L’attaque des logs

MISC

n°

122

juillet 2022

Par

Tag(s)

logs

Ce sont les logs qui ont le plus de valeur pour pouvoir analyser une attaque. Comment les sauver de toutes les attaques qu’ils subissent ?

Les solutions de sécurité modernes (SIEM, EDR, antivirus) sont toutes fondées sur l’exploitation des logs du système d’exploitation. Ils deviennent naturellement la cible des attaquants, qui mettent en œuvre des solutions de contournement toujours plus sophistiquées. Il est primordial de comprendre ces solutions, du point de vue de la détection, afin d’évaluer la qualité de notre détection et/ou de nos investigations.

1. ETW 101

On distingue trois notions importantes : les providers, les sessions et les consumers.

Les providers correspondent aux modules qui émettent les logs. N’importe quel dll ou exécutable peut devenir un provider. Pour ce faire, il suffit d’utiliser l’API Windows, et plus précisément les fonctions contenues dans le module Advapi32.dll.

Les sessions nous permettent de configurer un ou plusieurs providers. Le gestionnaire d'événement s'appuie sur la…

La suite est réservée aux abonnés. Il vous reste 94% à découvrir.

Déjà abonné ? Se connecter

Accédez à tous les contenus de Connect en illimité
Découvrez des listes de lecture et des contenus Premium
Consultez les nouveaux articles en avant-première

Envie de lire la suite ? Rejoignez Connect

Je m'abonne maintenant

Article rédigé par

Garrelou Simon

1 articles

Peyrefitte Sylvain

8 articles

Par le(s) même(s) auteur(s)

Plus d'article de cet auteur

Raspberry Robin : vous prendrez bien un dernier ver ?

MISC

n°

126

mars 2023

Par

Raspberry Robin est un ver USB dont le succès est essentiellement dû à sa méthode de propagation, qui se base sur le manque de vigilance de l’utilisateur final.

Lire l'article

La face cachée d’eBPF

MISC

n°

125

janvier 2023

Par

Granier Thomas

Peyrefitte Sylvain

Pentest

Dans cet article, nous allons découvrir comment tirer parti d’eBPF dans le but d’innover les modèles d’attaques sous Linux en se focalisant sur trois étapes essentielles : Persistance, Latéralisation et Anti forensics !

Lire l'article

Comment détourner un programme de son chemin d’exécution ?

GNU/Linux Magazine

n°

260

novembre 2022

Par

Peyrefitte Sylvain

Code

Hacks

Il est parfois indispensable de modifier l'exécution d’un programme, sans en modifier le code source, pour l’adapter à des besoins spécifiques. Quels sont les moyens que nous offre Linux ?

Lire l'article

Doper votre SIEM pour la réponse sur incident

MISC

HS n°

février 2021

Par

Peyrefitte Sylvain

Roudé Luc

Forensic

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.

Lire l'article

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020

Sécurité réseau

Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020

Mobilité Sécurité système

Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020

Crypto

Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.

Plus de listes de lecture