OPSEC et Botnets

Magazine
Marque
MISC
HS n°
Numéro
8
|
Mois de parution
octobre 2013
|
Domaines


Résumé

Il est une catégorie d’internautes que l’on imagine plus soucieuse que les autres de la protection de sa vie privée et de son anonymat : les cybercriminels. Ils évoluent en effet dans un environnement qui leur est particulièrement inhospitalier sinon hostile et doivent faire face à des adversaires résolus et obstinés : services de police nationaux et internationaux, équipes de réponse à incident, CERT, chercheurs en sécurité professionnels ou « amateurs », groupes cybercriminels concurrents, etc.Nous nous proposons de décrire dans cet article comment les cybercriminels construisent leurs politiques de sécurité afin de protéger leur « business » et leur identité, comment ils y parviennent et comment ils échouent parfois.


La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Antivirus Avira (CVE-2019-18568) : quand l'authentification d'un PE mène à une LPE

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

En juillet 2019, je me suis penché sur la sécurité d'un antivirus grand public, connu sous le nom de « Avira ». Lors de cette analyse, j'ai identifié, dans le driver en charge d'authentifier un programme exécutable, une vulnérabilité menant à une élévation de privilèges. Après une brève présentation du composant noyau, nous étudierons en détail la vulnérabilité et préparerons les éléments nécessaires à la réussite d'une exploitation.

Analyse UEFI avec Windbg

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

La dernière étape dans la mise en place d’un environnement de travail complet en UEFI va être l’installation d’un debugger. Celui-ci va permettre de, non seulement faciliter le développement au sein du micrologiciel, mais aussi de comprendre dynamiquement le code source. Dès lors, il sera possible de mieux appréhender ce code afin de l’éditer et créer son propre UEFI.

Extraction des secrets de lsass à distance

Magazine
Marque
MISC
Numéro
108
|
Mois de parution
mars 2020
|
Domaines
Résumé

Le mouvement latéral est une composante essentielle des tests d’intrusion. Cette phase peut être fastidieuse si les cibles sont correctement protégées. L’outil « lsassy » répond à ce besoin en permettant d’extraire à distance les secrets présents sur des machines.

Par le même auteur

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
|
Mois de parution
janvier 2020
|
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.

Machine Learning en Python : clusterisation à la rescousse des hunters (de malwares)

Magazine
Marque
MISC
HS n°
Numéro
18
|
Mois de parution
novembre 2018
|
Domaines
Résumé

Cet article présente des techniques de clusterisation (classification automatique) de malwares pour se faciliter la vie dans l’écriture de règles Yara. Cela permet de diminuer fortement le taux de faux positifs. On commence par clusteriser notre ensemble de malwares, et, pour chaque cluster nous utilisons un générateur automatique de règles Yara. Nous donnons des exemples avec le jeu de données « theZoo ».

Archéologie numérique

Magazine
Marque
MISC
Numéro
97
|
Mois de parution
mai 2018
|
Domaines
Résumé
Le Renseignement et l'Analyse de la Menace (RAM, ou, « Threat Intelligence » ou juste « Threat Intel ») consiste à collecter des données relatives à des menaces, les trier, les corréler, les enrichir avant de les analyser dans leur contexte « spatial » - l'entreprise ou l'organisation – et « temporel » - à la date d'un incident par exemple. Mais les données numériques ne sont pas immuables et peuvent changer en l'espace de quelques mois. Comment réaliser une analyse pertinente d'une menace quand on a affaire à des données « mortes » ?

Honeypot qui mal y pense

Magazine
Marque
GNU/Linux Magazine
Numéro
210
|
Mois de parution
décembre 2017
|
Domaines
Résumé
Les honeypots, ces obscurs pièges abscons tendus sur la route des indésirables intrus, sont aux années 2000 ce que les sondes de détection d'intrusion (« IDS » ou Snort) étaient aux années 1990 : au mieux des jouets pour chercheurs en sécurité, au pire des boites noires posées dans un coin du réseau attendant qu'un stagiaire se penche sur les logs ou que l'espace disque se remplisse jusqu'à plus soif. Des évènements récents – WannaCry, NotPetya – semblent avoir cependant redoré leur blason et leur redonnent une nouvelle vie.

Petit cours de R.I.E.N. à l'usage des SysAdmin

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
93
|
Mois de parution
novembre 2017
|
Domaines
Résumé
Georges Abitbol a beau être le SysAdmin le plus classe du monde, il l’a mauvaise ce mardi matin : son boss vient de l’informer qu’une tête de mort en flamme s’affiche sur la page d’accueil du site de Radio6Planète lancé la veille en grande pompe. Heureusement pour Georges, dans le dernier hors-série de son magazine préféré se trouve un article intitule « Petit cours de R.I.E.N. à l'usage des SysAdmin » qui parle de réponse aux incidents.

Un Honeypot nommé DFIR

Magazine
Marque
MISC
Numéro
89
|
Mois de parution
janvier 2017
|
Domaines
Résumé
Honeypots et réponse aux incidents font bon ménage depuis de nombreuses années. Ce couple qui a fêté ses noces de perle a encore de beaux jours devant lui comme nous nous proposons de le démontrer dans cet article. Nous tenterons de répondre aux questions suivantes : les honeypots, qui sont-ils ? D'où viennent-ils ? Sur quelle étagère vont-ils ?