12/12/2024
IT-Connect » Actualités » Actu Cybersécurité » Chainsaw, un nouvel outil pour détecter les attaques sous Windows

Actu CybersécuritéLogiciel - OS

Chainsaw, un nouvel outil pour détecter les attaques sous Windows

Florian BURNEL 1 commentaire

Un nouvel outil d'analyse open source baptisé Chainsaw a été mis en ligne par F-Secure et son objectif est clair : vous aider à détecter les attaques sur une machine Windows en analysant les journaux de l'observateur d'événements. Idéal dans le cadre de la réponse à un incident de sécurité.

Les journaux d'événements de Windows sont une vraie mine d'information, mais il n'est pas toujours facile de retrouver facilement et efficacement, la bonne information. Je dirais même de trouver les informations réellement importantes.

Avec l'outil Chainsaw publié par James D de chez F-Secure, il va être un peu plus facile de mener une investigation lorsque l'on subit une attaque, mais aussi pour contrôler l'activité sur ses serveurs à la recherche de logs suspects. Écrit en Rust, cet outil s'utilise exclusivement en ligne de commande et s'appuie sur la librairie EVTX pour parser les journaux. Il est fourni avec différents templates pour faciliter son utilisation et il utilise la logique de détection Sigma pour rechercher efficacement dans les journaux.

F-Secure précise que dans le cas où vous ne disposez pas de solution EDR au moment d'un incident de sécurité, Chainsaw pourra vous aider pour mener vos investigations.

L'outil va analyser les journaux d'événements de Windows pour détecter d'éventuelles activités malveillantes. Cet outil peut :

  • Rechercher dans les journaux selon des ID d'événements, des mots clés ou regex
  • Extraire et parser les journaux d'alertes de Windows Defender, F-Secure, Sophos et Kaspersky
  • Détecter les attaques par brute force sur les comptes locaux
  • Détecter les utilisateurs créés ou ajoutés à des groupes sensibles
  • Détecter si un journal est effacé ou un service de gestion des logs arrêté
  • Détecter la présence d'identifiants RDP, d'identifiants réseau, etc.

Perso je n'ai pas encore testé l'outil, mais il m'a l'air vraiment intéressant ! Si vous souhaitez essayer, il est disponible gratuitement sur GitHub : Télécharger - Chainsaw

Si vous le testez, n'hésitez pas à laisser un commentaire sur l'article pour nous faire un retour ! 😉

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Windows 11 : des nouveautés pour tous en février, dont les apps Android

Florian BURNEL 0
Fortinet - CVE-2022-41328 - FortiOS

Ce nouvel exploit FortiOS est utilisé pour compromettre des entreprises

Florian BURNEL 0

Zoom : la version gratuite va hériter du sous-titrage automatique

Florian BURNEL 0

1 commentaire sur “Chainsaw, un nouvel outil pour détecter les attaques sous Windows

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.