Articles

Passer du 2D à la profondeur Un log, c’est du 2D, un simple bout de texte parfois un peu enrichi. Alors que nous passons le plus clair de notre temps à lire des affreuses lignes de logs dans nos terminaux, nos SIEM et autres outils, les attaquants progressent toujours et de plus en plus vite… Pour nous aider dans cette chasse aux vilains, voici un petit billet de blog sur la représentation en graphe de nos données. ...

Avoir la capacité de mener des opérations de forensic à grande échelle est souvent un problème. En effet la méthode traditionnelle consiste à charger une image disque dans un outil tel que The Sleuth Kit ou Plaso et utiliser l’interface de l’outil pour lire un seul prélèvement. C’est bien mais comment faire pour 50 machines ? Pour 200 ? Ou même pour en traiter 10 si vous êtes tout seul ? ...

Dans DFIR réseau avec Zeek et JupyterLab : préparer l’analyse d’un PCAP Active Directory, nous avons vu comment faire le setup technique pour aborder une analyse. Cette fois, nous allons dérouler l’investigation avec une question un peu plus sérieuse qu’elle n’en a l’air : est-ce qu’un attaquant a réussi à voler le secret de la fameuse sauce Szechuan ? ...

L’heure est grave, il se pourrait que quelqu’un ait volé le secret de la sauce Szechuan, un mystère millénaire et très bien gardé. Quel goût elle a ? Je l’ignore mais nous sommes mandatés pour découvrir si oui ou non ce secret a été compromis. Mettons-nous dans la peau d’un détective pour cette enquête. Une seule contrainte pour nous : nous utiliserons uniquement la capture réseau pour mener notre investigation. Dans cet article nous verrons à quel point l’observation du réseau est cruciale pour la compréhension d’une attaque et nous comprendrons comment extraire et charger des données avec zeek et python. ...

DCE/RPC (Distributed Computing Environment / Remote Procedure Call) est un protocole qu’on retrouve beaucoup dans les entreprises. Et pour cause : celui-ci est au cœur du fonctionnement d’Active Directory et des environnements Microsoft. Les extensions ajoutées par Microsoft forment MSRPC. Fonctionnement de DCE/RPC À noter qu’on retrouve d’autres systèmes d’appels de procédures à distance connus, tels que gRPC (implémentation Google) - qui repose sur une pile moderne (HTTP/2 + Protobuf). ...

Avoir son lab, perso ou au travail est la promesse de la progression. De pouvoir casser et recommencer, s’entraîner, développer, tester des attaques et des outils. Pourtant, la mise en place d’un lab peut être longue et fastidieuse, il faut parfois plusieurs mois pour atteindre un résultat satisfaisant qui sera dans tous les cas difficile à reproduire. Ludus permet de pallier ce problème : en effet cet outil basé sur Ansible permet de déployer relativement facilement des labs complexes sur des hyperviseurs. ...

Bienvenue sur NobisD, un petit blog pour partager des idées techniques et des ressources autour de la cybersécurité. Ici, pas de ligne éditoriale stricte, mais la volonté de proposer des articles techniques, concrets, et sans bullshit. On y abordera notamment des sujets liés aux labs, à l’infrastructure, à l’Active Directory, à l’offensif comme au défensif, toujours dans une logique d’apprentissage et de progression. N’hésitez pas à utiliser le flux RSS si comme moi vous vous en servez pour la veille ;) ...