Accueil 2022 Page 6

Archives annuelles : 2022

Windows Shortcut Files (LNK) – Forensgeek

Posté le de Aucun commentaire ↓
Forensics

Bonjour à tous, ça doit bien faire une semaine qu’on a pas fait de forensics, non ? Aujourd’hui on continue la série forensgeek avec les Windows Shortcut Files (LNK) pour la forensics !

Les Windows Shortcut Files (LNK) en forensics ?

Vous allez me dire : « mais pourquoi tu nous parles des lnk ? on connait c’est les raccourcis Windows ! ». Alors oui, c’est bien de ça dont on va parler. Déjà, on va commencer par un rappel. Même si les .lnk de Windows ressemblent à des liens symboliques sous Unix, c’est pas tout à fait la même chose. un lien symbolique peut être utilisé exactement comme si vous tapiez sur le fichier réel pointé par celui ci. Alors qu’un lnk, c’est juste une extension de fichier qui défini un « format de pointeur » vers un autre fichier. Et comme vous le disiez, à peu près tout les utilisateur de Windows connaissent le principe des raccourcis.

Ce que les gens sachent beaucoup moins, c’est que l’OS de Microsoft génère aussi, en sous-marin, des raccourcis sans rien dire à personne. Assez simplement lorsqu’un fichier est ouvert dans l’explorateur Windows ou lors de l’exécution d’un programme, un raccourcis peut … Lire la suite

SRUM (System Ressource Utilization Manager) – Forensgeek

Posté le de Aucun commentaire ↓
Forensics

Bonjour à tous, aujourd’hui on continue la série Forensgeek avec un nouveau TP sur un élément analysable en investigation post-mortem, le SRUM (System Ressource Utilization Manager).

C’est quoi SRUM et ça sert à quoi ?

Le SRUM est présent depuis Windows 8 et enregistre l’activité relative à l’utilisation des ressources dans le système. On y retrouve des informations sur cycles CPU, les I/O disque ou réseau ou encore les notifications. C’est une sorte de journal d’évènements de performances des applications.

C’est où ?

Alors vous pouvez visualiser, partiellement, les informations dans le gestionnaire de tâches, onglet Historique des applications.

Après c’est une vue incomplète au dessus. L’ensemble des données est accessible dans deux emplacement :

  1. Le registre et la clé HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions. Attention, vous n’avez ici que les informations relatives à la dernière heure au maximum (purge horaire et celui-ci est aussi purgé à l’arrêt du système).
  2. le fichier SRUDB.dat dans C:\WINDOWS\System32\sru, mais vous n’avez pas la possibilité d’accéder facilement à ce fichier tant que le système est en ligne.

Pour les curieux le format du .dat, c’est un ESE pour Extensible Storage Engine (ESE). C’est un format propriétaire Microsoft, un peu à l’image d’un SQLlite ou vous avez … Lire la suite

Blacklist Iptables AbuseIPDB

Posté le de Aucun commentaire ↓
Blacklist Iptables AbuseIPDB

Bonjour à tous, aujourd’hui on va regarder comment on peut construire une Blacklist Iptables AbuseIPDB de 10 000 adresses IP malveillantes issu d’AbuseIPDB pour iptables et tout ça gratuitement !

AbuseIPDB ?

AbuseIPDB est un projet collaboratif (détenu par Marathon Studios Inc. depuis 2016) de déclaration des IP malveillantes de façon communautaire. Le service permet de :

  • signaler des adresses IP qui présentent des comportement aggressifs, par exemple : du portscan ou du bruteforce ;
  • contrôler si une IP est (ou a été) référencée par d’autres utilisateurs comme malveillante ;
  • récupérer des listes d’adresses IP pourries par API ou depuis l’interface web.

C’est ce dernier point qui nous intéresse aujourd’hui du coup.

Extraire les IPs malveillante d’AbuseIPDB

Alors il faut savoir qu’AbuseIPDB autorise une inscription gratuite. Celle-ci inclus un certain nombre d’appel à l’API. La première étape de ce tuto est donc de s’inscrire en Free. En « individuel » ou « webmestre », ce dernier profil vous permettant, si vous faire valider votre site si vous mettez jolie un badge abuseIPDB, comme ci-dessous, quelque part sur votre site. Cela permet de passer à 5000 requêtes de signalement au lieu de 1000 normalement.

AbuseIPDB Contributor Badge

Une fois que vous en êtes … Lire la suite

OSINT for the blue team – Shodan 101

Posté le de Aucun commentaire ↓

Salut à tous, aujourd’hui je me suis payé un compte « member » sur Shodan sur les conseils de mon copain PYL. Donc je me suis dit que c’était l’occasion de se pencher sur la recherche en source ouverte (souvent dit OSINT pour Open Source INTelligence, et moins souvent ROSO en français pour Renseignement d’Origine Sources Ouvertes) et de vous un petit Tuto « OSINT for the blue team ».

Ce n’est pas nouveau comme sujet et ça fait plusieurs années maintenant que les pentesteurs et autre red-teamer savent bien qu’il faut toujours commencer leur travail par un tour sur Shodan, Google, Linkedin et compagnie pour trouver les trucs qui trainent dehors et qui ne devraient pas.

Pour info, j’ai aussi découvert Onyphe en concurrent français récemment. Je le trouve moins mature que Shodan. Mais, pour les curieux et ceux attachés à la souveraineté : allez jeter un œil.

OSINT for the blue team ? Pour qui ? pour quoi ?

Alors comme je l’ai dit l’OSINT pour les attaquants (qu’ils soient pentesteur bien intentionnés ou de vrai méchants) est un moyen connus depuis bien longtemps. Ça leur permet d’identifier le périmètre technique et organisationnel exposé sur Internet … Lire la suite