Résultats de recherche pour bref

Post Repeated payload size in PowerShell

Posté le de Aucun commentaire ↓

Hello le monde ! et si on reprenait un peu le rythme avec un bout de PowerShell, non ? Cette semaine je vous partage quelques lignes de code qui m’ont permis de valider une règle de détection au taf. En effet quand un malware, virus, botnet ou un autre membre de cette grande famille s’installe sur un PC, une des première action qu’il va faire est de contacter son serveur de contrôle commande (C&C) ou à minima poster sur un site les infos qu’il a collecté. Et il arrive fréquemment qu’il fasse cette action de manière répétée, en envoyant toujours les même données.

Au niveau de la supervision, ça se détecte super bien dans les logs réseau (Proxy, Firewall ou IDS/IPS par exemple). Vous avez un flux répété à intervalles régulier qui fait toujours la même taille à l’octet prêt. Il faudra quant même « allow-listé » les quelques logiciel connus dans votre SI qui peuvent avoir ce comportement légitimement. Après ce qui reste ça vaut le coup de creuser un peu, vous avez une chance non-négligeable de chopper des vieux virus oublié sur votre parc qui n’arrivent plus à contacter leur C2 par exemple.

Bref, le script est en … Lire la suite

Matrix Resurrections – Edito

Posté le de Aucun commentaire ↓

Hello à tous, bon alors d’abord : oui je sais ça fait presque 3 mois que j’ai rien publié sur le blog. Promis il y a des bonnes surprises en préparation. Juste le rythme actuel me laisse moins de temps qu’avant pour vous balancer toutes mes idées à la c… sur le blog (en revancge le backlog des idées noté dans un coin se porte bien). En conséquence, je me concentre un peu plus sur les contenu qualitatifs, qui demande plus de temps ! Mais promis je vais bien, hein…^^. En parlant de contenu « quali », on a pas parlé de Matrix resurrections sur le blog, non ?

Dans le temps que je n’ai pas utilisé à vous écrire un article, j’ai quand même pris les 2h28 requise pour regarder Matrix resurrections et les 2h08 de plus pour regarder l’analyse de plus de Bruce (e-penser 2.0) sur le film. Et c’est probablement une des meilleurs vidéo YouTube que j’ai vu ces dernières année en fait.

Et comme j’ai pris une première claque avec le film, puis une seconde avec la vidéo de Bruce qui m’a montrer que j’avais probablement raté la moitié du sujet :’-). Je me … Lire la suite

Modification et stockage des logs avec syslog-ng

Posté le de Aucun commentaire ↓

Bonjour à tous, la semaine dernière je vous ai partagé une configuration rsyslog pour recevoir, écrire dans des fichiers tampon et re-forwarder des logs vers d’autres sources. Cette semaine, on refait la même chose avec la modification et stockage des logs avec syslog-ng.

Et vous allez voir, c’est quasiment la même chose.

Syslog-NG ?

Syslog-ng est une alternative « semi-opensource » à rsyslog pour gérer vos syslog. Il remplace rsyslog si vous l’installer sur votre Debian par exemple. Le produit est disponible sous licence LGPL en version Community et vous pouvez y ajouter des licences premium (payantes) pour avoir des consoles de gestion ou des Appliances spécifiques incluant de la recherche dans vos log (micro SIEM).

La solution est plus récente que rsyslog et est donc un poil plus facile à aborder (notamment au niveau des fichiers de confs) et la présence d’une version payante permet de s’appuyer sur le support éditeur en production (toujours souhaitable). En revanche c’est un poil moins connus dans la communauté et il peut parfois être plus dur de trouver de la ressources documentaires (la où rsyslog en a trop de son côté et pour 40 version différentes…^^)

Installation et configuration.

Bref, on veut ici … Lire la suite

City et Timezone mapping en PowerShell

Posté le de Aucun commentaire ↓

Bonjour à tous, ca fait longtemps que je vous ai pas partager un petit article sur PowerShell, non ? Du coup aujourd’hui on parle de City et Timezone mapping en PowerShell. En effet, j’ai eu besoin de faire un mapping entre des villes et pays que j’avais en entrée dans un AD et la timezone associé. Pour que le support puisse appeler les utilisateurs sur les bons créneaux. Et… c’était pas direct que ca en a l’air.

Alors je vais couper cours, pas de budget à y mettre. Donc les truc tout fait via API (comme Google Map platform), c’est pas possible. Pareil, pas de coordonnée que des noms villes et pays. Donc les trucs à base coordonnées GPS pas ouf non plus. Enfin les trucs gratuit comme timezonedb, c’était jouable. Mais j’avais 80 000 objets à traiter, avec la limitation a 1 call par seconde j’en aurait eu pour 22h minimum.

Bref, au final , je me suis rabatu sur geonames.org. Les données sont en accès libre Download / Webservice et j’ai fait un croisement « en local » (bien à l’ancienne comme il faut) que je vous donne ci-dessous.

#Download geonames database https://download.geonames.org/export/dump/
$datafile = "cities500"
Lire la suite