N'OUVRE PAS CE CV 😨
Вставка
- Опубліковано 19 лип 2024
- Analyse forensic d'un ordinateur infecté par un ransomware après l'ouverture d'un fichier word.
⛔️ Cette vidéo est uniquement à but instructif. Je ne vous incite en aucun cas à reproduire les techniques présentées dans la vidéo sur un système pour lequel vous n'avez pas une autorisation écrite de la part de propriétaire.⛔️
Suivre Tristan [X-No]
------------------------------------------------------------------------------------------------------------
► Linkedin : / tristan-manzano-963223103
► Sa société: securitydatanetwork.com
00:00 - Teaser
00:19 - Introduction
02:40 - Présentation du Lab
04:01 - Infection de la machine
06:15 - Réponse à incident
08:50 - Capture de la RAM / Disque
11:18 - Analyse du disque
12:28 - Analyse de la mémoire
16:21 - Analyse du fichier word
16:43 - Récupération du PID et dump du process
17:25 - Analyse du process
18:43 - Récupération du ransomware
19:20 - Analyse du ransomware
25:02 - Conclusion
Soutenir la chaine
------------------------------------------------------------------------------------------------------------
☕Buy me a coffee : www.buymeacoffee.com/waked
Suivez-moi sur mes réseaux
------------------------------------------------------------------------------------------------------------
► Facebook : / wakedxy
► Instagram : / wakedxy
► Twitter : / wakedxy1
► Discord : / discord
► Github: github.com/wakedxy
![Attention à vos traces sur internet [OSINT]](http://i.ytimg.com/vi/3auM7Hqpz-g/mqdefault.jpg)
Le bouton like est gratuit et c'est l'un des meilleurs moyens de soutenir la chaine 😉
Salut waked est que c'est possible de recupéré les données de se ramsomware?
Très bonne prez !
Merci pour cette vidéo, ça fait plaisir de voir ce genre de chose. c'est peut-être moins grand public, je comprends, mais c'est vraiment top.
Super explications Tristan, bravo 😻
Merci pour cette superbe présentation très instructive 🙏🏾👌🏼👍
Super vidéo, très instructive !!
Merci pour ce genre de contenu, j'adore
++++++
De rien et merci
Super intéressant. Mais super compliqué.
Quelqu’un connais deadbolt
Très intéressante comme vidéo ! Merci !
Avec plaisir! Merci Tristan.
Merci a vous
vous êtes très bon et je vous remercie
Merci 😊
Oh magnifique ! Merci
Slt waked ,sa fait un bon moment que je te suis .
J adore ta façon d expliquer les chose ,je comprends facilement la logique de fonctionnement.
J aimerait aprendre ,mais je ne ces pas par où commencer .
Aurait tu t'es site avc des leçon gratuite
A savoir que je ne métrise déjà pas linux .
Peut tu m orienté.
PS : je fais un peu de codage en c++
Hello, merci pour ton soutien, pour mes conseils je t'invite à suivre cette vidéo : ua-cam.com/video/egT2hTgpBHc/v-deo.html
Au toooop !! 🦾
Merci ! 💪
C'est génial 💪
Merci pour cettev idéo, c'est intéressant
Très interressant !
super demo !
Je tiens à préciser que la vulnérabilité n'est pas follina, dans le cas de follina une fenêtre de troubleshooting apparait avant l'exécution de la commande.
Super vidéo !
Merci !
Hello, j'adore tout ce que tu fait, est-ce que vous pourriez faire une analyse sur comment un fichier apk s'introduit sur notre Android et iOS et pourquoi il est difficile d'être repéré et comment peut-on le trouver et surtout réussir à retracer sa date d'installation .
Encore une super vidéo , cependant, il serait bien de donner une solution pour couvrir ce genre d'attaque. Perso, si je vois qu'ilya pas de macro dans le fichier c'est qu'il est sur. Comment faire pour ne pas se faire pieger .
Bonjour un edr peut détecter ce genre de comportement. Wazuh par exemple le détecte
Quel crack !
C'est une presentation super
Merci!
Ce que j'aime dans ce taf c'est qu'on en apprend réellement tous les jours 😊.
Merci pour le transfert de compétences.
Ps : les siem c'est pour les faibles 😂
Je suis faible alors 😂
Avec un chat en fond d'écran je me demande si ça n'est pas le PC de @precessusthief 😅
Belle démonstration d'investigation et très instructif 👌
wtf ! Je m'attendais à un fichier word avec macro mais là c'est carrément impressionnant
usurpation de nom de domaine dans le mail et fichier qui n'a pas besoin de macro, perso je pourrais me faire avoir.
Clairement , pas besoin d'activation de macro.
@@wakedxy Une video pour nous expliquer ce tour de passe passe ? 😯
Dans la vraie vie les mail sont vérifiés par authentification spf dans 95% des cas donc c est filtrer avant même récéption du mail ...
@@J2meMaster yes il le disait dans l'interview mais c'est juste que j'ai accidentellement coupé la partie. Après le partage peut très bien se share via un share ou un périphérique de stockage externe.
trés bonne video,j'ai eu le tour avec le logiciel chromium pc chiffré avec demande de ranson et le gars etais dessus car a chaque fois que je refusais chromium le gars me le remettais dans les archives donc resultat aprés formatage le disque dur a laché
Il a dévoilé tout nos secrets 😂
merci wacked xy pour cette vidéo
C'est un plaisir
Je trouve pas de chaine YT pour X-No 😅🔫 quelqu'un à une info? au passage merci Wakey pour cette vidéo
Merci. J'ai laissé son LinkedIn en description de la vidéo. Il n'a pas de chaîne UA-cam
tout a fais le cle USB petu etre affecté par le port LAN
Super démonstration. Par contre ils me viennent une question, s'il y a un randsomware vraiment méchant sur le PC, comment on fait pour cloner la mémoire et le disque sans que les fichiers cloné soit lui-même chiffré ? 😅
faut cloner avant donc backup
😭 moi qui me croit en sécurité avec mon pauvre anti virus , j’ai vue meme sa il passe à travers les hackers …
super vidéo pour l'injection de commande c'est pas via avec un fonctionnalité de word qui permet de partagé des datas entre application et qui est désactivé par défaut depuis les majs et permet l’exécution de code ? sinon nice pour la partie forensic
Merci non c'est bien une exécution de commande il n'y a rien a activer en amont
@@nom4171 ok je pensais que sa aurais pu être avec la fonctionnalité dde qui permet d'executer des commandes mais avec les maj de word c'est plus actif par defaut
Après avoir activé le ransonware, toutes les lignes de commandes sont exécutées sur quelle machine ?
C'est à dire ? C'est une vidéo forensic pour info
C'est très intéressant, moi je suis random et en y réfléchissant j'me dit qu'on à pas forcément (90% des gens j'imagine) tout les tools que tu à prévu sur t'a session pour pouvoir analyser les ram et autres... est-ce qu'il existe des Windows modifié par des gens bienveillant avec tout ce genre d'outils préinstallé au cas ou quelqu'un de compétant aurai besoin de ce genre de manip? disons le minimum.
tu parle uniquement des tools pour faire la capture memoire ?
@@zeynnn De manière générale, avoir le minimum pour pouvoir réagir à ce genre d'attaque quoi :)
@@gwenaelloezic6931 débrancher.. reinstaller windows
@@gwenaelloezic6931 alors de Windows exprès pour la sécurité je ne sais pas (il faut chercher), mais des distrib Linux avec beaucoup de tools ça c’est sûr la distrib Debian y a Kali et Parrot qui sont populaires, après niveau plus avancé il existe blackarch qui utilise arch (plus difficile parce que c’est toi et ta paires de Connaissances pour faire la configuration de l’OS).
Mais sinon tu peu prendre n’importe quelle OS unix,Linux et/ou Windows, tu peu utiliser les tools faut simplement connaître le nom et surtout comment ils fonctionnent puis il reste simplement plus qu’à installer.
Bon, tu pourras installer avant si tu veux apprendre avec là pratique, mais ne néglige pas la théorie avec la documentation.
Également, il va falloir apprendre la ligne de commande de ton système d’exploitation.
Voilà j’espère avoir répondu à ta question, bonne journée.
8:19 qu'est ce que tu caches sous ton sourire ? 😂
😂je pensais que ca n'allait pas se remarquer
@@wakedxy J'ai explosé de rire en voyant ça 🤣🤣
@@quentinc9248 🤣
Vous devriez expliquer par quel mécanisme l'attaquant arrive a exécuter du code a partir de l'ouverture d'un PDF ou fichier Word. Un editeur de texte comme word n'est pas censé pouvoir faire ça. Précisez si l'attaquant passe par une CVE pour que les gens qui regarde la vidéo puisse verifier leurs versions de word, c'est quand même le plus important.
Ce n'est pas du tout une exploitation de CVE, après l'objectif de la vidéo est surtout l'analyse forensic. On ne peut pas s'amuser à partager des tutos d'injection de payload dans un fichier word , ca serait juste un moyen d'armer les skiddies.
@@wakedxy Enfin y'a quand même un script caché dans le document, qui est probablement lancé automatiquement par word, puis qui fait de l'escalation de privilège non ? C'est quand même un exploit non ? Il dépend probablement de la version de word non ? et de l'OS ?
@@baboulinet2254 @wakedxy Mais oui, c'est ça que je comprend pas. Les éditeurs de logiciel ne sont pas censé permettre a un attaquant d’exécuter du code sans l'accord de l'utilisateur. C'est pas anodin, quand un chercheur découvre que c'est possible (du genre Follina l'année dernière) l'éditeur s'alarme pour régler le problème rapidement ou sortir un patch. J'ai du mal a croire que n'importe qui puisse lancer du code a partir de l'éxecution d'un docx sur la version courante d'un logiciel d'une grosse entreprise comme microsoft.
Ceci dit la parti de la vidéo sur la recherche forensique est très intéressante.
@@5.0ghzman87 bonjour c'est moi qui ai créé le payload. Pour faire simple je détourne une fonction de la suite Office (il fonctionne aussi sur macos) afin d'exécuter du code qui permet de bypass l'AV et pare-feu. Comme le vidéo parle de forensic il n'y à pas de but a montrer le payload. Cordialement
Comment a-t-il fait pour avoir dd.exe sur son Windows, car il ne l'est pas par défaut.
dd.exe est un utilitaire GNU tu peux donc le télécharger sans soucis
On m’as volé le first comm 😂 merci de ce contenu 👍🏻
Hh pas assez rapide. Merci!
Est-ce que c'est possible de le faire avec un pdf si tel est le cas comment s'en prémunir ?
Docx, xlsx, pptx, pdf, zip, jpg,png.... Bref toutes les extensions possible
Peu importe le format les conseils sont les memes, s'assurer de la fiabilité de l'expéditeur, en cas de doute, utiliser un environnement de sandbox pour ouvrir le fichier (Pour ce dernier conseil attention, il ne faut pas uploadé des documents sensibles.)
@@nom4171 merci pour la démonstration. Est-ce que l'on est protégé avec une suite office avec les dernières mises à jour ?
@@gabf8696 absolument pas cette technique fonctionne aussi sur les.pack office macos, c'est pas une vulnérabilité donc pas de patch 😅
@@nom4171 ok donc c'est vraiment flippant 😅 dernière question, est-ce que c'est une technique publique ou le fruit de tes recherches ? Mon but est d'évaluer le risque pour l'organisation dans laquelle je travaille.
Super je veux apprendre moi aussi réussi a créer ce virus
Ce n'est pas le but apprend a me créé toi même tu es pathétique
Waked 25 min dans la video ❤ , tu ai dans quel pays ?
au maroc
Bonsoir j’aimerais que quelqu’un m’éclaire, j’ai plein de faux comptes Snapchat qui font que m’ajouter est ce un programme malveillant pour me pirater ou c’est autre chose
Ou simplement des bots, dans le doute change ton mdp et assure toi d'avoir la double authentification activée.
@@wakedxy merci
Sa m’aurais aider de savoir comment il a envoyer l’émail via le terminal spoofer 😭
Aider à attaquer ?
Quel est le mécanisme malicieux ici s'il n'y a pas de macro ?
Hypothèse : le docx va chercher un dotm qui lui contient une macro
Est-ce ça ?
Non le docx exécute bien une commande
@@nom4171 comment cela est-il fait ? Pouvez-vous donner davantage d'explication svp ?
Malheureusement je ne peux pas fournir d'information en public comme ça surtout pour des commandes malveillantes .
@@nom4171 pouvez-vous accepter ma demande de connexion LinkedIn ?
très intéressant, dommage qu'il montre pas comment il a fait l'attaque
Ce n'était pas l'objectif de la vidéo
First
C'est une presentation super
Super vidéo !
Merci 😁