Archives du mot-clé Tools

SSF : Secure Socket Funneling

Qu’est-ce que c’est que SSF ?
A première vue un nouveau forwardeur de ports dans le style de socat mais quand on regarde les différentes pages de la section howto on s’aperçoit que l’outil offre vraiment des fonctions intéressantes comme le transfert de fichier, la gestion d’UDP, les tunnels SOCKS, la création dynamique de port forwarding le tout avec un mécanisme de clés publiques/privées bref un outil bien complet pour Windows et Linux 🙂

Firejail : une sandbox pour Linux

Quand on pense sandbox sous Linux on pense éventuellement à Limon, Qubes ou de l’instrumentation de Qemu/VirtualBox/VMWare… quitte à sortir un peu du sujet.

Firejail est une sandbox qui peut s’utiliser à la fois pour déterminer le fonctionnement d’un programme (donc plus comme Limon) mais aussi plus simplement pour restreindre le fonctionnement d’une application légitime et réduire l’impact dans le cas d’une éventuelle exploitation (donc plus comme Qubes).

Une double vision qui devrait plaire aux utilisateurs experts comme aux novices. D’autant plus qu’un utilitaire nommé Firetools permet de lancer facilement des applications en sandbox.

Firejail se base sur les Linux namespaces, un mécanisme apparu sur le kernel Linux 3.8.

FLOSS : trouver des chaines de caractères cachées dans un exécutable

Pour trouver des chaines de caractères cachées dans un exécutable (obfusquées) on peut espérer que les auteurs du binaire ont utilisé un simple XOR et compter sur les outils XORsearch / XORstrings de Didier Stevens.

Mais pour des stackstrings (chaines écrites octet par octet en mémoire) ou des astuces encore plus farfelues il n’y avait pas de solution miracle jusqu’à l’arrivée de FireEye Labs Obfuscated String Solver (FLOSS).

Cet outil pousse le bouchon plus loin (n’est-ce pas Maurice!) en désassemblant et émulant le programme.
C’est écrit en Python mais un exe Windows existe pour les feignasses et le tout est dispo sur Github.

2 distribs de pentesting : Parrot Security OS et ArchStrike

On connait bien les Kali Linux et Pentoo mais d’autres distributions Linux de sécurité existent. En voici deux supplémentaires à découvrir.

C’est le cas de Parrot Security OS, une distribution téléchargeable en dur ou utilisable dans une version cloud.
Des VPS pré-installés sont aussi vendus pour 8 euros par mois.

L’autre distribution c’est ArchStrike, anciennement ArchAssault.
Basé évidemment sur ArchLinux, elle dispose d’un sacré arsenal d’outils de sécurité.
Site officiel : archstrike.org

maybe : surveiller les actions d’un programme sous Linux

Maybe est un outil basé sur la librairie python-ptrace.

Il intercepte les syscalls liés aux accès fichiers pour déterminer l’activité du programme et les annule en même temps (les actions n’ont pas réellement lieu mais la valeur de retour est modifiée pour faire croire au programme que ça fonctionne).

Evidemment il convient malgré tout de faire tourner maybe et le programme analysé (s’il est potentiellement malveillant) dans une machine virtuelle.