DNS sécurisé associatif – DNS zero

Hello à tous, je continue de tenter de tenir le rythme avec des « petits articles » rapide, faute d’avoir plus de temps à consacrer au blog. Aujourd’hui je voulais vous partager un petit projet de DNS sécurisé associatif nommé « ZERO ». DNS Zero, plus exactement, est une association française fondée par Romain Cointepas et Olivier Poitrey.

L’intérêt d’un DNS sécurisé associatif ? Pas de filtrage DNS par votre FAI (revoilà vos sites de torrents préférés accessibles), et la possibilité de bloquer les publicités directement sur le DNS, bon complément à Adblock ou uBlock, utilse avec les smartphone qui neutralise les bloqueur de pub. Mais surtout des vrais fonctions de sécurité qu’on utilise en entreprise, du genre le blocage :

  • des domaines enregistrés il y a moins de 30 jours ou qui on été inactif pendant longtemps;
  • des noms générés par des algorithmes de génération de domaine;
  • des homographes et autres typosquatting;

Et j’en passe, bref c’est plutôt cool. Ils ont même un DNS pour les marmot : KIDS, si vos mômes commencent à utiliser un PC/smartphone, qui filtre les domaines avec du contenu « adulte ». Bref c’est plutôt chouette et en plus c’est gratuit, du … Lire la suite

Post Repeated payload size in PowerShell

Hello le monde ! et si on reprenait un peu le rythme avec un bout de PowerShell, non ? Cette semaine je vous partage quelques lignes de code qui m’ont permis de valider une règle de détection au taf. En effet quand un malware, virus, botnet ou un autre membre de cette grande famille s’installe sur un PC, une des première action qu’il va faire est de contacter son serveur de contrôle commande (C&C) ou à minima poster sur un site les infos qu’il a collecté. Et il arrive fréquemment qu’il fasse cette action de manière répétée, en envoyant toujours les même données.

Au niveau de la supervision, ça se détecte super bien dans les logs réseau (Proxy, Firewall ou IDS/IPS par exemple). Vous avez un flux répété à intervalles régulier qui fait toujours la même taille à l’octet prêt. Il faudra quant même « allow-listé » les quelques logiciel connus dans votre SI qui peuvent avoir ce comportement légitimement. Après ce qui reste ça vaut le coup de creuser un peu, vous avez une chance non-négligeable de chopper des vieux virus oublié sur votre parc qui n’arrivent plus à contacter leur C2 par exemple.

Bref, le script est en … Lire la suite

Cloner des pages web – Extension SingleFile

Bonjour à tous, un petit recommandation rapide aujourd’hui pour vous permettre de Cloner des pages web facilement avec l’extension SingleFile. En effet, il y a pas longtemps je préparais une campagne de sensibilisation au phishing pour un client et leur page de login d’entreprise ne laissait pas cloner facilement par un simple « Enregistrer sous » ou la fonction clone de mon Gophish.

Du coup j’ai tourné un peu avant de tomber sur la merveilleuse extension singlefile pour Google Chrome. Celle ci vous permet de Cloner des pages web et faire un export des dites pages web dans un seul fichier par page (comme son nom l’indique) et va regrouper tous les fichier chargé dans le corps du HTML. Cela va permettre d’inclure les JavaScript, les CSS et « inline ».

C’est juste trop pratique pour les campagnes de sensibilisation au phishing et cloner des pages de login « un peu compliqués ».

Voilà c’est tout comme je disais, c’est une version courte aujourd’hui, mais qui vaut le coup l’extension Single File m’a réellement débloquer. That’s all folks, Geekez bien !… Lire la suite

Build DFIR-ORC

Bonjour à tous, je vous fait un tuto pour Faire un build DFIR-ORC. En effet, on m’a dit dans l’équipe que c’était « compliqué » et que ça allait « prendre des jours » à faire.

Du coup, j’étais pas trop d’accord :-), et je me suis dit que c’était l’occasion de vous documenter le truc tout en donnant un outil de plus à ma team. Au final, j’avoue que la doc de l’ANSSI est quand même pas folle, mais on est loin du compliqué pour avoir un premier binaire utilisable en quelques heure.

Étape 1 : Build DFIR-ORC

Bon alors commencez par télécharger VSStudio 16-2019 (ça ne fonctionne pas pour l’instant avec la version 2022 :-), oui j’ai testé, contrairement à ce laisse penser la doc). Bonne nouvelle, pour l’instant cette version est toujours téléchargeable encore par là :

https://learn.microsoft.com/en-us/visualstudio/releases/2019/release-notes

Installez là en mode « par Défaut » et importer le fichier .vsconfig donné dans la doc.

Build DFIR-ORC

Et go cliquez en bas à droite sur modifier.

Build DFIR-ORC

Laisser VS code faire son installation en cliquant sur modify (a peine 11Go à télécharger, une paille, j’aurais aimé que MS maintienne sa VM Developper en version 2019 :’-) plutôt que de … Lire la suite