OSINT for the blue team – Shodan 101

Salut à tous, aujourd’hui je me suis payé un compte « member » sur Shodan sur les conseils de mon copain PYL. Donc je me suis dit que c’était l’occasion de se pencher sur la recherche en source ouverte (souvent dit OSINT pour Open Source INTelligence, et moins souvent ROSO en français pour Renseignement d’Origine Sources Ouvertes) et de vous un petit Tuto « OSINT for the blue team ».

Ce n’est pas nouveau comme sujet et ça fait plusieurs années maintenant que les pentesteurs et autre red-teamer savent bien qu’il faut toujours commencer leur travail par un tour sur Shodan, Google, Linkedin et compagnie pour trouver les trucs qui trainent dehors et qui ne devraient pas.

Pour info, j’ai aussi découvert Onyphe en concurrent français récemment. Je le trouve moins mature que Shodan. Mais, pour les curieux et ceux attachés à la souveraineté : allez jeter un œil.

OSINT for the blue team ? Pour qui ? pour quoi ?

Alors comme je l’ai dit l’OSINT pour les attaquants (qu’ils soient pentesteur bien intentionnés ou de vrai méchants) est un moyen connus depuis bien longtemps. Ça leur permet d’identifier le périmètre technique et organisationnel exposé sur Internet … Lire la suite

Cybersécurité et PowerShell – No Limit Sécu

No Limit Sécu

Bonjour à tous, cette semaine, Il y aura deux articles sur le blog : de la pure folie vu mon rythme de publication depuis 1 an, hein ? Et aujourd’hui c’est facile, je vous parle avec Arnaud Petitjean de mon livre Cybersécurité et PowerShell (chez les Éditions ENI) dans le podcast NoLimitSecu (épisode 362) de cette semaine !

https://www.nolimitsecu.fr/cybersecurite-et-powershell/

Cybersécurité et PowerShell
Ma vie, mon oeuvre… :’-D

On y reprend tranquillement le plan du livre avec les contributeurs pour vous donner une introduction aux différents chapitres abordés dans l’ouvrage en commençant avec le PowerShell pour les attaquants et jusqu’aux options pour la défense avec le langage de scripting de MS. Le tout accompagné d’un soupçon de troll, d’une référence à des gens qui se reconnaitrons, de plein de bienveillance et de fun.

Comme tout bon podcast qui se respecte il est disponible sur toutes les bonnes plateformes de streaming :

Bref, je vous souhaite une bonne écoute du podcast à tous (et bonne lecture à ceux qui lisent le livre) et un grand merci à toute l’équipe de NoLimitSécu !

Avant de vous laissez, un peu d’auto-pub (oui, encore) : je vous recommande à l’avance la lecture … Lire la suite

ShellBags for Forensics – Forensgeek

Forensics

Bonjour à tous, aujourd’hui je continue mes TP forensics et on va s’attaquer aux Shellbags (sacs à coquillage 🙂 ) et leur utilisation pour l’analyse à froid.

C’est quoi les Shellbags ?

Le plus simple pour réaliser ce que sont les Shellbags est de constater que lorsque vous fermer et rouvrez l’explorateur Windows, la fenêtre de celui-ci est rouverte exactement à la même position, avec la même taille de fenêtre et le même ordonnancement des éléments. Bah voilà, les shellbags ça sert à ça et donc à améliorer l’expérience utilisateur. Donc lorsqu’un utilisateur ouvre un répertoire ou change un élément de configuration d’une fenêtre (tri, affichage), un ShellBag est créé.

C’est où et il y a quoi dans un ShellBag ?

Alors contrairement au prefetch qu’on a vu la semaine dernière. Les Shellbags ne sont pas stockés sous forme de fichier mais dans le registre. Les clés qui nous intéressent aujourd’hui sont :

  • HKCU\Software\Microsoft\Windows\Shell\BagMRU
  • HKCU\Software\Microsoft\Windows\Shell\Bags
  • HKU\{SID}_Classes\LocalSettings\Software\Microsoft\Windows\Shell\BagMRU
  • HKU\{SID}_Classes\LocalSettings\Software\Microsoft\Windows\Shell\Bags

(Pour les anciens, sous Windows XP et 2003 le chemin de registre est : HKU\{SID}\Software\Microsoft\Windows\Shell\ et HKU\{SID}\Software\Microsoft\Windows\ShellNoRoam)

ShellBags

Au final dans le registre reste bien un « fichier » (point de magie dans ce bas monde) sur votre disque et dans le cadre … Lire la suite

Prefetch et Superfetch for Forensics – Forensgeek

Forensics

Bonjour à tous, aujourd’hui je continue la série de tutos Forensics et je vais vous parler des mécanismes de Prefetch et Superfetch.

C’est quoi le Prefetch et Superfetch ?

Prefetch (Prélecture en Français) sous Windows est une technique de préchargement des programme ou de mise en cache. En gros l’idée, c’est de manière à réduire les temps de chargement des gros exe (et donc l’expérience utilisateur) ou du boot de l’OS. L’idée c’est que Windows charge à l’avance en mémoire les binaires et données, pour les avoir direct sous la main quand il faudra les exécuter. La difficulté reste de prédire intelligemment les programmes qui vont être exécutés.

Un peu de contexte ! Dans les processus de gestion mémoire de Windows, il y a un module Windows Cache Manager qui surveille les données et programme que les processus charge depuis le disque en mémoire. Spécifiquement le Cache Manager va enregistrer les choses intéressantes à conserver lors du boot et au démarrage des processus ensuite. Les programmes et données à cacher sont ensuite placée dans le prefetch par le planificateur de tâches (Task scheduler) à la demande du Cache Manager. Au prochain boot ou à la prochaine exécution d’un programme, … Lire la suite