Articles in Category: Blog

Règlementation GDPR

Le jeudi, 24 août 2017. Posté dans Blog , Écrit par ahmed

Pour les organisations qui s’y sont préparées, le chantier sur la règlementation GDPR (ou RGPD en français) est déjà inscrit dans leur portefeuille de projets pour 2017. Cette anticipation devra leur permettre de mieux se préparer aux changements qui s’opéreront à partir de mai 2018.

Pour les autres qui ne savent pas encore par quel aspect entamer ce chantier (organisationnel, fonctionnel, technique, réglementaire…), elles doivent désormais s’en préoccuper. Car même si l’échéance parait encore lointaine, l’erreur la plus souvent répandue est de dire « on aura le temps d’ici là ! »

 

Or, le chantier sur la règlementation GDPR doit bien passer par un processus classique comme chaque projet de transformation numérique, à savoir l’élaboration d’un budget alloué, les ressources qui seront affectées au projet, le jalonnement du projet, les technologies nécessaires, la conduite du changement… Et tout cela prend du temps pour s’y préparer.

Dissection of a Java Malware (JRAT)

Le jeudi, 24 août 2017. Posté dans Blog , Écrit par ahmed

Introduction

Recently, Alliacom cybersecurity team has received a Java malware sample with the name of “Scan_20170620_094711_pdf.jar”. The malware is a JAR file that transferred as an attached file in e-mail spam campaigns.

Through the analysis of the malware, it reveals that it is a RAT (Remote Access Trojan) called “JRAT” which is a commercial RAT tool with malicious functions. The fact that the malware is written in Java gives it the ability to run on multiple platforms having JVM (Java Virtual Machine) environment installed.

The malware is composed of two main parts: droppers and the JRAT tool. The droppers are used to decrypt and install the JRAT tool on the target machine.

In the following sections, we focus on how the droppers inside the malware install the RAT tool on the victim machine and our analysis on the RAT tool ending with the conclusion.

ALERTE PETYA - ALLIACERT Juin 2017

Le vendredi, 30 juin 2017. Posté dans Blog , Écrit par ahmed

Résumé 

  • Nom du Malware : Petya / Mischa / Petrwrap / NotPetya
  • Infection et propagation : L'exploit ETERNALBLUE est utilisé par ce ransomware. Il combine à la fois une attaque côté client (CVE-2017-0199) et une attaque basée sur le réseau, déjà utilisée par WannaCry (MS17-010),
  • Le ransomware pourrait extraire des mots de passe et utiliser la technique de pass-the-hash pour attaquer les ordinateurs situés dans le même active directory ou les machines clonées, en utilisant du code de l’outil Mimikatz.
  • Les Spams et Spear-phishing sont des vecteurs d’infections.
  • Le ransomware crypte les tables « MFT » (Master File Tree) pour les partitions NTFS et écrase le « MBR » (Master Boot Record) avec un chargeur de démarrage personnalisé qui affiche une note de rançon et empêche les victimes de démarrer leur ordinateur.
  • Le ransomware affiche un texte, exigeant une valeur de Bitcoins de 300 $. Cependant l’adresse indiquée (wowsmith123456[at]posteo[dot]net) est clôturée par l’hébergeur posteo. Pour le moment la récupération de donnée et le paiement ne sont donc pas envisageables.

ALERTE WANNACRY - ALLIACERT MAI 2017

Le lundi, 15 mai 2017. Posté dans Blog , Écrit par ahmed

Une cyberattaque de grande ampleur et d'un niveau sans précédent touche depuis plusieurs heures, des dizaines de pays et des centaines de milliers d'ordinateurs à travers le monde. Vous trouverez ci dessous l’ensemble des informations en notre possession. L'alerte sera mise à jour dès que de nouvelles informations seraient révélées.

La Continuité d'Activités : Enjeux, Ecueils et Challenges

Le mercredi, 22 mars 2017. Posté dans Blog , Écrit par Ahmed HARIZE

La Continuité d'Activités. Voilà un terme qui est désormais familier à tous les professionnels de la Sécurité et des Systèmes d'Informations. Pourtant, voilà seulement quelques décennies, ce concept était encore obscur, pour ne pas dire pratiquement inconnu, sauf peut-être pour quelques grandes compagnies outre Atlantique.

Le contexte est désormais très différent et de nos jours, l'essor de la Continuité d'Activités a été favorisé sur deux plans.