🛡️ Contexte

Publié le 04/05/2026 sur GitHub par Ridgeline Cyber Defence, VanGuard est un toolkit de réponse à incident (DFIR) open-source développé en Go, conçu pour les équipes de sécurité en entreprise. Il se présente comme un binaire unique, portable, sans installation requise, compatible Windows et Linux.

🔧 Fonctionnalités principales

VanGuard consolide l’ensemble du cycle de vie IR dans un seul exécutable :

  • Triage rapide : collecte de 20+ catégories d’artefacts Windows et 15+ Linux (processus, logs, tâches planifiées, historique navigateur, registre, connexions réseau, etc.)
  • Threat Hunting : intégration de Hayabusa (Sigma), Chainsaw, Loki (IOC scanning), YARA ; détection de LOLBins, autoruns suspects, DLL hijacking, unités systemd rogues, binaires SUID, patterns C2
  • Forensique mémoire : capture via DumpIt, WinPMEM, AVML, LiME ; analyse via Volatility3
  • Collecte disque : KAPE + EZ Tools (Windows), UAC (Linux)
  • Opérations Velociraptor : gestion complète du cycle de vie serveur/agent, déploiement via WinRM/SSH/PSExec, VQL, hunts
  • Opérations distantes : exécution simultanée sur plusieurs endpoints, authentification NTLM/SSH/PSExec
  • Reporting : rapports HTML auto-contenus, super-timelines CSV, clustering MITRE ATT&CK automatique

📋 Bibliothèque de 28 cas d’usage pré-construits

Chaque cas d’usage inclut un mapping MITRE ATT&CK, une classification de sévérité et une collecte d’artefacts phasée :

  • Windows (13) : Ransomware, BEC, Lateral Movement, Credential Theft, AD Attacks (DCSync, Kerberoasting), etc.
  • Linux (12) : Web Server Compromise, Container Escape, Rootkit Detection, Cloud Credential Exposure, Supply Chain Compromise, etc.
  • Cross-platform (3) : IOC Sweep, YARA Hunt, Baseline Comparison

🔒 Intégrité des preuves

  • Double hachage MD5 + SHA256 de chaque artefact collecté
  • Chaîne de custody append-only
  • Journalisation tamper-evident HMAC-SHA256
  • Isolation des credentials (jamais écrits sur disque ou dans les logs)

🌐 Déploiement air-gap

Toutes les fonctionnalités sont opérationnelles sans accès réseau. Les mises à jour de règles (Sigma, YARA, Hayabusa) peuvent être packagées en bundles ZIP avec vérification SHA256 pour transfert USB.

📌 Nature de l’article

Il s’agit d’une annonce de nouveaux outils (release GitHub) présentant les capacités, l’architecture et les modalités de déploiement de VanGuard, à destination des praticiens DFIR.

🧠 TTPs et IOCs détectés

Malware / Outils

  • VanGuard (framework)
  • Velociraptor (framework)
  • Hayabusa (tool)
  • Chainsaw (tool)
  • Loki (tool)
  • KAPE (tool)
  • Volatility3 (framework)
  • DumpIt (tool)
  • WinPMEM (tool)
  • AVML (tool)
  • LiME (tool)
  • UAC (tool)

🔴 Indice de vérification factuelle : 15/100 (basse)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 9447 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ⬜ aucune TTP identifiée (0pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://github.com/ridgelinecyberdefence/vanguard