Chainsaw, un nouvel outil pour détecter les attaques sous Windows

Un nouvel outil d'analyse open source baptisé Chainsaw a été mis en ligne par F-Secure et son objectif est clair : vous aider à détecter les attaques sur une machine Windows en analysant les journaux de l'observateur d'événements. Idéal dans le cadre de la réponse à un incident de sécurité.

Les journaux d'événements de Windows sont une vraie mine d'information, mais il n'est pas toujours facile de retrouver facilement et efficacement, la bonne information. Je dirais même de trouver les informations réellement importantes.

Avec l'outil Chainsaw publié par James D de chez F-Secure, il va être un peu plus facile de mener une investigation lorsque l'on subit une attaque, mais aussi pour contrôler l'activité sur ses serveurs à la recherche de logs suspects. Écrit en Rust, cet outil s'utilise exclusivement en ligne de commande et s'appuie sur la librairie EVTX pour parser les journaux. Il est fourni avec différents templates pour faciliter son utilisation et il utilise la logique de détection Sigma pour rechercher efficacement dans les journaux.

F-Secure précise que dans le cas où vous ne disposez pas de solution EDR au moment d'un incident de sécurité, Chainsaw pourra vous aider pour mener vos investigations.

L'outil va analyser les journaux d'événements de Windows pour détecter d'éventuelles activités malveillantes. Cet outil peut :

  • Rechercher dans les journaux selon des ID d'événements, des mots clés ou regex
  • Extraire et parser les journaux d'alertes de Windows Defender, F-Secure, Sophos et Kaspersky
  • Détecter les attaques par brute force sur les comptes locaux
  • Détecter les utilisateurs créés ou ajoutés à des groupes sensibles
  • Détecter si un journal est effacé ou un service de gestion des logs arrêté
  • Détecter la présence d'identifiants RDP, d'identifiants réseau, etc.

Perso je n'ai pas encore testé l'outil, mais il m'a l'air vraiment intéressant ! Si vous souhaitez essayer, il est disponible gratuitement sur GitHub : Télécharger - Chainsaw

Si vous le testez, n'hésitez pas à laisser un commentaire sur l'article pour nous faire un retour ! 😉

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3208 posts and counting.See all posts by florian

One thought on “Chainsaw, un nouvel outil pour détecter les attaques sous Windows

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.