Utilisation de CACLS (ou similaires) pour les modifications des permissions

  • Description: Cela implique l’utilisation d’utilitaires en ligne de commande pour modifier directement les listes de contrôle d’accès (ACL) – les autorisations – associées aux fichiers ou dossiers. Bien que ce soit une commande plus ancienne, la plus moderne et puissante remplit le même rôle, aux côtés des commandes PowerShell comme et .cacls icacls Get-Acl Set-Acl

  • Mécanisme: Les bypasseurs exécutent des commandes spécifiques pour accorder ou (plus couramment) refuser des permissions à certains utilisateurs ou comptes système sur des objets cibles.

    • Exemple classique (contournement de prélecture) : Une technique bien connue consiste à modifier les autorisations du dossier. En utilisant pour refuser les permissions d’écriture du compte ou de certains comptes de service spécifiques (comme SysMain), le bypasser empêche le système d’exploitation de créer de nouveaux fichiers ou de mettre à jour ceux existants. Le dossier reste visible, mais le mécanisme de journalisation est silencieusement défectueux. Les commandes peuvent ressembler à : (Refuser l’écriture des données) ou des variantes similaires.C:\Windows\Prefetchicacls SYSTEM .p ficacls C:\Windows\Prefetch /deny SYSTEM:(WD)

    • Cacher les dossiers : Refuser au compte utilisateur du ScreenSharer (ou au groupe) les permissions « Lister le contenu du dossier » ou « Lire » sur un dossier spécifique peut effectivement le masquer à eux dans l’Explorateur de fichiers, même si des fichiers cachés sont configurés pour être affichés.Users

  • Pourquoi les tricheurs l’utilisent : Désactiver sélectivement les artefacts de journalisation (comme le prélecture) sans arrêter le service sous-jacent, ou cacher les dossiers contenant des triches/outils pour éviter la navigation directe pendant le partage d’écran.

  • Détection:

    • Vérifiez les paramètres de sécurité : Inspectez manuellement les autorisations des dossiers suspects (en particulier) ou des fichiers. Clic droit -> Propriétés -> onglet Sécurité -> Avancé. Cherchez des entrées explicites « Nier », des permissions attendues manquantes (comme l’accès d’écriture SYSTEM sur le préfetch), ou une propriété inhabituelle.C:\Windows\Prefetch

    • Revue USN () : Les modifications des permissions de fichiers ou de dossiers déclenchent un événement dans le journal USN, enregistré sur le chemin de l’objet modifié. Trouver des événements récents pour des emplacements critiques d’artefacts comme ça indique fortement une falsification.$UsnJrnl SECURITY_CHANGESECURITY_CHANGE C:\Windows\Prefetch

    • Journaux de commandement : Cherchez l’exécution de , , ou les commandes PowerShell pertinentes () dans les journaux de prélecture, BAM ou historique des commandes.icacls.exe cacls.exe Set-Acl

PrécédentModification de l’autorisation et de l’héritageSuivantDésactivation de l’héritage du registre/dossier

Mis à jour