Depuis les débuts d’Internet, on assiste à une augmentation régulière des débits réseaux, ce qui profite en premier aux utilisateurs, mais aussi aux attaquants. Je pense par exemple aux attaques de mots de passe par force brute, qui nous obligent à utiliser des mots de passe de plus en plus longs et compliqués. Pour lutter contre ce type d’attaques, il existe des logiciels permettant de ralentir, voire de bloquer les attaques, simples à utiliser, comme fail2ban.

Au cœur des stratégies de défense des terminaux, les EDR se positionnent comme des compléments, voire remplaçants, efficaces des solutions antivirales classiques. Cet article étudie différentes techniques permettant de contourner les mécanismes de supervision des EDR (user-land hooking, Kernel Callbacks, et évènements Threat Intelligence). Dans le cadre de cet article, une « boite à outils » implémentant les diverses techniques d’évasion mentionnées a été développée [EDRSANDBLAST].

Nous sommes en 2021, et les documents malveillants (aussi appelés « maldocs ») sont toujours d'actualité, depuis la fin des années 90 avec les macro-virus VBA comme Melissa, et surtout depuis leur grand retour vers 2014. En 2020, on a même vu ressurgir de l'oubli les macros Excel 4 qui datent de... 1992 ! Aujourd'hui, les maldocs sont utilisés comme vecteur d'attaque initial pour de nombreuses familles de malware comme Hancitor, ZLoader, Emotet, Qakbot ou encore des groupes comme Sofacy/APT28. Dans cet article, nous allons voir comment analyser différents types de documents malveillants à l'aide d'outils libres : oletools, msoffcrypto-tool, ViperMonkey et XLMMacroDeobfuscator.

2020 a confirmé que Cobalt Strike était bel et bien entré dans la boîte à outils de la plupart des groupes d’attaquants. D’Ocean Lotus au groupe derrière les attaques de Solar Winds, Cobalt Strike est partout. Que vous travaillez en SOC ou en threat intelligence, il est probable que vous allez rencontrer ce malware dans votre activité. Cet article fournit quelques clés afin d’analyser une attaque utilisant Cobalt Strike.