Pandora analysis

Pandora

Hello tout le monde, aujourd’hui je vous propose de se pencher sur Pandora. L’outil d’analyse évoqué dans le NoLimitSecu #369. Pandora analysis est un outils d’analyse statique (c’est important) de fichier pour la cybersécurité. Le partie pris étant qu’il soit utilisable par le fameux « utilisateur lambda » (aka Mme Michu) et fournissent donc des réponses simple et rapidement.

Pandora se présente également sous la forme d’un cadriciel (oui, un Framework) et à donc vocation à permettre rapidement d’intégrer d’autre outils tiers dans les résultats. Les modules suivant sont buit-in dans la solution : hashlookup, hybridanalysis, irma, joesandbox, malwarebazaar, msodde, mwdb, ole, virustotal, xmldeobfuscator, yara.

Autant vous dire que ca fait du monde et que out-of-the-box vous avez déjà un bien bel outil d’analyse !

Installation de Pandora

Alors comme de plus ou plus souvent, un déploiement docker est disponible. Simplement les image ne sont pas proposé, à l’heure ou j’écrit ces lignes, sur le docker-hub. Ce qui implique de passer par un build local à votre serveur.

1. Cloner le repo github

cd /opt
git clone https://github.com/pandora-analysis/pandora.git

2. Editer votre docker compose ajuster à vos besoins. De … Lire la suite

Antivirus, PowerShell et ORC pour le Live-Forensics – MISC HS n°23

Hello à tous, l’année 2021 avait été généreuse en articles MISC aussi, et comme pour toutes mes précédentes publications chez MISC, j’ai repris la licence de « type B », Du coup aujourd’hui, je peux vous repartager sur le blog l’article sur les Antivirus, PowerShell et ORC pour le Live-Forensics, paru dans le hors série n°23 qu’on avait écrit avec PYL et Keny.

J’en profite pour préciser que si on jamais publié le code « complet » de Get-SPICE (shame on us), celui sert bien et est toujours en developpement à EDF au moment ou j’écrit ces lignes.

On a quand même publier l’agent au propre sur le GitHub Cyber d’EDF ce qui devrait vous permettre de sortir votre propre agents light rapidement.

https://github.com/SOC-EDF

Voilà c’est tout. Bonne lecture à tous et @+


Antivirus, PowerShell et ORC pour le Live-Forensics

MISC HS 23 | mars 2021 | Ladent Étienne, Lascaux Pierre-Yves, Saint Hilaire Keny

Dans un parc informatique de plusieurs dizaines de milliers de postes, détecter, chercher et récupérer des artefacts à distance est un travail difficile. Les outils de live-forensics et EDR sont les solutions généralement retenues pour ces usages, néanmoins leur mise Lire la suite

DFIR ORC, SEP et PowerShell – MISC Hors Série n°23 !

DFIR ORC, SEP et PowerShell

Bonjour à tous, l’article de cette semaine est dans votre MISC mag Hors série (n°23) de vendredi dernier et porte sur la mise en œuvre de DFIR-ORC pour le Live Forensics au travers d’un Framework PowerShell et de l’antivirus SEP, via sa fonction de contrôle d’intégrité (qui permet d’exécuter du code). Bref, c’est de la bonne lecture comme d’habitude !

Comme d’habitude aussi je vous divulgâche le chapeau :

Antivirus, PowerShell et ORC pour le Live-Forensics

Dans un parc informatique de plusieurs dizaines de milliers de postes, détecter, chercher et récupérer des artefacts à distance est un travail difficile. Les outils de live-forensics et EDR sont les solutions généralement retenues pour ces usages, néanmoins leur mise en œuvre peut s’avérer complexe sur des systèmes d’information modernes et des zones géographiques étendues. Cet article aborde les capacités de déploiement d’outils de live-forensics au travers des antivirus pour permettre la mise en œuvre des outils de référence, comme DFIR-ORC, lorsque c’est nécessaire.

Et pour rendre à mes co-auteurs ce qui leur appartient, je vous rappel que cette article a été rédiger en collaboration avec @neticien1 et @jukebox_re dont je vous invite à suivre les gazouillis. Et pour info, le système à base … Lire la suite