Reconstruction d'une kill chain Akira Ransomware à partir de logs périmÚtre et endpoint

🔍 Contexte PubliĂ© le 28 mai 2026 sur le SANS Internet Storm Center par Manuel Humberto Santander PelĂĄez (Handler SANS ISC), cet article prĂ©sente la reconstruction complĂšte d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (canaux Security, System, PowerShell/Operational). Aucun EDR, aucun PCAP, aucun proxy log n’était disponible. đŸšȘ AccĂšs initial (Stage 1) L’attaquant a conduit une attaque par brute-force ciblant un compte SSLVPN local unique, depuis une seule adresse IP dans une plage d’hĂ©bergeur. Le compte Ă©tait dĂ©sactivĂ© dans Active Directory mais toujours provisionnĂ© localement sur le firewall, sans MFA. L’authentification rĂ©ussie est intervenue aprĂšs environ 6 heures d’attaque, sans pause — comportement typique du credential stuffing. ...

1 juin 2026 Â· 4 min

Reconstruction d'une kill chain Akira Ransomware via logs périmÚtre et endpoint

🔍 Contexte PubliĂ© le 27 mai 2026 par Manuel Humberto Santander PelĂĄez sur le SANS Internet Storm Center, cet article prĂ©sente la reconstruction complĂšte d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (Security, System, PowerShell/Operational). Aucun EDR, PCAP ou proxy log n’était disponible. 🎯 Environnement cible ForĂȘt Active Directory mono-site derriĂšre un NGFW pĂ©rimĂ©trique AccĂšs distant via SSLVPN pour une petite Ă©quipe Logs firewall couvrant ~7 jours avant l’évĂ©nement de chiffrement Exports EVTX de 2 contrĂŽleurs de domaine et 3 serveurs membres 🔗 DĂ©roulement de l’attaque Stage 1 – AccĂšs initial : ...

27 mai 2026 Â· 3 min

Apple corrige un bug iOS permettant l'extraction de messages Signal supprimés via les notifications

📰 Source : TechCrunch, publiĂ© le 22 avril 2026. Cet article couvre la publication d’un correctif de sĂ©curitĂ© par Apple pour un bug affectant iOS et iPadOS. 🔍 Contexte : Plus tĂŽt dans le mois, le mĂ©dia indĂ©pendant 404 Media avait rĂ©vĂ©lĂ© que le FBI avait rĂ©ussi Ă  extraire des messages Signal supprimĂ©s depuis un iPhone Ă  l’aide d’outils forensiques. La cause identifiĂ©e : le contenu des messages affichĂ©s en notification Ă©tait stockĂ© dans une base de donnĂ©es du systĂšme, et ce mĂȘme aprĂšs suppression des messages dans l’application Signal. ...

24 avril 2026 Â· 2 min

VanGuard : toolkit DFIR open-source tout-en-un pour la réponse à incident en entreprise

đŸ›Ąïž Contexte PubliĂ© le 04/05/2026 sur GitHub par Ridgeline Cyber Defence, VanGuard est un toolkit de rĂ©ponse Ă  incident (DFIR) open-source dĂ©veloppĂ© en Go, conçu pour les Ă©quipes de sĂ©curitĂ© en entreprise. Il se prĂ©sente comme un binaire unique, portable, sans installation requise, compatible Windows et Linux. 🔧 FonctionnalitĂ©s principales VanGuard consolide l’ensemble du cycle de vie IR dans un seul exĂ©cutable : Triage rapide : collecte de 20+ catĂ©gories d’artefacts Windows et 15+ Linux (processus, logs, tĂąches planifiĂ©es, historique navigateur, registre, connexions rĂ©seau, etc.) Threat Hunting : intĂ©gration de Hayabusa (Sigma), Chainsaw, Loki (IOC scanning), YARA ; dĂ©tection de LOLBins, autoruns suspects, DLL hijacking, unitĂ©s systemd rogues, binaires SUID, patterns C2 Forensique mĂ©moire : capture via DumpIt, WinPMEM, AVML, LiME ; analyse via Volatility3 Collecte disque : KAPE + EZ Tools (Windows), UAC (Linux) OpĂ©rations Velociraptor : gestion complĂšte du cycle de vie serveur/agent, dĂ©ploiement via WinRM/SSH/PSExec, VQL, hunts OpĂ©rations distantes : exĂ©cution simultanĂ©e sur plusieurs endpoints, authentification NTLM/SSH/PSExec Reporting : rapports HTML auto-contenus, super-timelines CSV, clustering MITRE ATT&CK automatique 📋 BibliothĂšque de 28 cas d’usage prĂ©-construits Chaque cas d’usage inclut un mapping MITRE ATT&CK, une classification de sĂ©vĂ©ritĂ© et une collecte d’artefacts phasĂ©e : ...

5 avril 2026 Â· 2 min

Investigation forensique des incidents Salesforce : logs, permissions et sauvegardes

Source: Blog officiel de la sociĂ©tĂ© Salesforce. Contexte: article didactique d’Eoghan Casey prĂ©sentant une mĂ©thodologie pour enquĂȘter sur des incidents de sĂ©curitĂ© dans des environnements Salesforce. L’article dĂ©taille trois piliers pour l’investigation: logs d’activitĂ©, permissions utilisateurs et donnĂ©es de sauvegarde. Les logs rĂ©pondent au qui/quoi/oĂč/quand/comment, les permissions dĂ©terminent l’étendue d’accĂšs et d’export, et les sauvegardes permettent d’évaluer l’impact sur les donnĂ©es et de restaurer l’intĂ©gritĂ©. Des exemples incluent la Login History, le Setup Audit Trail, et pour une visibilitĂ© avancĂ©e, Shield Event Monitoring (API, exports de rapports, tĂ©lĂ©chargements de fichiers), ainsi que des journaux additionnels pour B2C Commerce Cloud. ...

3 septembre 2025 Â· 3 min
Derniùre mise à jour le: 14 juillet 2026 📝