Blogs

I recently came accros a threat consiting of a webpage delivering a malicious payload by luring a visiting user to paste and execute a malicous Powershell script in order to complete a CAPTCHA challenge-response test to valide an extra verification before accessing the content of the website. This attack technique is known under the name ClixFix and is used extensively to deliver Information stealers. In this first part of posts on the analysis of this threat, we will go into the details of the infection chain. ...

Dans un précédent article, nous avons décortiqué le fonctionnement et les particularités du système de fichier NTFS puis nous nous sommes intéressés en détail au métafichier $MFT, son fonctionnement interne, ses entrées ($MFT entries) et les attributs composant ces entrées. Dans cet article, nous allons aborder l’extraction, le parsing et l’analyse du métafichier $MFT. Avant de nous attarder sur l’extraction et l’analyse du métafichier $MFT, nous allons commencer par aborder les types et formats d’image disque. ...

Dans cet article, nous allons aborder le fonctionnement du système de fichier NTFS, certaines de ces particularités et nous finirons par faire un focus sur le métafichier système $MFT et l’importance qu’il pourrait avoir dans le cadre d’une réponse à incident/analyse forensique. Une spécification officiel du système de fichier NTFS n’ayant pas été publiée par Microsoft, les informations contenus dans ce article sont basés sur des travaux de rétro-ingénierie menés notamment par Linux NTFS group et ayant été confirmés après observation du contenu sur disque d’un volume formaté en NTFS. ...

De nombreux moyens permettent de superviser une machine linux : on peut vérifier l’ouverture de ports TCP ou UDP pour un service particulier à superviser sur la machine, par exemple si le port 80 ou 443 est ouvert sur la machine alors on peut potentiellement en déduire qu’un serveur web tourne sur la machine mais pas forcément que les sites hébergés par le serveur web sont bien accessible aux clients web. on peut aussi se servir du protocole [SNMP](https://fr.wikipedia.org/wiki/Simple_Network_Management_Protocol#:~:text=Simple%20Network%20Management%20Protocol%20(abrégé,réseaux%20et%20matériels%20à%20distance.) ( Simple Network Management Protocol ) qui utilise les ports 161 et 162 UDP pour recueillir des informations sur la machine à superviser mais dans certaines entreprises ou systèmes d’informations ou la politique de sécurité du SI fait barrage à l’ouverture de ces ports, on peut utiliser des programmes comme NRPE%20distant.) sous Linux ou NSCLIENT++ sous Windows qui, installés sur la machine à superviser vont éxécuter des scripts écrit en Bash, Python, Perl, Batch, powershell, javascript ….. pour recueillir des informations comme l’état du disque dur, l’utilisation de la mémoire RAM, l’état des services … et ensuite les transmettre au serveur de supervision. ...

Dans la première partie, nous avons installé un serveur FTP puis l’avons configuré avec une configuration minimale le rendant accessible à tout utilisateur et sans mot de passe au détriment de la sécurité des échanges entre les clients et le serveur mais aussi des ressources hébergés par le serveur FTP. Dans cette seconde partie, nous allons procéder à la sécurisation du serveur FTP en mettant en place un contrôle d’accès basé sur une authentification par nom d’utilisateur et mot de passe. ...