Vincent Léon Flores Officiel

25 août 2019

Avast - observation.

Bonjour.

 

Tout le monde connais Avast, l'Antivirus gratuit le plus connu et le plus utilisé.

Tout ceux qui me suivent depuis 4 ans connaissent le sarcasme et la dérision que jais adresser a cette Antivirus.

Tout le monde connais ces couleurs orange immonde, ces voix off grisantes, et ces capacités de détection... En amélioration.

 

Et bien oui, si je ne suis pas ami avec Avast (les aillant fréquemment "agresser" sur la capacité d'analyse et la qualité de détection de leur Antivirus), il faut bien avouer que les dindons et autruches qui répondent a vos question sur les réseaux sociaux, font quand même remonter un minimum les avis clients.

 

Je vais parler de plusieurs choses ici. C'est partit.

 

- L'analyse.

L'analyse d'Avast n'est pas mauvaise. De souvenir, elle ne la jamais été.

La première fois que jais fait la connaissance d'Avast, c'étais il y a ma foi fort longtemps (j'avais 6/7 ans donc... 2004/2005), sur l'ordinateur de ma mère.

Je me souviens qu'elle lançais fréquemment des analyses avec ce programme, et qu'elle ne se plaignait jamais de quelconque ralentissement, pourtant sur un ordinateur très vieux.

 

- La détection.

Quand on ne connais rien aux Antivirus, on n'est pas en capacité de tester les capacités de détection de ceux-ci.

La détection d'Avast repose sur les vieux principe de l'analyse par comparaison de signature. Ce la que réside ça principale faiblesse, ce modèle d'analyse ne provoque pas de fort ralentissement de l'ordinateur. Nous y reviendrons.

Mais, elle est obsolète. Je m'explique.

En 2017, c'étais 3 millions de ne nouveaux virus détecté par jour dans le monde par l'ensemble des sociétés d'Antivirus et chercheurs en sécurité informatique.

3 millions de nouvelle signatures par jour dans une database? C'est énorme! Et les chiffres on certainement augmenter depuis.

Avast et tout les Antivirus reposant sur cette technique d'analyse sont dépassé, MAIS, Avast se met depuis quelque temps a l'analyse comportemental, et fait fréquemment la promotion des intelligences artificielle.

Pour l'instant ce n'est pas non plus énorme. Mais bien satisfaisant pour un Antivirus gratuit.

Avast s'améliore, et on ne peux que saluer l'effort.

Mais il reste a faire.

 

- La persistance.

Avast arrive a imposer une persistance correcte. Certains programme Antivirus paillant ne persiste pas, et se font arrêter par des anti-antivirus présent dans certains logiciel malveillant.

Et bien Avast a une persistance correcte, il tient la route.

 

- Les ralentissement provoqué par Avast.... In?...

Je n'en est jamais vue pour ma part.

Je n'est jamais eu d'ordinateur très performant. Souvent de la récupération.

Merde, je me demande ce que vous avez comme ordinateur pour vous plaindre de ralentissement.

J'arrive même a faire tourner l'Antivirus Français VirusKeeper! VirusKeeper qui lui ralentit l'ordianteur juste au lancement de la session et des analyses! Faut arrêter. Si vos ordinateurs ne résistent pas a ça alors que mes vieilles bécanes y parviennent sans moindre difficulté, le soucis c'est peut être pas les lignes de code dans le programme Antivirus, ni même l'ordinateur.

Le problème c'est peut être vous. Tout simplement.

 

- Les détracteurs...

Si j'attaque Avast sur le font, d'autre l'attaque avec des arguments ridicule.

Faisant tantôt la confusion de "virus", "logiciel malveillant" et "exploit", puis parlant en suite du marketing d'Avast.

 

Non. Quand on parle d'un produit Antivirus, on parle de méthode d'analyse, de rapidité, de capacité de détection et de persistance face aux méthodes anti-antivirus développé et ajouter aux programmes d'attaque.

 

Avast est un Antivirus, il n'est pas la pour sécurisé votre réseau ni même vous protéger d'outil d'exploitation, qui entre impacte le système via les vulnérabilités de ce dernier.

Avast n'est pas un patch! Avast n'est pas un pare-feu! Avast est un Antivirus et c'est totalement différent.

Il est la pour contrer les programmes type virus, logiciel malveillant, logiciel espion, etc!

 

Pour ma part, c'est depuis ce début d'été que j'en est finit avec eux.

Ils ce sont amélioré. Évidemment que nos nouveaux outils d'exploitation passe a travers la protection!

Mais compte tenu des milliards de signatures qu'Avast engrange chaque années, et ces projets d'amélioration technologique, je ne peux que mettre de l'eau dans mon vin.

 

Les détracteurs d'aujourd'huit ne sont plus que des imbéciles en manque d'attention, qui feront tout pour ruiner les efforts d'amélioration des ingénieurs d'Avast.

 

Dire d'Avast qu'ils sont la honte des Antivirus, c'est oublié les récentes vulnérabilité découverte sur BitDefender, et les scandales entourant Kaspersky, sans oublié... Les faux positifs d'ESET et le manque de persistance d'Avira (entre autre).

 

Vous reprochez a Avast ce que je lui reprochais il y a 1 ans.

Mais les programme s'améliorent en une année.

Les temps change, les gens aussi, mais je tient a rassuré mes lecteurs.

 

Ce n'est pas moi qui est changer.

C'est Avast.

 

Fin de l'observation.

Posté par Bl31z* à 18:38 - Commentaires [0] - Permalien [#]


10 juillet 2019

KittyBop (arnaque)

Facebook propose la mise en avant de contenue publicitaire.

C'est très pratique pour les vrais entreprises qui proposent de vrais produits/prestations.

Mais souvent, le produit/la prestation mis en avant est une escroquerie.

La page facebook "KittyBop" a créer une publicité pour mettre en avant un service web "mieux que netflix", parce-que gratuit.
Je ne suis pas fan de série. Je déteste les séries et la télévision de manière plus générale.
Quelques exceptions bien sur, StarGate SG1, Albator 78/84, Cosmowarrior Zero, Space Symphony Maetel, etc etc.
Autant dire que ça ne passe pas souvent a la télé.

Mais jais des membres de ma famille (principalement des adolescents) qui aiment ce genre d'activité.
Je me suis donc penché sur la question. Et après observation, il s'agit d'une arnaque.
Donc, a ne SURTOUT PAS recommandé.

Commençons par la page, "KittyBop".
Il est évident que cette page, c'est tout ce que je déteste.
Deja, la contraction des mots "Kitty" (minou), et "bop" (mot qui dois bien avoir une signification, mais que je trouve très laid).
En suite leurs photos. Des logos paint dégueulasse, on dirais presque que c'est moi qui est fait ce dessin.
Les images trouvé sur google, avec des trucs gamin complètement niais.

La page est rédiger en anglais, langue international, pour cibler d'avantage de monde.
A mon avis, la publicité a été créer dans plusieurs langue pour touché plus ample publique.

Page Facebook: https://www.facebook.com/KittyBop-314448159236568

Publicité:

kpop1

La publicité en elle même pointe sur un article, présent sur un site au nom très particulier a savoir "101NEWSFRANCE.COM".
L'article pointe en suite sur un site, tout aussi louche. "signup.urareplay.com".


Sur le Facebook, ce qui est de suite remarquable, c'est que plusieurs compte a quelques minutes d'interval ce sont littéralement rué sur la publication pour venté les mérites de ce site.

kpop2

Tous présentent des caractéristiques similaires.

Des femmes très superficielle, qui doivent exister mais pas avec des comptes aussi peu fournit.

Je parlerais même pas des fautes de conjugaison, que même un dysorthographique comme moi arrive a remarqué. (Et c'est pas glorieux).

 

Liste des comptes observés:

"Eline Stoppels"
https://www.facebook.com/I.am.Eline
"I am somebody. I am me. I like being me. And I need nobody to make me somebody."
"Je suis quelqu'un. Je suis moi. J'aime être moi Et je n'ai besoin de personne pour être quelqu'un."
Habite à Bordeaux
De Amsterdam

"Steffy Leeburgh"
https://www.facebook.com/steffy.leeuwenburgh.1
"My best friend is me, and I take good care of me."
"Mon meilleur ami est moi et je prends bien soin de moi."
Habite à Amsterdam
De Amsterdam

"Suzan Wordragen"
https://www.facebook.com/suzan.vanwordragen.3
"Living my dream"
"Vivre mon rêve"
A étudié à Hogeschool Saxion
Habite à Lyon

"Louisa Hemeler"
https://www.facebook.com/louisa.hemelaar.3
"In this life, when you deny someone an apology, you will remember it at time you beg forgiveness. "
"Dans cette vie, lorsque vous refusez des excuses à quelqu'un, vous vous en souviendrez au moment où vous implorerez le pardon."
Project Coordinator, à Tele2 Nederland
Habite à Amsterdam

"Katharina Rilter"
https://www.facebook.com/katharina.wiltjer.5
"It is better to be hated for what you are than to be loved for what you are not."
"Il vaut mieux être détesté pour ce que vous êtes que d'être aimé pour ce que vous n'êtes pas."
A étudié à Montessori College Twente
Habite à Sydney

"Bouchra Schellings"
https://www.facebook.com/bouchra.schellings.5
"Life is yours. Enjoy it!"
"La vie est à vous. Profitez-en!"
Habite à Auckland

"Soumia van der Weele"
https://www.facebook.com/soumia.vanderweele.5
"Soumia <3 <3"
Habite à Amsterdam
De La Haye

"Kelsy Brongers"
https://www.facebook.com/kelsy.brongers.5
"Life is a long road on a short journey."
"La vie est une longue route sur un court trajet."
Habite à Melbourne

 

Beaucoup de "bon commentateur" serrais d'Amsterdam, capitale des Pays-Bas.
Mais elles parlent toutes Français et utilisent la même configuration de compte.

On y retrouve une description en anglais, toujours des phrases hautement philosophique. Nombriliste et/ou moralisatrice.

Je parlerais même pas des faux comptes qui on partager cette publication a leurs lecteurs.

Dans les partages de la publication, une femme déclare avoir testé le service.
Le tout est gratuit pendant une période d'essais, mais moins garnit que NetFlix comparé aux déclarations de certains.


Le site demanderais aussi des coordonnées bancaires, pour pouvoir débité tranquillement de jolies sommes de votre compte.
On peux donc qualifier cette opération de Phishing, d'escroquerie.

Ne tombez pas dans le piège.

Posté par Bl31z* à 21:34 - Commentaires [0] - Permalien [#]

07 juin 2019

GoldBrute - un BotNet RDP

Le Remote Desktop Protocol a toujours été une emmerde.

Depuis ça création, il y a toujours eu des piratages.

 

En gros, l'attaque se déroule comme ça.

- Une fois présent sur une machine, le virus analyse plusieurs hôtes non présent dans ça liste, et essaie de savoir si le Remote Desktop Protocol est actif et accessible depuis internet.

- Le virus lance des attaques par brute force sur chacun des hôtes ou le Desktop Protocol est accessible.

- Si le brute force fonctionne sur 80 hôte, la liste des hôtes est envoyé au serveur de contrôle de l'infection.

- Chaque machine infecté par GoldBrute est utilisé pour lancé de nouvelles attaque brute force. Ils reçoivent tous un identifiant et un mot de passe différent.

 

Qu'est ce qu'un brute force?

Le brute force, c'est le fait de combiné 3 a 4 élément,

Hôte/URL : identifiant : mot de passe ou Hôte/URL : port : identifiant : mot de passe,

et de testé plusieurs mots de passe jusqu'a trouvé le mot de passe du compte/du serveur cible.

Random: génération de mot de passe aléatoire.

Wordlist: liste de mot de passe couramment utilisé.

Combolist: méthode permettant de testé des combinaison de mot de passe via deux listes identique ou différente, par indexation.

 

Beaucoup d'exploit RDP sont sortie ces derniers temps.

Cela montre une tendance qui vas se porté dans les prochains mois sur l'exploit du protocole Remote Desktop et sûrement d'autre protocole permettant le même genre d'action.

 

Le soucis, c'est principalement les configuration des machines connecté a internet.

Ce sont les défaut de configuration qui permettent a ce logiciel malveillant de se propager si rapidement.

Actuellement, on parle de 1,5 millions d'ordinateur infecté dans le monde.

 

Alors on vas désamorcé vos inquiétude, le logiciel malveillant n'est pas persistant, ne fait que se propager et sont objectif est très probablement de récupéré votre adresse ip vos mots de passe RDP, qui sont souvent par défaut, afin peux être de revendre sur des forum de piratage, ou encore gardé tout ça dans un coin pour lancé une autre infection de masse par le biais du protocole Remote Desktop.

Le fait que GoldBrute n'est pas de persistance, pas de camouflage particulier, facilite ça détection par les antivirus.

Les indicateurs de compromission sont disponible sur les sites spécialisé en analyse.

 

Vous pouvez vous reporter au précédent article qui parlais de la vulnérabilité BlueKeep pour plus d'information sur la configuration a avoir quand vous n'utilisez pas le Remote Desktop Protocol.

 

Rapport a notre activité professionnel:

Nous pouvons audité et sécurisé votre système.

Une facture vous serra par la suite remise.

Vous pouvez nous contacter en privé.

Posté par Bl31z* à 15:49 - Commentaires [0] - Permalien [#]

05 juin 2019

CVE-2019-0708 BlueKeep - une nouvelle vulnérabilité RDP.

BlueKeep, c'est la nouvelle vulnérabilité trouver sur le protocole RDP (Remote Desktop Protocol).

Le protocole RDP et la suite de service permettant sont fonctionnement sont actif par défaut sur les systèmes Microsoft Windows.

Il peux permettre la prise de contrôle a distance du poste équipé.

 

Vous pouvez télécharger et installer votre patch sur ce lien: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708?fbclid=IwAR2Pim0zBSJgr-10ffzcip26ytRp3sgMK_ZkluKhuBOY25lHFzYx5zYfnEo

Veillez a bien prendre le patch adapté a votre système.

 

Il vous est recommander de désactiver les services RDP.

 

Commencez par arrêter le service "TermService".

 

Par la suite, exécutez l'utilitaire "regedit.exe", et rendez vous a la clé suivante.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Puis cherchez la valeur "fDenyTSConnections".

Si la valeur est "0", passez la sur "1".

1 = désactivé, 0 = activé.

 

Le blocage du port RDP est également recommander.

Par défaut, il s'agit du port 3389 sur protocole TCP.

Mais Microsoft dans son tutoriel se passe de vous dire que le port RDP peux être changer via le registre.

Rendez vous dans votre registre en exécutant l'utilitaire "regedit.exe", et rendez vous a la clé suivante.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Par la suite, cherchez la valeur "PortNumber" dans la liste des valeurs.

Vous trouverez le port RDP de votre machine.

C'est ce port qu'il faudra par la suite bloqué sur vos pare-feu.

 

Une fois le RDP bloqué, vous n'avez pas grand chose a craindre a ce niveau.

Il faut tout de même se tenir a jour au niveau des correctifs de sécurité Microsoft.

Un logiciel malveillant peux parfaitement modifier votre registre et mettre une configuration spéciale.

Posté par Bl31z* à 17:08 - Commentaires [0] - Permalien [#]

Bienvenue.

Bonjour et bienvenue sur ce nouveau blog.

 

Nos articles porterons sur diverse chose que nous allons nous efforcé de détaillé.

- L'annalyse de logiciel malveillant : observation de certains virus. Les options, la propagation, les effets, et les contres mesures.

- L'annalyse de programme de sécurité (pare-feu/antivirus/etc) : observation de certains programme de sécurité. Les options, les services, la facilité d'utilisation et la fiabilité.

- La politique et les mesures prise contre la cyber criminalité.

 

Nous ne posterons pas régulièrement sur ce blog.

 

Pour plus de contenue, vous pouvez lire le contenue publique du compte Facebook de Vincent.

Lien ici: https://www.facebook.com/vincentleonflores

Il possède également une petite chaine Youtube disponible ici:

https://www.youtube.com/channel/UCoETycqRqBBxd-F_vhrLY0g

Posté par Bl31z* à 14:47 - Commentaires [0] - Permalien [#]