Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Hacking éthique : étude de malwares [RESSOURCES ADDITIONNELLES] Ce document not

Hacking éthique : étude de malwares [RESSOURCES ADDITIONNELLES] Ce document note pour chaque session concernée de l’aide, des liens et des instructions supplémentaires. Mise en place du laboratoire de test avec Windows XP et Virtualbox  Télécharger Windows XP Mode : https://www.microsoft.com/fr- FR/download/details.aspx?id=8002  Télécharger Win-Rar (nécessaire pour ouvrir des fichiers .rar sous Windows XP) : https://www.win-rar.com/start.html?&L=10 (vous n'avez pas besoin de l'acheter)  Télécharger VirtualBox : https://www.virtualbox.org/wiki/Downloads Notes pour l'installation de Virtualbox :  Choisissez d'abord la version pour votre système (Windows hosts si vous avez Windows par exemple).  Vérifiez que vous avez bien les prérequis nécessaires à son installation.  Mettez votre système à jour si besoin.  Installez le Pack d'Extension si on vous le demande.  Activer l'intégration automatique de la souris une fois dans VB si on vous le demande.  Choisissez le mode de connexion réseau par pont dans les paramètres Virtualbox de toutes vos machines virtuelles.  Posez vos questions ci-dessous si besoin.  Lien vers la documentation officielle et à jour pour installer Virtualbox sous Windows, Mac et Linux (en anglais) : https://www.virtualbox.org/manual/ch02.html#idm856  Manuel d'utilisateur pour Virtualbox en Français : http://download.virtualbox.org/virtualbox/UserManual_fr_FR.pdf Note sur l'installation de Windows XP : Ce n'est pas un choix anodin, mais parce qu'on aura plus de facilités à effectuer des tests de vulnérabilités sur ce système, car il n'est plus maintenu à jour et permet donc une stabilité des explications dans le temps. Attention, la manipulation proposée permet de lancer Windows XP sur Virtualbox, mais l'installation officielle est uniquement supportée pour Virtual PC sous Windows 7. Il n'y a donc pas de garantie sur l'installation ni même sur la conformité avec la licence d'utilisation de Windows XP Mode. La licence expire au bout de 30 jours. Cela signifie qu'il vous faudra soit réinstaller entièrement Windows XP comme indiqué dans la vidéo chaque mois, soit fournir une clé de licence valide. Il semble cependant que si vous choisissez d'enregistrer l'état de la machine (via Virtualbox) au lieu de l'éteindre, vous pouvez utiliser Windows XP sans limite de temps car la licence ne sera exigée qu'au redémarrage. La technique pour piéger les pirates et découvrir une intrusion [IMPORTANT] Mise à jour : le service whatstheirip intialement présenté a été arrêté... des alternatives sont proposées.  Ressource à utiliser « piege.zip » et « Idees-de-placement-de-votre-piege.txt »  Services cités : https://grabify.link et https://iplogger.org  Raccourcisseur d'URL : https://goo.gl/  Autre raccourcisseur d'URL : https://bit.ly  Générer des informations pour les publications Facebook ou autre : https://webcode.tools/open-graph-generator/  Hébergement gratuit de sites : https://www.000webhost.com/  Géolocalisation d'adresses IP : https://www.iplocation.net/ Idées de placement de vos liens pièges:  À l'intérieur d'un document Word ou PDF sous forme de lien vers un site quelconque.  N'hésitez pas à éparpiller des fichiers piégés sur vos systèmes en utilisant des mots clés comme "privé", "mot de passe", "secret", etc. Chaque fois avec un lien différent pour savoir quelle alerte correspond à quoi.  À l'intérieur de certaines informations privées de vos comptes en ligne que seul vous (ou un pirate de votre compte) peut voir.  Dans des URLs avec mots clés sensibles si vous avez un site web.  À l'intérieur de textos vers un complice auquel vous faites croire que vous envoyez des informations privées par SMS/MMS. ATTENTION:  Veuillez tester que votre piège fonctionne avant de le déployer.  Aucune garantie n'est fournie, le service whatstheirip ou les autres étant des services tiers (cela signifie également qu'ils peuvent disparaître du jour au lendemain, laissant vos pièges inefficaces).  À utiliser sous votre propre responsabilité, l'adresse IP est considérée comme une donnée à caractère personnelle et le service ne doit pas être utilisé à des fins malveillantes. Exemple de Faille Informatique dans Internet Explorer  Descriptif de la faille citée : https://www.rapid7.com/db/modules/exploit/windows/browser/ms10_002 _aurora  Descriptif de la faille citée (CVE) : https://cve.mitre.org/cgi-bin/cvename.cgi? name=CVE-2010-0249  Informations de la part de Microsoft : https://docs.microsoft.com/en- us/security-updates/securityadvisories/2010/979352 Note : L'installation de Kali Linux avec Metasploit n'est pas traitée dans cette vidéo. Nous vous recommandons le cours vidéo complet sur le Hacking éthique pour connaître toutes les démarches d'installation si vous en avez besoin. Voici tout de même le lien de téléchargement de Kali Linux : https://www.kali.org/downloads/ (fichier ISO) ou https://www.offensive- security.com/kali-linux-vm-vmware-virtualbox-image-download/ (fichier OVA, recommandé) Exemple de Faille Humaine (virus caché) Pour en savoir plus :  Le changement de taille d'un fichier est effectué via un logiciel appelé un "File Pumper". Certains sont accessibles sur Internet, sous forme compilée, ou via un code source.  Le changement d'icône est faisable, soit avec un logiciel dédié (par exemple IcoFx), soit via le système d'exploitation directement. Voici plus d'informations.  Vous trouverez des solutions tout-en-un sur le web comme le projet suivant : https://github.com/AHXR/maskedkitty Autre exemple de faille humaine, le faux logiciel de piratage : https://www.leblogduhacker.fr/le-meilleur-logiciel-de-piratage/ Ralentissement des Performances de l'ordinateur Les problèmes de performances peuvent être dus à divers soucis. Parfois il s'agit de logiciels malveillants.  L'outil de démonstration de problèmes de performances est disponible dans le fichier « RalentissementPerformance.zip ».  Sites utilisés dans la vidéo : https://www.thinkbroadband.com/download  Utilisation du moniteur de ressources : https://docs.microsoft.com/fr- fr/sql/relational-databases/performance-monitor/monitor-resource-usage- system-monitor?view=sql-server-2017 Message d'alerte de connexion frauduleuse Les messages d'alertes cités dans cette vidéo font partie des messages à prendre avec sérieux. Ils peuvent signaler un piratage réussi.  Lien vers votre compte Microsoft (pour définir les alertes et paramètres de sécurité)  L'authentification en deux étapes, exemple avec Google  Centre de sécurité Facebook Note : Attention à vérifier la légitimité du message d'alerte en question en vous rendant sur les sites officiels concernés, car on pourrait vous faire CROIRE à une connexion frauduleuse, alors qu'il n'en est rien, et que vous allez vraiment vous faire pirater en voulant "changer votre mot de passe par sécurité" sur un site pirate. Modifications du navigateur et extensions Malveillantes  Répertoire des extensions chrome : https://chrome.google.com/webstore/category/extensions?hl=fr  Répertoire des extensions Firefox : https://addons.mozilla.org/fr/firefox/  Adwcleaner pour nettoyer les extensions indésirables : https://www.malwarebytes.com/adwcleaner/  Réinitialiser Chrome : https://support.google.com/chrome/answer/3296214? hl=fr  Réinitialiser Firefox : https://support.mozilla.org/fr/kb/reinitialiser-firefox- restaurer-modules-parametres 5 Signes directs d'une infection ou d'un piratage  Liste d'utilitaires de sauvegarde automatiquement (via 01net)  Tutoriel sur l'utilisation des sauvegardes automatiques de Windows 10 Historique d'un site web (récupération d'informations supprimées)  Exemple de fichier robots.txt : User-agent: ia_archiver Disallow: /  Site cité dans la vidéo : https://web.archive.org/ Analyse des programmes lancés automatiquement (Windows)  Lien cité dans cette vidéo : https://docs.microsoft.com/en- us/sysinternals/downloads/autoruns Analyse des connexions réseau  Lien cité dans cette vidéo : https://docs.microsoft.com/en- us/sysinternals/downloads/tcpview Analyse et vérification avancée des Processus Liens cités dans cette vidéo :  Process Explorer : https://docs.microsoft.com/en- us/sysinternals/downloads/process-explorer  Process Monitor : https://docs.microsoft.com/en- us/sysinternals/downloads/procmon Note additionnelle : Dans Process Monitor, vous pouvez sauvegarder des logs d'un processus donné (ou d'un filtre donné) dans un fichier de votre choix. Cela permet de garder une trace après fermeture de Process Monitor. Pour ce faire, il faut d'abord sélectionner un filtre en cliquant sur Filter -> Filter... puis choisir "Process Name is LE_NOM_DU_PROCESSUS_CIBLE" et valider. Puis cliquer sur File -> Backing Files... et choisir "Use file named" dans la boite de dialogue. Ensuite, il suffit de choisir un nom de fichier log et un emplacement, puis de valider et de redémarrer Process Monitor. Ensuite, le fichier log sera automatiquement rempli et réutilisable à n'importe quel moment par la suite (il s'ouvre avec Process Monitor également). Vous pouvez bien entendu sauvegarder le fichier log sans filtres, mais il risque de devenir conséquent... Analyse de la RAM et des données Volatiles (partie 1) Liens cités dans la vidéo :  Utilitaire pour utiliser Dump it : https://sourceforge.net/projects/jumpbag/  Volatility (version 2.5) : https://www.volatilityfoundation.org/25 Commandes Volatility citées dans la vidéo (les expressions en gras sont à adapter à votre système/version) : volatility-2.5.standalone.exe imageinfo -f WINDOWSXP- XXXXXXXX-XXXXXX.raw (affiche des informations sur le système utilisé dans la capture .raw) volatility-2.5.standalone.exe -f WINDOWSXP-XXXXXXXX- XXXXXX.raw -h (affiche l'aide, les commandes utilisables) volatility-2.5.standalone.exe malfind -p 1288 -f WINDOWSXP- XXXXXXXX-XXXXXX.raw (affiche des informations sur les .DLL potentiellement malveillantes pour le processus de pid 1288) Analyse de la RAM et des données Volatiles (partie 2) Liens cités dans la vidéo :  Exemple de Dumps mémoire à analyser avec Volatility : https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples & https://www.honeynet.org/challenges/2010_3_banking_troubles Commandes Volatility citées dans la vidéo (les expressions en gras sont à adapter) : volatility-2.5.standalone.exe connections -f WINDOWSXP- XXXXXXXX-XXXXXX.raw (affiche les connexions actives au moment du dump) volatility-2.5.standalone.exe userassist -f WINDOWSXP- XXXXXXXX-XXXXXX.raw (affiche les derniers programmes exécutés) volatility-2.5.standalone.exe shellbags -f WINDOWSXP- XXXXXXXX-XXXXXX.raw (affiche les derniers fichiers ouverts/utilisés) volatility-2.5.standalone.exe clipboard -f WINDOWSXP- XXXXXXXX-XXXXXX.raw (affiche les données dans le presse-papier) volatility-2.5.standalone.exe notepad -f WINDOWSXP-XXXXXXXX- XXXXXX.raw (affiche le texte tapé dans le Bloc Notes) L'outil d'investigation numérique Autopsy Cette vidéo introduit l'outil d'investigation numérique Autospy. Voici le lien de téléchargement : https://www.sleuthkit.org/autopsy/download.php Son but est d'assister l'utilisateur dans l'analyse forensique du système en permettant de mettre en valeur les types de données populaire et d'y appliquer des analyses précises (compatible avec tous les systèmes populaires). Introduction à l'Analyse de Malwares  https://malshare.com/  https://virusshare.com/  https://github.com/ytisf/theZoo Démonstration et étude uploads/s3/ 0-liens-et-instructions-a-lire.pdf