Overblog
Suivre ce blog Administration + Créer mon blog
9 octobre 2013 3 09 /10 /octobre /2013 23:31

Pour McAfee, apparemment oui :

 

mcafee_indesirable_URL_annon_071013-copie-8.png

 

 

 

 

Partager cet article

Repost0
30 septembre 2013 1 30 /09 /septembre /2013 15:36

Pour ceux qui "testent" des configurations avec différents outils de scan, voici ce que je viens de tester sur un Win 7 64 bits : McAfee dit que sa protection temps réel ne fonctionne plus, ou du moins qu'elle tente de démarrer (sans jamais vraiment réussir...), dès que j'ai installé SpyBot S&D 2.1.

 

mcafee_protect_temps_reel_spybot_300913.PNG

 

Un peu inquiétant pour le niveau de protection antivirale de la machine, pour le coup !

L'affichage graphique est un peu troublant tout de même : "analyse temps réel lancée", et "démarratge en cours" ?

mcafee_protect_temps_reel_spybot_2_300913.PNG

 

Et au redémarrage, encore pire:

mcafee_protect_temps_reel_spybot_3_300913.PNG

 

Et pour finir, après désinstallation de SpyBot et redémarrage, tout est rentré dans l'ordre...

Je suspecte un conflit de hooks sur des routines du noyau (ce ne serait pas forcément un cas isolé...! )


 

Partager cet article

Repost0
22 juillet 2013 1 22 /07 /juillet /2013 14:32

Toutes ces informations étant visibles à tous, par les clients,je voudrais parler du niveau de sécurisation de postes de travail en agence, à la SG.

L'exemple vient ici d'une agence dans le 94 (je donnerai l'adresse exacte en privé pour ceux que cela intéresse).

 

Système d'exploitation : presque sûr du Windows XP, Luna désactivée... ce système est pourtant en fin de vie (fin de support en avril 2014 !) et Microsoft alerte depuis des mois l'urgence à le migrer...  Mais surtout cette version de Windows n'est pas armée pour se défendre contre les menaces actuelles : XP a été conçu il y a plus de 11 ans !

 

Antivirus : Sophos (vu l'icône non masquée à côté de l'horloge). Là par contre, je ne peux pas dire la version visuellement.

 

Navigateur : je parierais sur IE 7 !! mais cela pourrait être le 8. De toute façon les 9 et 10 ne sont pas supportés sous XP...  et la v8 est le minimum syndical aujourd'hui recommandé, niveau sécurité (malheureusement certaines fonctions de sécurité de IE marchent mieux avec des versions plus récentes de Windows...).

 

Et le clou du spectacle : l'application interne pour les changements de coordonnées et procurations (pas forcément critique, hum...) est un client léger (donc IE) en HTTP !! sic. Je passerai sur les nombreux bogues de session auxquels la pauvre conseillière a du faire face, des gels complets de l'appli jusqu'à des scénarios non gérés (informations non obligatoires avant, qui le deviennent et qui empêchent la mise à jour d'un compte...).

 

Je passe sur Office 2003 (Outlook) qui n'est pas non plus sécurisable aujourd'hui pour faire face aux menaces actuelles, et qui arrive également en fin de support en 2014...!

 

Ha mais j'oubliais ! accès Internet, depuis ce même poste de travail, en parallèle de l'application web, si si !!  :(

 

 

Je pense donc simplement terminer en rappelant cet article de l'ANSSI : http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/  

Partager cet article

Repost0
17 juillet 2013 3 17 /07 /juillet /2013 16:20

 

Un de mes collègues m'a remonté l'URL suivante, concernant une "alerte Flash Player pas à jour" :

 

http://watchnow.vehnix.com/?sov=255929006&hid=ckigcicqckgs&ctrl1=noiframe&id=aROS-verid60

 

Faux_FlashP_texte_170713.PNG

 

 Une autre URL menant au même endroit est la suivantehttp://watchnow.vehnix.com/?sov=217006002&hid=bljljlhbljljbjfr&ctrl1=noiframe&id=XNSX.fr%7C%7Cron02.com

 

Au niveau filtrage sur URL, c'est pas top :  https://www.virustotal.com/en/url/52f4f154396f9cc4a76950d4943007a02a50fe50579948712bd9da90a7f3ef94/analysis/1374070465/

 

Normalized URL: http://watchnow.vehnix.com/?sov=217006002&hid=bljljlhbljljbjfr&ctrl1=noiframe&id=XNSX.fr%7C%7Cron02.
Detection ratio: 0 / 39
Analysis date: 2013-07-17 14:14:25 UTC ( 1 minute ago

 

Et le système Web Inspector passe totalement à côté, malheureusement :

Faux_FlashP_webinspect_170713.PNG

 

 

En fait, le téléchargement à proprement parler se fait à partir de :  downloads.getsoftfree.com/get/click/4ff96d73/?uid=yk103C6NWl&filename=Flash%20Player%2012

 

 

1 moteur (Fortinet) sur VT le détecte actuellement :  https://www.virustotal.com/en/url/3bf0bd076801d6464d08dc331a63d9249f87a51af3dc5b00e2a73fbaafdc895d/analysis/1374070751/

 

Normalized URL: http://downloads.getsoftfree.com/get/click/4ff96d73/?uid=yk103C6NWl&filename=Flash%20Player%2012
Detection ratio: 1 / 39
Analysis date: 2013-07-17 14:19:11 UTC ( 1 minute ago )
Fortinet Malware site

Pour être encore plus précis, il faudrait ajouter à cela le moteur de Forefront TMG (car il le boque aussi).

 

 

 Puis, 7 moteurs AV sur 47 semblent détecter le fichier exécutablehttps://www.virustotal.com/en/file/d4b19779b88c99552b2524eb1fee2312ff11c6a95f28437dd65abef95d4071f9/analysis/1374070866/

SHA256: d4b19779b88c99552b2524eb1fee2312ff11c6a95f28437dd65abef95d4071f9
File name: setup.exe"; filename*=utf-8''Flash%20Player%2012.exe
Detection ratio: 7 / 47
Analysis date: 2013-07-17 14:21:06 UTC ( 4 minutes ago )

Agnitum 20130717
AhnLab-V3 20130717
AntiVir 20130717
Antiy-AVL 20130717
Avast Win32:Installer-L [PUP] 20130717
AVG 20130717
BitDefender 20130717
ByteHero 20130613
CAT-QuickHeal 20130717
ClamAV 20130717
Commtouch 20130717
Comodo Application.Win32.AirAdInstaller.A 20130717
DrWeb 20130717
Emsisoft 20130717
eSafe 20130714
ESET-NOD32 a variant of Win32/AirAdInstaller.A 20130717
F-Prot 20130717
F-Secure 20130717
Fortinet 20130717
GData 20130717
Ikarus not-a-virus:AdWare.Win32.AirAdInstaller 20130717
Jiangmin 20130717
K7AntiVirus 20130716
K7GW 20130716
Kaspersky 20130717
Kingsoft Win32.Troj.Generic.a.(kcloud) 20130708
Malwarebytes 20130717
McAfee 20130717
McAfee-GW-Edition 20130717
Microsoft 20130717
MicroWorld-eScan 20130717
NANO-Antivirus 20130717
Norman 20130716
nProtect 20130717
Panda 20130717
PCTools 20130717
Rising 20130717
Sophos AirInstaller 20130717
SUPERAntiSpyware 20130717
Symantec 20130717
TheHacker 20130717
TotalDefense 20130717
TrendMicro 20130717
TrendMicro-HouseCall 20130717
VBA32 20130717
VIPRE AirInstaller (fs) 20130717
ViRobot 20130717

 

Certes, ClamAV est à rajouter dans cette liste, bien qu'il n'y apparaisse pas, car il le détecte en PUA.

 

Moralité, l'approche de défense en profondeur est encore une fois nécessaire ! Il ne va pas être simple à mon avis d'expliquer aux utilisateurs lambdas ici qu'il s'agit d'une vraie-fausse alerte, aux mêmes couleurs que la vraie...!  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Partager cet article

Repost0
16 juillet 2013 2 16 /07 /juillet /2013 13:00

 

While checking Update Checker results, I saw the following:

 opera_update-checker_160713-copie-1.PNG

 

A bit astonished, since I believe I had manually checked for Opera's updates...

 

Nonetheless, let's do it once again.

opera-version_update-checker_160713.PNG

 

 Hmmm okay my Opera is not the version 15...

 Let's try to update it then!

opera-test_update-checker_160713.PNG

 oooops... must be something wrong here! :(

 

In a nutshell, it's good to have software updates reminders, but best to have a repro (test lab) to investigate and double check before ringing the bells...! 

 

Partager cet article

Repost0
9 juillet 2013 2 09 /07 /juillet /2013 11:36

Un peu de veille, de temps en temps. Laisser quelques machines tourner avec des configs courantes, et observer ce qu'il se passe.

Ici, un Java 7 mise à jour 17 sur un XP SP3 basique, tente de se mettre à jour vers la dernière version en date : la u25.

 

Ok, l'avertissement "nouvelle mise à jour de Java disponible" apparaît comme un grand.

Ok, si l'on clique sur l'icône dans la barre de notification, la procédure de mise à jour se lance...

 

MAIS... le processus global échoue.

 

MaJ_java_XP_7u25_err_090713.PNG

La session est pourtant administrateur local du poste... Que faut-il de plus ? Ok l'accès Internet passe par un proxy mais il est paramétré dans tous les navigateurs (dont IE)...

Ce n'est pas la première fois que je constate ce type de plantages lors de la mise à jour de Java en automatique.

Voici qui devait expliquer au moins en partie pourquoi le parc Java dans le grand public, mais aussi en PME, migre très mal tout seul vers des versions à jour...

A vos gestions de parc, donc...

 

Partager cet article

Repost0
2 juin 2013 7 02 /06 /juin /2013 21:52

En regardant l'émission Capital sur M6, concernant l'espionnage dans le cadre du travail (sujet toujours intéressant... :) ) j'ai repéré qu'il était question apparemment de l'outil Revealer Keylogger.

 

J'ai voulu vérifier... et effectivement, un logiciel éponyme existe : http://www.logixoft.com/fr-fr/index On remarquera que la version payante propose des fonctions supplémentaires (http://www.logixoft.com/fr-fr/free-keylogger-download), proches du rootkit dans le principe : invisibilité dans le Gestionnaire des tâches, invisibilité dans l'Explorateur Windows (et non pas "sur le disque", à mon avis...), invisibilité dans les modules de démarrage (à vérifier quand même avec un Autoruns, mais soit).

 

Un doute me prend quant à la détection antivirale... Ouf, au moins, Windows Defender sous Windows 7 le détecte en natif ! (malheureusement, sous XP, par exemple, cela ne se produira pas par défaut).

Capture_Revealer-keylogger_020613.PNG

 

Voici ce que VirusTotal dit (https://www.virustotal.com/fr/file/f20f231ce7c5ec7a0c0ac285f50e4cffe5846a2b3ad77bbe1e8eaff7739faad0/analysis/1370203333/) :

 

SHA256: f20f231ce7c5ec7a0c0ac285f50e4cffe5846a2b3ad77bbe1e8eaff7739faad0
SHA1: 733aa0eccffb0ededda09670db209418e2a7c65c
MD5: 053b89c5eb2200969bc027c58f49bd74
Taille du fichier : 403.6 KB ( 413248 bytes )
Nom du fichier : rvlkl.exe
Type du fichier : Win32 EXE
Ratio de détection : 6 / 45
Date d'analyse :

2013-06-02 20:02:13 UTC (il y a 1 minute)  

 

Agnitum   20130602
AhnLab-V3   20130602
AntiVir   20130602
Antiy-AVL   20130602
Avast   20130602
AVG   20130602
BitDefender   20130602
ByteHero   20130529
CAT-QuickHeal   20130531
ClamAV   20130602
Commtouch   20130601
Comodo   20130602
DrWeb   20130602
Emsisoft Win64/KeyLogger.RevealerKeylogger.AMN (A) 20130602
eSafe   20130530
ESET-NOD32 a variant of Win64/KeyLogger.RevealerKeylogger.NAA 20130602
F-Prot   20130601
F-Secure   20130602
Fortinet   20130602
GData   20130602
Ikarus   20130602
Jiangmin   20130602
K7AntiVirus   20130531
K7GW   20130531
Kaspersky   20130602
Kingsoft   20130506
Malwarebytes Keylogger.Logixoft 20130602
McAfee   20130602
McAfee-GW-Edition   20130602
Microsoft MonitoringTool:Win32/RevealerKeylogger 20130602
MicroWorld-eScan   20130602
NANO-Antivirus   20130602
Norman   20130602
nProtect   20130602
Panda Suspicious file 20130602
PCTools   20130521
Rising   20130531
Sophos   20130602
SUPERAntiSpyware   20130602
Symantec   20130602
TheHacker   20130601
TotalDefense   20130602
TrendMicro   20130602
TrendMicro-HouseCall TROJ_GEN.F47V0526 20130602
VBA32   20130531
VIPRE   20130602
ViRobot   20130602

 

 

En d'autres termes, des solutions antivirus très courantes en entreprise, comme McAfee, Symantec, Sophos, et même Trend dans une certaine mesure, ne voient rien... D'autres solutions, répandues dans le grand public, comme AVAST ou Antivir, ne voient rien non plus :( Autrement dit, la discrétion peut être réelle pour une personne non sensibilisée (voire même à l'insu des administrateurs du parc, qui feront confiance à l'antivirus de la machine !). 

 

Pour ceux qui ont un doute, je recommanderais de lancer un scan avec par exemple Windows Defender Offline (http://windows.microsoft.com/fr-fr/windows/what-is-windows-defender-offline), ou le CD de ESET.

 

Merci néanmoins à Capital pour avoir tenté de sensibiliser le public sur le sujet, et avec des cas visiblement réalistes !

 

 

Partager cet article

Repost0
23 mai 2013 4 23 /05 /mai /2013 23:32

Mes antennes m'ont alerté...


Voici une capture d'écran de la communication envoyée par le Club à ses membres (les fameux GM ;) ), pour indiquer que leur mot de passe a été changé (de force...! ) et qu'ils doivent en spécifier un nouveau pour remplacer celui temporaire (fourni dans le courriel)...

annonce_changement_MdP_230513.PNG

 

Cela ressemble étrangement à une action suite à une suspicion d'intrusion... par précuaution voire par nécessité.

Je n'ai pas trouvé trace d'annonce d'un tel incident... si quelqu'un a l'info, je suis preneur :)

Partager cet article

Repost0
23 mai 2013 4 23 /05 /mai /2013 18:35

Comme souvent, un point de départ totalement hors sujet antivirus... En navigant sur : www.mediapart.fr !

Et notamment : http://www.mediapart.fr/journal/france/070513/sarkozy-black-out-sur-son-compte-de-campagne

SquidClamAV déclenche différentes alertes mais qui ne sont pas visibles durant la navigation. Il doit s’agir de composants imbriqués dans la page globale visitée, et seule l’analyse des journaux (snif) lève le lièvre.

<snip>

1368390567.284    582 192.168.XXX.YYY TCP_MISS/301 567 GET http://level3.cedexis.com/r15/32/r15.html? - DIRECT/207.123.33.126 text/html

1368390567.427    108 192.168.XXX.YYY TCP_MISS/200 896 GET http://192.168.XXX.ZZZ/cgi-bin/clwarn.cgi.fr_FR? - DIRECT/192.168.XXX.ZZZ text/html

<snip>

1368390575.246    296 192.168.XXX.YYY TCP_MISS/301 566 GET http://sfr.cedexis.com/r15/102/r15.html? - DIRECT/93.17.156.250 text/html

1368390575.387     99 192.168.XXX.YYY TCP_MISS/200 894 GET http://192.168.XXX.ZZZ/cgi-bin/clwarn.cgi.fr_FR? - DIRECT/192.168.XXX.ZZZ text/html

<snip>

1368390584.019    820 192.168.XXX.YYY TCP_MISS/200 530 GET http://ec2-ap-northeast-1a.cedexis.com/r15/r15lgc.js? - DIRECT/175.41.250.60 application/x-javascript

1368390584.460    387 192.168.XXX.YYY TCP_MISS/301 578 GET http://ec2-ap-northeast-1a.cedexis.com/r15/r15.html? - DIRECT/175.41.250.60 text/html

1368390584.601     84 192.168.XXX.YYY TCP_MISS/200 902 GET http://192.168.XXX.ZZZ/cgi-bin/clwarn.cgi.fr_FR? - DIRECT/192.168.XXX.ZZZ text/html

1368390600.699    156 192.168.XXX.YYY TCP_MISS/200 646 GET http://static.mediapart.fr/cedexis/cdx10b.js? - DIRECT/95.131.141.3 application/javascript

1368390600.843    114 192.168.XXX.YYY TCP_MISS/200 646 GET http://static.mediapart.fr/cedexis/cdx10b.js? - DIRECT/95.131.141.3 application/javascript

1368390602.150   1276 192.168.XXX.YYY TCP_MISS/200 100548 GET http://static.mediapart.fr/cedexis/cdx10b-100KB.js? - DIRECT/95.131.141.3 application/javascript

1368390602.385    214 192.168.XXX.YYY TCP_MISS/200 349 GET http://report.init.cedexis-radar.net/f1/aqfQCW4caFOOaaaaJpUpuqxUksGaCJgjW49raiZ7J1hqrsipaaaaaaaaaaaaaaaaaZDjafspaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaagZGaaaaaaaaa/1/10490/1986/1/0/179/0 - DIRECT/178.33.229.168 application/x-javascript

1368390602.450    227 192.168.XXX.YYY TCP_MISS/200 349 GET http://report.init.cedexis-radar.net/f1/aqfQCW4caFOOaaaaJpUpuqxUksGaCJgjW49raiZ7J1hqrsipaaaaaaaaaaaaaaaaaZDjafspaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaagZGaaaaaaaaa/1/10490/1986/0/0/139/0 - DIRECT/178.33.229.168 application/x-javascript

1368390602.473    250 192.168.XXX.YYY TCP_MISS/200 349 GET http://report.init.cedexis-radar.net/f1/aqfQCW4caFOOaaaaJpUpuqxUksGaCJgjW49raiZ7J1hqrsipaaaaaaaaaaaaaaaaaZDjafspaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaagZGaaaaaaaaa/1/10490/1986/14/0/619/0 - DIRECT/178.33.229.168 application/x-javascript

1368390603.341    367 192.168.XXX.YYY TCP_MISS/200 296 GET http://ping.chartbeat.net/ping? - DIRECT/184.73.194.227 image/gif

1368390604.311    119 192.168.XXX.YYY TCP_MISS/200 359 GET http://probes.cedexis.com/? - DIRECT/37.59.8.25 application/javascript

 

En prenant la requête http juste avant celle où le poste est redirigé sur la bannière d’alerte, voici la vraie l’alerte qui devrait apparaître :

squidclamav_alerte_130513-copie-1.png

D’après le nom de la détection, « Xored », quiconque suivant un peu les modes du monde souterrain VX, hausserait les sourcils. XOR est couramment utilisé pour obfusquer, embrouiller, bref dissimuler du code qui normalement serait « attrapé » par de la recherche de motifs.

Voici le code de la page en question :

 

 

<html>

<head>

<meta charset="utf-8"/>

<title></title>

<script>

function cdxt(){this.a=function(){this.c=/rnd=(\d+)-(\d+)-(\d+)-(\d+)-(\d+)-(\d+)-(\w+)-(\d+)/.exec(window.location.search);this.b({s:"l"})};this.b=function(d){var c=window,b=this.c;if(c!==c.parent){d.p={z:b[2],c:b[3],i:b[6]};d.r={z:b[4],c:b[5]};d.m=b[1];c.parent.postMessage(JSON.stringify(d),"*")}};this.d=function(){setTimeout(this.e(),0)};this.e=function(){var a=this;return function(){a.f()}};this.f=function(){var b,j,h,g,m,a,l=0,k,f=[],c="abcdefghijklmnopqrstuvwxyz0123456789",d={};try{j=document.childNodes[1].outerHTML;h=this.c;g=parseInt(h[8],10);for(a=0;a<h[7].length;a++){l+=h[7].charCodeAt(a)}k=Math.floor(l/h[7].length);m=Math.floor(j.length/g);for(a=m;a<j.length;a+=m){f.push(c.charAt((j.charCodeAt(a)^k)%c.length))}b=window.performance.timing;d={s:"s",h:f.join("")};for(a in b){if("number"===typeof b[a]){d[a]=b[a]}}this.b(d)}catch(i){this.b({s:"e"})}}}if("undefined"===typeof cdxu){(function(){var g=window,f=new cdxt(),e=function(){f.d()},i="addEventListener",h="attachEvent";f.a();if(g[i]){g[i]("load",e,false)}else{if(g[h]){g[h]("onload",e)}}}())};

</script>

</head>

<body>

        <!-- Copyright 2012 Cedexis Inc. -->

</body>

</html>

 

 

 

OK, il y a bien du Javascript, qui n’a pas l’air très lisible à première vue.

Première hypothèse : le site ou la page ont été compromis, c’est une vraie bannière virale… (avec redirection ailleurs, code d’exploitation, ou pire préparation de la mémoire avant de lancer l’attaque…).

On pourrait espérer qu’au moins un des moteurs antiviraux les plus utilisés, déclenche… que nenni (résultats VT) :

 

SHA256:

894f4863798eaf050021d0220e0ecdc5cb0c737622cd2b9c201974026f24f0df

Nom du fichier :

r15.html

Ratio de détection :

0 / 46

Date d'analyse:

2013-05-12 20:38:03 UTC

 

Antivirus

Résultat

Mise à jour

Agnitum

20130512

AhnLab-V3

20130512

AntiVir

20130512

Antiy-AVL

20130512

Avast

20130512

AVG

20130512

BitDefender

20130512

ByteHero

20130510

CAT-QuickHeal

20130510

ClamAV

20130512

Commtouch

20130512

Comodo

20130512

DrWeb

20130512

Emsisoft

20130512

eSafe

20130509

ESET-NOD32

20130512

F-Prot

20130512

F-Secure

20130512

Fortinet

20130512

GData

20130512

Ikarus

20130512

Jiangmin

20130512

K7AntiVirus

20130510

K7GW

20130510

Kaspersky

20130512

Kingsoft

20130506

Malwarebytes

20130512

McAfee

20130512

McAfee-GW-Edition

20130512

Microsoft

20130512

MicroWorld-eScan

20130512

NANO-Antivirus

20130512

Norman

20130512

nProtect

20130512

Panda

20130512

PCTools

20130512

Sophos

20130512

SUPERAntiSpyware

20130512

Symantec

20130512

TheHacker

20130509

TotalDefense

20130512

TrendMicro

20130512

TrendMicro-HouseCall

20130512

VBA32

20130510

VIPRE

20130512

ViRobot

20130512

 

 

 

Oups… ClamAV ne remonte pas de détection mais ha oui c’est vrai, « c’est un PUA donc pas affiché en page principale des résultats ». Soit.

Ne nous désarmons pas, vérifions aussi niveau URL :

 

 

URL Scanner

Résultat

URL normalisée :

http://netdna.cedexis.com/r15/275/r15.html

Ratio de détection :

0 / 39

Date d'analyse :

2013-05-12 20:36:56 UTC (il y a 3 minutes)

Analyse de fichier :

Le contenu de la réponse de l'URL ne peut pas être récupéré ou il s'agit d'un format texte (HTML, XML, CSV, TXT, etc.), cela n'a donc pas été ajouté à la file d'attente.

ADMINUSLabs

Clean site

AlienVault

Clean site

Antiy-AVL

Clean site

Avira

Clean site

BitDefender

Clean site

C-SIRT

Clean site

CLEAN MX

Clean site

Comodo Site Inspector

Clean site

CyberCrime

Unrated site

Dr.Web

Clean site

ESET

Clean site

Fortinet

Unrated site

G-Data

Clean site

Google Safebrowsing

Clean site

K7AntiVirus

Clean site

Kaspersky

Unrated site

Malc0de Database

Clean site

Malekal

Clean site

MalwareDomainList

Clean site

MalwarePatrol

Clean site

Minotaur

Clean site

Netcraft

Clean site

Opera

Clean site

ParetoLogic

Clean site

Phishtank

Clean site

Quttera

Clean site

SCUMWARE.org

Clean site

SecureBrain

Unrated site

Sophos

Unrated site

SpyEyeTracker

Clean site

Sucuri SiteCheck

Clean site

URLQuery

Unrated site

VX Vault

Clean site

Websense ThreatSeeker

Clean site

Wepawet

Unrated site

Yandex Safebrowsing

Clean site

ZDB Zeus

Clean site

ZeusTracker

Clean site

zvelo

Clean site

 

 

Là par contre, ça en devient un peu frustrant…

Seconde hypothèse ( L ), c’est un faux positif… Il me reste à remonter l’échantillon à ClamAV.

 

Partager cet article

Repost0
23 mai 2013 4 23 /05 /mai /2013 00:47

Just sharing my thoughts and experience here... hope that will help some folks.

 

Main missions of the SOC are in bold.

 

 

"watch"

  • External:
  • Technology watch: new softwares, new OS, new languages, new protocol specs
  • Security watch: new attacks, new threats, what to expect, new tools
  • Legal watch: what no to do, how to do things, copyright/trademark cunterfeit issues, PII, jus soli issues, regulations

 

  • Internal:
  • Software & hardware inventories updates and improvements
  • Security instructions: patch deployment requests (could be linked to RFC)
  • Security trainings delivery, education.

 

 

Incident Response:

  • Detection: from stats, internal data capture (honeypot, netw trace, etc) , and directly from security administrators reports. Correlation
  • Cases handling; investigation instruction supply (on the behalf of the internal control/police dept), analysis/forensics
  • Confidentiality loop enforcement
  • Court of law procedure / pure internal procedure specific due care (choice to be made)
  • Feedbacks to management, business

 

 

Security crisis:

  • Alert VIP/management when an incident is either production critical, or concerns several internal entities (transverse)
  • Secucity crisis management (operations, roles/missions dispatch, coordination, reportings)

 

 

Reportings:

  • AV/proxies/NIPS detections stats
  • Sec fixes deployment stats
  • Global current trend of ongoing security incidents
  • Major security incidents status/sum-up
  • Users accounts activity report (passwords activity, provisionning sum-up)
  • Inventories correlation/cross: IP (network), AD, park management, IAM, etc.

 

 

Operational security support to projects

  • Assistance: help in understanding the current security policy, help in finding relevant solutions that are compliant with sec policy, help with risk assessment
  • Make sure remaining risks are associated to relevant management.
  • Supply of security best practices docs: procedures, admin guides, etc.

 

Security policy exemption management:

  • Analyse the need and risk for a claimant not to be compliant with internal security policy
  • Raise the case, then, to management, to have them make a decision
  • Ask management about situations that are not covered by current internal security policy

 

Identity management support

  • Check accounts are properly disabled then deleted
  • Check traceability capability, according to needs and policy compliancy
  • Monitor the deprovisioning of high privileges

Partager cet article

Repost0