SOC

Le centre d'opération de cyberdéfense est là pour vous protéger !

[SOC] Outils de cyber défense

Introduction

Cette page répertorie une base d'outils de cyber défense utile à un SOC ou même à un administrateur aguéri et conscient des enjeux cyber.

image.png

Scanner d'URL

Une multitude d'outils existent pour scanner les URL grâce à leur réputation.

Voici une liste d'outils :

Scanner d'adresse IP

Voici une liste d'outils en ligne pour analyser la réputation des adresses IP :

Scanner de fichier et de hash

Voici une liste d'outils en ligne pour analyser des fichiers et des hashs de fichiers :

Règles de détection

Blacklist d'empreintes de certificats SSL

Scanner de mail

Pour se protéger du phishing, il peut être utile d'utiliser des outils qui vont décortiquer le mail afin de potentiellement trouver des IOC.

Sandbox

Les sandboxs permettent de tester le comportement de fichier ou de site web afin de détecter un comportement malveillant dans un environnement protégé.

Matrice MITRE ATT&CK

Framework permettant notamment de lister les TTPs et les APT.

Liste d'IOC multiples

PS - Obtenir le hash d'un fichier

Get-FileHash <FILE> -Algorithm MD5

[SOC] Afficher l'empreinte d'un fichier

Introduction

Dans le cadre du travail d'analyste, il peut être intéressant d'obtenir l'empreinte d'un fichier sous ses différentes formes (MD5, SHA-1 ou SHA-256).

Ce tutoriel traitera la méthodologie à suivre sous Linux exclusivement.

image.png

Manuel

MD5

md5sum <FILE>

SHA-1

sha1sum <FILE>

SHA-256

sha256sum <FILE>

Changer l'empreinte d'un fichier

Il est possible de changer l'empreinte d'un fichier sans (presque) altérer son contenu en ajoutant un null byte à la fin de celui-ci :

echo -n -e "\x00" >> file.txt

Cette technique est très pratique pour échapper à la détection basée sur la signature mais permet aussi d'envoyer des échantillons de malware sur des plateformes publiques sans que celui-ci soit retrouvé par l'éditeur. 

[SOC] YARA

Introduction

Le YARA est un langage pour écrire des règles de détection de malware.

Il s'agit d'un langage simple et descriptif qui est adopté par le grand public.

Il est découpé par section qui ont chacune leur utilité. 

image.png

Source

Annexes

Anatomie d'une règle

image.png

Manuel

Installation

apt install -y yara

Meta

Cette section permet de donner des informations complémentaires qui ne seront pas interprêtés comme le ferait un commentaire dans du code.

Par exemple on peut utiliser le mot-clé desc, pour donner une description à notre règle afin qu'elle soit plus explicite pour les utilisateurs.

Strings

Cette section permet de détecter des chaînes de caractères présente dans les fichiers.

Voici un exemple d'utilisation :

rule helloworld_checker{
	strings:
		$hello_world = "Hello World!"

	condition:
		$hello_world
}

On peut aussi détecter des chaînes multiples :

rule helloworld_checker{
	strings:
		$hello_world = "Hello World!"
		$hello_world_lowercase = "hello world"
		$hello_world_uppercase = "HELLO WORLD"

	condition:
		any of them
}

Opérateurs

Comme dans les langages de programmation traditionnels, on peut utiliser des opérateurs pour nos conditions :

rule helloworld_checker{
	strings:
		$hello_world = "Hello World!"

	condition:
        #hello_world <= 10
}
Opérateurs
 Descriptions
<=
 Plus petit ou égal
>=
 Plus grand ou égal
!=
 Différent de

Combinaisons

On peut utiliser les mot-clés suivants pour combiner nos conditions :

Mot-clés
 Descriptions
and
 Les deux conditions doivent être valides
or
 Au moins l'une des deux conditions doit être valide
not
 Inverse la condition (true devient false et false devient true)

Voici un exemple pour vérifier si la chaîne est présente et si la taille du fichier est inférieure à 10KB :

rule helloworld_checker{
	strings:
		$hello_world = "Hello World!" 
        
        condition:
	        $hello_world and filesize < 10KB 
}

Lancer le scan

yara <RULE>.yar <FILE_TO_SCAN>

Si la règle match, la commande renverra le nom de la règle qui a matchée ainsi que le nom du fichier qui a matché.

Scanners d'IOC basés sur Yara

Loki

Mettre à jour la base de signature

python loki.py --update

Lancer un scan d'un dossier

python loki.py -p <DIR>

YarGen

Cet outil permet de créer une règle Yara à partir d'un ou plusieurs fichiers connus pour être malveillants.

Il va se baser sur les chaînes de caractères et les informations pour générer la règle qui va détecter le ou les fichiers.

Téléchargement

Mettre à jour l'outil

python3 yarGen.py --update

Cela va mettre à jour la base avec les chaînes et les opcodes.

Créer une règle

python3 yarGen.py -m <FILE_PATH> --excludegood -o <OUTPUT.yar>

Bien que l'outil soit fonctionnel, il est recommandé d'éditer la règle pour supprimer les chaînes qui pourraient lever des faux-positifs.

[SOC] Dettect

Introduction

Le projet Dettect a pour objectif d'identifier les TTPs couvertes (et non-couvertes) par vos règles de détection.

Le projet vous aidera à générer un fichier avec vos datasources couvertes et à convertir ce fichier en un fichier importable dans le MITRE Navigator afin d'afficher les TTPs.

image.png

DeTT&CT

Voici le lien du projet :

Lancez le conteneur :

docker run -p 8080:8080 -v $(pwd)/output:/opt/DeTTECT/output -v $(pwd)/input:/opt/DeTTECT/input --name dettect -it rabobankcdc/dettect:latest /bin/bash

Puis lancez le serveur web en écoute :

python3 dettect.py e

Vous pouvez ouvrir un navigateur web et vous rendre sur http://localhost:8080 .

docker exec -it dettect bash

Puis convertissez pour obtenir un fichier de configuration importable dans le MITRE Navigator :

python3 dettect.py ds -fd input/data-sources-new.yaml -l

Et importez dans le MITRE Navigator :

image.png

[SOC] Graylog

Introduction

Graylog est un SIEM qui permet de centraliser vos logs et de faire des queries pour faire des analyses de threat hunting notamment.

image.png

Sources

Installation

Serveur (Debian 12)

Tout d'abord, configurez correctement la timezone ou le serveur de temps :

timedatectl set-timezone Europe/Paris

Installez quelques outils de base dont nous auront besoin pour la suite :

apt update && apt install -y install curl lsb-release ca-certificates gnupg2 pwgen
MongoDB
curl -fsSL https://www.mongodb.org/static/pgp/server-6.0.asc | sudo gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg --dearmor && echo "deb [ signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg] http://repo.mongodb.org/apt/debian bullseye/mongodb-org/6.0 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list && apt update && apt-get install -y mongodb-org

Vous allez obtenir une erreur par rapport à libssl à ce stade et c'est normal, passez à la suite.

Rendez-vous sur le site suivant pour trouver la version la plus récente de libssl et copiez le lien :

Faite CTRL+F et cherchez "libssl1.1_1.1.1f-1ubuntu2." puis sélectionnez la version deb amd64.

Une fois l'URL récupérée, vous devriez faire quelque chose comme ça :

wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1f-1ubuntu2.23_amd64.deb && dpkg -i libssl1.1_1.1.1f-1ubuntu2.23_amd64.deb

Puis réinstallez le paquet mongodb-org :

apt install -y mongodb-org

Et lancez le service :

sudo systemctl daemon-reload && sudo systemctl enable --now mongod.service

Si l'installation de MongoDB s'est mal passée c'est que vous n'avez pas téléchargé le bon paquet sur le site d'Ubuntu.

Si l'installation de MongoDB s'est bien passée mais que le service ne démarre pas, assurez-vous de passer le CPU en mode host s'il s'agit d'une VM.

Opensearch
curl -o- https://artifacts.opensearch.org/publickeys/opensearch.pgp | sudo gpg --dearmor --batch --yes -o /usr/share/keyrings/opensearch-keyring && echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-2.x.list && apt update
env OPENSEARCH_INITIAL_ADMIN_PASSWORD=<PASSWORD> apt-get install opensearch

Choisissez un mot de passe d'au moins 8 caractères avec minuscule, majuscule, chiffre et caractère spécial sinon l'installation d'opensearch échouera.

Maintenant ouvrez le fichier de configuration /etc/opensearch/opensearch.yml et ajustez la configuration avec les éléments suivants :

cluster.name: graylog
node.name: ${HOSTNAME}
path.data: /var/lib/opensearch
path.logs: /var/log/opensearch
discovery.type: single-node
network.host: 127.0.0.1
action.auto_create_index: false
plugins.security.disabled: true
Java

Éditez le fichier de configuration /etc/opensearch/jvm.options pour définir la ram utilisée par Java (minimum 4G) :

-Xms4g
-Xmx4g

Vérifiez que le max_map_count est définit à 262144 :

cat /proc/sys/vm/max_map_count

Si ce n'est pas le cas (uniquement) :

sysctl -w vm.max_map_count=262144

Une fois que java est configuré, lancez et activez le service opensearch :

systemctl daemon-reload && systemctl enable --now opensearch
Graylog
wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb && dpkg -i graylog-6.1-repository_latest.deb && apt update && apt install -y graylog-server

Avant de lancez Graylog il faut configurer le password_secret que vous pouvez générer avec la commande suivante :

pwgen -N 1 -s 96

Renseignez le à l'endroit adéquat dans le fichier /etc/graylog/server/server.conf .

Ensuite il faut configurer le mot de passe admin de Graylog. Pour cela on doit calculer son hash :

echo -n "<PASSWORD>" | shasum -a 256

Et renseignez le dans le fichier /etc/graylog/server/server.conf au niveau du champ root_password_sha2 .

Toujours dans le fichier de configuration, définissez les paramètres suivants :

http_bind_address = 0.0.0.0:9000
elasticsearch_hosts = http://127.0.0.1:9200

Et enfin, activez et démarrez Graylog :

systemctl enable --now graylog-server

Graylog est désormais accessible via http://<IP>:9000 .

Agent Windows

Tout d'abord il faut configurer Graylog pour recevoir les logs.

Pour cela rendez-vous dans System > Inputs et sélectionnez GELF UDP comme ci et cliquez sur Launch new input :

image.png

Configurez de la sorte (sauf pour le titre, mettez ce que vous souhaitez) :

image.png

Vous devriez voir quelque chose comme ça :

image.png

Maintenant téléchargez l'agent NXLog sur la machine qui va envoyer les logs :

image.png

Saisissez la configuration suivante dans le fichier C:\Program Files\nxlog\conf\nxlog.conf :

# Récupérer les journaux de l'observateur d'événements
<Input in>
    Module      im_msvistalog
</Input>

# Déclarer le serveur Graylog (selon input)
<Extension gelf>
    Module        xm_gelf
</Extension>

<Output graylog_udp>
    Module        om_udp
    Host          192.168.10.220
    Port	  12201
    OutputType    GELF_UDP
</Output>

# Routage des flux in vers out
 <Route 1>
     Path        in => graylog_udp
 </Route>

Celle-ci enverra tous les logs de la machine sur Graylog, ce qui n'est pas forcément nécessaire, on pourrait envoyer seulement les logs Security et appliquer la configuration suivante :

# Récupérer les journaux Security de l'observateur d'événements
<Input in>
    Module      im_msvistalog
    <QueryXML>
        <QueryList>
            <Query Id='1'>
                <Select Path='Security'>*</Select>
            </Query>
        </QueryList>
    </QueryXML>
</Input>

# Déclarer le serveur Graylog (selon input)
<Extension gelf>
    Module        xm_gelf
</Extension>

<Output graylog_udp>
    Module        om_udp
    Host          192.168.10.220
    Port	  12201
    OutputType    GELF_UDP
</Output>

# Routage des flux in vers out
 <Route 1>
     Path        in => graylog_udp
 </Route>

Désormais relancez le service NXlog pour appliquer la configuration :

Restart-Service nxlog

Le fichier de log de NXlog est le fichier C:\Program Files\nxlog\data\nxlog.log si vous devez debugger.

[SOC] Cyberchef

Introduction

Cyberchef est un outil pour décoder, formater etc très utile en CTF ou dans les tâches quotidiennes.

image.png

Sources

Cyberchef API

Un projet a été réalisé, permettant d'exécuter des recettes via des call API (très pratique pour de l'automatisation :

Pour l'installer (docker requis) :

git clone https://github.com/gchq/CyberChef-server && cd CyberChef-server && docker build -t cyberchef-server .

Pour lancer le serveur :

docker run -it --rm --name=cyberchef-server -p 3000:3000 cyberchef-server

Ensuite, par exemple, vous pourriez extraire des IPv4 d'un texte brut avec une simple requête curl :

curl -X POST -H "Content-Type: application/json" -d '{"input":"120[.]89[.]71[.]226 120[.]89[.]71[.]226:9090 aa", "recipe":[{"op":"Fang URL", "args":[true, false]}, {"op":"Extract IP addresses", "args":["IPv4", false]}]}' http://localhost:3000/bake

 

 

 

[SOC] Splunk


[SOC] Splunk

[Splunk] SPL

Introduction

Le SPL est le langage de requête propriétaire à Splunk. Il est extrêmement puissant mais utilise une syntaxe peu triviale.

image.png

Cheat-sheet

Index

Pour chercher dans un index :

index="main"

Opérateurs

Opérateurs
=
!=
>
>=
<
<=

Supprimer un champ de l'affichage

index="main" sourcetype="WinEventLog:Sysmon" EventCode=1 | fields - User

Créer un tableau

index="main" sourcetype="WinEventLog:Sysmon" EventCode=1 | table _time, host, Image

Ici un tableau sera affiché avec trois colonnes : _time, host et Image.

Renommer un champ

index="main" sourcetype="WinEventLog:Sysmon" EventCode=1 | rename Image as Process

Supprimer les doublons

Vous pouvez supprimer les doublons en vous basant sur un champ :

index="main" sourcetype="WinEventLog:Sysmon" EventCode=1 | dedup Image

Ici, si un même process apparaît plusieurs fois dans les logs, il n'y aura quand même qu'un seul résultat affiché.

Trier

Par exemple pour trier dans le temps :

index="main" sourcetype="WinEventLog:Sysmon" EventCode=1 | sort - _time

Statistiques

Pour avoir des statistiques, par exemple le count :

index="main" sourcetype="WinEventLog:Sysmon" EventCode=3 | stats count by _time, Image

Graphiques

Vous pouvez faire une visualisation avec le mot clé chart :

index="main" sourcetype="WinEventLog:Sysmon" EventCode=3 | chart count by _time, Image

Eval

Pour effectuer des opérations basiques comme mettre en minuscule un champ :

index="main" sourcetype="WinEventLog:Sysmon" EventCode=1 | eval Process_Path=lower(Image)

Regex

Pour effectuer une regex :

index="main" EventCode=4662 | rex max_match=0 "[^%](?<guid>{.*})" | table guid

Lookup table

Après avoir importé votre CSV dans Splunk, vous pouvez effectuer des vérifications pour ajouter un champ :

index="main" sourcetype="WinEventLog:Sysmon" EventCode=1 | rex field=Image "(?P<filename>[^\\\]+)$" | eval filename=lower(filename) | lookup malware_lookup.csv filename OUTPUTNEW is_malware | table filename, is_malware

Time range

index="main" earliest=-7d latest=-1d EventCode!=1

Transaction

Permet de regrouper plusieurs events qui partagent un champ commun :

index="main" sourcetype="WinEventLog:Sysmon" (EventCode=1 OR EventCode=3) | transaction Image startswith=eval(EventCode=1) endswith=eval(EventCode=3) maxspan=1m | table Image |  dedup Image

Le maxspan sert à spécifier une fenêtre de temps maximale entre les deux events.

Subsearches

Permet de faire une sous-recherche comme filtre dans sa requête :

index="main" sourcetype="WinEventLog:Sysmon" EventCode=1 NOT [ search index="main" sourcetype="WinEventLog:Sysmon" EventCode=1 | top limit=100 Image | fields Image ] | table _time, Image, CommandLine, User, ComputerName

Eventcount

Pour obtenir le nombre d'events de votre query :

| eventcount summarize=false index=* | table index

Metadata

| metadata type=sourcetypes

Sourcetype

Filtrer par sourcetype permet d'augmenter les performances de la query :

sourcetype="WinEventLog:Security" | table _raw

Fieldsummary

Pour avoir un récapitulatif de statistiques :

sourcetype="WinEventLog:Security" | fieldsummary