Vincent Léon Flores

15 juin 2018

SamSam, un Ransomware créer par les Shadow Brokers?

SamSam est un logiciel de rançon, supposément développé et propager par le groupe de pirate Shadow Brokers.

Il a beaucoup fait parler de lui après s'être propager dans toute la ville d'Atlanta, ville la plus peuplée de l'État de Géorgie, aux États-Unis, ce qui a coûté 11.500.000 dollars a la municipalité.

Bon, en vérité il n'en est pas a ça première version, il est développé semble-il depuis 2014/2015.

Il c'est propager par des vulnérabilités sur des serveurs qui n'on pas été mis a jours. Bravo les gars.

Le virus demande une rançon en BitCoin, campagne très lucratif car il a fait déja plus de 300.000 dollars.

 

Le code du virus a été crypté en AES pour complexifier la lecture.

 

Sur sont fonctionnement propre, le corps principale du virus contient deux exécutables,

del.exe ou delfiletype.exe (programme SDelete Sysinternals), selfdel.exe est lui utilisé pour effacer les traces du virus.


Il se propage principalement par campagne de spam (mail), il envoie un fichier .docx avec a l'intérieur des macros malveillantes.

Il profite de faille dans les protocole RDP, Java et FTP pour infecté les autres machines présentes sur un réseau.

 

Sinon du coté des utilitaires, on a JexBoss (utiliser sous plusieurs versions), qu'il utilisais entre 2015 et 2016 pour exploiter les applications JBoss.

Mimikatz qui permet de récupéré des données dans la mémoire vive.

reGeorg, un shell reverse proxy (SOCKS4 et SOCKS5) pour accéder a certains hôtes sur le réseau.

Heyna qui est un outil d'administration réseau légitime, permettant entre autre le listing des hôtes et une sorte de scan réseau.

csvde.exe permet d'importer et d'exporter des données a partir des services de domaine Active Directory.

NLBrute est un module d'annaluse par brute force, il permet de chercher les mots de passe des services RDP bénéficiant d'une connexion internet. De ce fait, l'attaquent peux contrôler l'ordinateur infecter a distance si il bénéficie du mot de passe.

Toujours dans la gamme RDP, on a xDedicRDPPatch qui sert a créer des utilisateurs supplémentaire sur un client RDP.

Wmiexec permet l'execition de commande par Windows Management Intrusion.

RDPWrap sert a connecter des comptes d'utilisateur en local, ou distant en même temps.

Des codes de Derusbi (stealer d'information) est présent pour récupéré des données sur le système.

Bladabindi (un autre stealer) cherchera les données de connexion (identifiant et mot de passe).

PsExect sert quand a lui a exécuter des programmes a distance.


SamSam utilise des codes Visual Basic (ho oui!), et des script batchs.
Il servent a automatiser la collecte des nom d'hôtes, analyser la liste, envoyer un paquet ICMP.
Tout les réseau correcte sont en suite enregistré dans le fichier texte ok.txt.

 

SamSam crypte les fichiers avec RSA, sur le système avec une clé individuel par poste.
Il crypt aussi bien fichier sur l'ordinateur, que ceux dans les lecteurs CD, SMB et les disques dur externe présent sur l'ordinateur.
Il crée en suite un fichier HELP_DECRYPT_YOUR_FILES.html.

Il laisse a l'intérieur une charmante lettre:
"Qu'est-il arrivé à vos fichiers?
Tous vos fichiers cryptés avec le cryptage RSA-2048, Pour plus d'informations dans la recherche de cryptage RSA Google’
Comment faire pour récupérer des fichiers?
RSA est un algorithme cryptographie asymétrique, Vous avez besoin d'une clé pour le chiffrement et une clé pour le décryptage
Vous avez donc besoin de la clé privée pour récupérer vos fichiers.
Il est impossible de récupérer vos fichiers sans clé privée
Comment obtenir la clé privée?
Vous pouvez obtenir votre clé privée 3 étape facile:
Stepl: Vous devez nous envoyer 0.7 Bitcoin pour chaque PC touchés OU 3 BitCoins pour recevoir toutes les clés privées pour toutes les personnes touchées PC.
Étape 2: Une fois que vous nous envoyez 0.7 BitCoin, Laisser un commentaire sur notre site avec ce détail: Il suffit d'écrire votre « Nom d'hôte’ dans votre commentaire
Votre nom d'hôte est:
Étape 3: Nous répondrons à votre commentaire avec un logiciel de décryptage, Vous devez l'exécuter sur votre PC affecté et tous les fichiers chiffrés seront récupérés
Notre Adresse du site: http://jcmi5n4c3mvgtyt5.onion/familiarisingly/
Notre BitCoin Adresse: 1MdthqRCJe825ywjdbijsttWBpKanR
(Si vous nous envoyez 3 BitCoins Pour tous les PC, Laisser un commentaire sur notre site avec ce détail: Il suffit d'écrire « Pour PC de tous Affectée’ dans votre commentaire)
(Aussi, si vous voulez payer pour « tous les PC touchés’ Vous pouvez payer 1.5 Bitcoins pour recevoir la moitié des touches(au hasard) et après avoir vérifié qu'il envoie 2ème semestre pour recevoir tous
Comment faire pour accéder à notre site
Pour accéder à notre site, vous devez installer Tor navigateur et saisissez notre site URL dans votre navigateur tor.
Vous pouvez télécharger le navigateur tor https://www.torproject.org/download/download.html.en
Pour plus d'informations recherche Google s'il vous plaît « Comment accéder à des sites d'oignon’
Decryption Test
Consultez notre site, Vous pouvez télécharger 2 les fichiers cryptés et nous décrypter vos fichiers en tant que démo.
Si vous êtes l'inquiétude que vous ne recevez pas vos clés après que vous avez payé, Vous pouvez obtenir une clé gratuitement sur vous choise(à l'exception des serveurs importants), à
Aussi, vous pouvez obtenir une clé unique et si tout seul BTC taht vous PAYÉ à toutes les clés atteint des prix que vous obtiendrez toutes les clés
Quoi qu'il en soit être sûr que vous aurez toutes vos clés si vous avez payé pour eux et nous ne voulons pas nuire à notre fiabilité
avec l'achat de la première clé, vous constaterez que nous sommes honnêtes."

On notera que le virus évite de crypté les fichiers présent dans les répertoires Windows et System, ce qui pourrais empêcher Windows de fonctionner correctement.

Au niveau de ça persistance, elle est inexistante.

Pour cause, une fois vos fichier crypté, vous avez le choix: prendre le risque que vos fichiers restent crypté si vous ne paillez pas,
ou paillez et avoir peux être la chance de voir vos fichier décrypter... La question est a qu'elle prix? Et surtout, qu'elle confiance pouvez vous avoir en un salop qui infecte votre machine pour vous rançonné?

 

Liste de fichiers qu'il crypte:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db-journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jin, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar,, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip

Les processus a surveiller:
Nlbrute.exe
r45.exe

Les signatures:
025c1c35c3198e6e3497d5dbf97ae81f
7e50f6e752b1335cbb4afe5aee93e317
58b39bb94660958b6180588109c34f51
710a45e007502b8f42a27ee05dcd2fba
6d390038003c298c7ab8f2cbe35a50b07e096554
f69a4f9407f0aebf25576a4c9baa609cb35683d1
7d21c1fb16f819c7a15e7a3343efb65f7ad76d85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Porte monnaie de BitCoin: 1MddNhqRCJe825ywjdbjbAQpstWBpKHmFR


Et le serveur lié au virus: jcmi5n4c3mvgtyt5.onion
Si vous pouvez le bloqué, bloquez le.

J'inciste sur le fait qu'il ne faut PAS pailler la rançon demander.
Supprimer le virus, et attendez les solutions de décryptage.


Le groupe qui a créer ce virus se présente comme étant les Shadow Brokers.
Je ne remet pas en cause ces "déclarations", toutefois cette équipe c'était illustré l'an dernier par la divulgation des outils de la NSA EternalBlue, DoublePulsar et UnitedRake.

Il n'avais pas vraiment j'usqu'a lors lancé d'attaque, et avais d'ailleur préciser sur leur twitter officiel qu'il n'était que des "courtiers", et pas des pirates.

 

Une enquête du FBI nous permettra certainement d'en savoir plus.

Posté par FloreSec à 20:56 - Commentaires [0] - Permalien [#]


14 juin 2018

InvisiMole, Spyware le plus performant?

Il s'apelle InvisiMole, d'après ESET il serrai actif depuis 2013.

Déjà qualifier comme étant un des meilleurs Spyware jamais observer, il aurais infecté un peux moins d'une vingtaine d'ordinateur en Russie et en Ukraine. 

 

Ce qui aurais permis au virus de tenir si longtemps sans être détecté, c'est de puissant module de camouflage et un système bien rodé pour se dissimulé.

 

Le virus possède 3 module.

Le premier module est un DLL wrapper, il se cache en tend que DLL légitime dans le dossier Windows, se faisant passer pour mpr.dll, ou fxsst.dll ou encore winmm.dll.

Comme il se trouve dans le même dossier que'explorer.exe, la DLL est chargée au démarrage de Windows.

Il existe une version 32 bits, et une version 64. La persistance est fonctionnelle sur les deux type d'architecture.

La DLL lance un test pour vérifier qu'elle a bien été exécuter avec des processus tel que rundll32.exe, et explorer.exe, ou bien avec svchost.exe, il lache alors ces charges utiles, deux autres modules.

 

Un second module (RC2FM), permet d'espionner le propriétaire de l'ordinateur infecté, par la webcam et le microphone.
Ce qui est enregistré par le microphone est enregistré en .mp3.

Il récupère des informations sur le système (adresse IP, MAC, DNS, SSID), puis compare a une base de donnée pour suivre la position géographique de sa victime.

Il fais aussi des captures d'écran (même des captures d'écran d'arrière plan, voir même fenêtre par fenêtre).

Si un disque est brancher sur la machine infecté, il le détecte, liste les fichiers présent a l'intérieur et les enregistre dans un fichier crypté.

Toutes les données piraté sont alors compresser par WinRAR, et protéger par un mot de passe.
Le module peux également supprimer ces propres fichiers, afin d'effacer les traces.

Il possède un petit système de Remote Administrator Tool supportant environ 15 commandes, dont des commandes pour envoyé les données au pirate.

 

Le virus lance également un troisième module (RC2CL), lui aussi a un système de Remote Administrator Tool. Plus performant et plus complet que c'elle de RC2FM, avec 84 commandes.

Il peux changer la configuration du système (registre etc), accéder au disque dur, créer modifier et supprimer des fichier.
Le virus peux également rechercher les fichiers récemment créer/utiliser par le propriétaire de la machine infecté.

Il a la possibilité de lancé des Sheels, listé et contrôler application, processus et services.

RC2CL peux désactivé ça fonction RAT et se transformé en Proxy...
Il désactive aussi le pare-feu Windows.
RC2CL deviens alors un serveur proxy, facilitant communication avec les serveurs de contrôle...
C'est du génie, et c'est la première fois qu'une tel technique est utilisé sur un virus!

 

Les vecteurs d'infection ne sont pas très claire, on pense a une infection live (présence physique), ou alors par mail, par des campagnes de phishing... Cette dernière option est peux envisageable compte tenue du fait que le virus est été envoyé sur des cibles spécifique.

 

Un petit tour du coté des adresses IP lié au virus:
185.118.66.163
185.118.67.233
185.156.173.92
194.187.249.157
213.239.220.41
46.165.230.241
46.165.231.85
46.165.241.129
46.165.241.153
78.46.35.74
95.215.111.109

Les serveurs de contrôle connu:
activationstate.sytes.net
advstatecheck.sytes.net
akamai.sytes.net
statbfnl.sytes.net
updchecking.sytes.ne

Et les signatures du virus:
5EE6E0410052029EAFA10D1669AE3AA04B508BF9
2FCC87AB226F4A1CC713B13A12421468C82CD586
B6BA65A48FFEB800C29822265190B8EAEA3935B1
C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
A5A20BC333F22FD89C34A532680173CBCD287FF8

Bon, on vas être claire in.

Ce virus n'a cibler depuis 2013 qu'une dizaine d'ordinateur. Je parlais d'attaque cibler, elle l'est et c'est ce qui explique qu'il n'a été détecté que récemment par les IAs d'ESET.

 

Il y a peux de risque qu'il débarque sur votre ordinateur, mais je tenais tout de même a en parler car si il n'a pas de module de propagation (worm), si il en avais un il aurais fait un carton.

Posté par FloreSec à 20:44 - Commentaires [0] - Permalien [#]

13 juin 2018

Nocturnal Stealer, le meilleur voleur de mot de passe? :3

Un virus du nom de "Nocturnal Stealer" cible une vingtaine de navigateur web (c'est le premier virus que je rencontre, qui en cible autant).

Les navigateurs web ciblés par l'attaque:
ChromiumGoogle Chrome, KometaAmigo, Torche, OrbitumOperaComodo Dragon, Nichrome, Navigateur YandexMaxthon 5, Sputnik, Navigateur Epic PrivacyVivaldiCocCocMozilla Firefox, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat, K-Meleon.


Actuellement distribué sur les forums de piratage du DarkNet (pour un prix dérisoire de 20 euros environ), il a été codé en Delphi (coucou DarkCoderSc :p).

Il cible l'Australie par des vecteur d'infection tel les mails, les URLs.
Toutefois, la menace est pour le moment limité. Pour cause? Un seul acteur a été détecté.


Le virus cherche d'abord a définir si il a été lancé dans une SandBox, une machine virtuel, ou un système "valide".
Si il se sent piéger, il utilise alors des technique d'évasion. (Veillez a mettre a jours vos VM et Sandbox).

Le stealer (voleur) cherche a voler les portefeuilles de cryptomonnaie (28 modèles différent).

Les cryptocurrences ciblées par le stealer:
Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Exodus, Tiret, Litecoin, ElectronCash, ZCash, MultiDoge, AnonCoin, BBQCoin, DevCoin, DigitalCoin, FlorinCoin, Franko, FreiCoin, GoldCoin, InfiniteCoin, IOCoin, IxCoin, MegaCoin, MinCoin, NameCoin , PrimeCoin, TerraCoin, YACoin.

Il essaie de voler les mots de passe de serveur FTP enregistré dans FileZilla.

Les informations des navigateur Chrome et Firefox (connexions, cookies, données de navigation, données de saisie automatique, cartes de crédit stockés) sont également prélever.

Il enregistre aussi les informations système (adresse IP, ID machine, informations DNS et ordinateur).

Il accomplit également un listing et un enregistrement de tout les processus.

Tout ça est enregistré dans deux fichiers textes; "information.txt" (pour les informations du système) et "passwords.txt" (pour les mots de passe).

 

Le trafic de se virus est très difficile a surveiller, les détection par trafic réseau sont pour l'heure peux envisageable.

Dans le doute, vous pouvez scanner les ports SMTP, FTP etc...

Une fois le vole fait, il supprime un certains nombres de ces traces, et met fin a ces processus, et ce supprime lui même de la machine infecté.

Le but de ce virus est donc de voler rapidement un maximum de données, les transféré, avant de disparaître du système, tout en restant le moins détectable possible.

 

Quelques conseils de sécurité:

Supprimer vos mots de passe enregistré dans vos navigateurs (et perdez cette habitude d'enregistrer ceux-ci), si possible écrivez les sur papier (ce serra toujours plus fiable qu'un fichier texte sur le bureau).
si vous rencontré des problèmes sur vos navigateur, le mieux est de tout réinstaller en veillant a bien vidé les caches avec un videur tel que CCLeaner.


Voici toutefois quelques informations supplémentaire sur le virus.

Signature du launcher:
205def439aeb685d5a9123613e49f59d4cd5ebab9e933a1567a2f2972bda18c3

Signature du virus en lui même:
ae7e5a7b34dc216e9da384fcf9868ab2c1a1d731f583f893b2d2d4009da15a4e

A savoir que le serveur distant (connu a ce jours) est http://nctrnl.us/server/gate.php
Si vous pouvez les bloqué sus vos pare-feux, faites le.

 

Bref, c'est vraiment le Stealer le plus cool que jais rencontré depuis mes débuts en 2012!

Et je dois dire... Que je le trouve super! :3

 

Plus d'informations a venir...

Posté par FloreSec à 15:24 - Commentaires [0] - Permalien [#]

VPNFilter, virus d'une complexité nouvelle. Je kiff!

Salut. Je vais doner ici quelques informations importantes sur VPNFilter (dont une méthode pour désamorcer le virus).

Bonne lecture.


image2

(Petit logo des familles, pris sur blog.talosintelligence.com... Il déchire ce logo! :3)

-

VPNFilter est un Remote Administrator Tool, équipé de matériaux BotNet.

VPNFilter infecte les routeurs (principalement ceux des TPE/PME), dans des pays encore peux développé en matière de sécurité informatique (surtout l'ukraine). Les routeurs sont des routeurs bon marché, mais très mauvais.

Les gammes de production suivantes sont touché:

Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
D-Ling: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
Huawei: HG8245
Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5, Versions de Mikrotik RouterOS jusqu'à 6.38.5 sur les chaînes de versions de corrections de bogues actuelles ou 6.37.5
Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
QNAP: TS251, TS439 Pro, Autres périphériques NAS QNAP exécutant le logiciel QTS
TP-Link: R600VPN, TL-WR741ND, TL-WR841N
Ubiquiti: NSM2, PBE M5
Upvel: Modèles inconnus
ZTE: ZXHN H108N

Note: a l'heure ou j'écrit ce torchon, il n'y a aucun logiciel d'annalyse qui permet de savoir si vous êtes infecté par VPNFilter.
Si vous avez un des équipement cité si-dessus, en fin d'article se trouve une solution pour retiré le virus.


Le 24 mai 2018, des estimations de Cisco Talos font état d'entre 500.000 et 1.000.000 routeurs dans environs 50 pays diffèrent (surtout en Ukraine) infecté par le virus.

Toujours d'après Cisco Talos, la menace prospérerai depuis 2016 sur les routeurs. Sont code aurais des similitudes avec celui du virus BlackEnergy, ce dernier cible a peux prêt le même type de cible.

 

Le groupe propriétaire du virus n'a pas eu le besoin de recourir a des 0-days pour infecter les routeurs, ils sont déjà soumis a de nombreuses failles.

Le FBI a fait fermé le nom de domaine toknowall.com, d'après-eu utilisé par le corps principale du virus pour importer des mises a jours.

Ce dernier suppose que le groupe de pirate russe APT(financé par Vladimir Pudding), Fancy Bear (ou APT28) soit créateur / propriétaire de VPNFilter.

 

Il possède un code dédié au contrôle de système, utilisant Scada.
Nous pouvons avec aisance le qualifié de Remote Administrator Tool, il peux en effet contrôler le système infecté, et d'autres architecture via ModBus (de l'équipement industriel).

VPNFilter peux scanner "sniffer" le routeur infecter (et donc, tout les ordinateurs transitant par le routeur).
Il scan les ports 23, 80 (HTTP), 2000 et 8080.
Il peux avoir accès a des informations d'identification et d'utilisateur.

Il vous est donc a nouveau recommandé d'aller sur des sites protéger par le protocole HTTPS (HTTP Sécurisé).
Pour rappel: port 80 = HTTP, port 443 = port HTTPS.
D'envoyé des mails protéger par le protocole SSL, et de prendre toutes les mesures disponible pour crypter vos connexions, informations personnels et communications.

Il peux faire ce que fait un BotNet classique, mais en plus puissant de part le fait qu'il se trouve directement sur le routeur, et se passe de quelques contraintes rencontré par les BotNets plus "classique".
Il peux donc lancé des attaques par dénie de service, des campagnes de spam et certainement du minage de cryptomonaie.

Il peux également détruire les routeurs infecté sur commande, en gros le méchant messieurs appuie sur un bouton, et hop! Y'a plus le routeur. RIP Jean-Routeur.

 

Se défendre contre ce virus ne serra pas simple, la nature des appareils concernés ne permettent pas une réel intervention logiciel.

 

Le FBI (appuyé par Cisco Talos et Symantec) a commencé par nous proposé la solution suivante pour supprimer le routeur: comme le module d'espionnage se trouve sur la mémoire vive du routeur, redémarrer le routeur semblais être la solution miracle pour supprimer le virus.

C'était sans conté sur le mode persistance du virus. Il n'a pas qu'un seul module... Il en a trois (le module principale pour les mises a jours et la persistance, le logiciel d'espionnage (spyware), et un scanner de réseau).

 

Question le FBI... Vous avez pris les criminels pour des cons?... Les gars, ce n'est pas un jouet codé a la vas-vite ce programme...

 

Bon, vulgarisons tout ça: mode Micode activé.
Le premier module du virus se trouve dans les paramètres du routeur. Il agis la comme un petit Adware. Il permet au second module de bénéficier d'une persistance dans la mémoire vive du routeur, et de bénéficier des mises a jours via un serveur externe (supposément clôturé par le FBI).

Le second contient tout ce qui sert a contrôler, a espionner, attaquer, et détruire en cas de petite frustration.

Mais le premier module peux placer a nouveau le spyware, donc? Inutile de redémarrer primitivement votre routeur.

En vérité, par cette simple explication, vous avez déja la une solution:

- Déconnecté le routeur d'Internet, ceci empêchera le module principale de mettre a jours le système du virus.

- Éteignez votre routeur, attendez 30 secondes a une minute (bref, allez au toilette quoi...), et rallumez-le.

- Réinitialiser entièrement votre routeur (retour au paramétrage usine). Généralement, un petit bouton vous permet de le faire en restant appuyé dessus pendant une dizaine de seconde.

- Une fois ceci fait, si des mises a jours sont disponible faites-les, si des patches sont disponible, appliquez-les.

- Si l'administration a distance du routeur est activé, désactivez la.

- Modifiez vos identifiant d'administration, prenez des mots de passe complexe.

- Reconnecté le routeur a Internet.

Petite précision pour ceux qui ne se sentirais pas concerné par cette crise virale; tout routeur est une potentiel cible.
Il vous serra donc recommander (et sur tout les routeurs de tout les fabriquants), de changer vos mots de passe si ce sont ceux mis par défaut. Prenez en de solide.
N'hésitez pas a désactiver l'administration a distance.

Car si les routeurs Français sont fournit principalement par Orange, Free, SFR, et Bouygues, et ne sont pas encore cibler par ce type d'attaque,
la possibilité que ce virus évolue / que de nouveau virus plus sophistiqué / agressif voie le jours est une option que l'on ne peux ignoré.


A présent, quelques données sur le virus.

Premièrement, les signatures.

Signatures du premier module:
50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
b9770ec366271dacdae8f5088218f65a6c0dd82553dd93f41ede586353986124
51e92ba8dac0f93fc755cb98979d066234260eafc7654088c5be320f431a34fa
6a76e3e98775b1d86b037b5ee291ccfcffb5a98f66319175f4b54b6c36d2f2bf
313d29f490619e796057d50ba8f1d4b0b73d4d4c6391cf35baaaace71ea9ac37

Signatures du second module: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Signature du troisième module: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Autre:
d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747
c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851
f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d
be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5
27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302
110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f
b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78
cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526
110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b
044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4
c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d
d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806
c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412

/////Ne clique pas sur les URLs!\\\\\

Ces deux nom de domaine sont lié au téléchargement du virus (et donc la persistance de celui-ci).
http://photobucket.com/
http://toknowall.com/

Ici, des adresse IP (très probablement des centres de commandes).
91.121.109.209
217.12.202.40
94.242.222.68
82.118.242.124
46.151.209.33
217.79.179.14
91.214.203.144
95.211 .198.231
195.154.180.60
5.149.250.54
91.200.13.76
94.185.80.82
62.210.180.229
23.111.177.114

zuh3vcyskd4gipkm.Onion (celui-ci est un serveur de mise a jours héberger sur le darknet).

Bref, ce virus est très performant. Jais pas mis trop de temps a en comprendre le fonctionnement (jais pris cette affaire de cour, je... codais...).

Je ne cache pas avoir très mal démarrer cette année 2018.

2017 a vraiment été une année positive pour moi, avec la publications de mes premiers rapports (WannaCry et ça famille utilisant l'exploit EternalBlue).

C'est donc un rapport complet qui viens s'ajouter a ma collection, et que je vais avoir plaisir a compléter avec de nouveau éléments, chaque fois que j'en trouverai.

Posté par FloreSec à 14:45 - Commentaires [0] - Permalien [#]

07 juin 2018

FloreSecurity free soft - le retour.

Bonjour, bonsoir à tous et toutes.

 

Après plusieurs mois de démotivation, de perte de moral, de déprime, je suis de retour ici plus déterminé que jamais a cassé du pirate informatique.

 

Vous retrouverez a partir de cette semaine la distribution de logiciel gratuit FloreSecurity, jais repris le développement il y a de ça quelques mois, mais je n'est pas eu le courage d'affronter a nouveau les critiques souvent injuste, qui sont de mise dans notre milieu de prétentieux.

 

Vous aurez donc un accès au 3 logiciels dont je continue le développement (je les donnes dans l'ordre de mes préoccupations);

 

1, Process Hunter 2.0 : premier pare-feu a bloqué intégralité des processus de l'ordinateur excepté une liste blanche, il reviens avec plus de fonction et un pare-feu secondaire pour plus de sécurité.

Depuis ça création fin 2017, je dois dire qu'il est devenue ma priorité de programmation (largement au dessus de mon Neptuno (OS Pentesting) et mon gros toolkit Pentesting BaïkHack.

C'est donc avec détermination que ce pare-feu premier de son genre, continuera d'être développé.

 

2, Rott Sniffer 5.0 : après la critique sévère qu'a subit ce logiciel, je ne cacherai pas avoir explosé.

Je développe ce logiciel depuis un certains temps, monté ce scanner de réseau et le publié m'a pris 1 ans (le projet de distribution free soft était déjà en idée, il n'a été publié que quand le projet FloreSecurity pris sont envole été 2017).

Je commençais a ajouté ce début d'année des fonctionnalité de pare-feu (fermeture de connexion par détection d'adresse IP ou de port listé dans les listes noires), tout en précisent que le pare-feu présent dans Rott Sniffer ne pouvais pas se substituer a un pare-feu tel celui de Windows (et/ou pare-feu plus "radicaux").

Rott Sniffer n'est qu'une simple application de surveillance qui n'impose aucune persistance, il a été créer pour enregistrer les connexions et pouvoir donc gardé une trace des attaques sur des serveurs héberger en local (entre autre), ce qui est déjà très pratique et a permis a ce logiciel de s'imposé comme un bon logiciel de surveillance réseau.

 

3, VirtualKeys 2.0 : aucun changement sur ce clavier virtuel, il vous permettra de frapper vos mots de passe en toute sécurité.

Je ne fait pas du Microsoft, il n'y a aucune récupération de vos identifiant et vous aurez tout le loisir de le vérifier a nouveaux.

 

Pour ce qui est des projets a venir, la production vas se diriger de plus en plus vers la surveillance.

Process Hunter : surveillance processus, Rott Sniffer : surveillance réseau.

Je développerai certainement un logiciel vous permettant de surveiller l'activité de votre machine (Keylogger, Screener et peux être plus encore), ce spyware (logiciel espion) aura une charte supplémentaire (comparé au autres logiciels qui n'on que la charte de la distribution FloreSecurity).

Un petit logiciel de suppression du spyware serra également mis a disposition (juste au cas ou), bien que le logiciel serra uniquement contrôlable en live sur l'ordinateur.

 

Autre nouveauté, vous pourrez (en privé, en commentaire de publication, sur le Facebook FloreSecurity que je vais monté), publié une note, avec un commentaire, qui serra en suite inséré dans le logiciel de téléchargement (FloreSecurity.exe), car votre avis compte.

Merci d'avance de mettre une note sur un logiciel, en suite un commentaire, de sorte a ce qui je m'y retrouve. Si vous voulez noté la qualité de la distribution (assistance, dépannage, staff etc), sachez que ce serra également possible.

J'afficherai sans scrupule bon et mauvais commentaires, avec leurs notes. Aucune tricherie.

A savoir que chaque années, les commentaires serrons enregistrés dans des fichiers .txt, et délivré certainement sur un compte Pastebin. Il serrons en suite supprimé du logiciel et nous repartirons sur une base seine, je comparerai chaque années les acquis et manquement de la production FloreSecurity.

 

Des vidéos d'explication des logiciels serrons également mis en téléchargement sur mon futur Youtube personnel.

Si vous souhaitez quelques tutoriels de programmation Visual Basic, je verrais en fonction de mon temps si je peux les faires.

 

Jais également pris note de l'envie de certains d'entre vous de faire des dons a la distribution, premièrement merci.

Mais ce n'est a l'heure du jour par une priorité pour FloreSecurity, j'essayrai de mettre en place tout ça cette année, j'avoue volontiers ne pas savoir par qu'elle bout prendre cette fonction.

Bon pour travailler, mauvais pour se faire payer LOL...

 

Bref, je suis quand même pas mal fatigué. Quelques soucis personnel a régler dans les prochains mois, je pense toutefois pouvoir géré FloreSecurity comme en 2017.

 

Bon été à tous, dans moins d'un mois c'est les vacances d'été... Et dans moins d'un mois, je vais prendre un ans de plus.

 

a+.

Posté par FloreSec à 01:15 - Commentaires [3] - Permalien [#]

15 mai 2018

Free, SFR, orange etc, coupure de connexion.

Tout le monde (ou presque visiblement), a remarqué des coupures d'internet sur la totalité des opérateurs en France.

 

La cause? Une attaque (de type dénie de service semble-il), a touché l'internet Français.

Tout les fournisseurs d'accès on été touché. Si tel est le cas, que risquons nous?

 

Et bien pas grand chose a priori. En effet, les pannes furent moindre chez certains opérateur.

Ajoutons a cela les intempéries, un peux partout en France, qui n'en démodent pas a nous faire chier!

 

Chez nous en Savoie, c'est l'explosion du pont Albertin sur Albertville qui fut la cause de nos coupures. Voici quelques articles.

- https://www.ledauphine.com/savoie/2018/05/14/albertville-une-video-impressionnante-de-l-explosion-du-pont-albertin

- https://www.francetvinfo.fr/internet/objets-connectes/savoie-15-000-clients-prives-de-reseau-adsl-et-mobile-suite-a-des-explosions-qui-ont-endommage-un-pont-dimanche_2751871.html

 

Bref, je publierai bientôt un autre article sur l'évolution des menaces informatiques en se milieu 2018.

 

Bonne soirée a tous.

Posté par FloreSec à 22:12 - Commentaires [0] - Permalien [#]

12 avril 2018

Le Ransomware qui vous oblige a jouer a PUBG... #BigNoob !

Ouai, c'est le pire virus que jais observer en 5 ans (avec celui du 18-25, et quelques autres trolls de secondes zones).

Un virus qui crypte vos fichiers... Quoi que.


PUBG est la trouvaille d'une bande de petit guignol pour vous faire jouer de force a un jeux de guerre sans intérêt.

Tend que vous n'avez pas jouer a PUBG 1 heures et plus, vos fichiers sont crypté.
Il crypte vos fichiers avec une extension .PUBG.

Bon, en vérité, le logiciel décrypte vos fichiers au bout de quelques secondes.

Voici la clé de décryptage : s2acxx56a2sae5fjh5k2gb5s2e (on notera qu'il n'on même pas eu la présence d'esprit d'en faire une individuel... Vraiment de très gros cyber criminel.

Sinon, il y a aussi l'option renommé un petit logiciel du nom de "TslGame", lancé le, et le virus vas s'embrouiller lui même.

Bref, très gros virus in... Voila qui méritait plusieurs articles stupide!

Merci de cessez de spammer avec vos articles a la con.

 

Premièrement, il n'a qu'un simple processus.exe, aucune persistance : PUBG Ransomware, une simple boucle avec un kill process le bloquerai... X)

Signature du virus: 0997BA7292DDBAC1C7E7ADE6766ED53C

Fichier: %AppData%\PUBG Ransomware.exe

Ici, les clefs de registre a chercher et supprimer sur votre système:
HKEY_CURRENT_USER\Software\PUBG Ransomware
HKEY_LOCAL_MACHINE\SOFTWARE\PUBG Ransomware
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PUBG Ransomware
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run PUBG Ransomware.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PUBG Ransomware
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%AppData%\PUBG Ransomware.exe”

Bon, rapport terminé. C'est bon?! On peux en revenir au virus dangereux?

Posté par FloreSec à 20:46 - Commentaires [0] - Permalien [#]

05 février 2018

Meltdown & Spectre - des Virus en approche?

Bonjour/Bonsoir.

 

Comme vous avez pus le constater, jais repris une activité légère sur ce nouveau blog.

Les précédents poste concernais donc le BotNet Smominru et le Silent Miner WannaMine.

 

Alors que ces deux derniers utilisent l'exploit EternalBlue (exploit je le rappel de la NSA, divulgué par le groupe Shadow Brokers),

deux nouveaux exploits sont a l'essaie: Meltdown et Spectre.

 

Alors, je le dit de suite: aucun rapport avec ce que jais dit précédemment, ces deux exploits sont totalement diffèrent.

 

Le 7 janvier dernier, les chercheurs que nous ne citerons pas (essayent tous de se tiré le plus de couverture, par éthique je ne citerai aucun nom. Mais nous y reviendrons), on révéler des vulnérabilité touchant les processeur Intel, AMD etc.

 

Les failles Meltdown et Spectre commencent a être testé sur plusieurs prototype de virus.

 

"Meltdown" permet de lire la mémoire réservée au noyau, ce qui est théoriquement impossible. Les processeurs gèrent deux types de mémoire différents : d’un côté, celle du kernel qui est directement exploitée par le processeur ; de l’autre, celle du user qui est écrite et lue par le système d’exploitation. La mémoire kernel n’est jamais chiffrée et c’est pour cette raison qu’elle doit être inaccessible à tout le système, à l’exception du processeur lui-même.

"Spectre" quand a elle, consiste à forcer le processeur à exécuter une commande qu’il ne ferait pas en temps normal et à récupérer ensuite des informations qui ne devraient pas être disponibles.

Contrairement à la première faille de sécurité, Spectre ne permet pas d’accéder à l’intégralité de la mémoire kernel, celle-ci reste protégée. En revanche, un logiciel malveillant peut accéder aux données d’un autre logiciel sans autorisation. En guise de démonstration, les chercheurs ont développé un script JavaScript qui peut accéder à toutes les données du navigateur qui l’exécute.

 

 

AV-Test d'après indique que le 22 janvier 2018, pas moins de 139 nouveaux malwares utilisant ces deux exploits.

Résultat similaire chez Fortinet, qui en a analyser 119.

« Tous les fichiers que nous avons vérifiés jusqu'à présent ne sont pas des malwares, mais des formes préliminaires de malwares. Ce sont des logiciels de démonstration (proof of concept) qui exploitent ces failles, mais qui ne causent pas encore de dommages » - Andreas Marx, PDG de AV-Test.

« Il s’agit peut-être de cybercriminels qui développent des malwares et qui sont actuellement dans une phase de test. Ou bien de chercheurs en sécurité qui créent des exemplaires dans le cadre de leur travail » - Guillaume Lovet, directeur sécurité produit chez Fortinet.

 

 

Semble il que les correctif (majoritairement publié par Intel, qui essaie de se tiré de la), ne suffisent/suffirons pas.

Plusieurs correctifs publié par intel, sont pourvut de jolie bug et ralentissent le processeur, donc perte de performance sur les machines.

Des correctifs ridicules, au point qu'intel renonce a leur déploiement, mais indique avoir "trouvé d'ou viens le problème", et "prépare de nouveaux correctifs".

 

Et il vaudrais mieux pour intel! Car avec toutes les actions en justice qui sont prononcer (majoritairement au USA), nous allons certainement assisté au lynchage du géant.

 

Brian Krzanich a indiqué que les prochaines générations de processeurs Intel embarqueront des correctifs hardware les protégeant directement des deux vulnérabilités... Et nous en profitons pour faire un petit tour du coté de ce qui est déjà fait par les distributions d'Operating System, pour palier au prochaines attaques.

Sur Windows 10: Microsoft a déployé un patch, le patch KB4056892.

Sur Windows 7/8: Microsot à annoncé poussé le patch mardi prochain avec le tuesday patch , un patch devrait être disponible mardi prochain.

Sur Mac: Apple a déjà poussé le correctif sur la version 10.13.2 de macOS que vous pouvez installer. La version encore en bêta 10.13.3 appliquera de nouvelles corrections.

Sur Linux: un correctif du noyau est déjà disponible.

Sur XP: Aucun, donc encore une fois les vieux OS sont les plus menacé.

 

L’équipe de FortiGuard Labs publie les signatures suivantes, concernant les menaces utilisant Meltdown et Spectre répertorier j'usqu'a présent.

Riskware/POC_Spectre

W64/Spectre.B!exploit

Riskware/SpectrePOC

Riskware/MeltdownPOC

W32/Meltdown.7345!tr

W32/Meltdown.3C56!tr

W32/Spectre.2157!tr

W32/Spectre.4337!tr

W32/Spectre.3D5A!tr

W32/Spectre.82CE!tr

W32/MeltdownPOC

Nous avons donc la une probabilité d'attaque encore plus agressive que c'elle que nous nous prenons dans la gueule depuis début 2017.

 

A qui la faute?

Premièrement Intel. Des experts on prétendu avoir connaissance de ces vulnérabilités depuis au moins 1995.

Voici la liste des processeurs Intel impacté:

Intel® Core™ i3 (45nm et 32nm)

Intel® Core™ i5 (45nm et 32nm)

Intel® Core™ i7 (45nm et 32nm

Intel® Core™ M (45nm et 32nm)

2e génération Intel® Core™

3e génération Intel® Core™

4e génération Intel® Core™

5e génération Intel® Core™

6e génération Intel® Core™

7e génération Intel® Core™

8e génération Intel® Core™

Intel® Core™ X-series pour plateforme X99

Intel® Core™ X-series pour plateforme X299

Intel® Xeon® 3400

Intel® Xeon® 3600

Intel® Xeon® 5500

Intel® Xeon® 5600

Intel® Xeon® 6500

Intel® Xeon® 7500

Intel® Xeon® E3

Intel® Xeon® E3 v2

Intel® Xeon® E3 v3

Intel® Xeon® E3 v4

Intel® Xeon® E3 v5

Intel® Xeon® E3 v6

Intel® Xeon® E5

Intel® Xeon® E5 v2

Intel® Xeon® E5 v3

Intel® Xeon® E5 v2

Intel® Xeon® E5 v3

Intel® Xeon® E5 v4

Intel® Xeon® E7

Intel® Xeon® E7 v2

Intel® Xeon® E7 v3

Intel® Xeon® E7 v4

Intel® Xeon® Scalable

Intel® Xeon Phi™ 3200, 5200, 7200

Intel® Atom™ C

Intel® Atom™ E

Intel® Atom™ x3

Intel® Atom™ Z

Intel® Celeron® J

Intel® Celeron® N

Intel® Pentium® J

Intel® Pentium® N

 

Mais si intel ne pouvais pas ignoré l'existence de ces vulnérabilité (ceux eux qui développent ça quand même),

les experts qui soit disant "avais connaissance" de ces failles, n'on pas fait part d'une potentiel insistance auprès d'intel concernant le relever de ces failles. Et nous voila sur intel I7 (2017), dans la merde! Magnifique les gars.

Ils sont donc responsable, au même titre qu'intel.

 

Mais ceux qui me gonfle, c'est cette bande de bouffons (et la je commence a faire chauffé ma langue, la joute verbale est en Defcon 5), qui sourient sur les articles (je parle de la pseudo équipe qui a mis a jours ces vulnérabilités), alors qu'ils on mis a jours deux des plus importantes failles de sécurité les plus dangereuse a ce jours!

Ha, mais c'est ça qu'ils s'enjaille... D'accord.

En même temps, quand on voit leur duvet et leur bouton, on ce dit juste que ces mecs on pas conscience de ce qu'ils on fait.

Il aurais fallut de leur part, d'abord prévenir intel. Intel n'a pas a déconné avec la sécurité de ces clients, et ils pouvaient largement collaborer! Surtout quand leurs petits millions, leurs emplois et leurs honneur sont en jeux.

Donc, une divulgation qui relève plus du caprice d'une bande de gamin cherchant la gloire, que d'une concrète envie d'aidé a la sécurisation du consommateur.

Il y a 3 fautifs pour moi, et je m'arrêterai la avant que mes écrits dépassent ma pensé.

 

Pour ce qui est de la potentialité de l'apparition de virus, utilisant ces exploits... Elle est présente, et les chiffres d'AV-Test et Fortinet le démontre.

Les société antivirus/pare-feu, allons devoir développé des solutions de plus en plus radicale pour assuré la sécurité des utilisateurs.

 

J'annonce donc la sortie plus qu'éminente de Process Hunter 2.0, dans le prochain pack FloreSecurity, qui serra une sécurité en plus des antivirus classique.

 

Je vous laisse la, vous souhaite un bon début de semaine, et vous tiendrais au courant dans la/les semaines qui viennent.

 

Mes sources:

https://www.tech2tech.fr/meltdown-et-spectre-les-failles-qui-font-trembler-le-monde/

http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-842472-malwares-exploitant-spectre-meltdown-vont-attaquer.html

http://www.01net.com/actualites/failles-cpu-de-mysterieux-prototypes-de-malware-circulent-sur-la-toile-1363055.html

Posté par FloreSec à 18:55 - Commentaires [0] - Permalien [#]

31 janvier 2018

Retour

Bonjour/bonsoir a tous et toutes.

 

Pour commencer, je tien a préciser qu'écrire ces quelques lignes me sont pénible.

Je suis très fatigué par les derniers jours que jais passé, et risque de prendre dans les prochaines semaines une pause.

 

Certains on remarqué la suppression de mon précédent blog, ainsi que la désactivassions temporaire de mon twitter, et de mon Youtube.

 

Les dernières semaines on été agités, et je donne ici des nouvelles ainsi que des indications sur la marche que je vais suivre.

 

Premièrement, jais quitté la communauté SecLib après une semaine d'engueulade avec certains membres, je vais donc clarifier la situation ici.

 

En effet, des rumeurs comme quoi j'aurais été éjecté de SecLib par l'administrateur en chef, circules, et elles sont fausses.

 

Jais quitté SecLib de mon plein gré, a la suite de notre engueulade. Il ne m'a pas pousser a le faire, je l'est fait volontairement et sans aucune pression.

 

J'avais appeler fin de semaine dernière les membres qui me sont resté ami, a ne pas juger, ni reprocher a l'administrateur mon départ.

Ce départ a été déclencher par un conflit de bas étages, par deux personnes qui ne se comprenaient pas/plus.

 

Jais pour domaine les pare-feu virtuel, et le pentesting de ceux-ci, quand a lui c'est l'intrusion au sens plus élargie.

Nous n'avons pas les mêmes domaines, pas les mêmes fonctions, ni les mêmes passions et ambitions.

 

Jais donc fait le choix de partir, pour ne pas envenimer notre dispute qui aurais pus monter inutilement dans des propos déplaisent.

Il a fait le choix de me sabré sur sont compte? Jais répondu a ma communauté la dessus, en détaillent ce qui c'est passer.

 

Suite au réglage des bugs sur Rott Sniffer, nous avons eu une petite discutions sur sont fonctionnement.

Je lui est donc soumis le fait que je codais uniquement en Visual Basic, il le savais déjà mais n'a semble il relever que ce soir la.

Nous avons poursuivit, jais déclaré que j'améliorais le pare-feu (qui ne prend en compte que les connexions TCP, mais en visual basic c'est déjà bien compte tenue des possibilités).

A la suite de cette conversation, il a déclaré que c'était "creux" (désignent aussi bien mes compétences que mon logiciel), ce que je n'est pas accepté compte tenu du départ de notre conversation.

Pendant des mois, il m'a fait entendre qu'il avais testé Rott Sniffer et le trouvais correcte, pour en suite le soir de la dispute revenir la dessus et me déclaré l'inverse; je ne l'est jamais testé.

Vous pouvez donc comprendre mon désarroi, quand on ne connaît pas une production on ne la juge pas. Point barre!

C'est ce qui a déclencher mon départ, et non comme lui l'a déclaré sur sont facebook, que j'était partit parce-que j'avais rager, de ne pas réussir a bloquer d'autres connexions que TCP sur mon pare-feu.

Je continue de respecter cette homme, malgré nos deux différences de mentalités flagrantes, et je ne reviendrais pas plus sur cette engueulade, ni la semaine éprouvante qui l'a précédé.

 

Je spécifierai juste, ici a quelques membres de ma communauté présent sur SecLib, que je ne suis pas "en guerre" avec lui.

Il a ça vie, ces convictions, jais ma vie, mes convictions. Nos communautés n'on pas a entré plus dans ce semblant d'engueulade, et je vous serrais gré de vous mêler de se qui vous regarde dorénavant.

 

Je vous prierai également de ne plus me rapporter ce qui est (soit disant), dit sur moi, pour la simple et bonne raison que ce sont des "on dit", et que ça ne m'intéresse pas plus que ça.

 

Ici s'arrête mon passage a SecLib, jais été très content de pouvoir discuter avec certains d'entre vous (dont l'administrateur).

Mais je pense que je n'avais simplement plus ma place dans cette communauté, jais préféré faire comme mes pare-feux. Stopper l'engeulade avant qu'elle ne parte plus loin, avec des mots dur que j'aurrais peux être prononcer au même degrés que les siens: des propos injuste.

 

La continuité se passera sur Facebook et Discord, ou ma nouvelle communauté axé programmation Visual Basic (Pentesting, Sécurité etc), c'est vue naître.

Jais le plaisir d'avoir avec moi dans cette communauté, un de ceux qui m'a appris a programmer dans ce langage (Demo), et beaucoup d'autre amis.

 J'éspère avoir la force moral nécessaire pour la faire vivre, et prospéré.

 

Pour ce qui est purement programmation sécurité, si l'administrateur de SecLib ne m'a pas fait mal en soit, moi je me suis mis un coup de couteau dans le ventre (au sens littéral  in!).

 

Jais donc repris a 0 Rott Sniffer, vous offrant très bientôt une 5.0, qui se verra ajouter de nouvelles fonctions.

1; le pare-feu a été amélioré, mais je tente toujours de fermer les connexions UDP/autres.

2; la détection de trafic important (ddos), a été améliorer et les bugs corriger.

3; vous pourrez dorénavant filtré les connexions TCP, UDP, ICMP, IGMP et autres, vous offrant une meilleur visibilité selon ce que vous souhaitez surveiller.

4; le logiciel identifie a présent certains paquets comme étant des requêtes web (GET, POST, HEAD), ce qui m'a permis récemment de détecté une attaque de type SlowLoris (qui serrais passer inaperçus sinon).

5; la police de caractère a été agrandit pour plus de facilité de lecture.

 

Du coté de Process Hunter, jais mis deux jours a développer un pare-feu complémentaire a lui, qui bloquera tout les processus doublons de ceux appartenant au système (explorer, system etc), qu'il détectera comme doublon.

Mais tachera également de diférencier les processus plus ambiguë (dllhost, svchost etc).

 

Je cessera de développer 3 logiciel, le premier est Colibri Browser.

Pour des raisons très simple en vérité, la technologie utilisé est une WebBrowser I5, un anti popup basique, et une API Proxy.

La technologie I5 est obsolète depuis 2016, et ne pouvant plus amélioré ce logiciel qu'en passent par des API Gecko / WebKit, qui ne me permettent pas de vous garantir la même quantité de services de sécurité, ni de fluidité.

 Je préfère donc arrêter, soulignant moi même un manque de compétence pour se développement, mais aussi d'envie/motivation.

 

0Cleaner, ne serra pas remis a jours. Je n'est plus le temps de m'occuper de ce logiciel.

Ce type de logiciel est de plus déjà trop existant, CCleaner, CleanUp et bien d'autres sont déjà très performant, et je ne pense pas pourvoir réellement rivaliser.

 

3-90 Scanner, qui se chargeais de traquer et détruire une certaine catégorie de malware (WannaCry, Petya, BadRabbit etc), ne serra plus développer.

Je manque cruellement de temps, et avec le retour des beau jours le jardin vas avoir besoin de moi.

De plus, je n'est pas le matériel requis pour persister dans cette logique, et je préfère aujourd'huit codé des pare-feux dont le développement me prend nettement moins de temps.

 

Bref, il est inutile de rappeler a ceux qui me connaissent, les quelques années merdiques que je me suis pris dans la gueule, et cette nouvelle années qui s'annonce tout autant contrariante.

 

Je veux que ma vie en général, aille vers l'appaisement... Le calme.

Arrive cette année mes 20 ans, et on ne peux pas dire que je transpire le bonheur et la joie de vivre.

 

Jais donc limité mes joutes verbales, partent de plus en plus du principe qu'on ne peux pas éduquer les cons.

Si un religieux pense qu'un homosexuelle doit être brûler comme Jeannette (lol), ça sert a rien de tenter de corrompre sont esprit de personne seine, avec des idées démoniaques de vivre ensemble et d'acceptation des différences.

Si un mec pense qu'une femme n'a pour fonction que l'accomplissement de tache ménagère, inutile d'essayer de démonter ces propos. Il persistera dans ça médiocrité.

Si un "OnAyChayNous" crie que les bougnoules, les bamboulas et les arabes doivent repartir dans leurs pays en guerre, on ne peux pas discuter avec ce genre de cons qui suggère pendant certaines discutions philosophique de cette France profonde... De bombarder les pays d'afrique, du moyenne orient etc...

 

En bref, si votre société souhaite être stupide et le rester, ce n'est pas a un jeune connard arrogant de 20 pige, d'andossé l'uniforme de curé, et aller prêcher la bonne foie, la réflection et l'intelecte sur FACEBOOK.

 

Voila, globalement c'est tout ce que j'avais a dire.

 

Passez tous une bonne fin de semaine, je reprend une activité a peux prêt... viable sur Facebook, Twitter, Discord, et peux être Youtube.

 

Vincent L. Flores

Posté par FloreSec à 19:16 - Commentaires [0] - Permalien [#]