Nouveaux Outils

🛡️ Contexte Publié le 04/05/2026 sur GitHub par Ridgeline Cyber Defence, VanGuard est un toolkit de réponse à incident (DFIR) open-source développé en Go, conçu pour les équipes de sécurité en entreprise. Il se présente comme un binaire unique, portable, sans installation requise, compatible Windows et Linux. 🔧 Fonctionnalités principales VanGuard consolide l’ensemble du cycle de vie IR dans un seul exécutable : Triage rapide : collecte de 20+ catégories d’artefacts Windows et 15+ Linux (processus, logs, tâches planifiées, historique navigateur, registre, connexions réseau, etc.) Threat Hunting : intégration de Hayabusa (Sigma), Chainsaw, Loki (IOC scanning), YARA ; détection de LOLBins, autoruns suspects, DLL hijacking, unités systemd rogues, binaires SUID, patterns C2 Forensique mémoire : capture via DumpIt, WinPMEM, AVML, LiME ; analyse via Volatility3 Collecte disque : KAPE + EZ Tools (Windows), UAC (Linux) Opérations Velociraptor : gestion complète du cycle de vie serveur/agent, déploiement via WinRM/SSH/PSExec, VQL, hunts Opérations distantes : exécution simultanée sur plusieurs endpoints, authentification NTLM/SSH/PSExec Reporting : rapports HTML auto-contenus, super-timelines CSV, clustering MITRE ATT&CK automatique 📋 Bibliothèque de 28 cas d’usage pré-construits Chaque cas d’usage inclut un mapping MITRE ATT&CK, une classification de sévérité et une collecte d’artefacts phasée : ...

🔍 Contexte Publié le 26 mars 2026 sur GitHub par l’utilisateur Meowmycks, le projet trustme est un Beacon Object File (BOF) conçu pour s’intégrer à Cobalt Strike et permettre une élévation de privilèges avancée sur les systèmes Windows. 🎯 Objectif L’outil élève un beacon Cobalt Strike depuis un contexte administrateur vers NT AUTHORITY\SYSTEM avec le SID NT SERVICE\TrustedInstaller dans les groupes du token. Cela permet de modifier des fichiers, clés de registre et objets protégés par TrustedInstaller, inaccessibles même avec les droits SYSTEM classiques. ...

🛠️ Contexte Publié le 22 mars 2026 sur GitHub (compte 0xROOTPLS), Fritter est présenté comme un outil offensif open-source, fork lourdement modifié du projet Donut de TheWover et Odzhan. 🔍 Description technique Fritter est un générateur de shellcode position-independent (PIC) conçu pour l’exécution en mémoire de plusieurs types de charges utiles : VBScript, JScript Exécutables (EXE), DLL Assemblages .NET L’outil se distingue de Donut par une refonte complète des couches internes : ...

🔍 Contexte Publié le 22 mars 2026 sur GitHub par InfinityCurveLabs, ce dépôt présente vm-filesystem, un module de bytecode Firebeam conçu pour interagir avec le système de fichiers distant dans le cadre du framework offensif Havoc. ⚙️ Fonctionnement technique Le module repose sur deux mécanismes principaux : Monkey-patching Python : remplacement dynamique des méthodes utilisées par le File Browser de Havoc pour émettre des tâches vers l’agent, substituées par l’interprétation et l’exécution de bytecode Firebeam équivalent. Machine virtuelle Firebeam : exécution de bytecode permettant des opérations sur le système de fichiers sans nécessiter l’intégration du filesystem dans l’agent lui-même. 🛠️ Capacités exposées Les opérations supportées incluent : ...

🧩 Contexte Publié le 22 mars 2026 sur le dépôt GitHub de BishopFox, le projet Wasm Stager est un toolkit offensif open-source conçu pour la recherche en sécurité offensive. Il exploite le standard WebAssembly System Interface (WASI) pour créer un outil d’accès distant multiplateforme. 🏗️ Architecture Le toolkit se compose de deux composants principaux : Stager : un runtime WASI qui charge et exécute le module implant avec une intégration système complète Implant : un module Wasm compatible Sliver, offrant des capacités de shell distant et de reconnaissance système ⚙️ Fonctionnement technique Le stager est configuré à la compilation avec les paramètres suivants : ...

Selon BleepingComputer, un nouvel outil open-source nommé Betterleaks a été présenté, capable d’analyser des répertoires, des fichiers et des dépôts Git afin d’identifier des secrets valides à l’aide de règles par défaut ou personnalisées. 🧰 Fonctionnalités clés: Type: nouvel outil open-source Périmètre d’analyse: répertoires, fichiers, dépôts Git Détection: identification de secrets valides Règles: par défaut ou personnalisées Betterleaks : nouvel outil open source de détection de secrets dans les dépôts et fichiers Contexte Betterleaks est un nouvel outil open source conçu pour scanner : ...

Selon Darknet.org.uk, DumpBrowserSecrets est présenté comme un outil capable d’extraire des données sensibles stockées par les principaux navigateurs, en contournant des mécanismes de protection. DumpBrowserSecrets : extraction de secrets stockés dans les navigateurs Présentation DumpBrowserSecrets est un outil de post-exploitation développé par Maldev Academy permettant d’extraire des identifiants et données sensibles stockés dans les navigateurs web. Il s’agit du successeur de DumpChromeSecrets, étendu pour fonctionner avec plusieurs navigateurs utilisés en entreprise. ...

Source : Black Hills Information Security (blog) — Dans un billet daté du 4 mars 2026, Ben Bowman présente une technique de persistance Linux exploitant le framework PAM et dévoile l’outil open source « PAM Skeleton Key » destiné aux tests d’intrusion (Red Team). L’auteur explique que PAM gère l’authentification pour des services comme SSHD, recevant les identifiants en clair pour appliquer des politiques définies (ex. /etc/pam.d/sshd). En substituant un module PAM par une version malveillante, il devient possible d’implanter un mot de passe universel (skeleton key) pour tous les comptes et de capturer les identifiants avant chiffrement, puis de les exfiltrer. ...

Source : non précisée — Contexte : annonce d’un nouvel outil qui intègre CyberChef au sein d’IDA Pro pour accélérer les workflows d’analyse de malware et de rétro‑ingénierie. • Qu’est‑ce que c’est ? 🧩 Un plugin Qt (« IDA CyberChef ») qui embarque le moteur CyberChef dans l’interface d’IDA Pro afin d’éviter les allers‑retours avec l’UI web de CyberChef. Il s’intègre avec des fonctions d’IDA (lecture du curseur/sélection, ajout de commentaires, patching d’octets) et permet de composer/chaîner des opérations (ex. Base64, XOR) directement dans l’outil. ...

Cette publication présente Neko, un navigateur virtuel auto‑hébergé diffusant un environnement Linux via WebRTC, axé sur la sécurité, la confidentialité et la collaboration. • Neko fournit un navigateur/desktop virtuel tournant dans Docker (ou sur l’hôte), accessible depuis n’importe où, avec multi‑accès simultané, contrôle partagé, audio/vidéo synchronisés et un flux WebRTC fluide. Il peut exécuter un navigateur, des applications Linux (ex. VLC) ou un desktop complet (XFCE, KDE). 🐱 • Cas d’usage principaux: watch parties 🎬, présentations interactives (contrôle par d’autres), collaboration (co‑browsing, debug), support/enseignement, et intégration dans des apps web (alternative open source à Hyperbeam API). Des rooms peuvent être gérées via « neko-rooms ». ...