BlockList iptable avec Splunk et d’AbuseIPDB

BlockList iptable avec Splunk et d'AbuseIPDB

Bonjour à tous, aujourd’hui je continue avec un article qui suit ce qu’on avait fait avec la Blacklist Iptables AbuseIPDB la dernière fois. Cette fois on va voir comment construire une BlockList iptable avec Splunk et d’AbuseIPDB.

Qu’est ce que j’entends derrière ce titre ? Simplement que la blacklist ma dernière fois n’est pas très « maline ». Dans le sens, où on verrouille juste 10 000 IP comme des bourrins et sans trop se demander si les vulns ou services qu’elles checkent nous concerne en effet. Alors, ça ne sert pas à rien hein. C’est une bonne base à bloquer facilement mais ce n’est pas forcément utile dans le sens où ces 10 000 ne se connecterons pas forcément à votre site ou infra au final.

En effet, ce qu’on souhaiterai plus, notamment dans une optique de CTI (Cyber threat Intelligence) : c’est de bloquer (sinon détecter au moins) celles qui se connectent effectivement sur nos services (genre à la fail2ban). Le problème c’est que fail2ban c’est bien en protection mono instance. Mais, quand vous protégez tout un système d’information, ça ne passe pas super bien à échelle. Par exemple, je vous laisse imaginez quand vous … Lire la suite

Ethique et politique dans la Threat Intel – JSSI 2022

Bonjour à tous, aujourd’hui pas réelement d’article en propre. Je vous repartage plutôt une vidéo de la conférence JSSI 2022 sur l’Ethique et politique dans la Threat Intel. La présentation était donnée par Ivan Kwiatkowski pour l’association OSSIR, qui organise cette journée. Visiblement la conférence était orienté juridique vu la liste des sujets :

https://www.ossir.org/conference/jssi-2022/
(toutes les vidéos de la journée et slides sont disponibles via ce lien)

Pour le coup, la conférence d’Ivan sur la CTI me semble vraiment intéressante sur le rôle des fournisseurs de CTI aujourd’hui et demain. Notamment la partie interaction avec les organes d’état et les conflit d’intérêts inévitables avec les agences de renseignements. Si vous n’avez pas 38minutes, je vous fait un bilan rapide ici de l’Ethique et politique dans la Threat Intel : la CTI « neutre » n’existe pas. C’est un sujet politique et ça va continuer dans ce sens dans les années qui arrivent. Les tensions internationales vont renforcer ce fait avec un risque d’absorption par les états des fournisseurs de Cyber Threat Intelligence.

De mon point de vue, cela ne retire aucun intérêt à la CTI comme fournisseur opérationnel dans nos environnement professionnel. Néanmoins, il semble de plus … Lire la suite

Jump Lists – Forensgeek

Forensics

Bonjour à tous, aujourd’hui on continue la série Forensgeek avec l’usage des Jump Lists pour la forensics.

C’est quoi les Jump Lists ?

Alors vous voyez dans L’explorateur Windows quand vous cliquez avec le bouton droit sur un icône de la barre des tâches ? comme ci dessous ? bah c’est ça les jump lists simplement.

Jump Lists

Comme les jumps lists sont gérées automatiquement par le système d’exploitation. leur analyse permet de mettre en avant l’exécution de programme ou l’accès à des fichiers. Un petit peu comme pour les Windows Shortcut Files vu la semaine dernière vous récupérerez au passage un timestamp des accès ainsi qu’un chemin ? Comme pour les Lnk, ca fonctionne également si le fichier ou programme source à été supprimé d’où l’intérêt pour la forensics.

C’est où les jump lists ?

Les Jump lists sont stockées dans le repertoire C:\Users\$Username\AppData\Roaming\Microsoft\Windows\Recent

Comme pour les shortcuts pour ceux qui suivent… en fait pas tout à fait, les Jump Lists sont stockées dans 2 sous dossier cachés : AutomaticDestinations et CustomDestinations. Elle se présente sous la forme de fichier au extensions .automaticDestinations-ms et .customDestinations-ms.

Le nom du fichier avant l’extension est en fait un identifiant de l’application auxquel … Lire la suite

Windows Shortcut Files (LNK) – Forensgeek

Forensics

Bonjour à tous, ça doit bien faire une semaine qu’on a pas fait de forensics, non ? Aujourd’hui on continue la série forensgeek avec les Windows Shortcut Files (LNK) pour la forensics !

Les Windows Shortcut Files (LNK) en forensics ?

Vous allez me dire : « mais pourquoi tu nous parles des lnk ? on connait c’est les raccourcis Windows ! ». Alors oui, c’est bien de ça dont on va parler. Déjà, on va commencer par un rappel. Même si les .lnk de Windows ressemblent à des liens symboliques sous Unix, c’est pas tout à fait la même chose. un lien symbolique peut être utilisé exactement comme si vous tapiez sur le fichier réel pointé par celui ci. Alors qu’un lnk, c’est juste une extension de fichier qui défini un « format de pointeur » vers un autre fichier. Et comme vous le disiez, à peu près tout les utilisateur de Windows connaissent le principe des raccourcis.

Ce que les gens sachent beaucoup moins, c’est que l’OS de Microsoft génère aussi, en sous-marin, des raccourcis sans rien dire à personne. Assez simplement lorsqu’un fichier est ouvert dans l’explorateur Windows ou lors de l’exécution d’un programme, un raccourcis peut … Lire la suite