de sécurité plus élevées et des réglementations plus strictes, et met souvent en œuvre des contrôles de sécurité supplémentaires tels que le WDAC. Au cours de mes recherches, j’ai découvert une autre application Electron vulnérable. Cependant, comme elle n’était pas signée par Microsoft, il était peu probable qu’elle contourne la politique WDAC du client.
Je suis ensuite passé à l’ancienne application Microsoft Teams, signée par Microsoft et capable de contourner même les politiques WDAC les plus strictes. À ce moment-là, Dylan Tran (@d_tranman) m’a rejoint dans cette quête, et nous avons commencé à chercher un moyen de passer de l’exécution arbitraire de JavaScript Node.js à l’exécution de notre shellcode C2 de l’étape 2.
Bien que Node.js puisse interagir avec le système d’exploitation via ses API, il ne dispose pas de toutes les fonctionnalités du C, permettant aux développeurs d’appeler directement les WINAPI et les NTAPI. Pour combler cette lacune, les développeurs ont créé des modules Node, qui étendent les capacités du framework Node.js. Ces modules, compilés à partir de code C++, peuvent appeler des WINAPI, interagir avec des API Node.js et exécuter du JavaScript dans les applications Electron. Les modules Node compilés ont une extension .node et sont chargés dans les processus Windows via un événement de chargement de DLL.
Au cours de nos recherches, nous avons examiné plusieurs applications Electron et analysé leurs modules Node signés. Nous avons découvert que ces modules pouvaient être utilisés directement depuis JavaScript, ce qui nous a permis de tirer parti de leurs fonctionnalités intégrées.
Bien que la création de nos propres modules Node personnalisés pour exécuter un shellcode soit une approche viable et une capacité de Loki C2, elle présente un problème de l’œuf et de la poule. Le chargement d’un module Node depuis JavaScript déclenche un événement de chargement de DLL, qui peut être bloqué par les politiques du WDAC qui appliquent des règles strictes à l’encontre des DLL non signées. Heureusement, un grand nombre de modules Node signés existent à travers les applications Electron légitimes.
Cette approche de l’exécution de notre charge utile semblait prometteuse. Nous avons donc fait part de nos conclusions à Valentina, qui nous a rejoints dans cette quête. Avec son aide, nous avons approfondi la rétro-ingénierie des modules Node signés, à la recherche de vulnérabilités ou de capacités intégrées qui nous permettraient d’exécuter un shellcode arbitraire.
Un exemple de module Node offrant des capacités utiles est windows_process_tree.node, un module signé Microsoft intégré à Visual Studio Code. Lorsqu’il est examiné dans PE Bear, il révèle deux fonctions exportées, comme indiqué ci-dessous.
Contrairement aux DLL traditionnelles, les modules Node ne répertorient pas toutes les fonctions disponibles dans la table d’exportation. La fonction napi_register_module_v1 exportée est appelée par le processus Electron et est responsable du chargement du module et de l’exposition de ses fonctionnalités exportées au processus Electron. Il agit comme un pont, permettant à JavaScript au sein du processus Electron d’appeler et d’interagir avec les fonctions du module.
Une façon simple de répertorier toutes les fonctions appelables dans un module Node est de tirer parti du code Node.js ci-dessous.
En exécutant ce script Node.js dans PowerShell, on voit qu’il y a deux fonctions appelables dans windows_process_tree.node. Ce sont getProcessList et getProcessCpuUsage.
Avec de la persévérance, il est possible de déterminer comment appeler ces fonctions à partir de JavaScript. L’une des limites de Node.js est l’absence d’une API intégrée permettant de répertorier tous les processus en cours d’exécution sur le système. Cette limitation explique pourquoi Microsoft a introduit la fonction getProcessList dans ce module, élargissant les capacités de l’application VS Code Electron.
Il est possible de récupérer ces informations directement en JavaScript en utilisant le module child_process pour exécuter PowerShell dans un processus enfant, qui renvoie des détails sur les processus en cours. Dans l’image ci-dessous, Loki C2 génère un processus enfant PowerShell pour récupérer la liste des processus.
Cette approche présente des risques importants pour la sécurité opérationnelle. L’exécution de processus enfants de PowerShell peut être facilement détectée et augmente le risque qu’une opération soit signalée ou compromise. Pour éviter cela, Loki C2 tire parti de modules Node signés comme windows_process_tree.node pour étendre les capacités de Node.js.
Loki C2 inclut la commande ps, qui récupère les informations de processus en chargeant le module signé Microsoft windows_process_tree.node et en appelant la fonction getProcessList, comme on le voit sur l’image ci-dessous.
Le code JavaScript Loki C2 qui appelle la fonction getProcessList dans le module windows_process_tree.node est présenté ci-dessous. getProcessList renvoie les données de processus au format JSON, que Loki C2 formate en un tableau structuré pour une meilleure lisibilité.
Déterminer comment appeler correctement les fonctions des modules Node peut être difficile car leurs structures internes ne sont pas documentées. Cependant, en utilisant des outils comme Ghidra, développé par la NSA, et en collaborant avec des experts en rétro-ingénierie qualifiés comme Valentina, nous avons réussi à analyser ces modules et à identifier comment interagir avec leurs fonctions.
Valentina a finalement découvert un moyen d’exécuter notre shellcode C2 d’étape 2 sans charger une DLL non signée, mais je lui laisserai le soin d’en révéler les détails. Ensemble, Dylan, Valentina et moi-même avons travaillé à l’affinement de la technique afin d’en assurer la stabilité pour la prochaine campagne de phishing.
Malheureusement, notre première campagne de phishing par e-mail a été signalée et bloquée par la Blue Team. Après ce revers, Brett Hawkins (@h4wkst3r) et moi avons commencé à préparer une seconde campagne. En tant que responsable du contenu, je ne voulais pas réutiliser le même contenu, car cela aurait été trop facile pour la Blue Team de nous suivre et de bloquer notre deuxième campagne. Cependant, nous n’avions pas assez de temps pour appliquer la technique de Valentina sur une nouvelle charge utile, j’ai donc commencé à en développer une nouvelle en utilisant une autre approche.
En général, la capacité d’exécuter du JavaScript arbitraire dans des applications Electron de confiance est utilisée pour exécuter des commandes qui déploient un agent C2. Cependant, sans la technique de Valentina, cette approche échouerait contre WDAC, car elle nécessiterait finalement l’exécution d’un programme non signé, qui serait probablement bloqué.
Avec seulement quelques jours pour préparer la deuxième campagne, j’ai eu une idée : Et si je construisais un framework C2 complet en JavaScript ?
Si l’agent C2 lui-même était entièrement écrit en JavaScript, il pourrait établir un canal C2 même dans le cadre des politiques WDAC les plus strictes. À partir de là, une reconnaissance a pu être effectuée pour trouver un moyen de déployer une charge utile de phase 2 C2. Il n’y aurait pas d’événements de chargement de DLL non signés, juste du JavaScript s’exécutant au sein du processus Teams de confiance.
Nous avions besoin de suffisamment de fonctionnalités pour :
En utilisant tout le code Node.js que j’avais écrit au cours de mes recherches, j’ai créé une preuve de concept C2 en une nuit. Le lendemain, je l’ai partagée avec Dylan, et ensemble, nous l’avons rapidement étendu à une C2 entièrement fonctionnelle basée sur JavaScript. Notre C2 pouvait :
Le C2 JavaScript, désormais connu sous le nom de Loki C2, a été un succès lors de la deuxième campagne. Depuis lors, nous avons continué à affiner et à développer Loki C2, en ajoutant de nouvelles fonctionnalités, en améliorant la stabilité et en renforçant les capacités.
Grâce à toutes les connaissances sur Electron que j’ai acquises grâce à ces recherches, j’ai créé une interface utilisateur graphique pour Loki C2 en utilisant le framework Electron.
Dans la vidéo ci-dessous, je démontre comment contourner une politique WDAC stricte avec Loki C2. Les deux sections ci-dessous expliquent ce qui se passe dans la vidéo.
Pour cette démo, WDAC est déployé via l’Assistant de politique de contrôle d’application sur une instance EC2 Windows Server 2025 à jour dans AWS. L’assistant fournit trois modèles de politique de base :
Le mode Windows par défaut est le plus strict, permettant l’exécution de :
Dans la démo, la politique Mode Windows par défaut est sélectionnée. Le mode d’audit par défaut est désactivé afin que WDAC applique la politique immédiatement. En outre, l’option Fusionner avec les listes de blocage recommandées est cochée, ce qui inclut les règles de la liste de blocage WDAC recommandée par Microsoft. L’assistant de contrôle d’application génère un fichier XML et CIP pour la politique WDAC, qui est ensuite déployé sur le serveur à l’aide de CITool.exe.
Une fois le WDAC activé, je tente d’exécuter Loki C2 Agent.exe, mais le WDAC le bloque, car l’exécutable n’est pas signé par Microsoft.
Pour contourner cette restriction, je copie le contenu du répertoire /resources/app/ de Loki Agent. Un dossier nommé « teams » se trouve sur le bureau et contient une application Microsoft Teams héritée légitime. La consultation des propriétés de Teams.exe confirme qu’il est signé par Microsoft.
J’accède ensuite au répertoire /resources/ de l’application Teams et je supprime tous les fichiers existants. Une fois le dossier vidé, je colle le répertoire Loki C2 Agent /resources/app/ précédemment copié dans ~/Desktop/teams/resources/app/.
Avec cette modification, j’exécute Teams.exe en cliquant dessus. Étant donné que le fichier exécutable de Teams est signé par Microsoft, WDAC ne le bloque pas. Dans System Informer, nous pouvons constater que le processus Teams a bien été créé sans intervention de WDAC. Cependant, comme j’ai remplacé le répertoire /resources/app/ de Teams par le code de Loki C2 Agent, l’application Teams basée sur Electron exécute désormais le JavaScript de Loki C2 Agent dans le processus de confiance de Teams.
Le processus Teams rappelle avec succès le client Loki C2, et j’exécute plusieurs commandes pour démontrer le contrôle à distance du serveur compromis.
Après avoir obtenu un premier accès avec Loki C2, nous avons identifié plusieurs façons d’exécuter un agent C2 de niveau 2 plus performant, comme Dragon, le C2 interne développé par Shawn Jones (@anthemtotheego) et moi-même. Bien que les différentes méthodes d’escalade que nous avons découvertes depuis la création initiale de Loki C2 ne soient pas divulguées dans cet article, nous prévoyons de les couvrir dans les futures versions.
Lorsqu’elle est mise en œuvre correctement, cette technique continue de contourner les solutions de détection et réponse des points de terminaison (EDR) de haut niveau. Cependant, en l’absence d’un C2 furtif de niveau 2, les opérateurs doivent compter sur l’exécution de commandes via spawn, qui exécute des commandes dans des processus enfants. Cela déclenchera rapidement des détections post-exploitation contre les principaux EDR.
Loki C2 s’aligne avec la technique MITRE ATT&CK T1218.011 - Exécution de proxy binaire système : applications Electron.
Après avoir fait des recherches sur Internet, je n’ai pas découvert cette technique qui consiste à supprimer les applications Electron et à remplacer leur code par une C2 divulguée publiquement ou utilisée librement. Cependant, après avoir partagé Loki C2 avec des Red Teams de confiance, l’une d’elles a confirmé qu’elles avaient développé des fonctionnalités similaires en interne.
Même avec un ATT&CK TTP de MITRE, de multiples publications de recherche et une entrée dans le LOLBAS, cette technique de hollowing d’application Electron n’est toujours pas détectée. Je suppose que les solutions EDR ne se concentrent pas sur la détection de ce type de vulnérabilité, mais plutôt sur les indicateurs post-exploitation, tels que la création de processus enfants pour exécuter des commandes. Depuis que nous avons développé des méthodes pour déployer le C2 de niveau 2 tout en évitant ces détections courantes après exploitation, nous avons utilisé cette technique avec succès lors de multiples engagements tout en évitant la détection.
Compte tenu de tout cela, la prochaine fois que vous entendrez un fournisseur affirmer « Couverture MITRE à 100 % », mieux vaut vous demander ce que cela signifie réellement…
