DNS sécurisé associatif – DNS zero

Hello à tous, je continue de tenter de tenir le rythme avec des « petits articles » rapide, faute d’avoir plus de temps à consacrer au blog. Aujourd’hui je voulais vous partager un petit projet de DNS sécurisé associatif nommé « ZERO ». DNS Zero, plus exactement, est une association française fondée par Romain Cointepas et Olivier Poitrey.

L’intérêt d’un DNS sécurisé associatif ? Pas de filtrage DNS par votre FAI (revoilà vos sites de torrents préférés accessibles), et la possibilité de bloquer les publicités directement sur le DNS, bon complément à Adblock ou uBlock, utilse avec les smartphone qui neutralise les bloqueur de pub. Mais surtout des vrais fonctions de sécurité qu’on utilise en entreprise, du genre le blocage :

  • des domaines enregistrés il y a moins de 30 jours ou qui on été inactif pendant longtemps;
  • des noms générés par des algorithmes de génération de domaine;
  • des homographes et autres typosquatting;

Et j’en passe, bref c’est plutôt cool. Ils ont même un DNS pour les marmot : KIDS, si vos mômes commencent à utiliser un PC/smartphone, qui filtre les domaines avec du contenu « adulte ». Bref c’est plutôt chouette et en plus c’est gratuit, du … Lire la suite

Édito – est ce qu’on met en prod aujourd’hui ?

Coucou les gens ! Bon,Il serait peu-être temps de remettre en prod le Blog, non? Mon dernier article date de Juin 2023 et j’ai rien fait depuis sur le site, à part empiler des brouillons d’articles dans le backlog et restaurer la DB hier qui s’était corrompue suite à une mise à jour… Alors qu’en vrai j’aurai plein de truc à vous raconter.

Après, sans que ce soit désagréable, faut dire je suis un peu beaucoup occupé (depuis bientôt 2 ans) à monter le meilleur CERT du monde dans une « petite PME de 50K employés » avec une dream team dont j’aurai même pas osé rêver. Comme ceux qui me suivent sur LinkedIn le savent déjà, vous pourrez au moins rattraper votre retard en lisant mon dernier MISC et écouter le NoLimitSécu associé. Voir même peu-être celui sur PowerShell que j’ai fait Avec Mickael chez cybersecuriteallday ?

Enfin tout ça pour dire, Est-ce qu’on remettrai pas le blog en prod aujourd’hui ? la réponse c’est par ici !

https://www.estcequonmetenprodaujourdhui.info/

Byz, j’essaie de vous préparer quelques articles… Lire la suite

Pandora analysis

Pandora

Hello tout le monde, aujourd’hui je vous propose de se pencher sur Pandora. L’outil d’analyse évoqué dans le NoLimitSecu #369. Pandora analysis est un outils d’analyse statique (c’est important) de fichier pour la cybersécurité. Le partie pris étant qu’il soit utilisable par le fameux « utilisateur lambda » (aka Mme Michu) et fournissent donc des réponses simple et rapidement.

Pandora se présente également sous la forme d’un cadriciel (oui, un Framework) et à donc vocation à permettre rapidement d’intégrer d’autre outils tiers dans les résultats. Les modules suivant sont buit-in dans la solution : hashlookup, hybridanalysis, irma, joesandbox, malwarebazaar, msodde, mwdb, ole, virustotal, xmldeobfuscator, yara.

Autant vous dire que ca fait du monde et que out-of-the-box vous avez déjà un bien bel outil d’analyse !

Installation de Pandora

Alors comme de plus ou plus souvent, un déploiement docker est disponible. Simplement les image ne sont pas proposé, à l’heure ou j’écrit ces lignes, sur le docker-hub. Ce qui implique de passer par un build local à votre serveur.

1. Cloner le repo github

cd /opt
git clone https://github.com/pandora-analysis/pandora.git

2. Editer votre docker compose ajuster à vos besoins. De … Lire la suite

Malware PowerShell Cors.ps1

Malware PowerShell Cors.ps1

Hello à tous, c’est la rentré et cette été je suis tombé sur un malware PowerShell Cors.ps1, plutôt rigolo, chez un pote. Depuis que je vous ai écrit un livre sur la Cybersécurité et PowerShell, je me suis dit que c’était un bon article pour la rentrée. L’avantage c’est que je peux vous le partager, d’autant que je n’ai pas trouvé trop de littérature dessus sur les sources habituelles et que le truc à pas l’air trop connus.

En terme de vecteur d’infection, cherchez pas, c’était l’installation d’un jeu vidéo piraté :-). Comme quoi, quand on vous le dit… C’est pas bien, toussa-toussa, vous êtes des grands garçon : vous faites ce que vous voulez. Le jeu piraté marchait bien, mais se mettait à ramer comme pas possible régulièrement, pas trop après un reboot et puis ça revenait au bout de 30/60min. Pas de symptômes sur le bureau, tous les graphe CPU/GPU était à zéro dans le gestionnaire de tâche. Un peu aléatoire, mais globalement son PC fonctionnait pas très bien depuis quelques temps.

Bref, je jette un oeil avec autoruns voir ce qui démarre en tâche plannifiée avec la machine et j’en sors vite deux bien cheloux :… Lire la suite