Résultats de recherche pour bref

BlockList iptable avec Splunk et d’AbuseIPDB

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui je continue avec un article qui suit ce qu’on avait fait avec la Blacklist Iptables AbuseIPDB la dernière fois. Cette fois on va voir comment construire une BlockList iptable avec Splunk et d’AbuseIPDB.

Qu’est ce que j’entends derrière ce titre ? Simplement que la blacklist ma dernière fois n’est pas très « maline ». Dans le sens, où on verrouille juste 10 000 IP comme des bourrins et sans trop se demander si les vulns ou services qu’elles checkent nous concerne en effet. Alors, ça ne sert pas à rien hein. C’est une bonne base à bloquer facilement mais ce n’est pas forcément utile dans le sens où ces 10 000 ne se connecterons pas forcément à votre site ou infra au final.

En effet, ce qu’on souhaiterai plus, notamment dans une optique de CTI (Cyber threat Intelligence) : c’est de bloquer (sinon détecter au moins) celles qui se connectent effectivement sur nos services (genre à la fail2ban). Le problème c’est que fail2ban c’est bien en protection mono instance. Mais, quand vous protégez tout un système d’information, ça ne passe pas super bien à échelle. Par exemple, je vous laisse imaginez quand vous … Lire la suite

Jump Lists – Forensgeek

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui on continue la série Forensgeek avec l’usage des Jump Lists pour la forensics.

C’est quoi les Jump Lists ?

Alors vous voyez dans L’explorateur Windows quand vous cliquez avec le bouton droit sur un icône de la barre des tâches ? comme ci dessous ? bah c’est ça les jump lists simplement.

Jump Lists

Comme les jumps lists sont gérées automatiquement par le système d’exploitation. leur analyse permet de mettre en avant l’exécution de programme ou l’accès à des fichiers. Un petit peu comme pour les Windows Shortcut Files vu la semaine dernière vous récupérerez au passage un timestamp des accès ainsi qu’un chemin ? Comme pour les Lnk, ca fonctionne également si le fichier ou programme source à été supprimé d’où l’intérêt pour la forensics.

C’est où les jump lists ?

Les Jump lists sont stockées dans le repertoire C:\Users\$Username\AppData\Roaming\Microsoft\Windows\Recent

Comme pour les shortcuts pour ceux qui suivent… en fait pas tout à fait, les Jump Lists sont stockées dans 2 sous dossier cachés : AutomaticDestinations et CustomDestinations. Elle se présente sous la forme de fichier au extensions .automaticDestinations-ms et .customDestinations-ms.

Le nom du fichier avant l’extension est en fait un identifiant de l’application auxquel … Lire la suite

Blacklist Iptables AbuseIPDB

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui on va regarder comment on peut construire une Blacklist Iptables AbuseIPDB de 10 000 adresses IP malveillantes issu d’AbuseIPDB pour iptables et tout ça gratuitement !

AbuseIPDB ?

AbuseIPDB est un projet collaboratif (détenu par Marathon Studios Inc. depuis 2016) de déclaration des IP malveillantes de façon communautaire. Le service permet de :

  • signaler des adresses IP qui présentent des comportement aggressifs, par exemple : du portscan ou du bruteforce ;
  • contrôler si une IP est (ou a été) référencée par d’autres utilisateurs comme malveillante ;
  • récupérer des listes d’adresses IP pourries par API ou depuis l’interface web.

C’est ce dernier point qui nous intéresse aujourd’hui du coup.

Extraire les IPs malveillante d’AbuseIPDB

Alors il faut savoir qu’AbuseIPDB autorise une inscription gratuite. Celle-ci inclus un certain nombre d’appel à l’API. La première étape de ce tuto est donc de s’inscrire en Free. En « individuel » ou « webmestre », ce dernier profil vous permettant, si vous faire valider votre site si vous mettez jolie un badge abuseIPDB, comme ci-dessous, quelque part sur votre site. Cela permet de passer à 5000 requêtes de signalement au lieu de 1000 normalement.

AbuseIPDB Contributor Badge

Une fois que vous en êtes … Lire la suite

OSINT for the blue team – Shodan 101

Posté le de Aucun commentaire ↓

Salut à tous, aujourd’hui je me suis payé un compte « member » sur Shodan sur les conseils de mon copain PYL. Donc je me suis dit que c’était l’occasion de se pencher sur la recherche en source ouverte (souvent dit OSINT pour Open Source INTelligence, et moins souvent ROSO en français pour Renseignement d’Origine Sources Ouvertes) et de vous un petit Tuto « OSINT for the blue team ».

Ce n’est pas nouveau comme sujet et ça fait plusieurs années maintenant que les pentesteurs et autre red-teamer savent bien qu’il faut toujours commencer leur travail par un tour sur Shodan, Google, Linkedin et compagnie pour trouver les trucs qui trainent dehors et qui ne devraient pas.

Pour info, j’ai aussi découvert Onyphe en concurrent français récemment. Je le trouve moins mature que Shodan. Mais, pour les curieux et ceux attachés à la souveraineté : allez jeter un œil.

OSINT for the blue team ? Pour qui ? pour quoi ?

Alors comme je l’ai dit l’OSINT pour les attaquants (qu’ils soient pentesteur bien intentionnés ou de vrai méchants) est un moyen connus depuis bien longtemps. Ça leur permet d’identifier le périmètre technique et organisationnel exposé sur Internet … Lire la suite