Antivirus

Les Antivirus peuvent souvent être utilisés pour élever ses privilèges sur un serveur / machine. Quelques trucs utiles:

• Avec droits admins: checker avec mimikatz si des creds sont en mémoire, notamment quand on lance un update de l’AV
• Sans droits admins: la même chose mais en interceptant un éventuel challenge / response vers un serveur de mise à jour (déjà vu sur Sophos)

Windows Defender

Désactiver les scans real time en ligne de commande:

Set-MpPreference -DisableRealtimeMonitoring $true

Désactiver Windows Defender via les clés de registres:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\real-time protection

Références

• GreHack 2018: Abusing Privileged File Manipulation - Clement Lavoillotte

AMSI

• How to bypass AMSI and execute ANY malicious Powershell code
• AMSI.fail: AMSI.fail generates obfuscated PowerShell snippets that break or disable AMSI for the current process.

Symantec

• From Read to Domain Admin – Abusing Symantec Backup Exec with Frida

McAfee

• McAfee privileged SiteList.xml leads to Active Directory domain privilege escalation (@tfairane)
• McAfee SiteList.xml password decryption

Sophos

• User accounts required by Sophos Enterprise Console
• Sophos Anti-Virus updater password decoder