Chainsaw, un nouvel outil pour détecter les attaques sous Windows
mardi 7 septembre 2021 à 14:18Un nouvel outil d'analyse open source baptisé Chainsaw a été mis en ligne par F-Secure et son objectif est clair : vous aider à détecter les attaques sur une machine Windows en analysant les journaux de l'observateur d'événements. Idéal dans le cadre de la réponse à un incident de sécurité.
Les journaux d'événements de Windows sont une vraie mine d'information, mais il n'est pas toujours facile de retrouver facilement et efficacement, la bonne information. Je dirais même de trouver les informations réellement importantes.
Avec l'outil Chainsaw publié par James D de chez F-Secure, il va être un peu plus facile de mener une investigation lorsque l'on subit une attaque, mais aussi pour contrôler l'activité sur ses serveurs à la recherche de logs suspects. Écrit en Rust, cet outil s'utilise exclusivement en ligne de commande et s'appuie sur la librairie EVTX pour parser les journaux. Il est fourni avec différents templates pour faciliter son utilisation et il utilise la logique de détection Sigma pour rechercher efficacement dans les journaux.
F-Secure précise que dans le cas où vous ne disposez pas de solution EDR au moment d'un incident de sécurité, Chainsaw pourra vous aider pour mener vos investigations.
L'outil va analyser les journaux d'événements de Windows pour détecter d'éventuelles activités malveillantes. Cet outil peut :
- Rechercher dans les journaux selon des ID d'événements, des mots clés ou regex
- Extraire et parser les journaux d'alertes de Windows Defender, F-Secure, Sophos et Kaspersky
- Détecter les attaques par brute force sur les comptes locaux
- Détecter les utilisateurs créés ou ajoutés à des groupes sensibles
- Détecter si un journal est effacé ou un service de gestion des logs arrêté
- Détecter la présence d'identifiants RDP, d'identifiants réseau, etc.
Perso je n'ai pas encore testé l'outil, mais il m'a l'air vraiment intéressant ! Si vous souhaitez essayer, il est disponible gratuitement sur GitHub : Télécharger - Chainsaw
Si vous le testez, n'hésitez pas à laisser un commentaire sur l'article pour nous faire un retour ! 