Accès illimité 24h/24 à tous nos livres & vidéos ! Découvrez la Bibliothèque Numérique ENI. Cliquez ici.
  1. Livres et vidéos
  2. Cybersécurité et PowerShell - De l'attaque à la défense du système d'information

Cybersécurité et PowerShell De l'attaque à la défense du système d'information

  • En stock
  • Expédié en 24h00
  • Livraison à partir de 0,01 €
  • Version en ligne offerte pendant 1 an
  • 1 h d'accès gratuit à tous nos livres et vidéos pour chaque commande
  • Accessible immédiatement et pour une durée de 10 ans
  • Version HTML
  • Accès illimité 24h/24, 7J/7
  • Accès illimité 24h/24, 7J/7
  • Tous les livres en ligne, les vidéos et les cours enregistrés ENI
  • Plus de 10 nouveautés livres et vidéos chaque mois
  • Les nouveautés disponibles le jour de leur sortie
  • Accès 100% en ligne

Présentation

Ce livre traite de la sécurité des systèmes d’information à travers le prisme du langage PowerShell. Il s’adresse aux administrateurs système et réseau, experts ou consultants en cybersécurité, chefs de projet ou responsables cyber qui souhaitent comprendre le rôle et les capacités du langage de scripting de Microsoft dans le domaine de la cybersécurité.

L’auteur propose une approche pragmatique et pédagogique de la sécurité qui présente aussi bien les capacités offensives que défensives de PowerShell, le tout illustré par des exemples pratiques à mettre en œuvre au sein d’un laboratoire virtuel.

Dans une première partie dédiée aux aspects offensifs, des premiers chapitres détaillent des exemples d’attaque en PowerShell et vous invitent à développer votre propre ransomware. Vous découvrez également PowerShell Empire, un framework d’attaque open source entièrement basé sur PowerShell.

La seconde partie illustre les possibilités défensives de PowerShell (et la façon de les contourner), comme la signature de code, la mise en place d’une chaîne de certification, les mécanismes comme AMSI (Anti-Malware Scan Interface) ou le mode de langage contraint. La sécurisation des accès à distance avec PowerShell est également étudiée avec WinRM, WMI ou Just Enough Administration. Diverses techniques d’administration nécessaires à la sécurité sont ensuite évoquées, telles que la protection des protocoles SMB et RDP, les comptes de service managés et les abonnements WMI.

Pour finir, une dernière partie appréhende la supervision des environnements Windows et PowerShell avec les mécanismes de journalisation et de centralisation des logs jusqu’à la mise en œuvre d’une infrastructure de supervision SIEM.


Quizinclus dans
la version en ligne !
  • Testez vos connaissances à l'issue de chaque chapitre
  • Validez vos acquis

Table des matières

  • Fondamentaux et mise en place du Lab
    • 1. Les fondamentaux de la cybersécurité
      • 1.1 Le risque et les compromis de sécurité dans le temps
      • 1.2 Les quatre piliers de la sécurité
    • 2. Les différents acteurs de la cybersécurité
      • 2.1 Les équipes de production
      • 2.2 Les équipes cyber
      • 2.3 La gouvernance
      • 2.4 Les utilisateurs
      • 2.5 Les « attaquants »
    • 3. Les éléments clés de PowerShell pour la sécurité
      • 3.1 Pour les administrateurs
      • 3.2 Pour les attaquants
        • 3.2.1 Live off the land
        • 3.2.2 Fileless attack
    • 4. Mise en place de l’environnement de test virtuel
      • 4.1 L’infrastructure du Lab
      • 4.2 Infrastructure réseau
        • 4.2.1 VirtualBox
        • 4.2.2 pfSense
      • 4.3 Infrastructure logique Active Directory
        • 4.3.1 Windows Server 19
        • 4.3.2 Finaliser la configuration pfSense
        • 4.3.3 Création du domaine Active Directory
      • 4.4 Déploiement des clients
        • 4.4.1 Client Windows 10
        • 4.4.2 Client Windows 7 (optionnel)
        • 4.4.3 Machine de l’attaquant : Kali-Linux
    • 5. Conclusion
  • Les attaquants et PowerShell
    • 1. Quelques exemples d’attaques
      • 1.1 Balayage réseau en PowerShell
        • 1.1.1 Définition d'un scan réseau
        • 1.1.2 Développement
        • 1.1.3 Cas pratique
      • 1.2 Attaques sur KeePass
        • 1.2.1 Présentation de KeePass
        • 1.2.2 Recherche de KeePass sur un système
        • 1.2.3 Analyse du fichier de configuration
        • 1.2.4 Bruteforce
        • 1.2.5 Quelques bonnes pratiques relatives à KeePass
      • 1.3 Kerberoasting
        • 1.3.1 Présentation
        • 1.3.2 Mise en place
        • 1.3.3 Attaque
        • 1.3.4 Bilan
      • 1.4 Chiffrement
        • 1.4.1 "On dit chiffrer"
        • 1.4.2 Les attaquants
        • 1.4.3 Chiffrement et déchiffrement asymétriques en PowerShell
        • 1.4.4 Chiffrement et déchiffrement symétriques en PowerShell
        • 1.4.5 Bilan
    • 2. Un cas dans la vraie vie : Emotet
    • 3. Conclusion
  • Malware maison
    • 1. Introduction
    • 2. Comment est architecturé un malware ?
    • 3. Étape 1 : le dropper Memory Only
    • 4. Étape 2 : le serveur de contenu
      • 4.1 Serveur HTTP en Python
      • 4.2 Serveur HTTP en PowerShell
    • 5. Étape 3 : le C&C et le reverse shell
      • 5.1 Le C&C : mettre le serveur en écoute
      • 5.2 Le reverse shell : établir une communication
      • 5.3 Action
    • 6. Étape 4 : le ransomware
      • 6.1 Chiffrement
      • 6.2 Déchiffrement
    • 7. L'attaque, pas à pas
    • 8. Conclusion
  • PowerShell Empire
    • 1. Historique et présentation
    • 2. Déploiement
      • 2.1 Les sources et la documentation
      • 2.2 Installation
        • 2.2.1 Empire
        • 2.2.2 Starkiller
        • 2.2.3 API REST d'Empire
    • 3. Utilisation d'Empire pour attaquer un système d'information
      • 3.1 Help !
      • 3.2 Listeners
        • 3.2.1 Présentation
        • 3.2.2 Un premier listener
        • 3.2.3 Analyse du dropper associé
        • 3.2.4 Exécution du launcher
      • 3.3 Stagers
        • 3.3.1 Présentation
        • 3.3.2 Création d'un stager
        • 3.3.3 Empaqueter le launcher dans une macro
        • 3.3.4 Ouverture d'une pièce jointe piégée
      • 3.4 Agents
        • 3.4.1 Présentation
        • 3.4.2 Interagir avec un agent
        • 3.4.3 Élévation de privilèges sous Windows 7
        • 3.4.4 Zoom sur l'attaque ByPass UAC
      • 3.5 Modules
        • 3.5.1 Élévation de privilèges pour W10
        • 3.5.2 Collecte d'informations
        • 3.5.3 Persistance
      • 3.6 Propagation
        • 3.6.1 Bruteforce du mot de passe Administrateur
        • 3.6.2 Vol du jeton
        • 3.6.3 Pivot SMB et RDP
        • 3.6.4 Restricted Admin mode, RDP et pass-the-hash
      • 3.7 Scripts
        • 3.7.1 NTDS
        • 3.7.2 DSInternals
    • 4. Conclusion
  • Sécuriser PowerShell
    • 1. Introduction
    • 2. Supprimer PowerShell
      • 2.1 Désinstaller, désactiver ou bloquer ?
      • 2.2 Bloquer PowerShell par GPO
      • 2.3 Contrôler le blocage
      • 2.4 Quelques considérations
    • 3. Execution policy
      • 3.1 Présentation
      • 3.2 Configuration
        • 3.2.1 Locale
        • 3.2.2 Domaine
      • 3.3 Tester et contourner
        • 3.3.1 Tester
        • 3.3.2 Contourner
      • 3.4 Bilan
    • 4. Code signing
      • 4.1 Présentation
      • 4.2 Mettre en œuvre une Autorité de Certification pour le code signing
        • 4.2.1 Autorité racine
        • 4.2.2 Serveur de liste de révocation
        • 4.2.3 Autorité intermédiaire
        • 4.2.4 Certificat de signature utilisateur
        • 4.2.5 Déployer le certificat d'AC
        • 4.2.6 Déployer le certificat utilisateur
        • 4.2.7 Usage de XCA pour une PKI d'entreprise
      • 4.3 Exemple de code signing
        • 4.3.1 Signer un script
        • 4.3.2 Timestamping
      • 4.4 Bilan
    • 5. AMSI
      • 5.1 Présentation
      • 5.2 AMSI : banc de test
      • 5.3 Observateur d'événements
      • 5.4 Bilan
    • 6. Conclusion
  • Restreindre PowerShell
    • 1. Introduction
    • 2. Remote PowerShell
      • 2.1 PSSessions, WS-Management et WinRM
        • 2.1.1 Sessions
        • 2.1.2 Sécurité des communications réseau
        • 2.1.3 Activer WinRM
      • 2.2 Sécurisation de WinRM
        • 2.2.1 Pare-feu
        • 2.2.2 Contrôle d'accès par groupe AD et GPO
        • 2.2.3 Contrôle d'accès SDDL
        • 2.2.4 HTTPS
        • 2.2.5 Authentification par certificats
      • 2.3 WMI
        • 2.3.1 Firewall
        • 2.3.2 Contrôle d'accès
        • 2.3.3 Démarrer un processus à distance
        • 2.3.4 Bilan
    • 3. PowerShell JEA : Just Enough Administration
      • 3.1 Présentation
      • 3.2 Stratégie de mise en œuvre
      • 3.3 Capacité de rôle
      • 3.4 Configuration de sessions
      • 3.5 Activer et désactiver la configuration JEA
      • 3.6 Tester JEA
      • 3.7 Bilan
    • 4. Constrained Language Mode et AppLocker
      • 4.1 Language Mode
      • 4.2 AppLocker
        • 4.2.1 Bloquer l'exécution de scripts avec AppLocker
        • 4.2.2 AppLocker et les journaux d'événements
      • 4.3 Langage contraint avec WDAC
        • 4.3.1 Configuration
        • 4.3.2 Contournement partiel
      • 4.4 Bilan
    • 5. Conclusion
  • Défendre son SI avec PowerShell
    • 1. Introduction
    • 2. Durcissement
      • 2.1 RDP : Remote Desktop Protocol
        • 2.1.1 Authentification, NLA et gestion des accès
        • 2.1.2 Pare-feu
      • 2.2 Configurer TLS
      • 2.3 SMB
        • 2.3.1 Server Message Block - Présentation
        • 2.3.2 Forcer SMB v3
        • 2.3.3 Bilan
    • 3. Windows Firewall
      • 3.1 Qu'est-ce qu'un pare-feu déjà ?
      • 3.2 Appliquer une politique No-inbound
      • 3.3 Tracer les connexions réseau
      • 3.4 Bilan
    • 4. Défendre et contrôler son AD
      • 4.1 Les comptes de service managés
      • 4.2 AdminSDHolder
    • 5. Live-forensics et PowerShell
      • 5.1 WinRM et le live-forensics
      • 5.2 WMI : abonnements aux événements système
        • 5.2.1 Exemples de requêtes WQL
        • 5.2.2 Filtres, consommateur et binding
      • 5.3 Quelques exemples d’abonnements WMI
        • 5.3.1 Abonnement permanent : détection des nouveaux périphériques
        • 5.3.2 Abonnement temporaire : détection d'un démarrage de processus dans PowerShell
      • 5.4 Persistance pour les attaquants
    • 6. Conclusion
  • Superviser PowerShell
    • 1. Introduction
    • 2. Collecter les logs Windows et Sysmon
      • 2.1 Surveiller les logs Windows avec PowerShell
      • 2.2 Mettre en place Sysmon
      • 2.3 Transférer les logs Sysmon vers un serveur Syslog
        • 2.3.1 WinEventForwarding
        • 2.3.2 Retransmettre vers un serveur syslog
      • 2.4 Bilan
    • 3. Les logs PowerShell
      • 3.1 Logs PowerShell
      • 3.2 Transcript
      • 3.3 Script Block Logging
      • 3.4 Protected Event Logging
      • 3.5 Bilan
    • 4. Surveiller avec un SIEM
      • 4.1 Installer une instance Splunk
      • 4.2 Indexer les premiers logs
        • 4.2.1 Injecter un fichier de log et créer le source type
        • 4.2.2 Surveiller un dossier
      • 4.3 Quelques règles de détections simples pour PowerShell
        • 4.3.1 Observer les événements bruts
        • 4.3.2 Travailler et filtrer sur les champs
        • 4.3.3 Faire des statistiques
        • 4.3.4 Mettre en place une alerte
        • 4.3.5 Pour aller plus loin avec Splunk...
    • 5. Conclusion
    • Conclusion
    • Index

Auteur

Étienne LADENTEn savoir plus

Diplômé en 2011 de l’École d’ingénieur nationale supérieure d’électronique, informatique, télécommunications, mathématique et mécanique de Bordeaux (ENSEIRB), Étienne LADENT est ingénieur en sécurité informatique et a travaillé dans de grands groupes français dans le secteur de l’énergie. Lors de ses différentes missions, il apporte son expertise en particulier sur les SIEM, les antivirus et PowerShell et plus généralement sur la sécurité informatique défensive. Fondateur du site geekeries.org, il a également écrit de nombreux articles dans la revue MISC, spécialisée en sécurité informatique.

Caractéristiques

  • Niveau Expert
  • Nombre de pages 392 pages
  • Parution février 2022
    • Livre (broché) - 17 x 21 cm
    • ISBN : 978-2-409-03414-5
    • EAN : 9782409034145
    • Ref. ENI : EPCYBPOW
  • Niveau Expert
  • Parution février 2022
    • HTML
    • ISBN : 978-2-409-03415-2
    • EAN : 9782409034152
    • Ref. ENI : LNEPCYBPOW