Ou http://map.norsecorp.com/#/
Catégorie : Sécurité informatique
VirusTotal
Analyser les fichiers suspects et les URL pour détecter les types de logiciels malveillants,
y compris les virus, les vers et les chevaux de Troie.
Swl1f
Menaces sur les systèmes informatiques
BT3 : outil d’étude des techniques de défense et détection
Dans cet article, nous allons parler un peu de BT3 (Blue Team Training Toolkit), un outil d’étude et d’entrainement aux techniques de détection d’activité malveillantes sur le réseau.
Il s’agit d’un outil créé afin d’aider à la formation et à l’entrainement des techniques de défense et de détection, notamment dans le cadre d’une certification CNDA (Certified Network Defense Architect) et édité par la société encripto.no
Le terme “Blue team” est beaucoup utilisé dans les documentations de cet outil. “Blue team” est à mettre en relation avec le “Red Team” qui est un style de test d’intrusion (pentest) qui vise à reproduire les techniques et méthodes des attaques APT (Advanced Persitent Threat). Autrement dit, les attaquants possédant de gros moyens ou des capacités techniques importantes et qui agissent sur plusieurs mois. Blue Team est donc le nom donné au côté défense dans un contexte d’attaque informatique. Il s’agit donc d’une équipe formée par les employés de l’entreprise :
DSI
Administrateurs système
Administrateurs réseau
HelpDesk
SoC (Security operation Center)
RSSI
etc.
Autrement dit, tous les acteurs techniques en capacité de relever les faits et évènements relatifs à une attaque informatique. Et oui, l’HelpDesk en fait définitivement parti, car étant au plus proche des alertes utilisateurs, il est capable de donner des informations aux équipes de sécurité lorsqu’un fait anormal est rapporté par ceux-ci.
La création de cet outil provient de l’observation de la difficulté à créer des contextes d’entrainement réalistes. En effet, les techniques d’entrainement à la sécurité offensive sont assez accessibles, il est courant de trouver des machines virtuelles vulnérables ou de pouvoir participer à des sites de challenges ou des CTF (Capture the Flag) pour pouvoir s’entrainer et s’améliorer. Dans un contexte d’apprentissage des méthodes de défense, il est plus complexe de trouver des scénarios réalistes, notamment afin d’apprendre à manier des outils de détection (IDS/IPS).
Lire la suite sur la source
Amesam Administrateur du site
Protection Résidente
Nous allons rapidement voir ce qu’est la Protection résidente. Vous avez surement déjà entendu parler de Protection en temps réel et bien c’est notre protection résidente.
Une Protection résidente est une protection qui agit en temps réel et qui se trouve dans la zone de notification, à côté de l’horloge.
Quelquefois, pour effectuer certaines manipulations, il peut être utile de la désactiver temporairement.
Un antivirus est destiné à scanner votre ordinateur pour tenter de dénicher des infections qui auraient pu s’infiltrer.
La base de données de votre antivirus est mises à jour régulièrement afin de vous offrir une meilleure protection mais également des techniques de recherche qui permette la recherche heuristique.
La protection résidente est un plus, car elle permet une surveillance en temps réel, dès le démarrage de votre PC la protection résidente s’active et à chaque changement plus ou moins suspect, le logiciel va vous demander d’autoriser ou de refuser l’action.
Intrusion sur le registre, modification de fichiers, tentatives de modifications des permissions …
Si vous êtes sous W10 et que vous utilisez Windows Defender vous avez également la protection résidente. Il n’y a pas que les antivirus qui ont des protections en temps réel, Malwarebytes le propose dans sa version Premium.
L’alliance de votre antivirus plus Malwarebytes est un très bon compromis au niveau sécurité et pas de conflit avec Malwarebytes et les antivirus.
Amesam Administrateur du site
Le repacking
Qu’est-ce que le Repacking
Le repacking est un reconditionnement des logiciels, par les sites qui vous offre ces téléchargements.
La pratique consiste à reprendre le pack d’installation du créateur et de lui incorporer toutes sortes de programmes indésirables.
Le but est d’installer des outils chez l’utilisateur.
Ces installations malveillantes ont pour but de compromettre l’ordinateur de l’utilisateur pour des raisons financières.
Elles se feront de deux façon :
Visibles
Présence de cases à cocher ou à décocher, ou de boutons pour accepter ou refuser.
Attention au double négation qui peuvent signifier une acceptation au vue de l’ambiguïté.
Invisibles
L’installeur du programme implante de force et silencieusement des programmes indésirables.
Il faut toujours télécharger sur le sites du créateur, soit le site officiel.
Ne pas télécharger sur :
01Net
Telecharger.com
C|Net (CNET)
Download.com
BrotherSoft
Softonic
Soft32
Softpicks
Softpicks.fr
Tuto4PC
Tucows
Software Informer
FileHorse
Snapfiles
Filehippo (Le plus propre de cette liste)
Softpedia
Winstally
Guide des menaces infectieuses des supports amovibles
Les malwares
Les malwares
Terme anglais signifiant tout programme malveillant qui constitue une menace pour le système.
Adwares | Backdoor | Botnet | Browser Hijacker | Dialers | DoS (Denial-of-service) | Downloaders | Droppers | FloodersHackTool | Keyloggeurs | LSP | Macros | Phishing | PUP | Ransomwares | Rogues | Rootkits | SpywaresTrojans | USB (Supports amovibles) | Vers | Virus
Adwares
Un adware est un logiciel malveillant qui vous inonde de fenêtres publicitaires.
Ces applications publicitaires affichent des publicités provenant de sites non désirés et les seuls attraits sont les gains financiers.
L’Adware est généralement un programme autonome qui affiche des annonces auprès de l’utilisateur final sous diverses formes.
Comme à l’intérieur du programme lui-même, ou via des fenêtres contextuelles, des annonces glissantes et/ou bien des fenêtres contextuelles du navigateur, des annonces insérées ou un contenu de site Web modifié.
Backdoor
Un backdoor, mot anglais qui se traduit par « porte dérobée ».
Malware qui a pour particularité de passer par une porte dérobée du système d’exploitation, d’où son nom.
Une porte dérobée permet d’accéder à un ordinateur sans que l’utilisateur s’en aperçoive.
Une fois le backdoor installé, la personne qui est à la base de ce malware entre sur le PC comme elle le désire.
Un backdoor peut-être créé par un rootkit présent sur le PC. Une modification de registre est alors effectuée pour que le backdoor se lance à chaque démarrage.
Botnet
Un botnet est un ensemble de PC reliés entre eux par des chevaux de Troie, et tous ces ordinateurs sont contrôlés par un pirate informatique qui peut leur faire faire ce que bon lui semble.
Pour les entreprises cela peut-être catastrophique : Racket d’argent, attaques d’adwares, spams, vol de données personnelles et autres attaques malveillantes.
Browser Hijacker
Les browser hijacker manipulent votre navigateur pour changer votre page de démarrage ou votre page de nouvelle recherche.
Ils se dirigent sur un serveur dédié pour collecter des renseignements sur vos habitudes de navigation.
Ils modifient donc votre navigateur et la plupart des browser hijackers font en sorte que l’utilisateur n’ait plus la possibilité de régler manuellement les options.
Ils peuvent également rétablir leurs faux paramètres à chaque redémarrage.
Dialers
Programme qui modifie la connexion Internet de votre ordinateur en changeant le numéro de téléphone utilisé pour se connecter.
Il va donc depuis votre ordinateur appeler la ligne désirée.
Un dialer est donc un composeur de numéro de téléphone qui peut très bien composer depuis votre machine n’importe quel numéro en passant par votre ligne téléphonique vers des numéros surtaxés.
DoS (Denial-of-service)
Le déni service (DoS « Denial-of-service ») est un trafic important sur un PC contre la volonté de l’utilisateur.
Ces actions rendent le PC difficilement contrôlable, voir complètement incontrôlable dû au trafic engendré.
Cela peut interrompre les connexions aux serveurs ou autres réseaux.
On peut aussi appeler les ordinateurs qui sont victimes de ce genre d’attaque « un PC zombie ».
Action connu pour des transactions frauduleuses, voir mafieuses et qui évoluent avec DDoS (« Distributed denial-of-service ») grace à l’aide d’un petit utilitaire qui rend plus facile l’opération.
Ce genre d’attaque n’est pas récente puisque qu’elle existe depuis les années 80.
Downloaders
Petit exécutable qui une fois sur votre machine va se connecter sur un site web pour télécharger un autre programme, en général beaucoup plus agressif. Cela peut-être un Rootkit, un ver, un trojan…
Afin de réussir sa fonction principale, un Downloaders doit fonctionner sur un ordinateur insuffisamment protégé.
Un ordinateur correctement protégé empêchera le Downloaders de s’exécuter et/ou empêchera tout accès non autorisé aux ressources du réseau.
Droppers
Le Droppers agit comme un cheval de Troie. Il injecte un logiciel malveillant sur un système cible.
C’est une infection peu courante qui peut une fois la cible atteinte, s’autodétruire.
Exploit
Les Exploits du Web profitent de vos failles de sécurité pour s’installer sur votre système.
Ils lancent par exemple une attaque par déni de service, installent un ver, vous inondent de fenêtres publicitaires.
Si vous ne maintenez pas vos programmes à jour, tel que, Java, Adobe Flash player, reader et vos plugins, vous êtes face à ce genre de malwares.
Exploit.HTML, Exploit.PDF ou bien Exploit.SWF, ils sont fréquents et profitent de la faille de sécurité de vos programmes non à jour.
Flooders
Logiciel malveillant qui surcharge de messages les réseaux sociaux ou les boîtes émail.
Il a donc pour objectif de surcharger votre réseau pour le rendre saturé ou inutilisable.
HackTool
Le hacktool permet de scanner les ports de votre machine, mais également voler vos mots de passe.
Il permettra d’envoyer des messages en masse et de lancer des floods.
Il se mettra à la recherche des failles de sécurité de votre ordinateur et remontera toutes ces informations aux hackers et crackers.
Keyloggeurs
Un keylogger est chargé d’enregistrer à l’insu de l’utilisateur, les frappes des touches du clavier.
Pas d’action néfaste sur le système. Sa fonction est d’enregistrer et de diffuser vos identifiants et mots de passe, codes de carte bancaire…
LSP
Piratage de Winsock LSP (Layered Service Provider – Fournisseur de services en couches).
Il s’attaque à un pilote système incrusté très profondément dans les services réseau de Windows pour avoir le contrôle sur les données qui rentrent ou qui sortent de l’ordinateur.
Les LSPs ne sont pas forcement malveillants mais certains malintentionnés s’installent en tant que LSP et prennent le contrôle des données qui transitent sur votre machine.
Macros
Les virus macro ajoutent leurs codes aux macros associées à des documents de type feuilles de calcul et autres fichiers de données.
Malgré qu’ils soit moins courant il reste une menace qui existe.
Ils ont la capacité de se propager rapidement. Dès qu’une macro infectée est lancée, tous les autres documents sur l’ordinateur de l’utilisateur sont à leur tour infectés.
Ils accèdent aux comptes de messagerie et envoient des copies de fichiers infectés à tous les contacts de l’utilisateur, qui vont à leur tour ouvrir et infectées d’autres machines.
NewTab
NewTab est un logiciel qui modifie la page par défaut d’un nouvel onglet sur le navigateur.
Cela peut entraîner des effets négatifs et similaires au comportement des barres d’outils des navigateurs, ou des pirates de navigateur.
NewTab peut manipuler vos navigateurs pour changer leurs pages d’accueil ou de recherche fournisseur afin de pirater le trafic Internet et injecter des publicités.
Phishing
Le phishing est une technique utilisée pour amener une personne, soit par e-mail ou via un site Web à entrer des données dans des champs qu’elle croit légitimes.
Par exemple, un lien de phishing intégré dans un e-mail peut conduire à un site Web qui ressemble à celui de votre banque.
Lorsque vous vous connectez, la page semble se bloquer ou ne pas se charger.
Pendant ce temps, quelqu’un vient de saisir votre nom d’utilisateur et mot de passe et il a un accès illimité à votre compte bancaire.
PUP
Potentially Unwanted Program, en Français programme potentiellement indésirable.
Ou LPI Logiciels Potentiellement Indésirables ou bien encore PUA Potentially Unwanted Applications soit en français Applications potentiellement indésirables. Installé à l’insu de l’utilisateur ou par lui même.
Ransomwares
Le RansomWare porte bien son nom car il vous prend en otage et vous demande une rançon contre la possibilité de retrouver vos fichiers.
Il chiffre vos données personnelles puis vous demande d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.
Il ne faut pas accepter cette prise en otage, donc ne verser aucune somme d’argent. Vous avez peu de chance de retrouver vos données.
Il faut parfois attendre quelques jours pour qu’un correctif puisse vous redonner l’accès à vos données, mais ce n’est pas toujours le cas.
Le RansomWare peut s’infiltrer via un Exploit du Web ou via un émail malicieux.
Rogues
Un rogue est un faux logiciel de protection.
Il va provoquer de nombreuses alertes de sécurité (défaillances du système, malwares) visant à effrayer l’utilisateur et le forcer à acheter le soit disant logiciel de protection.
Au final, l’utilisateur payera pour rien.
Un rogue peut donc, de lui même, afficher de nombreuses alertes de sécurité, mais aussi modifier le fond d’écran, afficher des pop-up d’alerte dans la barre d’icônes, détourner les DNS, etc…
Rootkits
Root en anglais veux dire Racine. Rootkit est un ensemble de scripts s’infiltrant à la racine, dans le but de modifier, déstabiliser le kernel (Noyau).
C’est une variété de malwares très difficile à percevoir car ils ont la facultés de se rendre invisible.
Ils causent en général de très gros dégâts dans le système d’exploitation par modification de celui-ci.
Ont peut se douter qu’un rootkit est présent sur le PC par la multiplication de différents malwares, car ils ont pour particularité d’installer des virus, ver, trojan, spyware, porte dérobés etc…
De plus les Rootkits ont la particularités de passer invisibles aux listes des Anti-Virus en envoyant un statut normal, ce qui les rends en général invisibles aux yeux de nos chères logiciels de protections.
Spywares
Un spyware est un mot anglais appelé en français Espiogiciel ou encore Mouchard.
Ce logiciel espion a pour but de collecter des informations personnel de navigation et de les divulgués.
Le plus souvent aux publicitaires,ou entreprises quelconques, pour ensuite cibler les publicités non désirées à envoyer à l’internaute victime.
Les Spywares sont inclus dans la majorité des logiciels gratuits.
Ils s’exécutent en tache de fond ce qui les rends invisibles pour l’internaute, le moment ou l’internaute s’en aperçoit c’est suite aux différentes pages intempestives qu’il reçoit.
Trojans
Le cheval de Troie est un programme caché qui envahit votre ordinateur.
Ils visent généralement à prendre le contrôle de l’ordinateur d’un utilisateur et à voler des données, puis insérer plus de logiciels malveillants sur l’ordinateur de la victime.
Ils désactivent certains logiciels de protections, comme votre antivirus ou votre pare-feu et autres logiciels.
USB (Supports amovibles)
Lors de l’insertion d’un média amovible touché par cette infection, le PC exécute automatiquement les instructions présentes dans le support si vous validez l’exécution automatique.
Le double clique sur le média infecté active également les instructions présentes dans le fichier autorun.inf caché sur le support.
Le seul moyen de ne pas activer l’autorun est de faire un clique droit sur le support et de sélectionner Ouvrir.
Vers
Les vers sont destinés à se propager et à infecter autant d’ordinateurs qu’ils peuvent et en peu de temps.
Ils sont souvent diffusés par courrier électronique en s’envoyant à chaque personne de votre liste de contacts et cela à votre insu.
Virus
Un virus est un malware qui à pour but de se multiplier et de se propager dans les fichiers légitime d’un programme.
Lors de l’exécution du programme touché, le virus s’exécute et il se multiplie en touchant d’autres fichiers.
Soit de manière silencieuse, discrète ou de façon plus visible, comme par l’affichage de fenêtres intempestives, ou engendrer des perturbations dans le fonctionnement de l’ordinateur.
Sa multiplication fait qu’il va s’infiltrer un peu partout dans le système en perturbant l’exécution des logiciels légitimes du PC.
Il peut même aller jusqu’à rendre le système d’exploitation inutilisable.
Amesam Administrateur du site
Forum de formation sécurité et désinfection.
Apprendre la sécurité informatique est devenu important, cet outil (l’ordinateur) du quotidien, peut devenir instable voir inutilisable en cas d’infection sévère. Le nombre de ces malwares est en augmentation d’année en année.
Vous avez envie d’apprendre la sécurité informatique, savoir comment nettoyer un système d’exploitation Windows.
L’engagement que vous ferez auprès du forum sélectionné fera que certaines règles seront à respecter. Comme par exemple ne pas répondre sous plus de X jours, Respecter l’ordre des exercices à faire, avancer palier par palier… ces règles peuvent changer d’un forum à l’autre., mais elles sont établies pour le bon fonctionnement et déroulement de la formation.
Forums Français ou vous pouvez vous former en sécurité informatique.
Vous ne devez suivre aucune autre formation pour vous inscrire.
Il faut patienter pour pouvoir accéder aux formations. Vous pouvez donc vous retrouver face à des messages vous indiquant que la formation est fermée.
La raison est que le nombre d’élèves est au maximum et que pour ne pas déroger au temps de réponse, il limite le nombre d’élèves et quand vous finissez la formation ou stoppez la formation, les inscriptions sont rouvertes.
Actuellement les inscriptions à la formation sont fermées.
HF connaît un succès au niveau des demandes. Pour effectuer cette formation il faut un minimum de connaissances en informatique.
Elle commence en douceur avec les notions de bases de votre système d’exploitation Windows, on vous apprend à utiliser les fonctionnalités du forum pour vous familiariser à celui-ci afin de présenter vos exercices proprement, afin qu’il soit agréable et facilement lisible, cela pour avoir de meilleur échange tout au long de la formation.
Il est donc important de bien présenter ces réponses, de les construire afin de pouvoir alimenter des réponses/Questions pertinentes du correcteur.
La formation se déroule en quatre paliers :
• Débutant.
• Intermédiaire.
• Supérieur.
• Confirmé.
Une fois que vous avez procédé à votre inscription, il faut qu’un administrateur active votre compte manuellement pour que vous puissiez vous connecter. Ces personnes n’étant pas forcément connectés 24h/24 au forum, un petit délai est normal avant l’activation de votre compte.
Vous pouvez également si votre attente est trop longue faire une demande sur l’espace invités du forum.
******************************
Security-X connaît également un succès car les formations sont régulièrement fermées.
Vous devez surveiller régulièrement le statut des inscriptions, si vous voulez faire la formation. La réouverture des inscriptions ne dure jamais longtemps.
Il faut avoir de bonnes connaissances pour faire cette formation, elle n’est pas dédiée aux débutants. Le niveau de cette formation est assez élevé, il est même conseillé d’avoir auparavant suivi une autre formation.
Ayant côtoyé cette formation, je vous conseille vraiment de faire la formation HF avant de vous lancer dans celle-ci. Les sujets abordées seront les mêmes que sur une autre formation mais une différence de l’approche fait que la technicité est plus poussée et oblige une recherche plus approfondie.
S-X nous détaille ses paliers :
Les paliers abordent les notions suivantes :
Premier palier : Notions de bases sur le registre, Windows, et les infections simples au travers d’outils comme Hijackthis, RSIT et DDS.
Second palier : Approfondissement des notions sur le registre, les liens avec les infections et les outils à script comme OTL, FRST et ZHPDiag.
Troisième palier : Aspect plus technique du système et de diverses infections complexes, rootkit, etc …
Quatrième palier : Dédié à l’étude de l’outil Combofix
Pour être admis en tant qu’élèves sur Security-X il vous faudra répondre à un QCM d’une quarantaine de questions. Ce QCM à pour but de jauger votre niveau informatique. Pas de réponses éliminatoires nous dit S-X mais vous vous doutez bien que si vous avez trop de réponses fausses votre admission à la formation sera refusé. Il vous sera surement conseillé de suivre une autre formation et de revenir une fois cette expérience acquise.
******************************
D’autres formation existaient comme Security Academie, ou SOSVirus ou bien Formation, Forum d’Échange de Connaissance (FEC), Aujourd’hui je ne connais plus que celle-ci sous forme d’échange.
Si vous avez votre Forum qui offre ce genre de formation alors faite vous connaitre pour que je puisse si vous le désirez apparaitre sur cette page.
******************************
Amesam Administrateur du site
Guides menaces informatique.
Apprenez à échapper aux malwares* !
Guide des menaces informatiques
Par Xavier_Chapron
Vous allez découvrir différentes menaces comme les arnaques, Les logiciels parasites et espions, les faux logiciels de sécurité…
Mais également les vecteurs d’infections et comment s’en protéger.
10 recommandations que vous pourrez lire mais également tester vos connaissances avec le QCM.
Amesam Administrateur du site
Apprendre la sécurité informatique
