RootkitRevealer - Sysinternals
Analysez votre système à la recherche de programmes malveillants basés sur rootkit.
Cours sécurité des micro-ordinateurs Echanger et se tenir informé de l'actualité en matière de sécurité informatique. Échanger au sujet des ateliers du cours niveau 1, 2 / Bruno Fraudet
Comment installer macOS Ventura sur des Mac non pris en charge à l'aide d'OCLP https://geekflare.com/fr/install-macos-ventura/
Nom du modèle : iMac
Identifiant du modèle : iMac14,1
Nom du processeur : Quad-Core Intel Core i5
Vitesse du processeur : 2,7 GHz
Nombre de processeurs : 1
Nombre total de cœurs : 4
Cache de niveau 2 (par cœur) : 256 Ko
Cache de niveau 3 : 4 Mo
Mac bloqué au démarrage par suite d’une désinstallation logicielle avec message de type…« Erreur irrécupérable. SecurityAgent n'est pas parvenu à créer le mécanisme… »Il s’agit d’un problème lié à la suppression d'un plugin d'autorisation sous macOS sans désinscription préalable
1. Démarrez votre Mac en mode MacOS Recovery en maintenant Cmd+R enfoncé jusqu'à ce que le logo Apple apparaisse.Une fois que votre Mac a démarré en mode MacOS Recovery, vous devriez voir une fenêtre intitulée "MacOS Utilities".a. Ouvrez Disk Utility et vérifiez dans le menu gauche le nom de votre disque. Pour les Mac exécutant Catalina, recherchez le nom qui ne se termine pas par "- Data".b. Sélectionnez le disque dans le menu. Il faut qu’il soit montéc. Cliquez sur "Mount (Monter)" dans la barre d'outils (si vous voyez seulement "Démonter" c’est qu il est déjà monté et vous n'avez rien à faire.d. Quitter l'utilitaire de disque pour retourner dans les utilitaires2. Vous devriez être de retour dans la fenêtre "MacOS Utilities".3. Dans la barre de menus en haut de l'écran, ouvrez Utilitaires > Terminal.4. Entrez la commande
rm "/Volumes/votre disque/var/db/auth.db"
Remplacez <votre disque> par le nom de votre disque durAssurez-vous de ne pas oublier les guillemets au cas où le nom de votre disque contient des espaces.5 Redémarrez votre Mac.
Que faire en cas d'attaque de mon SI
"Ce document s’adresse aux responsables amenés à piloter les opérations de remédiation consécutives à un incident de sécurité des systèmes d’information."
"La remédiation est définie comme le projet de reprise de contrôle d’un système d’information compromis. Elle débute avec l’identification de l’incident et ne se termine que quand les objectifs stratégiques ont été atteints, ce qui consiste généralement au rétablissement des services et à l’éviction de l’adversaire."
https://www.justgeek.fr/telecharger-macos-98333/
une fondation à but non lucratif, créant des outils de sécurité macOS open source gratuits , des livres et la conférence #OBTS
https://objective-see.org/index.html
https://objective-see.org/tools.html
https://standards.amnbrains.com/security-standards
Le socle interministériel de logiciels libres (SILL) est le catalogue de référence des logiciels libres recommandés par l'Etat pour toute l'administration.
Il est publié par le pôle logiciels libres d'Etalab (DINUM) sur le site code.gouv.fr.
Son interface de gestion est accessible sur le site sill.etalab.gouv.fr.
Il est construit de façon collaborative par une communauté d'agents publics, les « référents SILL ». Ces agents publics peuvent être des agents des trois fonctions publiques : d'État, hospitalière et territoriale.
Le site web Sysinternals a été créé en 1996 par Mark Russinovich pour héberger ses utilitaires système avancés et des informations techniques. Que vous soyez professionnel de l’informatique ou développeur, vous trouverez des utilitaires Sysinternals pour vous aider à gérer, dépanner et diagnostiquer vos systèmes et applications Windows.
Sysinternals Live est un service qui vous permet d’exécuter des outils Sysinternals directement à partir du web sans les rechercher et les télécharger manuellement. Entrez simplement le chemin Sysinternals Live d’un outil dans l’Explorateur Windows ou une invite de commandes en tant que live.sysinternals.com/< toolname> ou \\live.sysinternals.com\tools\<toolname>.
Vous pouvez afficher l’intégralité du répertoire Sysinternals Live Tools dans un navigateur à l’adresse https://live.sysinternals.com/.
AccessChk
cet outil vous indique que l’utilisateur ou le groupe que vous spécifiez a des fichiers, des clés de registre ou des services de Windows.
AccessEnum
Cet outil de sécurité simple mais puissant vous montre qui a accès aux répertoires, aux fichiers et aux clés de Registre sur vos systèmes. Utilisez-le pour trouver des trous dans vos autorisations.
Autologon
Écran de contournement du mot de passe lors de l’ouverture de session.
Autoruns
Consultez les programmes qui sont configurés pour démarrer automatiquement lorsque votre système démarre et que vous vous connectez. Autoruns affiche également la liste complète des emplacements du Registre et des fichiers où les applications peuvent configurer les paramètres de démarrage automatique.
LogonSessions
Répertorier les sessions actives d’ouverture de session
Process Explorer
Découvrez les fichiers, les clés de Registre et les autres processus d’objets ouverts, les dll qu’ils ont chargées, et bien plus encore. Cet utilitaire unique et puissant vous montrera même qui est propriétaire de chaque processus.
PsExec
Exécuter des processus avec des droits utilisateur limités.
PsLoggedOn
Affichez les utilisateurs connectés à un système.
PsLogList
Videz les enregistrements du journal des événements.
PsTools
La suite PsTools comprend des utilitaires de ligne de commande pour répertorier les processus en cours d’exécution sur des ordinateurs locaux ou distants, exécuter des processus à distance, redémarrer des ordinateurs, vider des journaux d’événements et bien plus encore.
Revealer Rootkit
RootkitRevealer est un utilitaire de détection de Rootkit avancé.
SDelete
Remplacez en toute sécurité vos fichiers sensibles et nettoyez votre espace libre de fichiers précédemment supprimés à l’aide de ce programme de suppression sécurisée conforme à DoD.
ShareEnum
Analyser les partages de fichiers sur votre réseau et afficher leurs paramètres de sécurité pour fermer les brèches de sécurité.
ShellRunas
Lancer des programmes en tant qu’utilisateur différent via une entrée de menu contextuel de l’interpréteur de commandes pratique.
Sigcheck
Videz les informations de version de fichier et vérifiez que les images de votre système sont signées numériquement.
Sysmon
analyse et signale l’activité système clé par le biais du journal des événements Windows.
Analysez votre système à la recherche de programmes malveillants basés sur rootkit.
Enregistrements du journal des événements de vidage.
Windows les utilitaires d’informations système Sysinternals
Utilisez Contig pour optimiser des fichiers individuels ou pour créer de nouveaux fichiers contigus.
tu peux utiliser ATT&CK pour comprendre les lacunes de ton environnement et cartographier les défenses : allez sur :https://attack.mitre.org/ Dans ton cas , je pense plutôt à la T1189
Dans le Finder sur votre Mac, repérez l’app que vous souhaitez ouvrir. Le plus simpe N’utilisez pas Launchpad. Launchpad ne vous permet pas d’utiliser le menu contextuel. Cliquez sur l’icône de l’app en maintenant la touche Contrôle enfoncée, puis choisissez Ouvrir dans le menu contextuel. Cliquez sur Ouvrir. L’app est enregistrée en tant qu’exception dans vos réglages de sécurité et vous pourrez l’ouvrir par la suite en cliquant deux fois dessus, comme n’importe quelle app enregistrée. https://support.apple.com/fr-fr/guide/mac-help/mh40616/mac
"AVANT-PROPOS Face à d’éventuels effets dans le cyberespace liés au conflit en cours entre l’Ukraine et la Russie, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise la mise en œuvre de 5 mesures préventives prioritaires : • renforcer l’authentification sur les systèmes d’information ; • accroître la supervision de sécurité ; • sauvegarder hors-ligne les données et les applications critiques ; • établir une liste priorisée des services numériques critiques de l’entité ; • s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque. Ces mesures prioritaires de cybersécurité sont essentielles et leur mise en œuvre à court terme permet de limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets. Pour être pleinement efficaces, elles doivent cependant s’inscrire dans une démarche de cybersécurité globale et de long terme" https://www.ssi.gouv.fr/uploads/2022/02/20220226_mesures-cyber-preventives-prioritaires.pdf
faire un cmd
puis
echo %logonserver%
faire remonter ton domaine
systeminfo | findstr /B /C:”Domain”
système de détection de proxy automatique
ping wpad
https://www.cybermalveillance.gouv.fr/cybermenaces
Le Groupement d’Intérêt Public Action contre la Cybermalveillance (GIP ACYMA) est issu de la Stratégie numérique du Gouvernement présentée le 18 juin 2015 et dont les objectifs ont été ensuite détaillés dans la Stratégie nationale pour la sécurité numérique publiée le 16 octobre 2015.
Nouvelle vulnérabilité dans Microsoft Windows 10 H2 et autres ....
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/
Pensez à désactiver le spouleur d'impression dans les services en attendant mieux
Option 1 - Disable the Print Spooler service
If disabling the Print Spooler service is appropriate for your enterprise, use the following PowerShell commands:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Option 2 - Disable inbound remote printing through Group Policy
You can also configure the settings via Group Policy as follows: Computer Configuration / Administrative Templates / Printers
Disable the “Allow Print Spooler to accept client connections:” policy to block remote attacks.
In related news, CISA has also issued a notification on the PrintNightmare zero-day encouraging admins to disable the Windows Print Spooler service on servers not used for printing.
Per Microsoft's previous recommendations on how to mitigate risks on Domain controllers with Print spooler service running, the service should be disabled on all Domain Controllers and Active Directory admin systems via a Group Policy Object due to the increased exposure to attacks.
Since this service is enabled by default on most Windows clients and server platforms, the risk of future attacks actively targeting vulnerable systems is significant.
Until Microsoft releases PrintNightmare security updates, implementing the mitigations listed above is the easiest way to ensure that threat actors—and ransomware groups in particular—will not jump at the occasion to breach your network.
Update: Added info on PrintNightmware active exploitation.
https://www.bleepingcomputer.com/news/security/microsoft-shares-mitigations-for-windows-printnightmare-zero-day-bug/
PS :
il est tout à fait possible de lancer PowerShell depuis l’invite de commande MS-DOS, comme je vous ai montré en cours , cmd en admin puis en tapant : powershell
https://www.malekal.com/slmgr-commande-activer-supprimer-visualiser-licences-windows/
Site de Malekal qui répond sur les bases du slmgr à ta question Akim
L'activation de Windows peut-être effectuée depuis les paramètres de Windows 10 > Mise à jour et sécurité > activation à gauche.
Malheureusement, parfois des erreurs peuvent s'afficher ou certaines options comme la date d'expiration de la licence ne sont pas indiquée.
La commande slmgr est très utile car elle permet d'obtenir toutes sortes d'informations mais aussi gérer les clé produits et licences de Windows.
Pour pouvoir utiliser slmgr, vous devez ouvrir l'invite de commandes en administrateur en effectuant un clic droit sur l'icône puis exécuter en tant qu'administrateur.
Plus d'informations sur les articles suivants : L'invite de commandes de Windows et comment ouvrir l'invite de commandes sur Windows 10.
La commande slmgr fonctionne avec des paramètres qui permet d'effectuer ces opérations.
Pour obtenir des informations sur votre licence comme le type (Retail, OEM, KMS, etc), le nombre de réinitialisation restant ou encore la date d'expiration s'il y en a une, vous pouvez utiliser la commande suivante :
slmgr /dli
Il est aussi possible d'obtenir encore plus d'informations en utilisant la commande suivante :
slmgr /dlv
Vous pouvez aussi vérifier le mode dans lequel votre Windows est :
La commande suivante de slmgr permet d'obtenir ces informations sur l'état d'activation de Windows.
Il est aussi possible de supprimer une clé produit afin de retirer l'activation de Windows.
Cela est notamment utile dans le cas d'une licence Retail pour la déplacer d'un ordinateur à l'autre, pour plus d'informations : Comment transférer une licence Windows d'un PC à un autre
Voici comment utiliser slmgr pour supprimer une clé produit :
slmgr /upk
Il faut savoir que Windows stocke aussi la clé dans le registre Windows, des applications légitimes ou logiciels malveillantes peuvent récupérer la clé produit à cet endroit.
L'utilitaire de résolution des problèmes de Windows 10 peut aussi restaurer une clé produit depuis cet emplacement.
Il est alors possible de supprimer la clé produit du registre de Windows surtout si vous devez vendre l'ordinateur par la suite.
slmgr /cpky
Insérer ou changer la clé produit
Bien entendu, slmgr donne la possibilité de saisir ou changer la clé produit de Windows.
Il suffit pour cela de saisir la commande avec l'option ipk comme indiqué ci-dessous où ## est la clé produit.
slmgr /ipk #####-#####-#####-#####-#####
Si tout se passe bien, cela doit vous retourner que la clé produit a été installée avec succès.
Sinon vous pouvez rencontrer des messages d'erreur, par exemple, ci-dessous on saisit n'importe quoi comme clé produit ce qui nous donne l'erreur :
Erreur : 0xC004F050 le service de gestion de licences a signalé que la clé de produit n'est pas valide.
Enfin, il est tout à fait possible d'activer votre copie de Windows avec l'utilitaire slmgr.
L'activation peut se faire en ligne, c'est à dire par internet en contactant les serveurs de licence Microsoft ou hors ligne par téléphone.
Pour une activation en ligne, la commande à saisir est :
slmgr.vbs /ato
Si l’opération réussi un message doit vous indiquer que la clé produit a été activée sinon vous pouvez rencontrer un message d'erreur.
Par exemple, ci-dessous la clé produit est bloquée et on obtient le message :
Activation de Windows(R), Core Edition {XXXXX} ....
Erreur : 0xC004C003 Le serveur d'activation a déterminée que la clé de produit spécifiée est bloquée.
Slmgr permet aussi une activation hors ligne. Vous devez récupérer l'identifiant d'installation à partir de la commande suivante :
slmgr.vbs /dti
Puis vous devez récupérer l'identifiant de confirmation en appelant le service d'activation des produits de Microsoft par téléphone.
En indiquant par téléphone votre identifiant d'installation, ce dernier vous retourne l'identifiant de confirmation qui vous permet ensuite d'activer Windows sans connexion internet.
Pour récupérer le numéro de téléphone, rendez-vous dans l'activation graphique durant le processus choisissez autre méthode d'activation que par internet.
Le numéro de téléphone vous sera alors communiqué, pour plus d'informations suivre ce lien : comment activer Windows.
Une fois l'identifiant de confirmation récupéré par téléphone, vous devez saisir la commande suivante :
slmgr.vbs /atp ACTIVATIONID
Enfin pour vous assurer que l'opération a bien fonctionné, vous pouvez utiliser la commande slmgr.vbs /dlv
Lorsque vous n'avez pas activé Windows, vous avez une période d'essai de ce dernier avant que certains fonctions ne soient désactivées.
Généralement, la période d'essai est de 30 jours.
slmgr permet d'étendre cette période d'essai ou de la réinitialiser mais cette opération ne peut être effectuée qu'un certains nombre de fois.
Pour étendre la période d'essai de Windows, utilisez le paramètre suivant de slmgr :
slmgr.vbs /rearm
https://cert.ssi.gouv.fr/uploads/ad_checklist.html