Overblog
Suivre ce blog Administration + Créer mon blog
2 avril 2020 4 02 /04 /avril /2020 15:32

En ces temps de confinement, je suppose que beaucoup vont être tentés, si ce n'est obligés, d'avoir recours à des machines virtuelles notamment pour le télétravail.

Voici quelques recommandations :

  1. faites les mises à jour "Windows Update" ;
  2. utilisez l'utilitaire "cleanmgr.exe", natif à Windows, pour faire le ménage : faites Démarrer, Exécuter, et tapez : cleanmgr  puis Entrée ; 
  3. utilisez "sdelete" de SysInternals (cf. https://docs.microsoft.com/en-us/sysinternals/downloads/sdelete ), afin de mettre à 0 les parties non utilisées du disque de la machine virtuelle. Ligne de commande : sdelete -z C:  ;
  4. éteignez la machine virtuelle ;
  5. utilisez votre virtualiseur (ex : VMWare Workstation, ou VMWare Player), pour faire un compactage du disque : allez dans Player -> Manage -> Virtual Machine Settings. Puis sélectionnez le disque, et cliquez sur "Compact".

Patientez un peu.... Et voilà !

Je récupère couramment entre 10 et 30% d'espace disque occupé par les disques des machines virtuelles, en plus de meilleures performances :)

Partager cet article

Repost0
5 novembre 2019 2 05 /11 /novembre /2019 23:49

While achieving regular maintenance on some workstation, using Chocolatey automation, I got the following error message:

[VX watch] Is latest gVIM Win64 binary compromised?

Well, there is indeed a detection in the Windows Defender history log!

And here is a bit of threat intel about it: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Trojan.Win32.INFOSTEAL.TIDAOCN   (at least, according to its alias link between TrendMicro and Microsoft...)

 

[VX watch] Is latest gVIM Win64 binary compromised?

Wait a minute, what??

Here is the file that was downloaded by Chocolatey automation system:

https://www.virustotal.com/gui/file/f8b7016c33097799900b15475b71f36dfd4acb1e946e8e2ec713b4d8e6f5cfe7/detection

 

 

[VX watch] Is latest gVIM Win64 binary compromised?

I therefore doublechecked a little quick on the official GVIM website: gvim.org and went to the official GitHub repo, to get the very last version available...

[VX watch] Is latest gVIM Win64 binary compromised?

So I quickly put that download link on VT: https://github.com/vim/vim-win32-installer/releases/download/v8.1.2256/gvim_8.1.2256_x64_signed.exe

And... wow:

https://www.virustotal.com/gui/file/03da37f20e3a73d8a4c7e9ace4b24d67f80af117d170d7b15a52eeba8d7e6606/detection

[VX watch] Is latest gVIM Win64 binary compromised?

I usually don't trust very much the "ML" and "IA stuff" like AV-detections, but this time, this is a bit consistent and I would prefer it not to be... But anyhow, the detection rate is by far lower from the file that Chocolatey was downloading on my box!

 

What happened?

1 AV engines doing a false positive, on the installer file of VIM 8.1 x64 latest build?? And/or Chocolatey's repository being compromised?

Sent message to Chocolatey team, let's see what's gonna be their reply...

 

IOC:

MD5: 7787dc90eb15dc5a04cdebcd46d65633

MD5: a575278bff5af556d480037a5b0c2e1b    

 

[Update 1]

The infected files, downloaded by Chocolatey, are being locally stored here:

C:\ProgramData\chocolatey\lib-bad\vim-tux.install

The file being detected is this one actually:  C:\ProgramData\chocolatey\lib-bad\vim-tux.install\tools\complete-x64_x64.exe->(7zSfx)->install.exe 

[Update 2]

Here is the report generated by JOE's sandbox, for the "install.exe" file...  https://www.joesandbox.com/analysis/188732/0/html  A bit disappointing :(

Partager cet article

Repost0
20 octobre 2019 7 20 /10 /octobre /2019 22:28

L'agent Windows pour Microsoft Azure Sentinel peut générer à lui tout seul un nombre assez importants d'événements SYSMON.

Exemple, pour l'événement 1 :

 

Il y a aussi des événements 18 liés à la création de "canaux nommés anonymes" :

J'ai proposé ces ajouts à notre cher ami Olaf :)  https://github.com/olafhartong/

 

NB : tiens d'ailleurs, il est intéressant je trouve de remarquer que Microsoft a fait resurgir MOM ("Microsoft Operations Management") du passé, pour son "tout nouvel agent" de son SIEM Azure Sentinel !

 

 

Partager cet article

Repost0
24 septembre 2019 2 24 /09 /septembre /2019 21:49

Lassé de devoir agréger et recouper des documentations à droite et à gauche, concernant le processus de traitement des incidents SSI (dits "cyber"), conformément aux bonnes pratiques, je vais donc en proposer une synthèse ici. Cela peut être utile pour les contextes de SOC/CSIRT (oui, restons européens :) ).

Voici les documentations sur lesquelles je m'appuie (et je félicite leurs auteurs au passage) :

 

Tout d'abord, dans le processus de traitement des incidents de sécurité S.I., il y a 3 phases fondamentales : 

  1. détection ;
  2. réaction ;
  3. post-incident.

Les puristes y rajouteront une quatrième phase, tout en premier : la préparation à l'activité de SOC/CSIRT. Soit.

Par ailleurs, il semble évident que selon la détection, la réaction appropriée à y apporter ne sera pas la même. Par exemple, si l'analyse incident de sécurité a abouti à la conclusion qu'une machine était compromise, réinstaller proprement ladite machine n'est pas suffisant : il faut aussi penser à réinitialiser les mots de passe des utilisateurs qui s'y sont connectés...

 

Revenons au processus de traitement.

En premier lieu, la phase de détection, qui se découpe en 2 étapes principales :

  1. la qualification : il s'agit de dire si oui ou non, il s'agit d'un incident de sécurité ("cyber") ;
  2. la caractérisation : si la réponse précédente est oui, alors il s'agit de déterminer à quelle attaque nous avons affaire, voire à quelle étape de la kill chain  nous sommes.

 

Puis, la phase de réaction se découpe, elle, en 2 étapes principales :

  1. le confinement : il s'agit d'isoler l'environnement compromis, afin de bloquer ou au moins limiter la latéralisation de l'attaquant ;
  2. l'éradication : là c'est la fin pour l'attaquant, le but est de le mettre vraiment dehors, qu'il s'agisse d'un simple code viral ou d'un accès malveillant à distance.

La combinaison des deux permet de parler, à mon sens, de remédiation.

Je voudrais d'ailleurs rappeler que le confinement et surtout l'éradication ne peuvent être efficaces que si le traitement en phase de détection a été suffisamment rigoureux... Par exemple, si jamais l'environnement compromis n'est pas bien identifié en phase de détection, alors la phase de réaction (et surtout l'étape d'éradication), ne sera pas des plus efficaces... A tout hasard, découvrir qu'un attaquant a encore l'accès admin aux équipements NIPS (pour supprimer ses propres alertes), la veille d'une bascule Active Directory, dénote clairement que la phase de détection n'a pas été correctement traitée. Sans parler des coûts (colossaux...!) des plans de remédiation à grande envergure, tout ça pour rien.

 

Enfin, la dernière phase : post-incident :

  1. rédiger une synthèse de l'incident : cela permet de garder une trace, facilement exploitable à posteriori si besoin, et cela crée au quotidien une base de connaissances ;
  2. déceler les points d'amélioration dans la supervision SSI : identifier ce qui peut être amélioré et ... le faire ! PDCA quand tu nous tiens !

 

J'explique tout cela depuis quelques années déjà dans mon cours. J'espère que, maintenant que je l'ai publié, ceci vous sera utile, à vous, mes lecteurs.

Partager cet article

Repost0
18 octobre 2018 4 18 /10 /octobre /2018 23:58

Cela fait plusieurs fois que la question m'est posée de comment renforcer la sécurité d'un PC Windows, typiquement grand public.

Voici donc quelques conseils simples :

  1.  Appliquer les 12 conseils de Kaspersky : http://cybersecurite.over-blog.com/2014/09/securite-informatique-12-conseils-pour-se-proteger.html
  2. installer AdBlock pour Internet Explorer et Edge (car quand on clique sur un lien dans un produit Microsoft, comme MS Office, c'est Internet Explorer qui est ouvert, même s'il n'est pas le navigateur par défaut) : https://adblockplus.org/fr/download. Cocher la case "Protection contre les logiciels malveillants" dans la configuration d'AdBlock;
  3. installer AdBlock pour votre navigateur favori (Chrome, Firefox, etc) https://adblockplus.org/fr/download. Cocher la case "Protection contre les logiciels malveillants" dans la configuration d'AdBlock ;
  4. faire un scan régulier avec Windows Defender Offlinehttps://support.microsoft.com/fr-fr/help/17466/windows-defender-offline-help-protect-my-pc ;
  5. Installer MalwareBytes, sans activer la démo de la version "premium" en fin d'installation https://fr.malwarebytes.com/mwb-download/thankyou/ et faire un scan régulier (au moins mensuel) ;
  6. installer Ccleaner et faire un nettoyage au moins mensuel : https://www.ccleaner.com/fr-fr/ccleaner/download/standard ;
  7. avoir un compte administrateur et un compte "simple utilisateur" distincts. Utiliser le compte "simple utilisateur" au quotidien, par défaut. L'autre compte ne doit être utilisé que pour des besoins d'administration du poste (ex : installation de logiciel).
  8. vérifier tous les jours que le Centre de maintenance (Windows 7), ou le Centre de Sécurité Windows Defender (Windows 10), n'indiquent pas d'erreur ni de message d'alerte. Remédier aux problèmes signalés sinon ;
  9. tester tout document reçu non confidentiel, et toute nouvelle application non confidentielle, avant installation, sur Virustotal : www.virustotal.com.

Partager cet article

Repost0
17 octobre 2018 3 17 /10 /octobre /2018 23:10

As you may know, some folks out there have published interesting SYSMON config parts. Basically, to exclude stuff that is legit and noisy, and include things that are suspicious by essence (even linking them with TTP!).

For instance: https://github.com/MotiBa/Sysmon/blob/master/config_v17.xml Great work!

But what I found out is that SYSMON can take a lot of CPU (and disk I/O) resources, as explained here:  https://twitter.com/ph_V/status/1049771902355558400

Well, still investigating it, but it appears that these perf issues are mainly related to the use of "ImageLoad" type events, and SYSMON v7/v8.

This actually means that the same XML config, to log/exclude the same events, does not lead to performance impacts while running SYSMON v6.10, and it does when you use it with SYSMON v7/V8 (after you convert the XML to be schema v4 compliant).

 

While we are at it, I am gonna publish here a few SYSMON rules, to exclude common security solutions that are noisy by default in SYSMON log, and are of very low interest in terms of logging.

 

TREND MICRO OfficeScan:

<Sysmon schemaversion="3.4"

 <ProcessCreate onmatch="exclude">

<Image condition="is">C:\Program Files (x86)\Trend Micro\BM\TMBMSRV.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Trend Micro\OfficeScan Client\TmopExtIns32.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Trend Micro\OfficeScan Client\TmExtIns.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Trend Micro\OfficeScan Client\TmListen.exe</Image>

</ProcessCreate>

 <NetworkConnect onmatch="exclude">

<Image condition="is">C:\Program files (x86)\Trend Micro\OfficeScan Client\tmlisten.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Trend Micro\BM\TMBMSRV.exe</Image>

 </NetworkConnect>

 

 

SOPHOS Antivirus:

<Sysmon schemaversion="3.4"

 <ProcessCreate onmatch="exclude">

Image condition="is">C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Sophos\Sophos System Protection\ssp.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Sophos\Remote Management System\RouterNT.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Sophos\Remote Management System\ManagementAgentNT.exe</Image>

</ProcessCreate>

 

 <NetworkConnect onmatch="exclude">

<Image condition="is">C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Sophos\Remote Management System\RouterNT.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe</Image>
      <Image condition="is">C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe</Image>
      <Image condition="is">C:\Program Files\Sophos\Sophos Network Threat Protection\bin\SntpService.exe</Image>

 </NetworkConnect>

 

 

KASPERSKY Antivirus:

<Sysmon schemaversion="3.4"

 <ProcessCreate onmatch="exclude">

<Image condition="begin with">C:\Program Files\Kaspersly Lab\</Image>

    </ProcessCreate>

 

 

ESET Nod32:

<Sysmon schemaversion="3.4"

 <ProcessCreate onmatch="exclude">

<Image condition="is">C:\Program Files\ESET\ESET Nod32 Antivirus\ekrn.exe</Image>

    </ProcessCreate>

 <NetworkConnect onmatch="exclude">

<Image condition="is">C:\Program Files\ESET\ESET Nod32 Antivirus\ekrn.exe</Image>

 </NetworkConnect>

 

 

SPLUNK Universal Forwarder:

<Sysmon schemaversion="3.4"

 <NetworkConnect onmatch="exclude">

 <Image condition="begin with">C:\Program Files\splunkUniversalForwarder\bin\</Image>

 </NetworkConnect>

 

 

MalwareBytes Antimalware:

<Sysmon schemaversion="3.4">

    <ProcessCreate onmatch="exclude">

    <Image condition="is">C:\Program Files\Malwarebytes\Anti-Malware\mbam.exe</Image>
    <Image condition="is">C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe</Image>
    <Image condition="is">C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe</Image>
    </ProcessCreate>

 

    <ImageLoad onmatch="exclude">

    <Image condition="is">C:\Program Files\Malwarebytes\Anti-Malware\mbam.exe</Image>
    <Image condition="is">C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe</Image>
    <Image condition="is">C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe</Image>

    </ImageLoad>
    

    <ProcessAccess onmatch="exclude">

      <SourceImage condition="is">C:\Program Files\Malwarebytes\Anti-Malware\mbam.exe</SourceImage>
      <SourceImage condition="is">C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe</SourceImage>
      <SourceImage condition="is">C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe</SourceImage>

    </ProcessAccess>

 

More to come :)

Partager cet article

Repost0
28 janvier 2018 7 28 /01 /janvier /2018 15:52

...even security guys! As for my contact Yogi Chandiramani:

The URL (Google URL shortener) redirects to (as of 01/28/18):

Thank you Yogi, but I don't need any kind of pill to loose weight :D

To the folks that are (still) reading my blog: be carefull! Any day, anytime, this can happen to you if you lower your defenses.

My 2 cents,

 

 

Partager cet article

Repost0
2 novembre 2016 3 02 /11 /novembre /2016 00:19
 
First, don't forget to change your APT sources.list as required.
Then, just do apt-get update && upgrade.
(not the dist-upgrade yet, less potential trouble for now).
 
Main urgencies, for messaging services, are MTA and security filters. Manually upgrade ClamAV, SpamAssassin, and your MTA (on my side, Exim).
You should see that ClamAV's engine is being upgraded, yaha!
Check that your MTA still works.
 
Now, you may experience lower antispam filtering efficiency... (as it happened to me). But no real daemons crash or errors in a loop.
Running sa-update may not even give you any error... but...
 
You may also see DKIM validation errors by your MTA, for senders that are known to be quite clean about that, for instance GMail.
 
Well, first thing I recommend then is to run Spamassassin in command line, debug mode on.
You are likely gonna see missing Perl modules...! (eg: DKIM)
if you see that dns is not available, don't worry, that's supposed to be regular for command line use of Spamassassin.
 
Do the same, meaning running in command line with debug mode on, for sa-update.
The same, you are likely to see missing Perl modules!
 
If you try to install them one by one, using CPAN command line, well... after 1 hour, tens of modules manually installed because of dependencies, you will probably end up in dead-ends, with strange compilation errors, missing modules, etc.
 
The solution: upgrade your whole CPAN first!
Be ready to be patient, it took me more than 45 min... with  numerous prompts to be validated on the fly (so you can't just go away and have a coffee, I recommend you to read the warnings/questions :) ).
Tens of modules to be upgraded/installed because of dependencies. The next guy that tells me Windows only is a mess in the IT world, I'll have him work on CPAN for 1 day long, then we'll discuss again about IT!
 
Anyway, some missing modules for your Spamassassin are gonna be installed/fixed. Manually install the remaining ones if needed.
 
[EDIT] BTW, you may need to run the CPAN upgrade command twice, because while CPAN tries to install missing dependencies, it seems (in my case at least) that it leaves the installation with errors at the end. Running the upgrade command again aims to install still missing dependencies, and then upgrade modules that need to! Wow...

Hope this helps.
 

Partager cet article

Repost0
5 janvier 2016 2 05 /01 /janvier /2016 18:51

Voici une liste de numéros de téléphone, que j'ai relevés principalement pour du démarchage coimmercial abusif (voire des "arnaques connues"):

  • continuent d'appeler alors qu'on demande explicitement à ne plus être contacté
  • et/ou refusent de donner leurs identifiants légaux (SIRET, RECS, etc)
  • et/ou refusent de nous passer un manager
  • et/ou refusent d'indiquer comment ils ont collecté nos informations personnelles (et les lois Informatique et Libertés alors ?)


Il est de la responsabilité de chacun de mettre ces numéros en blocage automatique sur les téléphones mobiles comme fixes, je ne peux être tenu pour responsable que ces numéros soient bloqués ou non.

Je publie ici de l'information sur ceux qui m'ont démarché de façon illégale et/ou douteuse, au moins pour que les internautes puissent tomber dessus en faisant des recherches Google ou BIng.


-------------------------------------------------------------------------------------------------------------------------

0179996754
Date : 08/12/15
assurance habitation, responsabilité civile, numéro à rappeler en 0890. 


0178907695
Date : 17/12/15
"préparation de votre commande, veuillez rappeler à ce numéro".

 

0178569561
Dates : 05/01/16, 04/01/16, 29/12/15, 23/12/15, 21/12/15, 16/12/15
Démarchage Free, "vous faire profiter d'une offre exceptionnelle"
NB : Rappellent alors que j'ai explicitement demandé ne plus être démarché par Free lors de précédents appels.

Partager cet article

Repost0
11 août 2015 2 11 /08 /août /2015 12:28

Rien qu'au niveau grammaire et orthographe, c'est tellement déplorable que ça en devient louche au-delà du procédé lui-même !

 

Citation du SMS reçu via Viber ce jour :

félicitations

Votre numéro de téléphone as été tirée au sort bravo vous avez gagnée un de ces prix maintenant votre code gagnant est le 65450 1 prix : une Mercedes C d une valeur de 30000 euros ou 30000 euros en espèce 2 prix un collier en diamant Hermes d une valeur de de 10000 euors ou en espèce 3 prix un voyage d une valeur de 2500 euros ou en espèce 4 prix un pack mobile logo et sonnerie valeur 400 euros 5 prix un bon d achat de 300 euros

appeler maintenant a ce numéro 002207711750 pour confirmer votre prix et n oublier pas votre code gagnant

Attention si vous n avez pas confirmer dans les 24 heures votre prix sera remis a une autre personne. et pour gagner 2 iphone6 pour toi et ton partenaire appel le 0037253105042 merci de votre participation 

ce numéro ne marche pas sur viber! veuillez nous appelez directement

 

"ne marche pas sur Viber" : bien sûr, un numéro +220 semblerait être en République de Gambie (https://en.wikipedia.org/wiki/The_Gambia), très crédible pour ce type d'opérations, et Viber pourrait augmenter le risque de pouvoir mieux tracer les individus...

 

Bref, liste noire recommandée pour :

002207711750 (+2207711750)

- 0037253105042 (+37253105042)

Partager cet article

Repost0