Résultats de recherche pour outil

Pandora analysis

Posté le de Aucun commentaire ↓

Hello tout le monde, aujourd’hui je vous propose de se pencher sur Pandora. L’outil d’analyse évoqué dans le NoLimitSecu #369. Pandora analysis est un outils d’analyse statique (c’est important) de fichier pour la cybersécurité. Le partie pris étant qu’il soit utilisable par le fameux « utilisateur lambda » (aka Mme Michu) et fournissent donc des réponses simple et rapidement.

Pandora se présente également sous la forme d’un cadriciel (oui, un Framework) et à donc vocation à permettre rapidement d’intégrer d’autre outils tiers dans les résultats. Les modules suivant sont buit-in dans la solution : hashlookup, hybridanalysis, irma, joesandbox, malwarebazaar, msodde, mwdb, ole, virustotal, xmldeobfuscator, yara.

Autant vous dire que ca fait du monde et que out-of-the-box vous avez déjà un bien bel outil d’analyse !

Installation de Pandora

Alors comme de plus ou plus souvent, un déploiement docker est disponible. Simplement les image ne sont pas proposé, à l’heure ou j’écrit ces lignes, sur le docker-hub. Ce qui implique de passer par un build local à votre serveur.

1. Cloner le repo github

cd /opt
git clone https://github.com/pandora-analysis/pandora.git

2. Editer votre docker compose ajuster à vos besoins. De … Lire la suite

OpenCTI

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui on va se pencher sur la plateforme OpenCTI avec docker et portainer, comme d’habitude. OpenCTI c’est une plateforme de Cyber-Threat Intelligence qui a vocation a accueillir et gérer votre base de données d’indicateurs de compromission de sources externes ou internes et à servir de point de pivot avec l’ensemble de votre écosystème : cortex et the hive, AbuseIPDB, abuse.ch, les CVE du NIST, Splunk, et j’en passe… L’intérêt ? c’est que c’est un plateforme industrialisable avec des capacité de reporting intégré, une API toute prête, et un paquet de plugins communautaire déjà fait.

Rappel des articles de la série « Docker et Portainer » :

Lire la suite

The Hive & Cortex et installation Docker…

Posté le de Aucun commentaire ↓

Bonjour à tous, je me suis rendu compte que je ne vous ai jamais parlé du projet The Hive & Cortex. Et comme je refait un peu de docker ces derniers temps, je trouve que c’est l’occasion de vous faire un petit tuto sur The Hive.

Rappel des articles de la série « Docker et Portainer » :

The Hive, c’est quoi ?

The Hive est une plateforme open-source de réponse à incident. Open Source jusqu’en version 4, … Lire la suite

Application Compatibility – Forensgeek

Posté le de Aucun commentaire ↓

Bonjour à tous, pour changer on continue la série sur la forensics. Aujourd’hui je vais vous parler du ShimCache (dit aussi AppCompatCache, c’est la même chose), mais aussi du RecentFileCache et l’AMcache. Que l’on regroupe sous l’appelation Application Compatibility.

C’est quoi l’Application Compatibility de Windows ?

Alors l’Application Compatibility Cache, comme son nom l’indique, s’occupe d’assurer la rétrocompatibilité des applications prévus pour d’anciennes versions de Windows avec le système courant. Finalement, on y regroupe plusieurs éléments quand on parle forensics.

Le ShimCache (ou AppCompatCache)

D’abord de ShimCache, c’est un vieux truc qui date de Windows 95 ! Et dont le but initiale est surtout d’aider au débug pour les dev. Dedans, vous allez trouver plein d’informations relatives aux exécutions des programmes et qui peuvent varier un peu selon les versions de Windows. Vous trouverez notamment dans ce cache :

  • Le chemin complet de l’exécutable ;
  • La taille du fichier ;
  • Les date de dernière modification et d’exécution.
  • Si le programme a effectivement a lancé (mais pas trop loin hein).

RecentFileCache et AMcache

Le RecentFileCache est apparu avec Windows 2003 SP1 et le service « Windows Application Expérience Service Lookup ». Ce dernier a pour but de … Lire la suite