Post Repeated payload size in PowerShell

Posté le de Aucun commentaire ↓

Hello le monde ! et si on reprenait un peu le rythme avec un bout de PowerShell, non ? Cette semaine je vous partage quelques lignes de code qui m’ont permis de valider une règle de détection au taf. En effet quand un malware, virus, botnet ou un autre membre de cette grande famille s’installe sur un PC, une des première action qu’il va faire est de contacter son serveur de contrôle commande (C&C) ou à minima poster sur un site les infos qu’il a collecté. Et il arrive fréquemment qu’il fasse cette action de manière répétée, en envoyant toujours les même données.

Au niveau de la supervision, ça se détecte super bien dans les logs réseau (Proxy, Firewall ou IDS/IPS par exemple). Vous avez un flux répété à intervalles régulier qui fait toujours la même taille à l’octet prêt. Il faudra quant même « allow-listé » les quelques logiciel connus dans votre SI qui peuvent avoir ce comportement légitimement. Après ce qui reste ça vaut le coup de creuser un peu, vous avez une chance non-négligeable de chopper des vieux virus oublié sur votre parc qui n’arrivent plus à contacter leur C2 par exemple.

Bref, le script est en … Lire la suite

Édito – est ce qu’on met en prod aujourd’hui ?

Posté le de Aucun commentaire ↓

Coucou les gens ! Bon,Il serait peu-être temps de remettre en prod le Blog, non? Mon dernier article date de Juin 2023 et j’ai rien fait depuis sur le site, à part empiler des brouillons d’articles dans le backlog et restaurer la DB hier qui s’était corrompue suite à une mise à jour… Alors qu’en vrai j’aurai plein de truc à vous raconter.

Après, sans que ce soit désagréable, faut dire je suis un peu beaucoup occupé (depuis bientôt 2 ans) à monter le meilleur CERT du monde dans une « petite PME de 50K employés » avec une dream team dont j’aurai même pas osé rêver. Comme ceux qui me suivent sur LinkedIn le savent déjà, vous pourrez au moins rattraper votre retard en lisant mon dernier MISC et écouter le NoLimitSécu associé. Voir même peu-être celui sur PowerShell que j’ai fait Avec Mickael chez cybersecuriteallday ?

Enfin tout ça pour dire, Est-ce qu’on remettrai pas le blog en prod aujourd’hui ? la réponse c’est par ici !

https://www.estcequonmetenprodaujourdhui.info/

Byz, j’essaie de vous préparer quelques articles… Lire la suite

Matrix Resurrections – Edito

Posté le de Aucun commentaire ↓

Hello à tous, bon alors d’abord : oui je sais ça fait presque 3 mois que j’ai rien publié sur le blog. Promis il y a des bonnes surprises en préparation. Juste le rythme actuel me laisse moins de temps qu’avant pour vous balancer toutes mes idées à la c… sur le blog (en revancge le backlog des idées noté dans un coin se porte bien). En conséquence, je me concentre un peu plus sur les contenu qualitatifs, qui demande plus de temps ! Mais promis je vais bien, hein…^^. En parlant de contenu « quali », on a pas parlé de Matrix resurrections sur le blog, non ?

Dans le temps que je n’ai pas utilisé à vous écrire un article, j’ai quand même pris les 2h28 requise pour regarder Matrix resurrections et les 2h08 de plus pour regarder l’analyse de plus de Bruce (e-penser 2.0) sur le film. Et c’est probablement une des meilleurs vidéo YouTube que j’ai vu ces dernières année en fait.

Et comme j’ai pris une première claque avec le film, puis une seconde avec la vidéo de Bruce qui m’a montrer que j’avais probablement raté la moitié du sujet :’-). Je me … Lire la suite

Cloner des pages web – Extension SingleFile

Posté le de 1 commentaire ↓

Bonjour à tous, un petit recommandation rapide aujourd’hui pour vous permettre de Cloner des pages web facilement avec l’extension SingleFile. En effet, il y a pas longtemps je préparais une campagne de sensibilisation au phishing pour un client et leur page de login d’entreprise ne laissait pas cloner facilement par un simple « Enregistrer sous » ou la fonction clone de mon Gophish.

Du coup j’ai tourné un peu avant de tomber sur la merveilleuse extension singlefile pour Google Chrome. Celle ci vous permet de Cloner des pages web et faire un export des dites pages web dans un seul fichier par page (comme son nom l’indique) et va regrouper tous les fichier chargé dans le corps du HTML. Cela va permettre d’inclure les JavaScript, les CSS et « inline ».

C’est juste trop pratique pour les campagnes de sensibilisation au phishing et cloner des pages de login « un peu compliqués ».

Voilà c’est tout comme je disais, c’est une version courte aujourd’hui, mais qui vaut le coup l’extension Single File m’a réellement débloquer. That’s all folks, Geekez bien !… Lire la suite