Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Si vous vous intéressez au reverse engineering comme moi, permettez-moi de vous présenter FLARE-VM de Mandiant ! C’est un outil très pratique pour vous monter rapidement un petit labo d’analyse de malwares sans vous prendre la tête.

Concrètement, FLARE-VM est une jolie brochette de scripts d’installation pour Windows, basés sur deux technos bien badass : Chocolatey (un gestionnaire de paquets) et Boxstarter (un outil pour scripter des installs et configurer des environnements reproductibles). Bref, ça mâche le boulot et ça permet d’installer tout un tas d’outils et les configurer proprement en quelques minutes.

Bon, avant de se lancer, faut quand même checker deux-trois prérequis. Déjà, n’oubliez pas que FLARE-VM est prévu pour tourner sur une VM, donc préparez-en une bien propre (Windows 10+ de préférence) sur VMWare ou Virtualbox par exemple. Ensuite, vérifiez que vous avez bien au moins 60 Go d’espace disque et 2 Go de RAM. Et pensez à désactiver les mises à jour Windows et l’antivirus, sinon ça risque de faire des misères.

Ouvrez ensuite une invite PowerShell en tant qu’administrateur et téléchargez le script d’installation installer.ps1 sur votre bureau à l’aide de la commande suivante :

(New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))\install.ps1")

Débloquez le script d’installation :

Unblock-File .\install.ps1

Puis activez son exécution : 

Set-ExecutionPolicy Unrestricted -Force

Si vous recevez un message d’erreur indiquant que la stratégie d’exécution est remplacée par une stratégie définie à une portée plus spécifique, vous devrez peut-être passer une portée via Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force. Pour afficher les stratégies d’exécution pour toutes les portées, exécutez Get-ExecutionPolicy -List.

Enfin, exécutez le script d’installation comme ceci :

.\install.ps1

Pour passer votre mot de passe en argument :

.\install.ps1 -password <mot_de_passe>

Pour utiliser le mode CLI uniquement avec un minimum d’interaction utilisateur :

.\install.ps1 -password <mot_de_passe> -noWait -noGui

Pour utiliser le mode CLI uniquement avec un minimum d’interaction utilisateur et un fichier de configuration personnalisé :

.\install.ps1 -customConfig <config.xml> -password <mot_de_passe> -noWait -noGui

Une fois lancée, l’installation va télécharger et installer tous les outils sélectionnés, configurer les variables d’environnement, épingler des raccourcis sur la barre des tâches, etc. Bref, en quelques clics, vous obtiendrez un environnement de reverse engineering aux petits oignons, prêt à l’emploi pour désosser du malware !

Après l’installation, il est recommandé de passer en mode de réseau host-only et de prendre un instantané de la machine virtuelle. Vous pouvez ensuite personnaliser votre environnement FLARE VM en fonction de vos besoins spécifiques :

  • Mettez à jour les outils et les logiciels installés pour vous assurer que vous disposez des dernières versions.
  • Configurez les paramètres réseau selon vos préférences, par exemple en passant en mode NAT ou en mode pont si nécessaire.
  • Installez des outils ou des utilitaires supplémentaires qui pourraient être utiles pour votre flux de travail d’analyse.
  • Personnalisez les paramètres de l’interface utilisateur et les préférences selon vos goûts.

Et c’est parti mon kiki !

Après, si vous voulez aller plus loin et contribuer à l’amélioration de FLARE-VM, jetez un œil aux repos GitHub du projet :

Happy reverse à tous ! 🚀

@  — 

Vous en avez marre de GRUB et ses limitations ? Vous rêvez de pouvoir booter facilement Windows, Linux et macOS sur la même machine en EFI ou UEFI ? Ne cherchez plus, rEFInd est là pour révolutionner votre expérience de démarrage !

Développé comme un fork de rEFIt, rEFInd pousse encore plus loin les possibilités de boot. Cet outil détecte automatiquement tous les systèmes d’exploitation installés sur votre ordinateur comme ça, fini le temps perdu à configurer manuellement chaque entrée ! Le plus dingue avec rEFInd, c’est qu’il peut même lancer directement des noyaux Linux sans passer par un bootloader intermédiaire. Ça simplifie énormément la configuration. Et pour les nostalgiques du bon vieux BIOS, pas de panique : rEFInd gère aussi le boot des OS en mode legacy via le CSM. Bref, c’est vraiment un outil très pratique pour gérer un multiboot sur les cartes mères modernes.

En plus d’être hyper pratique, rEFInd en jette grave avec ses thèmes graphiques. Ainsi, vous pouvez complètement personnaliser le look de votre menu de boot. Mettez une image de fond stylée, changez les icônes, ajoutez une bannière… Faites-vous plaisir ! C’est tellement plus agréable qu’un écran noir avec trois lignes de texte.

Mais rEFInd, ce n’est pas qu’une question d’esthétique. C’est aussi bourré d’options de configuration avancées pour les power users qui permettent de définir des paramètres de boot par défaut, modifier à la volée les options passées aux OS, activer le support des pilotes EFI, et bien plus encore. Tout se fait via un fichier texte hyper simple à comprendre.

Pour installer rEFInd, c’est facile : Téléchargez la dernière version sur le site officiel, décompressez l’archive et lancez le script d’installation. En quelques secondes, c’est prêt ! Le programme s’installe sur la partition EFI et prendra la main au démarrage suivant.

Maintenant, si vous voulez vraiment assurer niveau sécurité, vous pouvez même configurer rEFInd pour fonctionner avec Secure Boot. Il suffit de le signer numériquement avec votre propre clé, comme ça, vous serez certain que personne ne pourra modifier votre configuration de boot.

Ça facilite tellement la vie au quotidien et en plus ça en jette visuellement, alors pourquoi vous priver ?

Plus d’infos sur le site de rEFInd.

@  — 

Theme Park est une méga collection de thèmes CSS pour donner un coup de pep’s à tous vos outils chouchous : Deluge, Emby, Flood, Jackett, Jellyfin, Lidarr, Nzbget, Nzbhydra2, Ombi, Organizr, Overseerr, Plex, Portainer, Prowlarr, Qbittorrent, Radarr, Readarr, Rutorrent, Sabnzbd, Sonarr, Tautulli, Transmission, Unraid, Whisparr, et une tripotée d’autres.

Y’en a pour tous les goûts, du plus classieux au plus funky. Avec juste quelques lignes de code, vous allez pouvoir affirmer votre style unique.

Adieu la grisaille, bonjour les couleurs flashy et les designs innovants !

Et le kif, c’est que c’est hyper simple à mettre en place. Vous avez l’embarras du choix niveau installation : Docker, scripts personnalisés, Nginx, Apache… Bref, que vous soyez un newbie ou un pro du terminal, vous allez pouvoir en profiter en deux temps trois mouvements. Et si vous avez besoin d’un coup de main, la doc est là pour vous guider pas à pas.

Un exemple avec Plex :

Ou encore une personnalisation de Bitwarden :

Mais attendez, c’est pas fini ! Le vrai plus de Theme Park, c’est sa communauté de passionnés. On parle de vrais artistes qui partagent leurs créations avec générosité. Vous allez pouvoir piocher dans un catalogue de thèmes toujours plus étoffé, ou même proposer vos propres chefs-d’œuvre.

Si ça vous intéressez, rendez-vous sur https://theme-park.dev/ et vous pourrez commencer à bidouiller et personnaliser vos apps pour les rendre unique.

@  — 

Voici un outil bien pratique pour faire passer vos connexions TCP par un proxy SOCKS5 ou HTTP. Ça s’appelle graftcp et grâce à lui, vous pouvez dire adieu à vos galères pour proxifier certains outils.

Comparé à des solutions comme tsocks, proxychains ou proxychains-ng, graftcp n’utilise pas la méthode LD_PRELOAD qui ne fonctionne que pour les programmes liés dynamiquement. Par exemple, les applications construites avec Go ne peuvent pas être « accrochées » par proxychains-ng. Alors que Graftcp, lui, peut suivre et modifier les connexions de n’importe quel programme, ce qui le rend très versatile.

Pour l’essayer, c’est fastoche. Sur Linux, compilez graftcp et graftcp-local avec Go ou téléchargez directement les binaires Debian ou Arch.

Voici comment faire :

  1. Clonez le dépôt : git clone https://github.com/hmgle/graftcp.git cd graftcp make
  2. Après compilation, utilisez les binaires résultants dans local/graftcp-local et graftcp. Vous pouvez aussi les installer dans le système :
    sudo make install
    sudo make install_systemd
    sudo make enable_systemd
  3. Lancez graftcp-local avec l’adresse de votre proxy SOCKS5, genre 127.0.0.1:1080.
    Par exemple : local/graftcp-local -socks5 127.0.0.1:1080
  4. Utilisez ensuite graftcp pour encapsuler vos programmes afin qu’ils passent par le proxy sans broncher. Exemple pour installer un package Go : ./graftcp go get -v golang.org/x/net/proxy

Ou pour surfer pépouze avec Chromium ou Firefox : ./graftcp chromium-browser

Même votre shell préféré peut surfer incognito si vous le lancez avec graftcp :
./graftcp bash
wget https://www.google.com

Sous le capot, Graftcp fork et trace le programme avec ptrace. À chaque appel connect, il attrape l’adresse de destination et la transmet par pipe à graftcp-local. Ensuite, il la modifie pour pointer vers graftcp-local avant de relancer le syscall. L’appli croit alors qu’elle cause à sa destination mais en fait, elle parle à graftcp-local qui se charge de tunneler le trafic dans le proxy SOCKS. Malin non ?

Evidemment, vous pouvez personnaliser le comportement de graftcp en utilisant divers paramètres, comme spécifier des fichiers de configuration pour gérer une liste noire d’IPs (blacklist) ou une liste blanche (whitelist). Par défaut, localhost passe en direct :

$ graftcp -h Usage: graftcp [options] prog [prog-args] Options: -c --conf-file=<path> -a --local-addr=<IP> -p --local-port=<port> -n --not-ignore-local -b --blackip-file=<path> -w --whiteip-file=<path> -V --version -h --help

Pour plus de détail et options, consultez GitHub.

Notez que Graftcp est limité au TCP… pas d’UDP donc. Pour le DNS, il faudra donc passer par un proxy dédié comme ChinaDNS ou dnscrypt-proxy. Pour les performances, bien que les chiffres précis varient en fonction des configurations, graftcp est assez connu pour offrir une alternative robuste aux solutions comme proxychains.

Bref, c’est un outil polyvalent pour la proxification puisqu’il est léger, compatible avec tout et surtout facile à utiliser…

Source

@  — 

— Article en partenariat avec Surfshark VPN

Comment ça va de votre côté ? On se prépare doucement à la pause estivale ? En ce qui me concerne, j’en termine déjà avec le premier mois de mon trimestre de pause … ça file à une vitesse ma bonne dame, c’est dingue ! Mais s’il y en a qui ne prennent jamais de repos, ce sont bien les espions à l’affut de nos données.

Au travers de mes précédents articles, j’ai déjà fait le tour de pas mal d’outils, objets et services qui nous surveillent en quasi permanence. Les voitures intelligentes par exemple, ou les applications d’IA ainsi que celles dédiées au shopping. Bref tout ce qui stocke de la data personnelle est susceptible de fuiter ou d’être utilisé à vos dépens et sans votre autorisation. Le plus souvent c’est « seulement » pour vous bombarder de pubs ciblées, mais parfois c’est plus dangereux que cela (escroquerie, vol d’identité …). Et comme je l’ai montré dans ces mêmes articles, cela arrive de plus en plus fréquemment, la data numérique étant la nouvelle manne financière d’un pan entier du web.

Aujourd’hui on va s’intéresser à quelque chose d’autre : les maisons intelligentes. Car vous le savez aussi bien que moi, nous avons de plus en plus d’objets du quotidien connecté via des applications (IoT). Quelques exemples ? Brosse à dents, montre connectée, aspirateur robot, porte de garage, système de surveillance, machine à café, frigo, système de chauffage ou d’éclairage, volets de fenêtres ou encore les classiques assistant virtuel type Alexa. Alexa qui fête déjà ses 10 ans cette année, le temps passe vite ma bonne dame ! (je sais, je me répète, c’est l’âge … le temps passe vite ma …).

Surfshark nous a pondu une étude sur la question et épingle notamment Google et Amazon comme les plus avides de nos données (quelle surprise Sherlock). Mais ils ne sont pas les seuls puisque la majorité des quasi 300 applis testées récoltent et stockent diverses infos comme vos noms, votre email, vos interactions avec le produit (heures & Co) ou encore votre localisation précise. Infos qui vont aller gonfler nos profils chez les centaines de courtiers en données dès qu’elles se retrouveront dans la nature.

Amazon Alexa est de loin la pire de toutes, collectant 28 données différentes sur 32 analysées … qui, en plus, sont directement liées à votre identité personnelle. Au calme. Google fait un peu mieux, avec « seulement » 22 données récupérées (adresse, photos et vidéos, données de santé …). L’une des catégories les plus touchées ce sont les caméras de sécurité … qui ne font donc pas que surveiller les voleurs, mais les habitants de la maison eux-mêmes. On a aussi dans la liste des jouets connectés pour enfants (décidément après les applis mobiles pour gamins, ils ne sont jamais tranquilles nos mouflets). Vous pouvez retrouver tout le détail de l’étude sur cette page, si vous voulez creuser un peu par vous-mêmes.

Bon vous allez me dire, en quoi est-ce problématique ? Je n’ai rien à cacher ! (hahaha … OK boomer). Ces gadgets collectent vos données, augmentant ainsi votre empreinte digitale, et parfois utilisent ces mêmes données pour afficher des publicités ciblées. Chiant, mais pas mortel. Au niveau de la sécurité, le risque de mauvaise gestion ou de fuites de données augmente, car les données sont distribuées à travers plusieurs bases de données. Qui finiront pas fuiter, se faire hacker ou être revendues à des datas brokers. Ce qui arrive quotidiennement.

Prenons un exemple concret : vous avez installé une caméra de sécurité pour filmer si quelqu’un entre par effraction chez vous. Jusque là rien de spécial. Mais si cette caméra vous enregistre vous en train de tondre votre pelouse à moitié à poil et que la vidéo finit dans les mains d’un hacker quelconque … là c’est une autre histoire. Imaginez l’intimité du chef de l’Internet révélée aux yeux du grand public. Le monde n’est pas prêt.

Maintenant, comment lutter contre ce fléau ? Et bien déjà en se posant la question de savoir si l’on a vraiment besoin de ce type de gadget. La caméra si vous êtes dans une zone à risque ça peut avoir du sens. La brosse à dents ou la machine à café connectée … ce n’est peut-être pas vital. Ou au moins, essayez de trouver une alternative open source (pour creuser le code et voir comment elle fonctionne vraiment) et moins avide de tout savoir sur vos habitudes.

Prenez également le temps de mettre à jour les paramètres pour limiter au strict minimum ce que vous partagez. Si votre aspirateur robot a besoin du microphone ou que votre air fryer dispose d’un accès caméra, posez-vous des questions ^^ Pensez aussi à sécuriser vos connexions Wi-Fi et chiffrer tout votre trafic. C’est là que va intervenir Surfshark, l’un des plus réputés du marché que je vous recommande depuis des années. Il vous évitera de voir vos flux de données interceptés par un tiers, ou tout du moins de les rendre inexploitables si cela devait arriver. Je ne vous refais pas la présentation des multiples intérêts de l’outil, je l’ai déjà fait dans ma présentation de Surfshark VPN.

Surtout que vous pouvez en bénéficier au prix d’environ 71€ pour 27 mois (moins de 2.65€/mois) avec l’abonnement 2 ans. Ou opter pour la boite à outils complète Surfshark One (avec l’antivirus, la surveillance de fuites & co) pour à peine plus cher (3.23€/mois). Pas cher payé le prix de tranquillité d’esprit.

Testez le VPN de Surfshark !