Obfuscation de l’invite de commande (CMD)

  • Description: Cette technique n’empêche pas l’exécution des commandes mais vise à dissimuler visuellement les commandes saisies ou la sortie affichée dans la fenêtre de l’invite de commande () lors du partage d’écran.cmd.exe

  • Mécanisme: Consiste à manipuler les propriétés de la fenêtre CMD elle-même :

    • Transparence: Mettre l’opacité de la fenêtre à presque zéro, la rendant presque invisible.

    • Correspondance des couleurs : Définir la couleur du texte de l’écran pour qu’elle soit identique à la couleur d’arrière-plan de l’écran (par exemple, du texte noir sur un fond noir, ou du texte blanc sur un fond blanc). Cela rend invisibles toutes les commandes ou sorties saisies en arrière-plan.

  • Pourquoi les tricheurs l’utilisent : Pour masquer les actions effectuées via CMD (comme exécuter des scripts de nettoyage, exécuter des triches, supprimer des fichiers à l’aide de commandes) depuis la vue en temps réel du ScreenSharer, en espérant qu’ils ne le remarqueront pas ou ne vérifieront pas les logs alternatifs.del

  • Détection:

    • Vérifiez les propriétés de fenêtres : Si une fenêtre CMD semble non réactive ou vide, faites un clic droit sur sa barre de titre -> Propriétés -> onglet Couleurs. Vérifiez si les couleurs « Texte d’écran » et « Fond d’écran » sont identiques ou si les réglages d’opacité (s’ils sont disponibles/modifiés) sont anormaux. Réinitialiser les couleurs par défaut peut révéler du texte caché.

    • Journaux alternatifs : Cette méthode n’affecte que l’affichage visuel. Les commandes exécutées peuvent encore être enregistrées ailleurs, telles que :

      • Historique des commandes PowerShell () si les commandes étaient relayées via PowerShell.ConsoleHost_history.txt

      • Journaux d’événements spécifiques (par exemple, ID 4688 des journaux de création de processus si activé et capture des lignes de commande).

      • Traces laissées par les commandes exécutées elles-mêmes (par exemple, les entrées de prélecture pour les programmes lancés via CMD, les entrées du journal USN pour les fichiers supprimés via ).del

PrécédentSuspension filetée de serviceSuivantDésactivation des fonctionnalités système via la politique de registre/groupe

Mis à jour